Política de Privacidade

O tratamento de dados pela SendorIA acontece em dois contextos distintos:

• Como Controladora. Em relação aos dados de cadastro e uso dos seus clientes (usuários da Plataforma), nós definimos as finalidades e os meios do tratamento.
• Como Operadora. Em relação aos Contatos/Leads que você importa, descobre ou enriquece, quem define a finalidade é você (Controlador); nós apenas tratamos esses dados por sua conta e ordem para prestar o serviço. As obrigações que assumimos nessa condição estão detalhadas na Seção 12 (Obrigações da SendorIA como Operadora).

a) Dados de cadastro e conta (SendorIA como Controladora):

• Pessoa jurídica: razão social, nome fantasia, CNPJ, inscrição municipal, endereço, telefone e site;
• Pessoa física/usuário: nome, e-mail, CPF (quando aplicável), telefone, cargo, senha (armazenada de forma cifrada/hash) e configurações de autenticação em duas etapas (MFA);
• Dados de cobrança: plano, histórico de pagamentos e identificadores da assinatura/cliente junto ao provedor de pagamentos. Os dados do cartão (número, validade e CVV) são informados e armazenados diretamente pela Stripe; a SendorIA não tem acesso a eles nem os armazena.

b) Dados de uso, técnicos e de segurança:

• Endereço IP, registros de acesso e de requisições, IPs confiáveis, logs de auditoria, data/hora, dispositivo e navegador;
• Eventos de envio e de interação de e-mail (enviado, aberto, respondido, agendado) e eventos de entregabilidade (devolução/bounce e reclamação), para métricas, funcionamento da cadência e proteção da reputação de envio;
• Dados de comportamento de navegação no site/app (ex.: páginas, cliques e gravação de sessão para diagnóstico de uso), conforme a Seção 8 (Cookies).

c) Contatos/Leads (SendorIA como Operadora):

• Dados profissionais de potenciais clientes inseridos ou enriquecidos por você, tais como nome, e-mail corporativo, telefone, empresa, cargo/setor e demais campos importados ou descobertos;
• Dados públicos de empresas obtidos da base de Dados Abertos de CNPJ da Receita Federal (razão social, situação cadastral, CNAE, endereço etc.), usados na descoberta e no enriquecimento;
• Conteúdo das mensagens enviadas e das respostas recebidas associadas a esses contatos.

A Plataforma destina-se a prospecção comercial B2B e não é direcionada a menores de 18 anos; não coletamos intencionalmente dados de crianças e adolescentes. Caso isso ocorra de forma inadvertida, os dados serão eliminados assim que identificados.

Em regra, não tratamos intencionalmente dados pessoais sensíveis (art. 11 da LGPD). Você não deve inserir dados sensíveis nos Contatos/Leads. Se, por sua opção, informações dessa natureza forem fornecidas, você, como Controlador, é responsável pela base legal aplicável (em regra, consentimento específico e destacado).

• Fornecidos por você, ao se cadastrar, configurar a conta, importar planilhas, criar contatos ou enviar mensagens;
• Gerados pelo uso, automaticamente, a partir da sua interação com a Plataforma (logs, métricas, cookies essenciais de sessão e ferramentas de análise);
• De fontes legítimas no enriquecimento, como informações publicamente disponíveis em sites de empresas, a base de Dados Abertos de CNPJ da Receita Federal e serviços de validação de e-mail e telefone.

• Prestar e operar o serviço (autenticação, gestão de contatos, envio de e-mails, cadência, funil) — execução de contrato (art. 7º, V);
• Cobrança, faturamento e emissão de NFS-e — execução de contrato e cumprimento de obrigação legal/fiscal (art. 7º, II e V);
• Segurança, prevenção a fraudes e auditoria (logs, IPs confiáveis, MFA) — legítimo interesse e obrigação legal (art. 7º, II, IX e X);
• Prospecção comercial B2B de Contatos/Leads — em regra, legítimo interesse (art. 7º, IX e art. 10), cuja avaliação cabe a você como Controlador;
• Recursos de IA e enriquecimento (redação, pontuação, resumo de sites, validação de dados) — execução de contrato e legítimo interesse;
• Comunicações de relacionamento e suporte — execução de contrato e legítimo interesse; comunicações de marketing, quando houver, mediante consentimento (art. 7º, I), revogável a qualquer tempo via link de descadastramento (unsubscribe) ou contato com o Encarregado;
• Análise e melhoria do serviço (métricas de uso, gravação de sessão para diagnóstico) — legítimo interesse e, quando exigível, consentimento;
• Base de dados compartilhada (opcional): se você optar expressamente (opt-in no cadastro ou nas Configurações), poderemos utilizar dados na forma indicada — base legal de consentimento, registrado por versão e revogável quando quiser.

Não vendemos dados pessoais. Compartilhamos dados apenas no necessário à prestação do serviço, com salvaguardas contratuais e técnicas adequadas. Os principais operadores/subprocessadores e suas finalidades são:

• Railway — hospedagem da aplicação e banco de dados (PostgreSQL);
• Stripe — processamento de pagamentos e assinaturas; os dados do cartão são informados diretamente à Stripe e a SendorIA não armazena número, validade nem CVV;
• OpenRouter — intermediação de modelos de inteligência artificial (redação de mensagens, pontuação de leads, resumo e enriquecimento), que encaminha as solicitações a provedores de modelo (ex.: OpenAI, Google e Anthropic) na medida necessária ao recurso;
• Google (Gmail/Calendar) e Microsoft (Outlook/Graph) — envio de e-mails e agendamento pela caixa que você conecta via OAuth, conforme a Seção 7;
• Provedor de e-mail transacional (SMTP) — envio de mensagens operacionais da Plataforma (convites, redefinição de senha);
• Cloudflare — roteamento dos e-mails de resposta dos seus contatos de volta à Plataforma;
• Reoon — validação/verificação de e-mails (recurso opcional, acionado por você);
• Meta (WhatsApp Cloud API) — envio de mensagens por WhatsApp, quando você configura a integração;
• Microsoft Clarity — análise de uso e gravação de sessão (session replay/mapas de calor) no site/app;
• Hetzner — hospedagem da base pública de Dados Abertos de CNPJ da Receita Federal usada na descoberta de empresas;
• Nuvem Fiscal — emissão de Notas Fiscais de Serviço (NFS-e);
• Autoridades públicas, quando exigido por lei, ordem judicial ou regulatória; e terceiros em reorganização societária (fusão, aquisição), preservando-se esta Política.

Os subprocessadores tratam dados conforme nossas instruções e sob obrigações de segurança e confidencialidade compatíveis. Esta lista pode ser atualizada; mudanças relevantes serão refletidas nesta página.

Parte dos subprocessadores acima opera fora do Brasil. Assim, pode haver transferência internacional de dados pessoais, notadamente para os Estados Unidos e outras localidades globais (ex.: Stripe, Google, Microsoft, OpenRouter e os provedores de modelo de IA, Cloudflare, Meta, Microsoft Clarity e Reoon) e para a Alemanha (Hetzner, base de Dados Abertos de CNPJ).

Essas transferências observam as hipóteses do art. 33 da LGPD e adotam salvaguardas adequadas — como cláusulas contratuais de proteção de dados e medidas técnicas de segurança — para assegurar nível de proteção compatível com a legislação brasileira.

Você pode, opcionalmente, conectar sua conta de e-mail (Google/Gmail ou Microsoft/Outlook) à Plataforma via OAuth, autorizando expressamente os acessos abaixo. A conexão não é obrigatória e pode ser revogada a qualquer momento.

Acessos solicitados (escopos), limitados ao mínimo necessário:

• Enviar e-mails em seu nome, pela caixa que você conectou (mensagens de prospecção e respostas);
• Criar, editar e cancelar eventos no seu calendário, para agendamento de reuniões (incluindo link de videochamada);
• Detecção de respostas: no caso da Microsoft, podemos ler mensagens da sua caixa estritamente para identificar respostas dos seus contatos; no caso do Google, as respostas são roteadas ao nosso próprio domínio e não acessamos a sua caixa do Gmail.

Uso dos dados. Utilizamos esses acessos exclusivamente para fornecer as funcionalidades que você ativou (enviar, agendar e acompanhar respostas). Não usamos os dados obtidos dessas APIs para publicidade, não os vendemos, não os empregamos para treinar modelos de IA generalizados e não os compartilhamos, exceto o necessário para prestar o serviço ou por exigência legal.

Armazenamento. Os tokens de acesso/atualização são guardados de forma cifradae usados apenas para as ações acima; retemos o conteúdo mínimo necessário ao funcionamento.

Uso Limitado (Google). O uso e a transferência, pela SendorIA, de informações recebidas das APIs do Google obedecem à Política de Dados de Usuário dos Serviços de API do Google (Google API Services User Data Policy), inclusive aos requisitos de Uso Limitado (Limited Use).

Revogação. Você pode desconectar a conta a qualquer momento nas Configurações da Plataforma e/ou revogar o acesso diretamente nas permissões da sua Conta Google ou Microsoft.

Utilizamos cookies e tecnologias semelhantes, organizados por categoria:

• Estritamente necessários: sessão, autenticação e segurança — essenciais ao funcionamento da Plataforma e não desativáveis;
• De desempenho/análise: medição de uso e gravação de sessão para diagnóstico e melhoria (ex.: Microsoft Clarity);
• Funcionais: memorização de preferências (ex.: idioma e layout), quando aplicável.

Você pode gerenciar ou bloquear cookies nas configurações do seu navegador, ciente de que desativar os não essenciais pode afetar a análise de uso e, no caso dos essenciais, comprometer o funcionamento da Plataforma.

• Mantemos os dados pelo tempo necessário às finalidades desta Política e à vigência da conta;
• Dados de Contatos/Leads excluídos podem ficar em exclusão reversível (soft-delete) por período limitado e, no caso de descarte, o CNPJ pode ser retido para impedir reimportação indevida;
• Após o encerramento da conta, eliminamos ou anonimizamos os dados, ressalvada a guarda legal obrigatória (ex.: registros fiscais e de acesso, conforme o Marco Civil da Internet e a legislação tributária);
• Dados de segurança/auditoria podem ser mantidos pelos prazos legais aplicáveis.

Adotamos medidas técnicas e organizacionais apropriadas para proteger os dados contra acessos não autorizados, perda, destruição ou tratamento inadequado, incluindo:

• Criptografia em trânsito (TLS/HTTPS) e proteção de segredos e tokens em repouso;
• Cifragem (hash) de senhas e armazenamento cifrado de tokens de integração;
• Controle de acesso por papéis e autenticação em duas etapas (MFA);
• Registro de IPs confiáveis, trilhas de auditoria e monitoramento;
• Práticas de desenvolvimento seguro e revisão de vulnerabilidades.

Nenhum sistema é 100% inviolável. Recomendamos que você também adote boas práticas (senhas fortes, dispositivos atualizados e encerramento de sessão em terminais compartilhados).

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, com a descrição da natureza do incidente, os dados envolvidos, as medidas adotadas e as recomendações cabíveis, nos termos do art. 48 da LGPD. Quando o incidente envolver Contatos/Leads tratados por você (Controlador), comunicaremos você sem demora injustificada para que cumpra seus próprios deveres de notificação.

Em relação aos Contatos/Leads e ao conteúdo de mensagens tratados por sua conta e ordem, a SendorIA atua como Operadora e compromete-se a:

• Tratar os dados apenas conforme as suas instruções e para prestar o serviço, não os utilizando para finalidades próprias;
• Não comercializar esses dados nem utilizá-los para treinar modelos de IA próprios; o compartilhamento com provedores de IA ocorre apenas na medida necessária à execução do recurso que você aciona;
• Manter confidencialidade e impor obrigações equivalentes a subprocessadores;
• Auxiliá-lo, na medida do tecnicamente viável, no atendimento a solicitações de titulares e a obrigações de segurança e de notificação de incidentes;
• Ao término do contrato, eliminar ou devolver os dados, ressalvada a guarda legal obrigatória.

Você, como titular, pode a qualquer tempo solicitar:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
• Portabilidade a outro fornecedor, mediante requisição expressa;
• Eliminação dos dados tratados com base no consentimento;
• Informação sobre as entidades com as quais compartilhamos dados;
• Informação sobre a possibilidade de não consentir e as consequências da negativa;
• Revogação do consentimento a qualquer momento.

Para exercer seus direitos, utilize os canais da Seção 15. Quando você for um Contato/Lead tratado por um cliente da SendorIA, encaminharemos a solicitação ao respectivo Controlador ou o orientaremos, conforme o caso, já que, nesse contexto, atuamos como Operadora.

Para questões de privacidade, solicitações de titular ou dúvidas sobre esta Política, contate o nosso Encarregado pelo Tratamento de Dados Pessoais (DPO) pelo e-mail privacidade@sendoria.com.br ou pelos canais de suporte da Plataforma. Responderemos às solicitações de titular em até 15 (quinze) dias, nos termos do art. 19, II, da LGPD. Caso entenda que seus direitos não foram adequadamente atendidos, você pode peticionar à ANPD (gov.br/anpd).

Esta Política pode ser atualizada para refletir mudanças legais, técnicas ou de serviço. A versão vigente é a publicada nesta página, com a data de atualização. Alterações relevantes serão comunicadas pelos canais cadastrados. O uso continuado após a vigência indica ciência da nova versão.