Reverba
Começar grátis

Documento legal

Política de Privacidade

Como a Oneck Creative LTDA (CNPJ 37.874.433/0001-86), titular da marca Reverba, trata dados pessoais ao operar a plataforma Reverba — conforme a LGPD (Lei 13.709/2018), o GDPR (Regulamento 2016/679) e os requisitos de marketplaces conectados (TikTok Shop, Mercado Livre, Shopee).

Última revisão
Em vigor desde
Versão
v1.0

Read in English

1. Sobre este documento

Esta Política de Privacidade descreve como a Oneck Creative LTDA (“Reverba”, “nós”) coleta, usa, compartilha, armazena e protege dados pessoais ao prestar o serviço de CRM conversacional para WhatsApp e marketplaces. Aplica-se aos seguintes públicos:

  • Operadores— pessoas físicas que utilizam o painel da Reverba em nome de uma empresa contratante (“cliente”).
  • Contatos — clientes finais cujos dados são importados, sincronizados ou recebidos pelo operador via WhatsApp, TikTok Shop, Mercado Livre ou Shopee.
  • Visitantes do website público reverba.com.br.

A Reverba atua sob duas posições distintas, dependendo do dado tratado:

  • Como controladora em relação aos dados de operadores, dados de billing e telemetria operacional do produto.
  • Como operadora (Data Processor sob o GDPR) em relação aos dados de Contatos importados ou ingeridos pelo cliente — o cliente é o controlador desses dados, e a Reverba os trata estritamente conforme as instruções dele.

2. Quem é o controlador

Oneck Creative LTDA, sociedade empresária limitada inscrita no CNPJ sob o nº 37.874.433/0001-86, com sede em Rua Servidão Cam — Ch Aurora, 0, Lote Chácara do Ipê Bairro da GraminhaLimeira/SP — CEP 13480-970, Brasil.

Encarregado pela Proteção de Dados (DPO)

Em conformidade com o Art. 41 da LGPD, o canal oficial do Encarregado é:

  • E-mail: privacidade@reverba.com.br
  • Telefone: +55 19 98143-4313
  • Endereço: Rua Servidão Cam — Ch Aurora, 0, Lote Chácara do Ipê — Bairro da Graminha — Limeira/SP — CEP 13480-970 — Brasil

O DPO é responsável por receber comunicações de titulares e da Autoridade Nacional de Proteção de Dados (ANPD), orientar colaboradores sobre práticas adequadas e executar demais atribuições previstas em lei.

3. Dados pessoais que tratamos

Tratamos as seguintes categorias de dados, agrupadas pela origem e pela finalidade:

Identificação do operador (cliente Reverba)

  • Nome completo
  • Endereço de e-mail corporativo
  • Senha (hash bcrypt — Reverba nunca tem acesso ao texto original)
  • Função na conta (OWNER, ADMIN, SELLER)
  • Endereço IP no login e datas de acesso (logs operacionais)

Identificação do contato (cliente final do operador)

  • Nome (quando informado pelo operador)
  • Telefone WhatsApp (E.164)
  • Email (opcional)
  • Endereço (opcional, importação CSV)
  • Histórico de compras vinculadas
  • Anotações livres do operador
  • Tags e segmentação derivada

Dados de marketplace (TikTok Shop, Mercado Livre, Shopee)

  • ID externo da loja e do pedido
  • Conteúdo das mensagens recebidas pelo operador (texto, mídia)
  • Status do pedido e dados de fulfillment
  • Tokens OAuth criptografados em repouso (AES-256-GCM)

Dados financeiros

  • Plano contratado (Starter, Pro, Business)
  • Valor das faturas e status de pagamento
  • Dados do método de pagamento (manipulados exclusivamente por Mercado Pago — Reverba não armazena dados de cartão)

Telemetria operacional

  • Logs de uso do produto (endpoint, status code, duração da request)
  • Eventos de auditoria de ações destrutivas
  • Métricas agregadas anônimas (Google Analytics via GTM com IP anonimizado)

Não tratamos dados sensíveis (raça, religião, orientação sexual, dados de saúde, genéticos ou biométricos, convicção política ou filiação sindical) como parte do funcionamento normal da plataforma. Caso o cliente importe esse tipo de dado em campos livres (ex.: notas), reserva-se o direito de remover ou anonimizar no momento da auditoria, comunicando o cliente.

4. Finalidades e bases legais

Cada categoria de dado é tratada com uma base legal específica conforme a LGPD (Art. 7º) e o GDPR (Art. 6):

Base legalLGPDGDPRAplica-se a
Execução de contratoArt. 7º, VArt. 6(1)(b)Dados de operadores (cadastro, login, billing) e dados que o operador insere para usar a plataforma
Legítimo interesseArt. 7º, IXArt. 6(1)(f)Telemetria operacional, prevenção de fraude e segurança da plataforma
Cumprimento de obrigação legalArt. 7º, IIArt. 6(1)(c)Retenção de notas fiscais, registros contábeis e logs de auditoria por prazos definidos em lei
ConsentimentoArt. 7º, IArt. 6(1)(a)Comunicações de marketing direto da Reverba ao operador (opt-in explícito) e cookies não-essenciais

Finalidades específicas

  • Prestação do serviço contratado: criação de conta, autenticação, organização de contatos, envio de mensagens, cobrança de assinatura.
  • Suporte ao operador: responder dúvidas via chat, e-mail ou WhatsApp.
  • Segurança da plataforma: prevenção de fraude, detecção de uso indevido (prospecção fria), auditoria de ações destrutivas, mitigação de ataques.
  • Aprimoramento do produto: análise agregada de uso, telemetria com IP anonimizado, A/B testing de UX.
  • Comunicação institucional: avisos sobre mudanças de termos, manutenções programadas, novidades de produto. O operador pode optar por não receber comunicação de marketing nas configurações da conta.
  • Cumprimento de obrigações legais: emissão de nota fiscal, retenção de logs de auditoria pelo prazo legal, atendimento a solicitações de autoridades competentes.

5. Com quem compartilhamos

A Reverba compartilha dados com terceiros estritamente necessários ao funcionamento da plataforma. Cada sub-processador opera sob contrato com cláusulas de confidencialidade e proteção de dados equivalentes às assumidas pela Reverba com seus clientes.

Sub-processadorFinalidadeLocalização
Hostinger / VPS proprietárioHospedagem do backend (Node.js / NestJS) e PostgresBrasil (data center em São Paulo)
VercelHospedagem do website estático e do app SPA (frontend)Edge global (CDN)
Mercado PagoProcessamento de pagamentos de assinaturaBrasil
Groq (Llama / Kimi via API)Variação de mensagens por IA (geração de texto)Estados Unidos
Firebase Cloud Messaging (Google)Push notifications para o painel webEstados Unidos / Europa
TikTok Shop Open PlatformIntegração com chat e pedidos do TikTok ShopSingapura / Estados Unidos (host global)
Mercado Livre Open PlatformIntegração com chat pós-venda e pedidos do Mercado LivreBrasil
Shopee Open PlatformIntegração com chat e pedidos da ShopeeBrasil / Singapura
Meta (WhatsApp Web)Origem do canal WhatsApp — a Reverba opera via extensão Chrome dentro do WhatsApp Web; nenhuma chamada à Cloud API oficial é feita pela ReverbaEstados Unidos

A lista acima é canônica. Mudanças relevantes de sub-processador são comunicadas com pelo menos 14 dias de antecedência por e-mail ao operador titular da conta.

Não vendemos dados pessoais. Não compartilhamos dados de Contatos entre clientes — o isolamento multi-tenant é validado por testes automatizados a cada deploy.

6. Marketplaces conectados

Quando o cliente conecta uma loja de TikTok Shop, Mercado Livre ou Shopee à Reverba via fluxo OAuth oficial, autoriza a plataforma a acessar — em nome dele — exclusivamente os escopos solicitados na tela de consentimento. Para cada marketplace:

TikTok Shop

  • Escopos solicitados: customer_service (conversas buyer-seller), order (sincronização de pedidos), webhook (recebimento de eventos realtime).
  • Dados acessados: identificadores de loja, identificadores de conversa, conteúdo das mensagens trocadas entre comprador e vendedor (por iniciativa do operador), e dados de pedido necessários para vincular conversa a histórico.
  • Tokens OAuth: armazenados criptografados em repouso com AES-256-GCM. A Reverba é Service Provider App, não Seller App — opera em nome do seller que autorizou.
  • Revogação: o seller pode revogar o acesso a qualquer momento pelo Partner Center do TikTok Shop ou pelo painel da Reverba; a Reverba apaga tokens e cessa qualquer chamada.
  • Encerramento de relação: ao fim do contrato com a Reverba, ou mediante solicitação, todos os dados de mensagens e pedidos do TikTok Shop são apagados em até 30 dias, exceto se a retenção for exigida por obrigação legal aplicável.

Mercado Livre

Escopos: read, write (chat pós-venda atrelado a pack_id) e VIS Leads (Veículos, Imóveis, Serviços). Tokens criptografados em repouso. Demais regras são equivalentes às do TikTok Shop.

Shopee

Escopos: sellerchat (chat pré e pós-venda) e order. A Reverba opera dentro da Shopee Open Platform como aplicativo whitelisted. Tokens criptografados em repouso.

WhatsApp Web

A integração com WhatsApp ocorre via extensão Chrome instalada no navegador do operador. A Reverba não chama a Cloud API do WhatsApp; mensagens trafegam diretamente entre o navegador do operador e os servidores do Meta. A Reverba sincroniza apenas metadados (telefone, nome, prévia da última mensagem) com o painel multi-tenant para permitir resposta com contexto.

7. Transferência internacional de dados

A Reverba processa dados primariamente em território brasileiro (VPS dedicado em São Paulo, Brasil). Algumas operações específicas envolvem transferência internacional, sempre conforme as bases legais permitidas:

  • Inferência de IA (Groq) — Estados Unidos. Não há retenção de prompts além de logs operacionais agregados pelo provedor.
  • Push notifications (Firebase Cloud Messaging, Google) — global.
  • CDN do website (Vercel) — global. Apenas conteúdo público (institucional + assets); nenhum dado pessoal trafega pela CDN.
  • Marketplaces TikTok Shop e Shopee — hosts em Singapura/EUA por decisão da plataforma de origem.

Para transferências para países sem nível adequado de proteção, firmamos cláusulas contratuais padrão (SCCs do GDPR / cláusulas específicas conforme Art. 33 da LGPD) com cada sub-processador.

8. Retenção e descarte

Os prazos de retenção variam conforme a categoria de dado e a finalidade. Veja também o documento detalhado de Retenção de Dados.

CategoriaPrazo de retençãoApós o prazo
Dados de operador (cadastro)Enquanto a conta estiver ativaApagados em até 30 dias após cancelamento
Dados de Contatos importados pelo clienteEnquanto a conta do cliente estiver ativaApagados em até 30 dias após cancelamento
Mensagens (WhatsApp, marketplaces)Enquanto a conta estiver ativaApagadas em até 30 dias após cancelamento
Tokens OAuth de marketplaceAté a revogação ou expiraçãoApagados imediatamente quando revogados
Faturas e dados fiscais5 anosMantidos por obrigação legal (Lei 5.474/68 e regras tributárias)
Logs de auditoria2 anosApagados automaticamente
Backups operacionaisJanela rotativa de 30 diasSobrescritos automaticamente

9. Segurança da informação

Adotamos medidas técnicas e organizacionais proporcionais ao risco do tratamento, conforme exige o Art. 46 da LGPD e o Art. 32 do GDPR. Resumo dos controles atuais — detalhe completo em Política de Segurança da Informação:

  • Criptografia em trânsito: TLS 1.2+ em todos os endpoints públicos (HTTPS), HSTS, security headers via helmet.
  • Criptografia em repouso: senhas com bcrypt (custo 10), tokens OAuth de marketplace com AES-256-GCM, disco do banco de dados criptografado pelo provedor de VPS.
  • Isolamento multi-tenant: cada conta opera em namespace lógico isolado via AsyncLocalStorage + middleware Prisma — testes automatizados validam isolamento a cada deploy.
  • Controle de acesso: autenticação JWT com TTL curto (15 min), refresh com rotação, papéis OWNER/ADMIN/SELLER, princípio do privilégio mínimo nos endpoints.
  • Validação de entrada: pipe global com whitelist + forbidNonWhitelisted recusa qualquer campo não declarado nos DTOs.
  • Rate limiting: throttler aplicado em endpoints sensíveis (login, recuperação de senha, registro).
  • Webhooks autenticados: validação HMAC-SHA256 em cada webhook recebido (TikTok Shop, Shopee, Mercado Livre, Meta); IP allowlist opcional para defesa adicional.
  • Auditoria: cada ação destrutiva ou modificadora de permissão é registrada em AuditLog com ator, timestamp, IP de origem e payload sanitizado.
  • Logs estruturados: Pino com request-id em cada chamada — facilita correlação em caso de incidente.
  • Monitoramento: health/ready e health/live probados pelo balanceador; alertas em caso de queda.
  • Vulnerability management: dependências atualizadas via npm audit recorrente; patches de segurança crítica aplicados em até 7 dias úteis.

Reconhecemos limites: a Reverba ainda não detém certificações formais ISO 27001 ou SOC 2 Tipo 2. Para clientes que exigem essas certificações (saúde, financeiro), recomendamos o uso da WhatsApp Business API oficial em vez da Reverba.

10. Direitos do titular

A LGPD (Art. 18) e o GDPR (Art. 15-22) asseguram aos titulares de dados pessoais um conjunto de direitos. A Reverba os atende gratuitamente, mediante solicitação verificada de identidade, dentro do prazo de 15 dias corridos.

  • Confirmação e acesso — saber se tratamos seus dados e obter cópia.
  • Correção — atualizar dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação — para dados desnecessários, excessivos ou tratados em desconformidade com a lei.
  • Portabilidade — exportar seus dados em formato estruturado e legível por máquina (JSON ou CSV).
  • Eliminação dos dados tratados com base em consentimento, exceto retenções obrigatórias.
  • Informação sobre compartilhamento — quais entidades públicas e privadas têm acesso aos dados.
  • Revogação do consentimento a qualquer momento.
  • Oposição ao tratamento realizado com base no legítimo interesse.

Para exercer qualquer um destes direitos, entre em contato com o DPO em privacidade@reverba.com.br.

Se você é Contato (cliente final do operador) e quer apagar seus dados: sua solicitação será encaminhada ao operador (cliente Reverba), que é o controlador dos seus dados. A Reverba executa a operação assim que recebe a instrução documentada do controlador.

11. Cookies e telemetria

O website público da Reverba usa um conjunto mínimo de cookies e telemetria:

  • Cookies estritamente necessários: autenticação do painel, prevenção de CSRF. Não exigem consentimento (LGPD Art. 7º, V — execução de contrato).
  • Google Analytics via Google Tag Manager — IP anonimizado, sem cross-site tracking. Base legal: legítimo interesse para entender padrões agregados de uso e melhorar o site.
  • Sem cookies de marketing terceirizados (Meta Pixel, ads de terceiros). Não somos uma operação de adtech.

Para opt-out total de telemetria, ative “Do Not Track” no navegador ou utilize uma extensão como uBlock Origin.

12. Crianças e adolescentes

A plataforma Reverba não se destina a menores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes. Caso tomemos conhecimento de tratamento desses dados sem consentimento específico do responsável legal (ECA Art. 14 §1º; LGPD Art. 14), apagaremos os registros imediatamente.

13. Mudanças nesta política

Esta política pode ser revisada para refletir mudanças regulatórias, novos sub-processadores ou mudanças de produto. Em caso de revisão material (afetando direitos do titular ou bases legais), comunicaremos por e-mail aos operadores titulares com pelo menos 14 dias de antecedência. A versão vigente é sempre indicada no topo deste documento. Versões anteriores podem ser solicitadas ao DPO.

14. Como entrar em contato

Para qualquer dúvida, exercício de direito de titular ou denúncia de incidente de segurança, fale com o DPO:

Você também tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), em gov.br/anpd, se entender que o tratamento de seus dados não está em conformidade com a LGPD.

Documentos relacionados: Termos de Uso, Política de Segurança da Informação, Retenção de Dados, Resposta a Incidentes.

URLs canônicas: https://reverba.com.br/privacidade (PT-BR), https://reverba.com.br/privacy (EN).