Conteúdo template inicial pré-revisão jurídica. Os termos finais devem ser revisados por advogado especializado em LGPD + SaaS antes de produção. Última revisão: 25 de maio de 2026.

Documento legal

Política de Privacidade

Como tratamos dados pessoais — em conformidade com a LGPD (Lei nº 13.709/2018).

1. Quem somos

Lume é uma plataforma SaaS de atendimento WhatsApp + IA pra empresas. Esta política descreve como tratamos dados pessoais coletados através da plataforma lumesell.com.

Controlador / Operador: dependendo do contexto, o Lume atua como Operador dos dados dos seus clientes (leads, conversas WhatsApp) — onde o tenant Contratante é o Controlador — e como Controlador dos dados cadastrais do próprio Contratante (e-mail do owner, dados de billing, métricas de uso da plataforma).

Razão social: a ser definida no encerramento da constituição jurídica formal. Endereço completo e CNPJ serão publicados nesta página após formalização.

2. Quais dados coletamos

2.1 Dados de quem contrata o Lume (Controlador)

  • Nome completo e e-mail corporativo do owner / admins;
  • Nome da empresa, CNPJ (opcional), telefone de contato;
  • Dados de pagamento processados via Stripe (não armazenamos número de cartão — apenas tokens emitidos pelo Stripe);
  • Endereço IP, user-agent e metadados de sessão pra fins de segurança;
  • Logs de uso da plataforma (telemetria agregada).

2.2 Dados de leads/clientes do tenant (Operador)

  • Telefone, nome (quando informado), foto de perfil pública do WhatsApp;
  • Conteúdo de mensagens trocadas via WhatsApp Business API (texto, áudio, imagem, documento);
  • Transcrições e classificações geradas pela IA pra fins de atendimento;
  • Histórico de interações, tags, estágio de funil.

3. Como usamos esses dados

  • Prestar o Serviço contratado (atender leads, gerar respostas IA, gestão de funil);
  • Faturar e gerenciar a assinatura;
  • Garantir segurança (autenticação, prevenção de fraude, auditoria);
  • Cumprir obrigações legais (registros fiscais, atendimento a autoridades);
  • Melhorar a Plataforma (métricas agregadas e anonimizadas — nunca conteúdo individual de mensagens sem consentimento);
  • Comunicar updates de produto, status do serviço e suporte (não-marketing por padrão; marketing exige opt-in);
  • Treinamento de modelos: não utilizamos conteúdo de mensagens dos tenants pra treinar modelos de IA, salvo com consentimento explícito e por escrito.

4. Bases legais (LGPD art. 7º e 11)

  • Execução de contrato (art. 7º, V): processamento essencial pra prestação do Serviço contratado;
  • Consentimento (art. 7º, I): pra comunicações de marketing e tratamento de dados sensíveis quando aplicável;
  • Legítimo interesse (art. 7º, IX): segurança, prevenção de fraude e melhoria do Serviço (com avaliação de impacto documentada);
  • Cumprimento de obrigação legal (art. 7º, II): registros fiscais e atendimento a requisições de autoridades.

5. Compartilhamento com terceiros (sub-processadores)

Pra operar a Plataforma, contratamos prestadores que atuam como sub-operadores. Todos têm contratos de proteção de dados (DPA) equivalentes ou superiores aos requisitos da LGPD:

  • Supabase (PostgreSQL + Auth + Storage) — hospedagem de dados em região definida no projeto;
  • Vercel (hospedagem da plataforma web);
  • Railway (hospedagem do serviço de IA e processamento de webhooks);
  • Google Cloud (Vertex AI) — provedor primário de modelo de IA (Gemini);
  • OpenAI — classificador de mensagens, transcrição de áudio (Whisper) e análise de imagem (Vision);
  • Anthropic — provedor mantido como fallback (uso condicional);
  • Meta (WhatsApp Business Platform) — canal de entrega de mensagens;
  • Stripe — processamento de pagamentos e gestão de assinaturas;
  • Langfuse — observabilidade dos traces de IA (metadata operacional).

Lista atualizada de sub-processadores e regiões em /dpa. Notificaremos com 30 dias de antecedência antes de adicionar novo sub-processador relevante.

6. Transferência internacional

Alguns sub-processadores (OpenAI, Anthropic, Vercel) podem processar dados em servidores fora do Brasil. Tais transferências ocorrem com base em garantias contratuais adequadas (cláusulas contratuais padrão) e na própria autorização do Cliente ao contratar o Serviço, conforme art. 33, IX da LGPD.

7. Retenção

  • Dados ativos: enquanto a conta estiver ativa e por até 60 dias após cancelamento (pra eventual recuperação);
  • Audit trail (audit_events): retidos por 5 anos pra fins de conformidade e prova legal;
  • Dados de billing/fiscais: retidos pelo prazo legal aplicável (até 5 anos);
  • Mensagens WhatsApp: retidas conforme configuração do tenant (default: enquanto conta ativa). Tenant pode configurar retenção menor.

8. Direitos do titular (LGPD art. 18)

Você tem direito a:

  • Confirmação e acesso aos seus dados pessoais;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
  • Portabilidade dos dados pra outro serviço (formato estruturado);
  • Eliminação dos dados tratados com consentimento;
  • Informação sobre entidades com quem compartilhamos seus dados;
  • Revogação do consentimento a qualquer momento;
  • Oposição a tratamento que entenda em desacordo com a LGPD.

Como exercer: envie pedido a privacidade@lumesell.com. Respondemos em até 15 dias, conforme art. 19 LGPD.

Se você é lead/cliente final de um tenant Contratante, recomendamos primeiro contatar diretamente a empresa que utiliza o Lume — ela é o Controlador desses dados. Encaminharemos solicitações ao Controlador responsável quando recebidas diretamente.

9. DPO — Encarregado pelo Tratamento de Dados

Em fase de nomeação formal. Contato provisório: dpo@lumesell.com. Identidade e currículo do DPO serão publicados nesta página após nomeação.

10. Cookies e tecnologias semelhantes

Utilizamos:

  • Cookies essenciais: sessão de autenticação Supabase (obrigatórios pro funcionamento — não exigem consentimento);
  • Cookies analíticos: telemetria de uso agregado (opcional — gerenciados com base no consentimento, quando o banner for implementado).

Não utilizamos cookies de publicidade comportamental de terceiros.

11. Segurança

Medidas técnicas e organizacionais estão detalhadas em /security. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicamos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 LGPD.

12. Alterações nesta Política

Atualizações relevantes serão comunicadas por e-mail ao owner com 30 dias de antecedência. A data da última atualização aparece no topo desta página.

13. Contato

Dúvidas sobre privacidade: privacidade@lumesell.com

Reclamações também podem ser encaminhadas à ANPD — Autoridade Nacional de Proteção de Dados.

Última atualização: 25 de maio de 2026
← Voltar pra Lumelegal@lumesell.com