Política de Privacidade

Esta política descreve como a Syncro coleta, utiliza e protege os dados dos usuários e de seus clientes.

1. Quem somos

A Syncro é uma plataforma de CRM e atendimento omnichannel voltada para empresas e equipes comerciais. Oferecemos ferramentas para gestão de leads, atendimento via WhatsApp e Instagram, funis de vendas, automação por IA, disparos em massa e formulários de captura.

Esta política se aplica a todos os usuários cadastrados na plataforma — administradores, gestores e operadores de cada organização.

---

2. Dados que coletamos

Coletamos os seguintes tipos de dados para o funcionamento da plataforma:

Categoria	Dados	Origem
Dados de conta	Nome, e-mail, senha (criptografada), função na organização	Cadastro na plataforma
Leads e contatos	Nome, e-mail, telefone, empresa, cargo, origem, anotações, tags, campos personalizados	Inserção manual, importação, webhooks, integrações
Mensagens WhatsApp	Número de telefone, conteúdo de mensagens, mídia, horário de envio	Integração WhatsApp Business
Mensagens Instagram	IGSID, username, foto de perfil, conteúdo de DMs, mídia	Integração Meta / Instagram Business
Leads de anúncios	Nome, e-mail, telefone e respostas de formulários do Facebook Lead Ads	Webhook do Facebook Lead Ads (autorizado pelo administrador)
Tokens OAuth	Tokens de acesso de integrações — armazenados criptografados (AES-256)	Fluxo OAuth das plataformas parceiras (Meta, Google)
Pagamentos	Identificadores de assinatura e fatura, status de pagamento, últimos 4 dígitos do cartão	Gateways de pagamento (Stripe e Asaas) — Syncro NÃO armazena número completo do cartão
Logs do sistema	Registros de atividade, erros, horários de acesso, endereço IP	Gerado automaticamente
Analytics anônimo	Páginas visitadas, dispositivo, navegador (somente após consentimento via banner de cookies)	Google Analytics (G-6B1SD0KNZM) — IP anonimizado

---

3. Como utilizamos os dados

Os dados são utilizados exclusivamente para:

• Gestão de leads e pipeline: organizar contatos em funis de vendas, registrar etapas e histórico.
• Atendimento via mensagens: exibir conversas de WhatsApp e Instagram no inbox para que a equipe possa atender e acompanhar clientes.
• Automação com IA: quando habilitado, o histórico recente de mensagens é processado por um modelo de linguagem (OpenAI, Anthropic, Google ou Groq, conforme configuração) para gerar respostas automáticas. Os provedores não retêm dados além da requisição quando utilizamos suas APIs.
• Agenda e calendário: quando conectado ao Google Calendar, exibir, criar, editar e excluir eventos diretamente na plataforma para organização de compromissos e tarefas comerciais.
• Captura de leads: receber leads do Facebook Lead Ads e de formulários nativos hospedados, integrando-os ao funil configurado pelo administrador.
• Disparos em massa e nurturing: enviar mensagens em sequência respeitando intervalos anti-banimento, opt-out e janela de 24h do WhatsApp Cloud API.
• Relatórios: gerar relatórios de desempenho, origem de leads (UTM) e atividade da equipe.
• Cobrança e assinatura: processar pagamentos via Stripe e Asaas, gerar faturas e registrar histórico financeiro.
• Segurança: detectar acessos não autorizados e manter registros de auditoria.

Não vendemos, alugamos nem compartilhamos dados de leads ou clientes com terceiros para fins comerciais. Os dados pertencem exclusivamente à organização que os inseriu.

---

4. Integrações de terceiros

A Syncro se integra com serviços externos. Cada integração é opcional e controlada pelo administrador da organização:

Serviço	Dados envolvidos
WhatsApp (WAHA)	Mensagens, números de telefone, mídia — conexão via QR Code do WhatsApp Business app
WhatsApp Cloud API (Meta oficial)	Mensagens, templates HSM, tokens de sistema permanentes, identificadores de WABA e Phone Number
Instagram Business (Meta)	DMs, IGSID, username, foto de perfil, tokens OAuth
Facebook Lead Ads (Meta)	Submissões de formulários de anúncios (nome, e-mail, telefone e campos customizados), token OAuth da Página
Google Calendar	Eventos de calendário (título, data, horário, descrição, localização), token OAuth (leitura e escrita)
Modelos de IA (LLM)	Histórico recente de mensagens enviado a OpenAI, Anthropic, Google ou Groq (somente quando agente de IA habilitado)
ElevenLabs	Texto a ser convertido em voz (quando agente de IA com resposta por áudio habilitado)
Stripe e Asaas	Dados de pagamento (Stripe e Asaas são os controladores dos dados financeiros — a Syncro não armazena número de cartão)
Resend	Envio transacional de e-mails (boas-vindas, código de exclusão, alertas)
Sentry	Monitoramento de erros e performance — apenas metadados técnicos (stack trace, navegador, URL), nunca corpo de mensagens
Google Analytics	Estatísticas de navegação no site público (somente após consentimento via banner de cookies, com IP anonimizado)

---

5. Uso de dados do Google (Limited Use Disclosure)

Declaração de conformidade (Limited Use / Uso Limitado):

O uso e a transferência, pela Syncro, de informações recebidas das APIs do Google a qualquer outro aplicativo aderirão à Política de Dados de Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado.

English statement (for Google verification review):
Syncro's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

Escopos OAuth solicitados e finalidade:

• https://www.googleapis.com/auth/calendar — ler, criar, atualizar e excluir eventos do Google Calendar do usuário, exclusivamente para sincronização bidirecional com a agenda interna da Syncro.
• https://www.googleapis.com/auth/userinfo.email e userinfo.profile — identificar a conta Google conectada (nome e e-mail) na interface do CRM.

Como tratamos dados recebidos das APIs do Google:

• Os dados do Google Calendar (eventos, datas, descrições) são utilizados exclusivamente para exibir, criar, editar e excluir eventos dentro da plataforma Syncro, conforme a funcionalidade contratada pelo usuário.
• Não transferimos dados obtidos das APIs do Google para terceiros, exceto quando necessário para o funcionamento da integração contratada pelo usuário, para conformidade com a lei aplicável, ou como parte de uma fusão, aquisição ou venda de ativos com notificação prévia aos usuários.
• Não utilizamos dados do Google para servir publicidade, incluindo publicidade personalizada ou retargeting.
• Não utilizamos dados do Google para treinar, melhorar ou desenvolver modelos generalizados de inteligência artificial ou aprendizado de máquina.
• Não permitimos que humanos leiam dados do Google, exceto: (a) com o consentimento explícito do usuário para dados específicos; (b) quando necessário para fins de segurança (ex.: investigação de abuso); (c) para cumprir a lei aplicável; ou (d) para operações internas, e somente após anonimização ou agregação.
• Os tokens OAuth do Google são armazenados de forma criptografada (AES-256) em repouso e transitam apenas via TLS/HTTPS.
• O usuário pode revogar o acesso da Syncro ao Google Calendar a qualquer momento nas configurações da conta Google ou desconectando a integração diretamente no painel da Syncro.

---

6. Armazenamento e segurança

• Criptografia em trânsito: toda comunicação com a plataforma utiliza HTTPS/TLS.
• Criptografia em repouso: tokens OAuth e credenciais sensíveis são criptografados com AES-256.
• Isolamento por organização: dados de cada organização são isolados e inacessíveis por outras.
• Controle de acesso por função: permissões distintas para administradores, gestores e operadores.
• Logs de auditoria: ações críticas são registradas com data, hora e usuário responsável.

---

7. Retenção e exclusão de dados

Os dados são mantidos enquanto a conta da organização estiver ativa. Você pode exportar ou excluir seus dados a qualquer momento:

• Exclusão sob demanda: o administrador pode excluir permanentemente a empresa e todos os dados associados em Configurações › Privacidade › Excluir conta. O processo exige confirmação por código enviado ao e-mail (validade de 15 minutos) e é imediato e irreversível — apaga leads, conversas, mensagens, automações, agentes de IA, mídias armazenadas e sessões de WhatsApp.
• Exportação: contatos, leads e relatórios podem ser exportados em formato CSV/Excel diretamente pelo painel.
• Cancelamento de assinatura: ao cancelar, os dados permanecem disponíveis por um período de carência para reativação. Após esse prazo, são excluídos permanentemente.
• Retenção legal: registros financeiros (faturas, recibos) podem ser mantidos por até 5 anos conforme exigências fiscais, com identificadores pessoais anonimizados quando aplicável. Logs de auditoria podem ser retidos por até 12 meses para fins de segurança.

---

8. Compartilhamento de dados

Não compartilhamos dados pessoais com terceiros, exceto:

• Obrigação legal: quando exigido por lei ou ordem judicial.
• Infraestrutura: provedores de servidores e banco de dados, sob contrato de confidencialidade, que atuam como operadores.
• Integrações ativadas pelo cliente: ao conectar plataformas externas, os dados correspondentes transitam conforme as permissões concedidas pelo administrador.

---

9. Seus direitos (LGPD)

Em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), você possui os seguintes direitos:

• Acesso: confirmar se seus dados são tratados e receber uma cópia.
• Correção: corrigir dados incompletos, inexatos ou desatualizados.
• Eliminação: solicitar exclusão de dados desnecessários ou tratados irregularmente.
• Portabilidade: receber seus dados em formato estruturado para uso em outro serviço.
• Revogação de consentimento: revogar consentimentos previamente concedidos.
• Informação: saber com quais entidades seus dados são compartilhados.

Para exercer seus direitos, entre em contato pelo e-mail indicado na seção de Contato. Respondemos em até 15 dias úteis.

---

10. Cookies e tecnologias similares

A Syncro utiliza três categorias de cookies, com controle explícito do usuário via banner de consentimento (Google Consent Mode v2):

• Essenciais (sempre ativos): cookie de sessão, token CSRF e preferência de idioma. Necessários para login, segurança e funcionamento da plataforma — não podem ser desativados.
• Funcionais (opt-in): lembrar preferências de interface, último painel acessado, configurações de visualização.
• Analíticos (opt-in): Google Analytics (G-6B1SD0KNZM) com IP anonimizado, usado para entender uso agregado das páginas públicas e identificar erros. Nenhum hit é enviado antes do aceite no banner.

Você pode revisar ou revogar consentimentos a qualquer momento limpando os cookies do navegador (banner volta a aparecer) ou desativando rastreamento nas configurações do seu navegador.

Não utilizamos cookies de publicidade comportamental nem retargeting.

---

11. Menores de idade

A Syncro é destinada exclusivamente a empresas e profissionais. Não coletamos dados de menores de 18 anos. Caso identificados, serão excluídos imediatamente.

---

12. Alterações nesta política

Esta política pode ser atualizada periodicamente. Em alterações substanciais, notificaremos os administradores por e-mail com antecedência mínima de 15 dias.

---

13. Contato

Para dúvidas ou solicitações relacionadas aos seus dados, entre em contato com nosso Encarregado de Proteção de Dados (DPO):

E-mail: [email protected]