Velco CRM

Política de Privacidade

Atualizado em: 15 de abril de 2026 | VELCO COMPANY LTDA

Esta Política de Privacidade descreve como a VELCO COMPANY LTDA (Velco, nos, nosso) coleta, utiliza, armazena e compartilha informações pessoais dos usuários do Velco CRM (crm.velco.com.br) em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei 13.709/2018) e demais regulamentações aplicáveis.

1. Controlador dos Dados

VELCO COMPANY LTDA
CNPJ: 65.103.206/0001-92
Endereço: Rua Pais Leme, 215, Conj 1713, Pinheiros, São Paulo - SP, CEP 05424-150
Email: contato@velco.com.br

2. Dados Coletados

Coletamos as seguintes categorias de dados pessoais:

2.1 Dados de autenticação e conta

  • Nome completo, email, senha (hash bcrypt), fotografia de perfil (opcional)
  • Dados de sessão: timestamps de login, endereços IP, user-agent do navegador
  • Tenant ao qual a conta pertence e função (ADMIN ou OPERATOR)

2.2 Dados do cliente final (contatos e negócios)

  • Nome, telefone, email, empresa, tags e campos customizados dos contatos cadastrados pelos operadores
  • Título, valor, estágio, notas e histórico de atividades dos negócios
  • Reuniões agendadas com data, hora, links Google Meet e transcrições (quando aplicável)

2.3 Conteúdo e metadados de mensagens Instagram Direct

  • Mensagens recebidas e enviadas via Instagram Direct (texto, mídia, respostas a stories) armazenadas para exibição no inbox e processamento pelo agente de IA
  • Identificador do usuário Instagram (IGSID), username público e foto de perfil pública da conta Instagram Business conectada
  • Timestamps de recebimento, status de leitura (mark_seen) e window de 24h conforme restrição da API Instagram Messaging

2.4 Conteúdo e metadados de mensagens WhatsApp

  • Mensagens WhatsApp (Evolution API ou WhatsApp Cloud Official) incluindo texto, mídia e status
  • Números de telefone dos contatos em formato E.164 e número do operador (instância)

2.5 Dados processados pelo agente de IA

  • O conteúdo das conversas é enviado para a API da Anthropic (Claude) para gerar respostas automáticas. A Anthropic atua como sub-processadora nossa (ver seção 5)
  • Embeddings gerados por Voyage AI a partir de documentos de base de conhecimento (RAG)

2.6 Dados de integrações Google

  • Google Calendar: eventos criados, modificados e consultados via OAuth com escopo de calendário (atual proprietário do token: operador autenticado)
  • Google Ads: métricas de campanhas em modo leitura (impressões, cliques, custo, conversões), coletadas via Google Ads API oficial

2.7 Dados de integrações Meta

  • Leads gerados pelos Lead Ads da Meta (Facebook/Instagram) são recebidos via webhook e criam contatos e negócios automaticamente

2.8 Dados de cobrança

  • Processados diretamente pela Stripe (não armazenamos números de cartão, CVV ou data de validade). Guardamos apenas IDs de assinatura, status de pagamento e histórico de faturas

2.9 Dados importados via CSV

  • Arquivos CSV enviados pelos operadores para importação em massa de contatos são processados em memória e os dados são persistidos conforme as regras de deduplicação escolhidas

3. Finalidade do Tratamento

Os dados coletados são tratados para as seguintes finalidades:

  • Prestação do serviço de CRM contratado pelo tenant
  • Autenticação, autorização e gestão de usuários
  • Execução do agente de IA para atendimento automático e qualificação de leads
  • Sincronização de eventos e agendamentos com Google Calendar
  • Coleta e exibição de métricas de Google Ads e Meta Ads
  • Envio de emails transacionais (confirmações de reunião, avisos de sistema)
  • Cobrança via Stripe conforme plano contratado
  • Cumprimento de obrigações legais, fiscais e regulatórias

4. Base Legal (LGPD art. 7)

O tratamento dos dados se fundamenta nas seguintes bases legais da LGPD:

  • Execução de contrato (art. 7, V): prestação do serviço de CRM contratado pelo cliente
  • Legítimo interesse (art. 7, IX): melhoria contínua do produto, segurança da informação, prevenção a fraude
  • Consentimento (art. 7, I): para integrações opcionais (Google Calendar, Google Ads, Meta Ads, Instagram Business)
  • Obrigação legal (art. 7, II): retenção fiscal e resposta a requisições de autoridades

5. Sub-processadores

Compartilhamos dados pessoais com os seguintes sub-processadores, sempre sob contratos que exigem nível de proteção compatível com a LGPD:

  • Anthropic, PBC (Estados Unidos) - provedora do modelo de linguagem Claude usado pelo agente de IA. Recebe o conteúdo das conversas para gerar respostas automáticas
  • Google LLC (Estados Unidos) - Google Calendar, Google Ads API, Google OAuth
  • Meta Platforms Inc. (Estados Unidos) - API do Instagram Direct, webhook de Lead Ads, API do Meta Ads
  • Stripe Inc. (Estados Unidos) - processamento de pagamentos e gestão de assinaturas
  • Railway Corp. (Estados Unidos) - hospedagem da aplicação e banco de dados PostgreSQL
  • Resend Inc. (Estados Unidos) - entrega de emails transacionais
  • Voyage AI (Estados Unidos) - geração de embeddings para base de conhecimento do agente

6. Transferências Internacionais (LGPD art. 33-34)

Todos os sub-processadores listados na seção 5 estão sediados nos Estados Unidos. Essas transferências internacionais de dados pessoais são realizadas com base em:

  • Cláusulas Contratuais Padrão (SCCs) conforme Resolução CD/ANPD No. 19/2024 da Autoridade Nacional de Proteção de Dados (ANPD) brasileira
  • Necessidade contratual para execução do serviço contratado pelo titular

Cópia das cláusulas contratuais aplicáveis pode ser solicitada via contato@velco.com.br e será fornecida em até15 dias corridos.

7. Retenção e Exclusão

Os dados pessoais são retidos enquanto a conta do tenant permanecer ativa. Após o cancelamento da assinatura, oferecemos um período de graça de 30 dias para exportação ou reativação. Decorrido esse prazo, os dados são excluídos permanentemente dos nossos sistemas, exceto:

  • Dados agregados e anonimizados que podem ser retidos indefinidamente para fins estatísticos e de melhoria do produto
  • Dados que devam ser retidos por obrigação legal (por exemplo, documentos fiscais por 5 anos)

8. Direitos do Titular (LGPD art. 18)

Você tem os seguintes direitos sobre seus dados pessoais:

  • Confirmação da existência de tratamento
  • Acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
  • Portabilidade a outro fornecedor
  • Eliminação dos dados tratados com consentimento
  • Informação sobre compartilhamento com entidades públicas e privadas
  • Informação sobre a possibilidade de não fornecer consentimento
  • Revogação do consentimento
  • Oposição a tratamento realizado com fundamento em hipótese legal dispensável de consentimento

Para exercer qualquer um desses direitos, envie um email para contato@velco.com.br. Responderemos em ate 15 dias corridos.

9. Solicitação de Remoção de Dados

Para solicitar a remoção dos seus dados da plataforma, consulte a página de Solicitação de Remoção de Dados. Solicitações originadas via Instagram (por revogação da conexão Business) são processadas automaticamente pelo webhook de Data Deletion Callback da Meta.

10. Encarregado (DPO)

O Encarregado pelo Tratamento de Dados Pessoais (DPO) pode ser contatado pelo email contato@velco.com.br.

11. Contato

VELCO COMPANY LTDA
CNPJ: 65.103.206/0001-92
Endereço: Rua Pais Leme, 215, Conj 1713, Pinheiros, São Paulo - SP, CEP 05424-150
Email: contato@velco.com.br
Site: crm.velco.com.br

12. Atualizações desta Política

Esta Política pode ser atualizada periodicamente. A data de última atualização está indicada no topo desta página. Alterações relevantes serão comunicadas por email aos administradores dos tenants com antecedência mínima de 15 dias.

Velco CRM - VELCO COMPANY LTDA | CNPJ 65.103.206/0001-92 | contato@velco.com.br