UltronChatUltronChat

Politica de Privacidade

Como coletamos, usamos, compartilhamos e protegemos seus dados pessoais

Ultima atualizacao: 16 de abril de 2026 · Versao 1.0

Este documento foi redigido em conformidade com a Lei Geral de Protecao de Dados Pessoais (Lei n. 13.709/2018 — LGPD), com o Regulamento Geral sobre a Protecao de Dados da Uniao Europeia (Regulamento (UE) 2016/679 — GDPR), com o Marco Civil da Internet (Lei n. 12.965/2014) e com as orientacoes da Autoridade Nacional de Protecao de Dados (ANPD). Aplicam-se a voce os direitos que forem cabiveis conforme sua jurisdicao de residencia.

1. Identificacao do Controlador

Esta Politica de Privacidade descreve como a B2Tech ("B2Tech", "nos", "nosso") trata dados pessoais coletados por meio da plataforma UltronChat (ultronchat.ai e seus subdomonios), bem como de formularios de contato, e-mail e demais canais de atendimento. Ao utilizar nossos servicos, voce declara ter lido, compreendido e concordado com esta Politica.

  • Controlador dos dados pessoais: B2Tech
  • E-mail de contato: bruno@b2tech.io
  • Encarregado pelo Tratamento de Dados (DPO): dpo@b2tech.io

2. Definicoes

Para os fins desta Politica, aplicam-se as definicoes da LGPD (art. 5) e do GDPR (art. 4):

  • Dado pessoal: informacao relacionada a pessoa natural identificada ou identificavel.
  • Dado pessoal sensivel: dado sobre origem racial ou etnica, conviccao religiosa, opiniao politica, filiacao sindical, dado referente a saude ou a vida sexual, dado genetico ou biometrico, quando vinculado a uma pessoa natural.
  • Titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento.
  • Controlador: pessoa natural ou juridica a quem competem as decisoes referentes ao tratamento de dados pessoais.
  • Operador: pessoa natural ou juridica que realiza o tratamento de dados pessoais em nome do controlador.
  • Tratamento: toda operacao realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, eliminacao etc.).
  • Consentimento: manifestacao livre, informada e inequivoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada.
  • Anonimizacao: utilizacao de meios tecnicos razoaveis para que um dado perca a possibilidade de associacao a um individuo.
  • ANPD: Autoridade Nacional de Protecao de Dados (Brasil).

3. Dados Pessoais que Coletamos

Coletamos apenas os dados estritamente necessarios as finalidades descritas nesta Politica. As categorias de dados tratadas sao:

  • Dados de identificacao e contato: nome, endereco de e-mail e foto de perfil, obtidos via cadastro direto ou autenticacao com Google OAuth.
  • Dados de contas conectadas (Instagram, Messenger, WhatsApp): nome de usuario, ID da conta na plataforma, ID da pagina, foto de perfil, token de acesso (armazenado de forma criptografada com AES-256-GCM) e permissoes concedidas via OAuth da Meta.
  • Dados de mensagens e conversas: conteudo das mensagens recebidas e enviadas por meio das automacoes, respostas de IA e live chat, incluindo nome de usuario e ID do remetente na plataforma.
  • Dados de leads: e-mail, telefone, nome de usuario, status de seguidor, coletados automaticamente via fluxos de DM configurados pelo usuario.
  • Dados de automacoes: regras de gatilho, palavras-chave, mensagens configuradas, posts vinculados e logs de execucao.
  • Dados de navegacao e tecnicos: endereco IP, tipo e versao do navegador, sistema operacional, paginas visitadas, horario de acesso e identificadores unicos de dispositivo.
  • Chaves de API (BYOK): chaves de provedores de IA (OpenAI, Anthropic) fornecidas pelo usuario para uso do agente IA. As chaves sao armazenadas de forma criptografada (AES-256-GCM) e nunca sao exibidas em texto claro apos o cadastro. Armazenamos apenas um fingerprint (ultimos 4 caracteres) para identificacao.

Nos nao coletamos intencionalmente dados pessoais sensiveis. Caso voce voluntariamente nos envie tais dados, eles serao tratados apenas com seu consentimento explicito ou nas demais hipoteses legais do art. 11 da LGPD.

4. Origem dos Dados

Obtemos seus dados pessoais das seguintes fontes:

  • Diretamente de voce, quando cria sua conta, configura automacoes, cadastra chaves de API ou envia mensagens pelo live chat.
  • Da plataforma Meta (Instagram, Messenger, WhatsApp), por meio de webhooks e APIs autorizadas via OAuth, incluindo dados de mensagens, comentarios e perfis de usuarios que interagem com sua conta.
  • De provedores de autenticacao, quando voce faz login via Google OAuth (nome, e-mail, foto de perfil).
  • Automaticamente, pelo uso de cookies e tecnologias similares no seu navegador ao acessar a plataforma.

5. Finalidades e Bases Legais

Todo tratamento de dados pessoais esta fundamentado em pelo menos uma das bases legais previstas no art. 7 da LGPD e, quando aplicavel, no art. 6 do GDPR:

  • Prover a plataforma UltronChat (automacoes, agente IA, live chat, coleta de leads) — Execucao de contrato (LGPD art. 7, V / GDPR art. 6, 1, b).
  • Processar mensagens e gerar respostas de IA — Execucao de contrato (LGPD art. 7, V / GDPR art. 6, 1, b).
  • Armazenar e gerenciar chaves de API do usuario (BYOK) — Execucao de contrato (LGPD art. 7, V / GDPR art. 6, 1, b).
  • Enviar comunicacoes sobre o servico (atualizacoes, alertas de seguranca) — Legitimo interesse (LGPD art. 7, IX / GDPR art. 6, 1, f).
  • Enviar comunicacoes de marketing — Consentimento (LGPD art. 7, I / GDPR art. 6, 1, a), revogavel a qualquer momento.
  • Operar e melhorar a plataforma (analytics agregado) — Legitimo interesse do controlador (LGPD art. 7, IX / GDPR art. 6, 1, f).
  • Cumprir obrigacoes legais e regulatorias — Cumprimento de obrigacao legal (LGPD art. 7, II / GDPR art. 6, 1, c).
  • Garantir a seguranca da plataforma e prevenir fraudes — Legitimo interesse (LGPD art. 7, IX / GDPR art. 6, 1, f).
  • Exercer ou defender direitos em processo — LGPD art. 7, VI / GDPR art. 6, 1, f.

6. Compartilhamento com Terceiros

Nos NAO vendemos dados pessoais. Compartilhamos dados com operadores estritamente necessarios a prestacao do servico, todos vinculados por obrigacoes contratuais de confidencialidade e protecao de dados:

  • Supabase, Inc. — banco de dados, autenticacao e armazenamento. Dados tratados: todos os dados da plataforma (contas, conversas, mensagens, leads, automacoes, chaves criptografadas). Base de processamento: EUA.
  • Cloudflare, Inc. — hospedagem do dashboard (Cloudflare Pages), gateway de webhooks (Cloudflare Workers), CDN e protecao contra ataques. Dados tratados: IP, headers, logs de acesso. Base de processamento: global.
  • Meta Platforms, Inc. — integracao com Instagram, Messenger e WhatsApp via APIs oficiais. Dados tratados: mensagens, comentarios, perfis de usuario, conforme autorizado pelo usuario via OAuth. Base de processamento: EUA e global.
  • Upstash, Inc. — fila de mensagens (QStash) para processamento assincrono de webhooks e rate limiting (Redis). Dados tratados: payloads de eventos de webhook. Base de processamento: EUA.
  • Provedores de IA (OpenAI, Anthropic) — processamento de mensagens para gerar respostas do agente IA, utilizando a chave de API propria do usuario (BYOK). Dados tratados: conteudo das mensagens enviadas para geracao de resposta. Base de processamento: EUA.
  • Autoridades publicas, quando exigido por lei, ordem judicial, investigacao oficial ou para defender direitos da B2Tech ou de terceiros.

Em caso de fusao, aquisicao ou reorganizacao societaria, os dados poderao ser transferidos a entidade sucessora, mantida a observancia desta Politica.

7. Transferencia Internacional de Dados

Como utilizamos provedores globais (Supabase, Cloudflare, Meta, Upstash, OpenAI, Anthropic), seus dados podem ser transferidos e armazenados em servidores localizados fora do Brasil e fora da Uniao Europeia, inclusive nos Estados Unidos da America. Asseguramos que toda transferencia internacional observa o art. 33 da LGPD e os arts. 44-49 do GDPR, por meio de:

  • Clausulas Contratuais Padrao (Standard Contractual Clauses) aprovadas pela Comissao Europeia;
  • Transferencia para paises que possuam decisao de adequacao emitida pela ANPD ou pela Comissao Europeia;
  • Obtencao de seu consentimento especifico, quando aplicavel;
  • Adocao de medidas tecnicas adicionais (criptografia em transito e em repouso, pseudonimizacao) para proteger seus dados contra acessos nao autorizados durante o transito.

Voce tem o direito de solicitar copia das garantias adotadas por meio do canal indicado na secao 12.

8. Prazo de Retencao dos Dados

Mantemos seus dados pessoais apenas pelo tempo necessario as finalidades para as quais foram coletados:

  • Dados de conta e perfil: enquanto a conta estiver ativa. Apos solicitacao de exclusao, eliminados em ate 30 dias.
  • Mensagens e conversas: enquanto a conta estiver ativa, para historico de atendimento e contexto de IA.
  • Leads coletados: enquanto a conta estiver ativa ou ate exclusao solicitada pelo usuario.
  • Chaves de API (BYOK): enquanto estiverem ativas. Chaves removidas sao eliminadas imediatamente do banco de dados.
  • Tokens de acesso da Meta: enquanto a conexao estiver ativa. Ao desconectar uma conta, o token criptografado e eliminado.
  • Logs de acesso e dados tecnicos: 6 (seis) meses, em observancia ao art. 15 do Marco Civil da Internet.
  • Dados exigidos por obrigacao legal: pelo prazo especifico determinado pela norma aplicavel.

Apos o termino do prazo de retencao, os dados sao eliminados com seguranca ou anonimizados de forma irreversivel.

9. Seguranca da Informacao

Adotamos medidas tecnicas e organizacionais para proteger dados pessoais contra acessos nao autorizados, conforme art. 46 da LGPD e art. 32 do GDPR:

  • Criptografia em transito (TLS 1.3) em todas as comunicacoes;
  • Criptografia em repouso para tokens de acesso e chaves de API (AES-256-GCM com HKDF);
  • Row Level Security (RLS) no banco de dados — cada usuario acessa apenas seus proprios dados;
  • Validacao HMAC SHA-256 com comparacao timing-safe em todos os webhooks recebidos da Meta;
  • Controle de acesso baseado em principio do menor privilegio;
  • Autenticacao forte via Supabase Auth (JWT com expiracao de 1 hora);
  • Rate limiting em endpoints publicos;
  • Monitoramento de eventos de seguranca;
  • Plano de resposta a incidentes e comunicacao a ANPD e aos titulares afetados em caso de incidente com risco relevante, conforme art. 48 da LGPD.

10. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias semelhantes para operar a plataforma e analisar o trafego:

  • Cookies estritamente necessarios: essenciais a autenticacao, sessao e seguranca (CSRF). Nao requerem consentimento.
  • Cookies de desempenho e analytics: medem o uso agregado da plataforma. Exigem consentimento quando veiculam identificadores persistentes.
  • Cookies de funcionalidade: lembram preferencias do usuario entre visitas (ex.: conexao selecionada).

Voce pode aceitar ou recusar cookies nao-essenciais pelas configuracoes do seu navegador. A recusa nao impede o acesso a plataforma, mas pode limitar algumas funcionalidades.

11. Seus Direitos como Titular de Dados

A LGPD (art. 18) e o GDPR (arts. 15 a 22) garantem a voce os seguintes direitos, exerciveis de forma gratuita e a qualquer momento:

  • Confirmacao da existencia de tratamento de seus dados pessoais;
  • Acesso aos dados pessoais tratados;
  • Correcao de dados incompletos, inexatos ou desatualizados;
  • Anonimizacao, bloqueio ou eliminacao de dados desnecessarios, excessivos ou tratados em desconformidade;
  • Portabilidade dos dados a outro fornecedor de servico;
  • Eliminacao dos dados pessoais tratados com base no consentimento, ressalvadas as hipoteses legais de manutencao;
  • Informacao sobre entidades publicas e privadas com as quais compartilhamos seus dados;
  • Informacao sobre a possibilidade de nao fornecer consentimento e as consequencias;
  • Revogacao do consentimento a qualquer momento, sem prejuizo da licitude do tratamento anterior;
  • Oposicao ao tratamento realizado com fundamento em hipotese legal de dispensa de consentimento;
  • Revisao de decisoes tomadas unicamente com base em tratamento automatizado (LGPD art. 20);
  • Reclamacao junto a ANPD (Brasil) ou autoridade supervisora competente (GDPR art. 77).

12. Como Exercer seus Direitos

Para exercer qualquer dos direitos listados, envie solicitacao ao e-mail dpo@b2tech.io (com copia para bruno@b2tech.io), informando:

  • Nome completo e meio de contato;
  • Descricao clara do direito que deseja exercer;
  • Comprovacao de identidade;
  • Eventuais documentos complementares.

Responderemos em ate 15 dias (LGPD art. 19) ou 30 dias (GDPR art. 12), podendo este prazo ser prorrogado em situacoes de complexidade justificada. O atendimento e gratuito.

13. Protecao de Menores de Idade

Nossos servicos nao se destinam a menores de 18 anos. Nao coletamos deliberadamente dados pessoais de criancas ou adolescentes sem o consentimento de pais ou responsaveis legais, conforme art. 14 da LGPD e art. 8 do GDPR. Caso tomemos conhecimento de tal coleta, os dados serao eliminados imediatamente.

14. Decisoes Automatizadas e Perfilhamento

A UltronChat utiliza modelos de inteligencia artificial para gerar respostas automaticas a mensagens recebidas nas contas conectadas do usuario. Essas respostas sao geradas com base nas instrucoes e dados guia configurados pelo proprio usuario (owner da conta).

O usuario final (seguidor/contato) que interage via DM pode solicitar, a qualquer momento, atendimento humano. O owner pode pausar o agente IA e assumir a conversa via live chat.

Nao tomamos decisoes automatizadas que produzam efeitos juridicos significativos sobre os titulares sem possibilidade de revisao humana.

15. Uso de Provedores de IA (BYOK)

A UltronChat opera com o modelo Bring Your Own Key (BYOK): o usuario fornece sua propria chave de API do provedor de IA (OpenAI, Anthropic) para uso do agente. Isso significa que:

  • As mensagens processadas pelo agente IA sao enviadas diretamente ao provedor usando a chave do usuario;
  • A B2Tech nao tem acesso ao conteudo das respostas geradas pelo provedor — apenas armazena o resultado final para exibicao no historico;
  • O usuario e responsavel por aceitar e cumprir os termos de uso do provedor de IA escolhido;
  • As chaves sao armazenadas criptografadas (AES-256-GCM) e nunca sao exibidas em texto claro apos o cadastro.

16. Reclamacoes e Autoridades Competentes

Voce pode apresentar reclamacao as autoridades competentes:

  • Brasil — Autoridade Nacional de Protecao de Dados (ANPD): www.gov.br/anpd
  • Uniao Europeia — autoridade supervisora de protecao de dados do seu pais de residencia.
  • Reino Unido — Information Commissioner's Office (ICO).

17. Alteracoes a esta Politica

Esta Politica pode ser atualizada periodicamente. A versao mais recente estara sempre disponivel em ultronchat.ai/privacy. Alteracoes materiais serao comunicadas por e-mail ou aviso em destaque na plataforma.

18. Contato

  • Encarregado (DPO): dpo@b2tech.io
  • Atendimento geral: bruno@b2tech.io