← Agents PlatformDocumentos legais

Versão 2026-05-15 · Vigência 15 de maio de 2026

Política de Privacidade

v2 (2026-05-15) — adiciona declaração sobre dados não tratados (sensíveis, crianças), princípios do art. 6, tratamento de decisões automatizadas, petição à ANPD e compromisso de comunicação de incidentes.

Sumário · 14 seções
  1. 1.1. Controlador e Encarregado
  2. 2.2. Dados pessoais tratados
  3. 3.3. Dados que não tratamos
  4. 4.4. Finalidades e bases legais (art. 7 LGPD)
  5. 5.5. Princípios do tratamento (art. 6 LGPD)
  6. 6.6. Compartilhamento e sub-operadores
  7. 7.7. Transferência internacional
  8. 8.8. Decisões automatizadas (art. 20 LGPD)
  9. 9.9. Retenção
  10. 10.10. Direitos do titular (art. 18 LGPD)
  11. 11.11. Segurança e comunicação de incidentes
  12. 12.12. Cookies
  13. 13.13. Alterações
  14. 14.14. Contato

Política de Privacidade

Vigência: 15 de maio de 2026

Esta Política descreve como a Fluxium Agents Platform trata dados pessoais dos seus usuários (clientes e franqueados). O tratamento de dados de terceiros (clientes finais que conversam com agents via WhatsApp) é regido pelo Termo de Tratamento de Dados (DPA) entre a Fluxium e cada cliente.

1. Controlador e Encarregado

  • Controlador: Fluxium (CNPJ a ser preenchido).
  • Encarregado pelo tratamento de dados (DPO): acessível por privacidade@fluxium.pro ou pelo formulário em /legal/dpo.

2. Dados pessoais tratados

  • Cadastro: nome completo, email, senha (armazenada em hash pelo Supabase Auth).
  • Identificadores operacionais: UUID da conta, organização à qual pertence, papel (cliente, franqueado, admin).
  • Dados de uso: logs de acesso necessários à operação e segurança; user-agent.
  • Dados financeiros: o pagamento é processado pelo Stripe; a Fluxium guarda apenas identificadores (stripe_customer_id, subscription_id) e não armazena cartões.
  • Chaves de provedor (BYOK): chaves Gemini fornecidas pelo cliente, armazenadas cifradas (AES-256-GCM) com chave-mestra fora do banco.
  • Aceites de consentimento: registro de qual versão de cada documento foi aceita, quando, com IP anonimizado (último octeto zerado em IPv4 / últimos 80 bits zerados em IPv6) e user-agent – prova legal.

3. Dados que não tratamos

  • Dados pessoais sensíveis (art. 11 LGPD): a Fluxium não trata dados sensíveis (origem racial/étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico) dos seus usuários. Se um cliente ou franqueado nos fornecer espontaneamente tal dado (por exemplo, dentro de uma mensagem de suporte), o conteúdo é tratado pelo mínimo tempo necessário ao atendimento e não é incorporado a perfis.
  • Dados de crianças e adolescentes (art. 14 LGPD): a Plataforma é destinada a uso profissional adulto e não direciona seus serviços a crianças. A Fluxium não coleta intencionalmente dados de menores de 18 anos no cadastro de usuários. Quando, no âmbito da operação de agents, o cliente final do Cliente for menor de idade, a responsabilidade pela base legal (consentimento dos pais ou responsável, quando aplicável) é do Cliente como controlador, conforme o DPA.

4. Finalidades e bases legais (art. 7 LGPD)

FinalidadeBase legal
Criar e manter a conta do usuárioExecução do contrato (art. 7, V)
Processar pagamentos e cobranças via StripeExecução do contrato (art. 7, V)
Operar os agents (LLM, WhatsApp) sob instrução do clienteExecução do contrato (art. 7, V)
Manter segurança da plataforma, prevenir fraude e abusoLegítimo interesse (art. 7, IX)
Cumprir obrigações fiscais e legaisObrigação legal (art. 7, II)
Atender requisições de titularesObrigação legal (art. 7, II)

A Fluxium mantém Relatório de Impacto à Proteção de Dados Pessoais (RIPD) apto a ser fornecido à ANPD, conforme art. 10 § 3 da LGPD, para os tratamentos baseados em legítimo interesse.

5. Princípios do tratamento (art. 6 LGPD)

Toda atividade de tratamento na Plataforma observa os princípios da LGPD: finalidade (propósitos específicos e informados ao titular), adequação (compatibilidade com a finalidade declarada), necessidade (mínimo de dados pertinentes ao objetivo), livre acesso (consulta facilitada e gratuita pelo titular), qualidade (exatidão e atualização conforme a finalidade), transparência (informações claras sobre o tratamento e os agentes), segurança (medidas técnicas e administrativas), prevenção (evitar danos), não discriminação (vedado tratamento para fins discriminatórios) e responsabilização (capacidade de demonstrar conformidade).

6. Compartilhamento e sub-operadores

A Fluxium emprega sub-operadores para hospedagem, processamento de pagamento, envio de mensagens e operação de IA. A lista vigente está em /legal/sub-operadores e é parte integrante desta Política.

7. Transferência internacional

Alguns sub-operadores (Google, Stripe, Resend) operam fora do Brasil. A transferência atende ao art. 33 da LGPD pela necessidade da execução do contrato com o titular e por cláusulas contratuais padrão com os provedores que asseguram nível de proteção adequado.

8. Decisões automatizadas (art. 20 LGPD)

As respostas geradas pelos agents (via LLM Gemini) são produzidas a partir de prompt configurado pelo Cliente e da chave de API do próprio Cliente (BYOK). A Fluxium, como operadora desse tratamento, executa o pipeline; as decisões de conteúdo, finalidade e escopo do agent são do Cliente como controlador.

Em conversas com cliente final via WhatsApp, qualquer comunicação automatizada pode ser escalada para atendimento humano a pedido do interlocutor (mecanismo escalar_para_humano integrado ao agent), garantindo a possibilidade de revisão por pessoa natural prevista no art. 20.

9. Retenção

  • Dados de cadastro: mantidos enquanto a conta estiver ativa; excluídos sob requisição ou após 5 anos de inatividade.
  • Aceites de consentimento: mantidos pelo tempo da relação contratual + prazo legal mínimo (prova de cumprimento).
  • Logs de uso: retenção definida por tabela; em geral 12 meses, arquivados em frio depois.
  • Conteúdo de conversas WhatsApp: retenção operada pelo cliente (controlador) – ver DPA.

10. Direitos do titular (art. 18 LGPD)

O titular pode requisitar a qualquer tempo, gratuitamente: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; portabilidade; eliminação dos dados tratados com consentimento; informação sobre as entidades com as quais houve uso compartilhado; informação sobre a possibilidade de não consentir e suas consequências; revogação do consentimento.

As requisições são feitas pelo canal do Encarregado em /legal/dpo. Prazo de resposta: até 15 dias.

Caso o titular entenda que o controlador não atendeu a requisição satisfatoriamente, pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD) contra o controlador, nos termos do art. 18 § 1 da LGPD, pelo canal oficial em gov.br/anpd.

11. Segurança e comunicação de incidentes

A Fluxium adota medidas técnicas e administrativas para proteger os dados:

  • Isolamento por organização via Row-Level Security (RLS) no banco.
  • Criptografia em trânsito (TLS) e em repouso (chaves BYOK em AES-256-GCM).
  • Princípio do menor privilégio nas roles do sistema.
  • Logs de auditoria de ações sensíveis.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Fluxium se compromete a comunicar a ANPD e os titulares afetados em prazo razoável, nos termos do art. 48 da LGPD, descrevendo a natureza do incidente, os dados afetados, as medidas adotadas e os riscos envolvidos.

12. Cookies

A Plataforma usa apenas cookies essenciais ao funcionamento (sessão de autenticação, atribuição de franqueado). Esses cookies são isentos de consentimento prévio sob a LGPD. Não há cookies de analytics, publicidade ou rastreamento de terceiros. Se isso mudar, será introduzido banner de consentimento prévio antes do carregamento de qualquer script não essencial.

13. Alterações

Esta Política pode ser atualizada. Mudanças materiais geram nova versão vigente, e os usuários são solicitados a re-aceitar no próximo acesso ao app.

14. Contato

Encarregado: privacidade@fluxium.pro.