LGPD & Privacidade

Política de Privacidade.

Como a Subiooh trata dados pessoais em conformidade com a Lei nº 13.709/2018 — a Lei Geral de Proteção de Dados (LGPD). Em linguagem clara, sem letra miúda escondida.

Última atualização: 01/06/2026 Versão 1.0 — rascunho para revisão jurídica

A Subiooh desenvolve e opera agentes de atendimento por inteligência artificial para empresas, com operação por WhatsApp através da plataforma Chatwoot. Esta política explica, papel por papel, como os dados são tratados — e o que você pode fazer a respeito.

01Quem somos e o objetivo desta política

A Subiooh, inscrita no CNPJ nº 24.742.573/0001-59, desenvolve e opera agentes de atendimento por inteligência artificial para empresas, com operação por WhatsApp através da plataforma Chatwoot. Esta Política de Privacidade explica como tratamos dados pessoais em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais, "LGPD").

É importante distinguir desde o início duas situações com papéis jurídicos diferentes, porque elas determinam quem é responsável por cada decisão de tratamento. Essa distinção está detalhada na seção 3.

Verificar: razão social completa (nome empresarial registrado na Receita).

02Definições

Para os fins desta política, adotam-se as definições da LGPD.

Titular — a pessoa natural a quem os dados pessoais se referem.
Controlador — quem decide sobre o tratamento dos dados, isto é, define finalidades e meios.
Operador — quem realiza o tratamento em nome do controlador e segue as instruções dele.
Encarregado (DPO) — a pessoa indicada para atuar como canal de comunicação entre controlador, titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
Suboperador — o terceiro contratado para auxiliar no tratamento sob responsabilidade do operador.

03Os dois papéis da Subiooh

Dependendo de quais dados estão em jogo, a Subiooh assume um papel jurídico diferente — e isso muda a quem você dirige cada pedido.

Controladora

3.1 — Dados dos clientes contratantes

Quando uma empresa contrata a Subiooh, coletamos e tratamos os dados de cadastro, contato e cobrança dessa empresa e de seus representantes. Nessa relação, a Subiooh decide as finalidades e os meios do tratamento. Os direitos da seção 9 são exercidos diretamente conosco.

Operadora

3.2 — Dados dos clientes finais atendidos pelo agente

Os dados das pessoas atendidas pelo agente de IA são tratados exclusivamente em nome e sob as instruções da empresa contratante, que é a controladora. Ela define a finalidade do atendimento, decide o que coletar e mantém a relação com o titular.

Consequência prática: pedidos de titulares finais (acesso, correção, eliminação e demais direitos) relativos a esses dados são, em primeiro lugar, dirigidos à empresa controladora. A Subiooh, como operadora, apoia a controladora a responder no prazo legal, conforme a seção 9.2.

04Quais dados são coletados

A Subiooh trata as seguintes categorias de dados.

Dados dos clientes contratantes (Subiooh como controladora)

  • Nome e dados de contato dos representantes;
  • Nome empresarial e CNPJ;
  • Dados de faturamento e cobrança;
  • Dados de configuração da conta;
  • Registros de uso e suporte.

Dados dos clientes finais (Subiooh como operadora, em nome da contratante)

  • Número de telefone e identificador do WhatsApp;
  • Nome ou apelido informado;
  • Conteúdo das mensagens trocadas com o agente;
  • Quaisquer dados que o titular voluntariamente fornecer durante o atendimento.

Dependendo da configuração definida pela empresa contratante, isso pode incluir dados de contato adicionais, dados de agendamento, histórico de pedidos ou outras informações pertinentes ao atendimento.

Verificar: confirmar se há coleta de dados sensíveis, como dados de saúde em contextos de clínica — isso exige base legal específica e cuidados adicionais.

Não coletamos dados além do necessário para a finalidade de cada tratamento (princípio da necessidade, art. 6º, III, da LGPD).

05Finalidades e bases legais

A base legal aplicável aos dados dos clientes finais é definida pela empresa contratante na condição de controladora. A Subiooh trata esses dados apenas dentro da base e das instruções por ela determinadas.

06Onde e como os dados são hospedados e protegidos

Os dados são armazenados na infraestrutura do Supabase, na região de São Paulo, Brasil.

Verificar: localização exata do datacenter e confirmação de que toda a base permanece em região nacional.

Aplicamos as práticas de privacidade e segurança do Supabase, incluindo criptografia em repouso e em trânsito e controle de acesso baseado em permissões.

Verificar: certificações específicas do provedor (ex. SOC 2, ISO 27001) e quais se aplicam à configuração contratada.

Sobre transferência internacional: o armazenamento dos dados ocorre em território nacional. No entanto, o atendimento por IA pode envolver processamento fora do Brasil em duas camadas, que precisam ser confirmadas e, se existirem, descritas com transparência e amparadas pelas hipóteses dos arts. 33 a 36 da LGPD:

  • Modelo de inteligência artificial que gera as respostas do agente. Se for fornecido por API de terceiro com processamento no exterior, há transferência internacional para essa finalidade. [verificar]
  • Tráfego de mensagens pelo WhatsApp, operado pela Meta, cuja infraestrutura é internacional. [verificar]

Caso confirmadas, estas camadas devem ser listadas na seção 7, e a afirmação de "ausência de transferência internacional" deve ser restrita ao armazenamento.

07Compartilhamento e suboperadores

Não vendemos dados pessoais. O tratamento envolve os seguintes suboperadores, contratados sob obrigações de proteção de dados compatíveis com esta política:

  • Supabase — hospedagem e banco de dados (região São Paulo).
  • Chatwoot — plataforma de gestão das conversas. [verificar: self-hosted pela Subiooh em São Paulo ou serviço gerenciado]
  • WhatsApp / Meta — canal de mensagens. [verificar]
  • Provedor do modelo de IA — geração das respostas do agente. [verificar provedor e localização]
Verificar: confirmar a lista completa de suboperadores e a finalidade de cada um.

08Prazo de retenção e eliminação

Os dados são mantidos pelo período necessário ao cumprimento das finalidades descritas e das obrigações legais aplicáveis.

  • Dados de clientes finais: mantidos enquanto durar a prestação do serviço à empresa contratante, ou pelo prazo por ela instruído. [verificar prazo padrão, ex. 12 ou 24 meses após o último contato]
  • Dados de contratantes: mantidos durante a vigência do contrato e pelos prazos legais de guarda após o término, por exemplo prazos fiscais. [verificar prazos]

Encerrado o prazo de retenção ou a relação contratual, os dados são eliminados ou anonimizados, salvo as hipóteses de guarda permitidas pelo art. 16 da LGPD. No caso dos dados de clientes finais, a eliminação ou devolução ocorre conforme instrução da empresa controladora, nos termos do contrato.

09Direitos do titular e como exercê-los

A LGPD garante ao titular, entre outros, os direitos de confirmação e acesso, correção de dados incompletos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade, portabilidade, informação sobre compartilhamento, e revogação do consentimento (art. 18).

9.1 — Dados em que a Subiooh é controladora (clientes contratantes)

Esses direitos são exercidos diretamente conosco, pelo canal do Encarregado indicado na seção 11. Respondemos no prazo legal.

9.2 — Dados em que a Subiooh é operadora (clientes finais)

Para os dados tratados em nome de uma empresa contratante, o titular deve dirigir o pedido à empresa controladora com quem se relacionou, que é quem tem competência para decidir sobre o atendimento. A Subiooh, como operadora, presta o apoio técnico necessário para que a controladora cumpra o pedido no prazo. Se um titular final nos contatar diretamente, encaminharemos a solicitação à controladora competente e a auxiliaremos no atendimento.

10Segurança e resposta a incidentes

Adotamos medidas técnicas e administrativas para proteger os dados contra acessos não autorizados e situações de destruição, perda, alteração ou comunicação indevida (arts. 46 a 49 da LGPD). Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a controladora competente e, quando aplicável, apoiaremos a comunicação à ANPD e aos titulares, nos prazos e na forma da regulamentação vigente.

Verificar: definir o prazo interno de notificação à controladora na seção correspondente do contrato.

11Encarregado pelo Tratamento de Dados (DPO)

O Encarregado é o canal de comunicação entre a Subiooh, os titulares e a ANPD para assuntos de proteção de dados.

EncarregadoJonatas Dutra Soares
E-mailcontatojonatasdutra@gmail.com
Outros canais[verificar: demais canais de contato, se houver]

12Alterações nesta política

Esta política pode ser atualizada para refletir mudanças legais, técnicas ou de processo. A versão vigente é sempre a publicada nesta página, com a data de atualização indicada no topo.

13Contato

Para dúvidas sobre esta política ou sobre o tratamento de dados, utilize o canal do Encarregado indicado na seção 11.

Este texto é um rascunho de partida e não constitui parecer jurídico. Recomenda-se revisão por advogado ou pelo Encarregado (DPO) antes da publicação.