Política de Privacidade

Política de Privacidade e Proteção de Dados

Versão: 1.0 · Vigência a partir de: 05 de maio de 2026 · Última atualização: 05 de maio de 2026 · Conformidade: LGPD (Lei nº 13.709/2018), Marco Civil da Internet (Lei nº 12.965/2014), CDC (Lei nº 8.078/1990)

Esta Política descreve como o CRIS (operado pela Soalhe) coleta, usa, armazena, compartilha e protege seus dados pessoais, conforme a Lei Geral de Proteção de Dados Pessoais (LGPD). Leia com atenção. Em caso de dúvidas, escreva para dpo@soalhe.com.br.

📑 Sumário 1. Quem somos 2. Definições 3. Dados coletados 4. Finalidades 5. Bases legais 6. Compartilhamento 7. IA e tratamento automatizado 8. Transferência internacional 9. Retenção e eliminação 10. Segurança 11. Direitos do titular 12. Cookies 13. Crianças 14. Mudanças 15. Encarregado (DPO)

1. Quem somos (Controlador)

Soalhe é a controladora dos dados pessoais tratados no âmbito do CRIS, responsável por decidir sobre as finalidades e meios do tratamento, nos termos do art. 5º, VI da LGPD.

Razão social: Soalhe (em fase de constituição/já constituída — atualizar conforme cadastro)
Site: cris.soalhe.com.br
Contato: contato@soalhe.com.br
Encarregado (DPO): dpo@soalhe.com.br

Quando o CRIS é usado por escritórios de contabilidade, advocacia ou similares para tratar dados de seus próprios clientes finais, o cliente do CRIS atua como controlador desses dados e a Soalhe atua como operadora, em regime contratual previsto nestes Termos e na LGPD (art. 5º, VII).

2. Definições da LGPD

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sensível: origem racial, religião, opinião política, filiação sindical, dados de saúde, vida sexual, dados genéticos ou biométricos.
Tratamento: qualquer operação com dado pessoal (coleta, armazenamento, uso, transmissão, eliminação, etc.).
Titular: pessoa natural a quem o dado se refere.
Anonimização: processo que torna o dado não associável a pessoa natural.

3. Quais dados coletamos

3.1 Dados fornecidos diretamente por você

Cadastro: nome, e-mail, telefone, número de WhatsApp, CPF/CNPJ (quando aplicável), senha (criptografada).
Conteúdo: mensagens enviadas ao CRIS, áudios, fotos, PDFs, contatos adicionados, eventos criados.
Pagamento: dados básicos de cobrança (em geral processados por gateways como Stripe, Mercado Pago — não armazenamos cartão).

3.2 Dados gerados automaticamente pelo uso

Logs técnicos (IP, user-agent, timestamp), eventos de webhook do WhatsApp, métricas de consumo de IA (tokens, custo).
Histórico de comandos, lançamentos, tarefas e lembretes que você criar no portal/WhatsApp.

3.3 Dados obtidos de integrações conectadas por você

Google Calendar: eventos, convidados, links de Meet — somente da agenda autorizada.
Google Drive (You Drive): metadados (nome, tamanho, link, data) e texto extraído de PDFs/imagens da pasta autorizada — somente leitura.
Gmail: escopos limitados quando ativados pelo usuário.

⚠️ Não coletamos dados sensíveis intencionalmente. Caso o usuário insira espontaneamente dados sensíveis (ex.: foto de receita médica), recomenda-se evitar e excluir via portal. Não recomendamos uso do CRIS para tratamento de dados de saúde, biométricos ou sigilosos sem avaliação prévia do DPO.

4. Para quê usamos seus dados (finalidades)

Prestar o Serviço contratado: identificar seu Tenant, processar comandos, gerar registros, enviar mensagens, indexar arquivos.
Operar a infraestrutura: enviar/receber via WhatsApp, sincronizar Google Calendar/Drive, processar áudios via IA.
Cobrança e administração do contrato.
Suporte ao usuário.
Segurança: detecção de fraude, abuso, ataques; auditoria interna.
Cumprimento de obrigações legais e regulatórias (fiscais, judiciais).
Comunicações operacionais (limites de quota, manutenção, alertas).
Aperfeiçoamento do CRIS, sempre com dados agregados ou anonimizados.

5. Bases legais (art. 7º LGPD)

Tratamento	Base legal
Cadastro, login, prestação do Serviço	Execução de contrato (art. 7º, V)
Cobrança, fiscal, retenção legal	Cumprimento de obrigação legal (art. 7º, II)
Conexão de Drive/Calendar/Gmail	Consentimento específico (art. 7º, I)
Prevenção a fraude, segurança	Legítimo interesse (art. 7º, IX) com teste de proporcionalidade
Marketing direto	Consentimento (art. 7º, I) — opt-in expresso e revogável
Defesa em processo	Exercício regular de direitos (art. 7º, VI)

6. Com quem compartilhamos

A Soalhe NÃO vende seus dados. Compartilhamos somente com operadores essenciais à prestação do Serviço, sob contrato e com obrigações de proteção compatíveis com a LGPD:

Operador	Função	Localização
Hostinger	Hospedagem da VPS (servidor de aplicação e banco)	Brasil ou EU
W-API	Gateway de WhatsApp Business	Brasil
OpenAI (GPT-4o, Whisper, Embeddings)	Cérebro principal (chat, tool-calling, visão e RAG semântico)	EUA
Google (Gemini, Drive, Calendar, Gmail)	Extração primária de boletos BR + transcrição de áudio + integrações autorizadas	EUA/Global
Provedor de e-mail (SMTP)	Envio de notificações por e-mail	Conforme contratado
Gateway de pagamento	Processamento financeiro	Brasil
Autoridades públicas	Quando obrigado por lei ou ordem judicial	Brasil

7. Inteligência Artificial e tratamento automatizado

O CRIS realiza tratamento automatizado para classificar mensagens, extrair dados de PDFs, transcrever áudios, sugerir lançamentos e enviar lembretes. Você tem direito a:

Solicitar revisão humana de decisões automatizadas que afetem seus interesses (art. 20 LGPD);
Pedir explicação sobre os critérios usados;
Recusar tratamento automatizado, hipótese em que o Serviço pode ficar parcial ou totalmente indisponível.

Não treinamos modelos com seus dados. Os provedores de IA acima recebem o conteúdo necessário pra processar a solicitação no momento, e contratualmente NÃO o utilizam pra treinar modelos — conforme acordos enterprise/zero-retention vigentes (OpenAI API "no training", Google "no training" para Workspace).

8. Transferência internacional

Alguns operadores (Google, OpenAI) têm sede ou servidores fora do Brasil (especialmente EUA). Tais transferências ocorrem com base em (i) consentimento específico quando aplicável e (ii) cláusulas contratuais com nível adequado de proteção, conforme art. 33 da LGPD.

9. Retenção e eliminação

Categoria	Prazo
Conta ativa (cadastro, conteúdo)	Enquanto durar o contrato
Após cancelamento — exportação disponível	30 dias
Após cancelamento — eliminação definitiva	Até 90 dias do cancelamento
Logs técnicos (IP, eventos)	6 meses (Marco Civil exige mínimo 6m)
Dados fiscais/contábeis	5 anos (CTN, art. 174)
Backups	Sobrescritos rotativamente, máx. 30 dias

Após os prazos, os dados são excluídos ou anonimizados de forma irreversível, ressalvada retenção legal obrigatória.

10. Segurança da informação

Adotamos medidas técnicas e administrativas razoáveis pra proteger seus dados:

Conexão TLS/HTTPS em todas as comunicações;
Senhas armazenadas com hash bcrypt;
Tokens de OAuth criptografados com AES-256-GCM;
Isolamento lógico multi-tenant rigoroso (queries sempre filtradas por tenant_id);
Controle de acesso por papel (admin, super-admin, usuário);
Logs de auditoria de acessos críticos (módulo "Auditoria LGPD");
Atualizações periódicas de dependências e patching do sistema operacional;
Backup automatizado com retenção de até 30 dias.

⚠️ Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD.

11. Seus direitos como titular (art. 18 LGPD)

Você pode, a qualquer momento, mediante requisição:

Confirmação de existência de tratamento;
Acesso aos seus dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
Portabilidade a outro fornecedor (formato estruturado e legível);
Eliminação dos dados tratados com base em consentimento;
Informação sobre entidades públicas e privadas com as quais compartilhamos;
Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
Revogação do consentimento a qualquer momento;
Oposição a tratamento realizado com fundamento em hipótese de legítimo interesse, em caso de descumprimento da LGPD.

Como exercer: envie e-mail para dpo@soalhe.com.br ou utilize o botão "Solicitar meus dados" no portal (perfil). Responderemos em até 15 dias, sem custo, salvo pedidos manifestamente abusivos ou repetitivos.

12. Cookies e tecnologias similares

O CRIS utiliza apenas cookies estritamente necessários:

Sessão: autenticação (JWT em localStorage);
Preferências: tema, último módulo aberto;
Service Worker (PWA): cache de assets pra modo offline.

Não utilizamos cookies de terceiros para publicidade ou rastreamento entre sites. Você pode bloquear cookies nas configurações do navegador, ciente de que isso pode prejudicar o funcionamento.

13. Tratamento de dados de crianças e adolescentes

O CRIS NÃO se destina a menores de 18 anos. Não coletamos intencionalmente dados de crianças. Caso identificado tratamento de dado de menor, eliminaremos imediatamente. Se você é responsável legal e suspeita que dado de menor esteja em nossas bases, entre em contato pelo e-mail do DPO.

14. Mudanças nesta Política

Esta Política pode ser atualizada periodicamente. Mudanças materiais serão comunicadas com 30 dias de antecedência via e-mail e aviso no portal. A data da última atualização consta no topo desta página. O uso continuado após a vigência implica aceitação.

15. Encarregado (DPO) e ANPD

Encarregado pelo Tratamento de Dados Pessoais (DPO): dpo@soalhe.com.br

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.

Resumo executivo: coletamos só o necessário, usamos pra fazer o CRIS funcionar, não treinamos IA com seus dados, criptografamos o que importa, isolamos cada cliente em seu Tenant, e você pode pedir cópia, correção ou exclusão dos seus dados a qualquer momento por dpo@soalhe.com.br.