Política de Privacidade

1.Quem somos

O Recuperafy é uma plataforma de software como serviço (SaaS) que automatiza a recuperação de vendas abandonadas (Pix, boleto e cartão) via WhatsApp para infoprodutores e e-commerces. Esta política descreve, em linguagem objetiva, como tratamos dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 (LGPD).

Operadora do serviço:

• Razão social: Recuperafy LTDA
• CNPJ: 66.324.905/0001-25
• Endereço: Rua Joaquim Paes Ribeiro de Navarro 94
• Contato: contato@recuperafy.com.br

2.A quem se aplica

Esta política aplica-se a duas categorias de titulares de dados:

• Usuários da plataforma — pessoas que se cadastram em recuperafy.com.br para utilizar o produto (em regra, infoprodutores e operadores de e-commerce). Nesse contexto, atuamos como controladores dos dados de cadastro e uso da plataforma.
• Clientes finais do usuário — consumidores que realizam (ou abandonam) uma compra em checkouts integrados pelo usuário. Para esses dados, atuamos como operadores, tratando-os exclusivamente conforme instruções do usuário (que é o controlador) e para a finalidade contratada.

3.Dados que coletamos

3.1. Dados fornecidos por usuários da plataforma

• Cadastro: nome, e-mail, senha (armazenada em hash), telefone.
• Conta de pagamento: dados de assinatura e plano contratado (cobrança é processada por gateways de pagamento parceiros — não armazenamos número completo de cartão).
• Configurações: templates de mensagem, fluxos, integrações ativas, número de WhatsApp conectado e credenciais técnicas.
• Conteúdo gerado: textos enviados aos modelos de IA para geração de mensagens.

3.2. Dados recebidos via webhook (clientes finais)

Ao conectar um gateway (Hotmart, Kiwify, Cakto, Eduzz, Braip etc.), recebemos automaticamente, por meio de webhooks, dados de transações iniciadas no checkout do usuário, incluindo, conforme o caso:

• Nome do comprador;
• E-mail do comprador;
• Telefone (DDD + número);
• Valor, moeda, método de pagamento, status (pendente/pago/cancelado);
• Identificadores da transação no gateway de origem;
• Produto adquirido e demais metadados enviados pelo gateway.

Não solicitamos nem armazenamos intencionalmente dados sensíveis (origem racial, opinião política, religião, saúde, biometria etc.).

3.3. Dados de navegação

• Endereço IP, identificador de sessão, user-agent, sistema operacional, idioma;
• Páginas acessadas, horários, ações realizadas;
• Cookies estritamente necessários para autenticação e funcionamento da plataforma.

3.4. Conexão com WhatsApp

Quando o usuário conecta sua linha do WhatsApp à plataforma, mantemos uma sessão técnica (instância) que permite o envio de mensagens em seu nome. Mensagens enviadas e seus status (entregue, lida, falha) são registrados para fins operacionais e de auditoria.

4.Como usamos os dados

Tratamos dados pessoais para as seguintes finalidades:

• Prestação do serviço: processar webhooks, classificar eventos, enfileirar e disparar mensagens automatizadas conforme os fluxos configurados pelo usuário.
• Autenticação e segurança: validar acessos, prevenir fraudes, identificar tentativas de uso indevido e aplicar limites de taxa.
• Cobrança: gerenciar planos, renovações, faturas e inadimplência.
• Suporte: responder dúvidas e diagnosticar problemas técnicos.
• Melhoria do produto: análise estatística agregada de uso para priorizar funcionalidades.
• Comunicação: envio de notificações operacionais (status de instância, falhas de envio, atingimento de limite) e, mediante consentimento, comunicados de marketing.
• Cumprimento legal: atender obrigações regulatórias, fiscais e ordens de autoridades competentes.

5.Bases legais (LGPD)

O tratamento de dados pessoais é realizado com fundamento em uma ou mais das hipóteses previstas no art. 7º da LGPD:

• Execução de contrato (art. 7º, V) — para entregar o serviço contratado pelo usuário;
• Cumprimento de obrigação legal ou regulatória (art. 7º, II) — guarda de registros fiscais e dados de log;
• Legítimo interesse (art. 7º, IX) — prevenção a fraudes, segurança da plataforma e melhoria do produto, sempre balanceado com os direitos dos titulares;
• Consentimento (art. 7º, I) — para comunicações de marketing e cookies não essenciais;
• Exercício regular de direitos (art. 7º, VI) — em processos administrativos ou judiciais.

6.Compartilhamento com terceiros

Não vendemos dados pessoais. Compartilhamos dados apenas com fornecedores e parceiros estritamente necessários para a operação:

• Supabase — banco de dados e autenticação (infraestrutura em nuvem).
• Google (Gemini API) — processamento de prompts para geração de texto por IA. Os textos enviados podem ser transmitidos a esse fornecedor exclusivamente para esse fim.
• Evolution API / provedor de WhatsApp — entrega de mensagens via WhatsApp.
• Gateways de pagamento (Stripe e/ou similares) — processamento de assinaturas e cobranças.
• Vercel — hospedagem do frontend.
• Provedores de e-mail transacional — envio de OTP, redefinição de senha e notificações.
• Autoridades públicas — quando exigido por lei, ordem judicial ou requisição de autoridade competente.

Todos os fornecedores são contratualmente obrigados a respeitar padrões de segurança e a tratar os dados apenas conforme nossas instruções.

7.Cookies e tecnologias similares

Utilizamos um conjunto mínimo de cookies e armazenamento local (localStorage) para:

• Manter o usuário autenticado (token de sessão e refresh token);
• Lembrar preferências (ex.: ligar/desligar notificações);
• Medir, de forma agregada, o uso da plataforma.

Cookies essenciais não podem ser desativados sem comprometer o funcionamento do serviço. Cookies opcionais (analítica/marketing), se utilizados, dependem de seu consentimento.

8.Armazenamento e retenção

Os dados são armazenados em ambientes de nuvem com criptografia em trânsito (HTTPS/TLS) e em repouso. Os prazos de retenção observam o seguinte critério:

• Dados de cadastro do usuário: enquanto a conta estiver ativa e por até 5 anos após o encerramento, para fins fiscais e de defesa de direitos.
• Dados de clientes finais (leads e eventos): enquanto a conta do usuário estiver ativa, salvo se houver pedido de exclusão ou prazo legal específico.
• Logs de acesso: mínimo de 6 meses, conforme art. 15 do Marco Civil da Internet.
• Conteúdo de mensagens enviadas: mantido pelo período necessário à auditoria e suporte, geralmente até 12 meses.

Após o término dos prazos, os dados são anonimizados ou eliminados de forma segura.

9.Segurança

Adotamos medidas técnicas e administrativas razoáveis para proteger os dados, incluindo:

• Comunicação cifrada (TLS) em todas as rotas;
• Senhas armazenadas com hash unidirecional;
• Autenticação por tokens com expiração e rotação;
• Limitação de taxa, proteção contra brute-force e cabeçalhos de segurança (helmet);
• Segregação de credenciais por tenant (usuário) e princípio do menor privilégio em RLS de banco de dados;
• Backups periódicos e monitoramento de incidentes.

10.Transferência internacional

Alguns fornecedores (como Google, Supabase, Vercel e gateways internacionais) podem processar dados em servidores localizados fora do Brasil. Nesses casos, garantimos que a transferência ocorre em país com nível adequado de proteção, mediante cláusulas contratuais padrão ou outras salvaguardas previstas no art. 33 da LGPD.

11.Seus direitos como titular

Você pode, a qualquer momento, exercer os direitos previstos no art. 18 da LGPD:

• Confirmação da existência de tratamento;
• Acesso aos seus dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
• Portabilidade dos dados a outro fornecedor;
• Eliminação dos dados tratados com base em consentimento;
• Informação sobre entidades com as quais compartilhamos dados;
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
• Revogação do consentimento;
• Revisão de decisões tomadas unicamente com base em tratamento automatizado.

Para exercer qualquer desses direitos, envie um e-mail para contato@recuperafy.com.br. Responderemos no prazo legal de até 15 dias.

Caso seja um cliente final que recebeu mensagens via Recuperafy, observe que somos operadores dos seus dados — a relação de fato é com o vendedor/infoprodutor que captou seus dados no checkout. Encaminharemos sua solicitação ao controlador correspondente e/ou atuaremos diretamente quando for tecnicamente viável.

12.Crianças e adolescentes

A plataforma é destinada a pessoas com 18 anos ou mais. Não coletamos intencionalmente dados de crianças e adolescentes. Caso seja identificada coleta indevida, os dados serão excluídos.

13.Alterações desta Política

Esta política pode ser atualizada periodicamente. A versão vigente é sempre a publicada nesta URL. Em caso de alteração relevante, notificaremos os usuários por e-mail ou por aviso destacado dentro da plataforma com antecedência razoável.

14.Contato e Encarregado de Dados (DPO)

Dúvidas, solicitações ou reclamações relacionadas a dados pessoais podem ser enviadas para:

• E-mail: contato@recuperafy.com.br
• Encarregado (DPO): [Nome do Encarregado a preencher]

O titular também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), por meio do site gov.br/anpd.