Piloto DigitalCockpitPiloto Digital

Política de Privacidade

Versão 2026-05-26-1 · Vigente desde 26 de maio de 2026.

Esta Política descreve como a Agência Piloto Digital trata dados pessoais relacionados ao Cockpit, em conformidade com a Lei nº 13.709/2018 (LGPD).

1. Papéis no Tratamento

Organização contratante (cliente) é a controladora dos dados pessoais dos leads tratados na plataforma. Piloto Digitalatua como operadora, processando dados conforme instruções da controladora e nos limites do Contrato de Operação (DPA).

Para dados de usuários do Cockpit (administradores, vendedores, equipe da contratante), atuamos como controladora.

2. Dados Tratados

2.1 Dados de usuários do Cockpit

  • Nome, email, telefone (quando informados)
  • Credenciais e tokens de sessão
  • Logs de acesso, endereço IP e user-agent
  • Preferências de uso (idioma, fuso horário, configurações)

2.2 Dados de leads (titulares finais)

  • Nome e nome de exibição (pushname do WhatsApp)
  • Número de telefone em formato E.164
  • Mensagens trocadas via WhatsApp (texto, áudio, imagem, vídeo, documento)
  • Metadados de mensagens (data, status, dispositivo)
  • Anotações e tags atribuídas pelo vendedor
  • Origem do contato (campanha de origem, anúncio, fonte)
  • Histórico de interações (timeline de eventos)

3. Finalidades

Tratamos dados para:

  • Operação da plataforma (autenticação, sincronização, exibição)
  • Permitir comunicação da contratante com seus leads
  • Geração de relatórios e funis comerciais para a contratante
  • Atender obrigações legais e regulatórias
  • Manter segurança e prevenir fraudes

4. Bases Legais

  • Execução de contrato (art. 7º V LGPD) para operar a plataforma para a contratante
  • Legítimo interesse (art. 7º IX) da contratante em manter relacionamento comercial com leads que iniciaram contato voluntariamente
  • Cumprimento de obrigação legal (art. 7º II) para retenção de logs de auditoria
  • Consentimento (art. 7º I) quando o titular optar por comunicações de marketing

5. Compartilhamento

Dados podem ser compartilhados com:

  • Subprocessadores listados em nosso Contrato de Operação (Supabase, UazAPI, Cloudflare R2, Resend, Vercel)
  • Autoridades públicas mediante ordem judicial ou requisição legal
  • A organização contratante (controladora) sempre tem acesso aos dados que ela mesma tratou

Não vendemos dados pessoais. Não realizamos transferência internacional fora dos subprocessadores listados.

6. Retenção

  • Leads ativos: mantidos enquanto houver atividade ou vínculo contratual
  • Leads sem atividade por 12 meses: arquivados automaticamente
  • Leads sem atividade por 24 meses: anonimizados (PII removida, metadados estatísticos preservados)
  • Logs de auditoria: 6 meses
  • Backups: 30 dias
  • Após encerramento de contrato: dados da contratante exportados e excluídos em até 30 dias

7. Direitos do Titular (art. 18 LGPD)

O titular pode, a qualquer momento, solicitar:

  • Confirmação da existência de tratamento
  • Acesso aos seus dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários
  • Portabilidade dos dados
  • Informações sobre uso compartilhado
  • Revogação de consentimento

Solicitações devem ser feitas ao Encarregado de Proteção de Dados. Prazo de resposta: até 15 dias úteis.

8. Segurança

Adotamos medidas técnicas e organizacionais incluindo:

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
  • Isolamento multi-tenant via Row Level Security (RLS) no banco
  • Autenticação com tokens de sessão expiráveis e suporte a 2FA
  • Trilha de auditoria de acessos e ações sensíveis
  • Controle de acesso baseado em papéis (RBAC)
  • Backups diários criptografados
  • Política de senha forte (mínimo 8 caracteres)

9. Incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante, notificaremos a ANPD e os titulares afetados em até 2 dias úteis, conforme determina a LGPD.

10. Contato

Dúvidas, exercício de direitos ou denúncias devem ser direcionados ao Encarregado de Proteção de Dados pelo email indicado na página do DPO.