Política de Privacidade

Caderneta é um CRM com memória para corretores de imóveis brasileiros. Esta política descreve como tratamos os dados pessoais que recebemos, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018) e com as políticas da plataforma Meta para uso da WhatsApp Business Cloud API.

Controlador dos dados: Caderneta, com sede no Brasil. Contato do encarregado (DPO): jefferson.moritz@gmail.com.

Da imobiliária e seus corretores (usuários da plataforma)

• Nome, e-mail, telefone
• Foto de perfil (opcional)
• CNPJ e nome da imobiliária
• Métricas de uso (cliques, tempo de sessão) — anonimizado

Dos clientes finais (contatos do corretor)

• Nome, telefone (E.164), e-mail
• Conteúdo de mensagens trocadas pelo WhatsApp, e-mail ou anotações manuais
• Transcrição de áudios (via Whisper)
• Perfil de busca inferido por IA (tipo de imóvel, preço, bairros, urgência)
• Embeddings vetoriais derivados das mensagens (para busca semântica)

Não coletamos dados sensíveis (saúde, biometria, orientação política, religiosa, sexual etc) ou dados de menores. Se identificarmos esse tipo de dado em mensagens, é tratado como informação operacional do contexto da conversa, não categorizado para nenhuma finalidade.

• Funcionamento do serviço: armazenar conversas, gerar resumos por IA, sugerir respostas, casar imóveis com perfis de clientes.
• Comunicação WhatsApp: usamos a WhatsApp Business Cloud API (operada pela Meta) para enviar e receber mensagens em nome do corretor — estritamente dentro de conversas iniciadas pelo cliente nas últimas 24 horas, ou via templates aprovados pela Meta.
• Inteligência artificial: enviamos trechos de conversas para modelos da Anthropic (Claude), OpenAI e Groq para gerar resumos, classificar intenção e sugerir respostas. Esses provedores não retêm dados para treino.
• Notificações push: enviamos notificações ao corretor quando chega mensagem nova (via Web Push API + VAPID).
• Suporte e melhoria: análise agregada de uso (sem PII) para priorizar melhorias.

Não vendemos seus dados. Nunca cruzamos dados entre imobiliárias diferentes — cada org é isolada por Row-Level Security no banco de dados.

• Execução de contrato (Art. 7º, V): a imobiliária contrata o serviço.
• Legítimo interesse (Art. 7º, IX): processar conversas para o serviço prometido.
• Consentimento (Art. 7º, I): notificações push só após o broker autorizar no browser.

Compartilhamos dados estritamente necessários com:

• Meta Platforms Inc. — mensagens via WhatsApp Business Cloud API
• Supabase (hospedagem de banco de dados — região: leste dos EUA)
• Vercel (hospedagem da aplicação web)
• Anthropic, OpenAI, Groq (processamento por IA)
• Inngest (orquestração de jobs assíncronos)
• Stripe (processamento de pagamento da assinatura)

Todos têm acordos de processamento de dados (DPA) ou termos equivalentes. Não compartilhamos com anunciantes, brokers de dados ou empresas afiliadas para fins de marketing.

• Conta ativa: dados mantidos enquanto a imobiliária for cliente.
• Cancelamento: 90 dias para retenção (recuperação de conta), depois exclusão completa.
• Logs operacionais (audit_log): retidos por 24 meses (obrigação contábil/jurídica).
• Backups: até 30 dias retroativos.

Você (titular dos dados) pode:

• Confirmar a existência de tratamento de seus dados
• Acessar e exportar seus dados (CSV de clientes em /api/clients/export.csv ou /api/lgpd/export)
• Corrigir dados incompletos ou incorretos
• Anonimizar, bloquear ou eliminar dados (auto-serviço em /lgpd/exclusao ou e-mail pra jefferson.moritz@gmail.com)
• Solicitar portabilidade
• Revogar consentimento (desativando push em /settings, por exemplo)

Respondemos em até 15 dias úteis.

• Toda comunicação via HTTPS/TLS 1.3
• Credenciais (API keys, tokens) criptografadas no banco com pgcrypto
• Senhas armazenadas com bcrypt (gerenciado pelo Supabase Auth)
• Row-Level Security ativo em todas as tabelas multi-tenant
• Rate limiting por IP e por usuário em todos os endpoints sensíveis

Quando o broker conecta uma conta WhatsApp Business à Caderneta:

• Recebemos e armazenamos apenas mensagens trocadas com clientes que iniciaram contato (regra das 24h do WhatsApp).
• Mensagens fora da janela de 24h só podem ser enviadas via templates aprovados previamente pela Meta — nunca enviamos marketing não solicitado.
• Respeitamos a Política de Plataforma do Meta.
• Não compartilhamos conteúdo de mensagens do WhatsApp com nenhum terceiro fora dos provedores listados na seção 5 (todos com finalidade técnica essencial).

Usamos cookies essenciais (sessão, preferência de tema). Não usamos cookies de terceiros para tracking publicitário.

Alterações materiais serão comunicadas por e-mail ao admin da imobiliária com pelo menos 30 dias de antecedência. Versões anteriores ficam disponíveis sob solicitação.

Encarregado de Proteção de Dados: jefferson.moritz@gmail.com

ANPD (autoridade): gov.br/anpd