Politica de Privacidade

Ultima atualizacao: 22 de abril de 2026 | Versao 2.0

Esta Politica de Privacidade descreve como a SHIFTMIND INFORMATICA LTDA., CNPJ 48.719.688/0001-90, NIRE 35260308268, sede na Av. Paulista, 1.471, Conj. 511, Bela Vista, Sao Paulo/SP, CEP 01311-927 ("Shiftmind", "nos"), trata dados pessoais no ambito da plataforma ChatBot Simples (dominio chatbot.shiftmind.com.br), em conformidade com a Lei no 13.709/2018 - Lei Geral de Protecao de Dados Pessoais ("LGPD"), o Regulamento (UE) 2016/679 - General Data Protection Regulation ("GDPR") quando aplicavel, a Lei no 12.965/2014 - Marco Civil da Internet, a Lei no 8.078/1990 - Codigo de Defesa do Consumidor, e demais normas pertinentes.

Resumo em linguagem simples: coletamos apenas os dados necessarios para operar o servico. Nao vendemos seus dados. Quando voce contrata o ChatBot Simples, voce (Assinante) e o Controlador dos dados dos seus visitantes; nos atuamos como Operador sob sua instrucao. Voce tem todos os direitos previstos na LGPD e pode exerce-los gratuitamente.

1. Controlador e Operador — Papeis na LGPD

A LGPD define papeis distintos para o tratamento de dados pessoais. Nesta plataforma, a Shiftmind atua em dois papeis:

Papel	Em relacao a quem	O que significa
Controladora (Art. 5o, VI)	Dados pessoais dos Assinantes (pessoas fisicas representantes das empresas contratantes)	Definimos as finalidades e meios do tratamento para prestacao do servico, cobranca e relacionamento comercial
Operadora (Art. 5o, VII)	Dados pessoais dos Visitantes (usuarios finais que interagem com chatbots criados pelos Assinantes)	Tratamos esses dados em nome e sob instrucao do Assinante, que atua como Controlador. Nao os utilizamos para finalidade propria
Controladora	Dados de visitantes da nossa pagina institucional (chatbot.shiftmind.com.br)	Para navegacao, marketing, suporte e contato comercial

Importante para Assinantes: voce e o Controlador dos dados dos seus visitantes. E sua responsabilidade obter base legal adequada (consentimento, execucao de contrato, legitimo interesse etc.), publicar sua propria Politica de Privacidade, responder solicitudes dos titulares e notificar incidentes relativos aos dados sob seu controle. A Shiftmind auxiliara tecnicamente no que for necessario.

Dados da Controladora/Operadora:

Razao social: SHIFTMIND INFORMATICA LTDA.
CNPJ: 48.719.688/0001-90
NIRE: 35260308268 (JUCESP)
Endereco: Av. Paulista, 1.471, Conj. 511, Bela Vista, Sao Paulo/SP - CEP 01311-927
E-mail de contato: contato@shiftmind.com.br

Encarregado de Dados — DPO (LGPD Art. 41):

Nome: Danilo de Sousa Pedrosa
E-mail: dpo@shiftmind.com.br
Telefone: +55 (11) 4055-5583
Endereco para correspondencia: Av. Paulista, 1.471, Conj. 511, Bela Vista, Sao Paulo/SP - CEP 01311-927

2. Dados Pessoais Coletados

2.1 Dados dos Assinantes (tratamos como Controladora)

Cadastro: nome completo, e-mail profissional, senha (armazenada com hash bcrypt, irreversivel), telefone, cargo, razao social e CNPJ da empresa
Cobranca: dados processados diretamente pelos gateways (MercadoPago, PagSeguro); a Shiftmind recebe apenas status da transacao e nao armazena numero de cartao, CVV ou senha bancaria
Uso da plataforma: logs de acesso, endereco IP, agente do navegador, sistema operacional, paginas visitadas, acoes realizadas (para seguranca e auditoria)
Conteudo configurado: fluxos de atendimento, base de conhecimento, mensagens de boas-vindas, configuracoes de IA
Comunicacao: conteudo de tickets de suporte, mensagens trocadas com a equipe Shiftmind

2.2 Dados dos Visitantes (tratamos como Operadora)

Os dados abaixo sao coletados por conta e ordem do Assinante. A Shiftmind nao os utiliza para finalidade propria, nao cruza entre Assinantes e nao transfere para terceiros fora do escopo operacional:

Conversas: mensagens de texto trocadas com o chatbot, data e hora, canal de origem
Pre-chat: nome, e-mail, telefone e departamento quando fornecidos voluntariamente pelo Visitante no formulario do widget
Dados de qualificacao: respostas coletadas via fluxo configurado pelo Assinante (podem incluir dados de contato, interesses, orcamento etc.)
Dados tecnicos: endereco IP, tipo de dispositivo, navegador, sistema operacional, origem da visita (URL referrer)
Redes sociais: quando o Visitante contata via WhatsApp, Facebook Messenger ou Instagram Direct, recebemos o identificador e as informacoes publicas repassadas pela respectiva plataforma, conforme configurado pelo Assinante
Arquivos: imagens ou documentos eventualmente enviados pelo Visitante durante a conversa

Nao coletamos intencionalmente dados sensiveis (origem racial, religiao, saude, vida sexual, dados biometricos ou geneticos — Art. 5o, II LGPD). Caso o Assinante configure fluxos que coletem tais dados, e responsabilidade exclusiva dele obter consentimento especifico e destacado do titular, nos termos do Art. 11 da LGPD.

2.3 Dados de Integracao

Para integracoes com WhatsApp Business API, Facebook Messenger, Instagram Direct, Telegram Bot API, Google Calendar e Microsoft Outlook, armazenamos tokens de acesso fornecidos pelo Assinante (criptografados em repouso com AES-256). Esses tokens sao utilizados exclusivamente para as operacoes autorizadas pelo Assinante e excluidos imediatamente ao desconectar a integracao.

3. Finalidades e Bases Legais do Tratamento

Finalidade	Titular	Base Legal (LGPD Art. 7o ou 11)
Criar e gerenciar conta do Assinante	Assinante	Execucao de contrato (Art. 7o, V)
Processar pagamentos, emitir notas fiscais	Assinante	Execucao de contrato (Art. 7o, V) e Obrigacao legal (Art. 7o, II)
Operar o chatbot e armazenar conversas	Visitante	Instrucao do Controlador (Assinante); base definida pelo Assinante
Cumprir obrigacoes legais, fiscais e regulatorias	Todos	Obrigacao legal (Art. 7o, II)
Prevenir fraudes, abusos e manter seguranca	Todos	Legitimo interesse (Art. 7o, IX) com teste de proporcionalidade
Enviar comunicacoes promocionais	Assinante	Consentimento opt-in revogavel (Art. 7o, I e 8o)
Melhorar o servico (analise agregada/anonimizada)	Todos	Legitimo interesse (Art. 7o, IX), sem dados identificaveis
Exercicio regular de direitos em processo judicial, administrativo ou arbitral	Todos	Art. 7o, VI

Sobre legitimo interesse: realizamos teste de proporcionalidade (LIA — Legitimate Interest Assessment) documentado, avaliando finalidade, necessidade e expectativa legitima do titular. Voce pode se opor a qualquer tratamento baseado em legitimo interesse (Art. 18, IX), escrevendo para o DPO.

4. Compartilhamento com Terceiros (Sub-operadores)

Nao vendemos, alugamos ou cedemos dados pessoais para fins de marketing de terceiros. Compartilhamos dados apenas com os seguintes sub-operadores, exclusivamente para fins operacionais:

Sub-operador	Finalidade	Pais	Quando ocorre
MercadoPago (MercadoLibre Inc.)	Processamento de pagamentos	Brasil / Argentina	Contratacao ou renovacao de plano
PagSeguro (UOL PagSeguro Internet S.A.)	Processamento de pagamentos	Brasil	Contratacao ou renovacao de plano (quando escolhido)
CloudPanel / provedor de infraestrutura	Hospedagem do servico (servidores em regiao Brasil)	Brasil	Permanente (armazenamento)
OpenAI, L.L.C.	Geracao de respostas por IA quando o Assinante ativa o recurso	Estados Unidos	Somente quando Assinante ativa a IA; apenas o conteudo da mensagem relevante e encaminhado, sem dados de cadastro
Meta Platforms, Inc. (Facebook, Instagram, WhatsApp)	Integracao com canais oficiais via API	Estados Unidos / Irlanda	Somente quando o Assinante conecta o respectivo canal
Google LLC (Calendar, Fonts)	Agendamento e entrega de fontes/icones do widget	Estados Unidos	Agendamento: quando ativado pelo Assinante. Fontes: sempre
Microsoft Corporation (Outlook / Graph API)	Integracao com Microsoft 365 para agendamento	Estados Unidos / Irlanda	Somente quando o Assinante conecta
Telegram Messenger LLP	Envio e recebimento de mensagens via Telegram Bot API	Reino Unido / Emirados Arabes	Somente quando o Assinante conecta
Provedores de envio de e-mail transacional (SMTP configurado pela Shiftmind)	Envio de e-mails de confirmacao, recuperacao de senha, notificacoes	Brasil / Estados Unidos	Quando necessario para o servico
Autoridades publicas	Cumprimento de ordem judicial, administrativa ou requerimento legal	Brasil	Excepcionalmente, quando exigido

Todos os sub-operadores atuam mediante contrato que exige: confidencialidade, aderencia a LGPD/GDPR, adocao de medidas tecnicas e administrativas de seguranca, e restricao ao uso dos dados para as finalidades contratadas.

5. Transferencia Internacional de Dados

Alguns sub-operadores (OpenAI, Meta, Google, Microsoft, Telegram) processam dados fora do Brasil. A Shiftmind realiza essas transferencias com fundamento no Art. 33 da LGPD, utilizando uma ou mais das seguintes salvaguardas:

Clausulas Contratuais Padrao (SCCs): incorporadas aos contratos com os sub-operadores, com compromissos de protecao equivalentes aos da LGPD
Programas de adequacao reconhecidos: sub-operadores com certificacoes em frameworks como o EU-US Data Privacy Framework (quando aplicavel)
Consentimento especifico e destacado: quando for a unica base disponivel, conforme Art. 33, VIII
Execucao de contrato a pedido do titular: quando a transferencia for necessaria para o servico contratado (Art. 33, V)

O titular pode solicitar ao DPO copia das salvaguardas aplicaveis ao seu caso especifico.

6. Armazenamento e Seguranca da Informacao

Aplicamos medidas tecnicas e administrativas compativeis com o risco, conforme Art. 46 e 50 da LGPD:

Criptografia em transito: HTTPS/TLS 1.2+ obrigatorio em todos os endpoints
Criptografia em repouso: tokens de integracao e dados sensiveis criptografados com AES-256
Senhas: hash bcrypt com salt unico por usuario (irreversivel)
Controle de acesso: principio do menor privilegio, autenticacao de dois fatores para administradores, logs de auditoria
Isolamento multi-tenant: cada Assinante possui identificador de tenant, todas as consultas sao filtradas no nivel de aplicacao
Backups: diarios automaticos com retencao de 30 dias, armazenados em local seguro
Monitoramento: logs de acesso, alertas de atividade suspeita, firewall de aplicacao
Treinamento: equipe treinada em seguranca da informacao e LGPD, sob acordo de confidencialidade
Gestao de vulnerabilidades: atualizacoes periodicas de dependencias, auditorias internas e testes

7. Notificacao de Incidentes de Seguranca

Em caso de incidente de seguranca envolvendo dados pessoais que possa acarretar risco ou dano relevante ao titular (Art. 48 LGPD):

Notificamos a ANPD e os titulares afetados em prazo razoavel — na pratica, buscamos cumprir em ate 72 horas apos a tomada de conhecimento, conforme orientacao da ANPD
A comunicacao conteudo minimo exigido: descricao dos dados afetados, titulares envolvidos, medidas tecnicas adotadas, riscos e medidas de mitigacao
Quando o incidente envolver dados de Visitantes (tratados como Operadora), comunicaremos imediatamente o Assinante (Controlador), que sera o responsavel por notificar os titulares e a ANPD, com nosso suporte tecnico integral
Mantemos registro interno de todos os incidentes e acoes corretivas

8. Retencao de Dados

Tipo de Dado	Periodo	Justificativa
Conta ativa do Assinante	Durante a vigencia do contrato	Execucao do contrato
Conta cancelada — dados pessoais	90 dias apos cancelamento; depois, anonimizacao ou exclusao	Prazo para o titular exportar dados, tratar eventuais disputas e atender obrigacoes tributarias imediatas
Conversas e mensagens de Visitantes	12 meses apos a ultima interacao	Continuidade do atendimento, historico para o Assinante e limite razoavel de necessidade. O Assinante pode configurar retencao menor
Logs de acesso de aplicacao	6 meses (minimo legal do Marco Civil)	Art. 15 da Lei 12.965/2014
Dados fiscais e contabeis (notas, recibos)	5 anos	Art. 173 do CTN e legislacao fiscal
Registros de consentimento	Durante a vigencia e por 5 anos apos a revogacao	Prova em eventual fiscalizacao ou litigio
Tokens de integracao	Excluidos imediatamente ao desconectar	Nao ha finalidade apos a desconexao
Backups	30 dias em rotacao	Recuperacao de desastres; dados excluidos da base principal desaparecerao naturalmente dos backups em ate 30 dias

9. Direitos do Titular (LGPD Art. 18)

Voce, enquanto titular, pode exercer gratuitamente os seguintes direitos:

Confirmacao da existencia de tratamento
Acesso aos dados tratados (copia em formato estruturado)
Correcao de dados incompletos, inexatos ou desatualizados
Anonimizacao, bloqueio ou eliminacao de dados desnecessarios, excessivos ou tratados em desconformidade
Portabilidade a outro fornecedor, observados os segredos comercial e industrial
Eliminacao dos dados tratados com consentimento, ressalvadas as hipoteses do Art. 16
Informacao sobre entidades publicas e privadas com as quais compartilhamos dados
Informacao sobre a possibilidade de nao fornecer consentimento e as consequencias
Revogacao do consentimento, a qualquer momento
Oposicao a tratamento baseado em legitimo interesse
Revisao de decisoes automatizadas (Art. 20): quando uma decisao afete seus interesses e tenha sido tomada unicamente com base em tratamento automatizado (incluindo IA), voce tem direito a solicitar revisao por pessoa natural

Prazo de resposta: atenderemos solicitacoes em ate 15 dias contados do recebimento (prazo orientado pela ANPD). Em casos complexos, poderemos comunicar a extensao justificada do prazo.

Quando a Shiftmind atua como Operadora: solicitacoes relativas a dados de Visitantes devem ser encaminhadas preferencialmente ao Assinante (empresa que opera o site onde voce interagiu com o chatbot), que e o Controlador. Caso a Shiftmind receba diretamente, repassaremos ao Assinante e auxiliaremos tecnicamente na execucao.

Para exercer qualquer direito: envie e-mail para dpo@shiftmind.com.br ou acesse nossa pagina de Exclusao de Dados. Em caso de negativa ou nao resposta, voce pode reclamar a ANPD ou a orgao de defesa do consumidor.

10. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias similares (localStorage, sessionStorage) estritamente necessarios ao funcionamento, alem de cookies de analise com base em legitimo interesse:

Categoria	Finalidade	Base Legal
Essenciais	Sessao, autenticacao, seguranca CSRF, preferencias de interface	Execucao de contrato / Legitimo interesse
Funcionais	Lembrar identificador de sessao do Visitante no widget para continuar a conversa	Legitimo interesse
Analiticos (agregados)	Medir uso agregado da plataforma (pagina mais visitada, tempo de sessao) sem identificar individuos	Legitimo interesse

Nao utilizamos cookies de publicidade comportamental de terceiros. Voce pode gerenciar cookies pelas configuracoes do seu navegador; desabilitar cookies essenciais impede o funcionamento do servico.

11. Menores de Idade

O servico ChatBot Simples nao e direcionado a menores de 18 anos. Nao coletamos intencionalmente dados de menores para fins proprios. Caso identifiquemos dados pessoais de menor em nosso tratamento sem respaldo adequado (consentimento especifico de ao menos um dos pais/responsaveis, conforme Art. 14 LGPD), procederemos a exclusao imediata.

Responsabilidade do Assinante: se o chatbot configurado pelo Assinante atender publico potencialmente incluindo menores, e responsabilidade exclusiva do Assinante obter consentimento especifico e destacado de pais ou responsaveis nos termos do Art. 14, observando o melhor interesse da crianca ou adolescente.

12. Decisoes Automatizadas e Inteligencia Artificial

Quando o Assinante ativa a funcionalidade de IA, mensagens de Visitantes sao processadas por modelos de linguagem (GPT-4o ou equivalente) para gerar respostas automaticas. Esclarecimentos importantes:

A IA nao toma decisoes juridicas, medicas, financeiras ou de credito automaticamente
A IA pode gerar respostas incorretas, incompletas ou desatualizadas ("alucinacoes") — o Assinante deve revisar e configurar o comportamento
O Visitante pode solicitar, a qualquer momento durante a conversa, atendimento humano (digitando "atendente" ou expressao similar)
Titulares de dados tem direito a solicitar revisao por pessoa natural de decisoes tomadas unicamente por IA que afetem seus interesses (LGPD Art. 20)
Nao utilizamos dados de conversas dos Visitantes para treinar modelos de IA proprios ou de terceiros sem consentimento especifico

13. Alteracoes desta Politica

Podemos atualizar esta Politica de Privacidade periodicamente para refletir alteracoes no servico, na legislacao ou em nossas praticas. Mudancas relevantes que impactem direitos ou finalidades serao comunicadas por e-mail aos Assinantes com antecedencia minima de 30 dias, salvo quando a urgencia legal ou regulatoria exigir prazo menor. A data da ultima atualizacao e a versao constam no topo deste documento. O historico de versoes fica disponivel mediante solicitacao ao DPO.

14. Contato, Reclamacoes e Foro

Para duvidas, solicitacoes ou reclamacoes relativas ao tratamento de dados pessoais:

Encarregado de Dados (DPO): Danilo de Sousa Pedrosa — dpo@shiftmind.com.br — +55 (11) 4055-5583
Suporte geral: contato@shiftmind.com.br
Endereco postal: Av. Paulista, 1.471, Conj. 511, Bela Vista, Sao Paulo/SP - CEP 01311-927
Autoridade Nacional de Protecao de Dados (ANPD): gov.br/anpd
Orgaos de defesa do consumidor: consumidor.gov.br e Procon do seu estado

Esta Politica e regida pela legislacao brasileira. Eventuais conflitos serao submetidos ao foro competente segundo a legislacao aplicavel — tratando-se de titular consumidor pessoa fisica, prevalece a competencia do foro do seu domicilio, nos termos do Art. 101, I da Lei no 8.078/1990 (Codigo de Defesa do Consumidor).

← Voltar ao inicio | Termos de Uso | Exclusao de Dados