Sua privacidade, sem juridiquês.

Esta Política de Privacidade descreve como a Catalisa coleta, utiliza, armazena e protege seus dados pessoais. Controlador de dados: Catalisa Tecnologia e Dados LTDA CNPJ: 49.646.439/0001-85 Endereço: Rodovia Raposo Tavares, 7389 - São Paulo - SP - Brasil - 05577-902 Encarregado de Proteção de Dados (DPO): E-mail: privacidade@catalisa.io Canal de atendimento: privacidade@catalisa.io

Esta Política aplica-se ao tratamento de dados pessoais realizado pela Catalisa em duas categorias: (a) Dados de usuários da Plataforma: informações pessoais fornecidas por você ao criar uma conta, utilizar nossos serviços ou interagir com nosso site. (b) Dados de clientes dos usuários: informações pessoais de terceiros (clientes finais do Usuário) que são processadas através da Plataforma, especialmente via integrações com WhatsApp. Para esses dados, a relação entre Catalisa e o Usuário segue os papéis definidos na Seção 13. Esta Política é parte integrante dos Termos de Uso da Plataforma.

Coletamos as seguintes categorias de dados pessoais:

• Dados de cadastro (base legal: execução de contrato): nome completo, e-mail corporativo, telefone, nome da empresa, cargo, CNPJ. Coletados no momento do registro na Plataforma.
• Dados de uso (base legal: legítimo interesse): interações com a Plataforma, funcionalidades utilizadas, logs de acesso, horários de uso, ações realizadas. Coletados automaticamente durante o uso.
• Dados de comunicação (base legal: execução de contrato): mensagens processadas pela Plataforma, templates de mensagens, configurações de Workflows e Agentes IA. Processados conforme instruções do Usuário.
• Dados técnicos (base legal: legítimo interesse): endereço IP, tipo e versão do navegador, sistema operacional, dispositivo, resolução de tela, páginas acessadas, tempo de permanência. Coletados automaticamente por cookies e tecnologias similares.

O tratamento de dados pessoais pela Catalisa fundamenta-se nas seguintes bases legais previstas na LGPD:

• Execução de contrato (Art. 7, V): tratamento necessário para a prestação dos serviços contratados, incluindo criação de conta, processamento de mensagens, execução de Workflows e fornecimento de suporte técnico.
• Legítimo interesse (Art. 7, IX): tratamento necessário para melhorar a Plataforma, garantir segurança, prevenir fraudes, realizar análises de uso e enviar comunicações sobre o serviço. Realizamos avaliação de impacto (LIA) para assegurar que nossos interesses não se sobrepõem aos direitos do titular.
• Consentimento (Art. 7, I): utilizado para finalidades específicas como envio de comunicações de marketing, uso de cookies analíticos e de marketing, e participação em pesquisas. O consentimento pode ser revogado a qualquer momento sem prejuízo do tratamento realizado anteriormente.
• Cumprimento de obrigação legal (Art. 7, II): tratamento necessário para cumprir obrigações legais e regulatórias, incluindo retenção de dados fiscais e financeiros, atendimento a requisições de autoridades competentes e manutenção de registros exigidos por lei.

Utilizamos seus dados pessoais para as seguintes finalidades:

• Prestação dos serviços: operar a Plataforma, processar automações e Workflows, executar Agentes IA e fornecer as funcionalidades contratadas.
• Gerenciamento da conta: criar e manter sua conta, autenticar acessos, gerenciar permissões e preferências.
• Suporte técnico: atender solicitações de suporte, diagnosticar problemas e fornecer assistência técnica.
• Comunicações de serviço: enviar notificações sobre manutenções, atualizações, alterações nos termos e informações essenciais sobre o serviço.
• Melhoria da Plataforma: analisar padrões de uso (de forma agregada), identificar melhorias, desenvolver novas funcionalidades e corrigir erros.
• Segurança: monitorar atividades suspeitas, prevenir fraudes, detectar vulnerabilidades e proteger a integridade da Plataforma.
• Cumprimento legal: atender obrigações legais, regulatórias e requisições de autoridades competentes.
• Marketing (com consentimento): enviar comunicações sobre novos recursos, conteúdo educativo e ofertas, somente quando autorizado pelo titular.

Nosso site e Plataforma utilizam cookies e tecnologias similares para melhorar sua experiência. Utilizamos o Google Tag Manager (GTM) e Google Analytics 4 (GA4) com Consent Mode v2 implementado. Categorias de cookies:

• Cookies estritamente necessários: essenciais para o funcionamento da Plataforma, incluindo autenticação, segurança e preferências de sessão. Armazenados via localStorage e cookies de sessão. Não requerem consentimento.
• Cookies analíticos (GA4): coletam dados agregados sobre uso do site e da Plataforma para fins de melhoria. Incluem: _ga (identificação do usuário, 2 anos), _ga_* (estado da sessão, 2 anos). Requerem consentimento.
• Cookies de marketing: utilizados para direcionar comunicações relevantes. Ativados apenas com consentimento explícito via banner de cookies.
• Recursos externos (imagens): nosso site pode carregar imagens ilustrativas de serviços de terceiros, como Unsplash (Imgur Inc.), para enriquecer o conteúdo editorial. Ao carregar essas imagens, seu navegador realiza requisições diretas aos servidores do provedor, que pode receber dados técnicos como endereço IP, user-agent e URL da página visitada. Esses recursos são carregados com base em legítimo interesse (Art. 7, IX da LGPD) para melhoria da experiência do usuário. Não requerem consentimento adicional, pois não instalam cookies nem rastreadores.

Não vendemos seus dados pessoais. Compartilhamos dados apenas com as seguintes categorias de destinatários, na medida necessária para as finalidades descritas nesta Política:

• Provedores de infraestrutura (AWS/GCP): hospedagem, armazenamento e processamento de dados. Servidores localizados no Brasil, com replicação para continuidade de serviço.
• Meta/WhatsApp: processamento de mensagens através da API do WhatsApp Business. Necessário para o funcionamento das integrações de comunicação. Sujeito aos Termos de Serviço e Política de Privacidade do WhatsApp.
• Anthropic (Claude): processamento de linguagem natural e geração de conteúdo por Agentes IA. Dados podem ser transferidos para servidores nos Estados Unidos (ver Seção 8).
• OpenAI (GPT): processamento de linguagem natural e geração de conteúdo por Agentes IA. Dados podem ser transferidos para servidores nos Estados Unidos (ver Seção 8).
• Unsplash (Imgur Inc.): fornecimento de imagens ilustrativas para conteúdo editorial do site. Ao carregar páginas com imagens externas, seu navegador realiza requisições aos servidores da Unsplash, que podem receber dados técnicos (endereço IP, user-agent). Nenhum dado pessoal é compartilhado ativamente pela Catalisa. Sujeito à Política de Privacidade da Unsplash (unsplash.com/privacy).
• Microsoft Clarity: ferramenta de análise de comportamento e mapas de calor para melhoria da experiência do usuário. Pode coletar dados de interação como cliques, rolagem e movimentos do mouse. Sujeito à Política de Privacidade da Microsoft.
• Autoridades competentes: quando exigido por lei, determinação judicial ou administrativa, ou para proteção de direitos em processos judiciais.

Alguns dos nossos subprocessadores, especificamente Anthropic e OpenAI, operam servidores nos Estados Unidos. Isso significa que dados pessoais processados por Agentes IA podem ser transferidos para fora do Brasil. Para garantir a proteção adequada dos dados transferidos internacionalmente, adotamos as seguintes salvaguardas conforme a LGPD (Art. 33): (a) Cláusulas contratuais padrão com compromissos de proteção de dados equivalentes aos da legislação brasileira. (b) Avaliação de impacto de transferência internacional para verificar o nível de proteção do país destinatário. (c) Garantias de que os subprocessadores aplicam medidas técnicas e organizacionais adequadas para proteção dos dados. Minimizamos a transferência de dados pessoais para o exterior, utilizando anonimização e pseudonimização sempre que possível antes do envio para processamento por modelos de IA.

Implementamos medidas técnicas e organizacionais robustas para proteger seus dados pessoais contra acesso não autorizado, destruição, perda, alteração ou vazamento:

• Criptografia em trânsito (TLS 1.2+) para todas as comunicações entre o navegador e nossos servidores.
• Criptografia em repouso (AES-256) para dados armazenados em nossos bancos de dados e sistemas de arquivos.
• Isolamento multi-tenant com controle de acesso baseado em papéis (RBAC), garantindo que cada organização acesse apenas seus próprios dados.
• Mascaramento automático de dados sensíveis (PII masking) nos logs e ambientes de desenvolvimento.
• Backups automáticos com redundância geográfica e testes periódicos de restauração.
• Monitoramento 24/7 com detecção de anomalias e alertas de segurança em tempo real.
• Infraestrutura primária hospedada em data centers no Brasil com certificações de segurança (ISO 27001, SOC 2).
• Testes de penetração periódicos realizados por equipes especializadas.
• Programa de treinamento em segurança e privacidade para todos os colaboradores.

Retemos seus dados pessoais apenas pelo tempo necessário para cumprir as finalidades descritas nesta Política, observando os seguintes prazos:

• Dados de conta: mantidos enquanto a conta estiver ativa, acrescidos de 6 (seis) meses após o encerramento para permitir reativação e atender obrigações legais.
• Logs de acesso e segurança: mantidos por 12 (doze) meses, conforme exigido pelo Marco Civil da Internet (Lei nº 12.965/2014).
• Dados de comunicação (mensagens): mantidos conforme configuração do Workflow do Usuário, acrescidos de 90 (noventa) dias após a exclusão para fins de backup e recuperação.
• Dados financeiros e fiscais: mantidos por 5 (cinco) anos, conforme legislação tributária brasileira.
• Dados anonimizados e agregados: podem ser mantidos indefinidamente, pois não permitem a identificação do titular.

De acordo com a LGPD, você possui os seguintes direitos em relação aos seus dados pessoais:

• Confirmação da existência de tratamento: saber se a Catalisa trata seus dados pessoais.
• Acesso aos dados: obter cópia dos dados pessoais que possuímos sobre você.
• Correção de dados: solicitar a correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação: solicitar quando os dados forem desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade dos dados: obter seus dados em formato estruturado para transferência a outro fornecedor de serviço.
• Eliminação de dados tratados com consentimento: solicitar a exclusão de dados cujo tratamento tenha sido baseado em consentimento.
• Informação sobre compartilhamento: saber com quais entidades públicas e privadas seus dados foram compartilhados.
• Oposição ao tratamento: opor-se ao tratamento realizado com base em legítimo interesse, caso entenda que seus direitos prevalecem.
• Revisão de decisões automatizadas: solicitar revisão humana de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, incluindo decisões de Agentes IA.

A Plataforma utiliza Agentes IA que processam dados pessoais de forma automatizada para gerar respostas, classificar solicitações e executar Workflows. Conforme a LGPD (Art. 20), você tem o direito de solicitar revisão humana de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões sobre perfilamento. Para solicitar revisão humana ou obter informações sobre a lógica utilizada nas decisões automatizadas, entre em contato com nosso Encarregado de Proteção de Dados através do e-mail privacidade@catalisa.io. Responderemos em até 15 (quinze) dias úteis.

Quando o Usuário processa dados pessoais de seus próprios clientes através da Plataforma (especialmente via integrações com WhatsApp), as partes atuam nos seguintes papéis: - Usuário: Controlador dos dados pessoais de seus clientes. Responsável por definir a finalidade e base legal do tratamento, informar seus clientes sobre o uso da Plataforma e atender solicitações de direitos dos titulares. - Catalisa: Operadora dos dados pessoais dos clientes do Usuário. Processa os dados exclusivamente conforme as instruções do Usuário e para a prestação dos serviços contratados. O Usuário é responsável por: (a) Garantir que possui base legal válida para processar os dados de seus clientes através da Plataforma. (b) Fornecer informações claras aos seus clientes sobre o tratamento de dados, incluindo a existência de processamento por inteligência artificial. (c) Atender solicitações de direitos dos titulares em tempo hábil. (d) Celebrar um Acordo de Processamento de Dados (DPA) com a Catalisa, quando necessário, disponível mediante solicitação.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais, a Catalisa adotará as seguintes medidas: (a) Notificação à Autoridade Nacional de Proteção de Dados (ANPD) em até 72 (setenta e duas) horas após a confirmação do incidente, conforme Art. 48 da LGPD. (b) Comunicação ao titular dos dados afetados, em prazo razoável, contendo: descrição da natureza dos dados afetados, informações sobre os riscos, medidas adotadas para mitigar os efeitos e orientações ao titular. (c) Registro interno do incidente com documentação completa: natureza, dados afetados, titulares impactados, medidas técnicas adotadas e resultado das ações de contenção. (d) Notificação ao Usuário (quando Operadora) para que este tome as providências necessárias junto a seus clientes.

Menores de idade. Nossos serviços não são destinados a menores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de menores. Caso tome conhecimento de que dados de um menor foram coletados, entre em contato conosco para que possamos excluí-los. Alterações nesta Política. Podemos atualizar esta Política de Privacidade periodicamente. Alterações significativas serão comunicadas com antecedência mínima de 30 (trinta) dias por e-mail ou notificação na Plataforma. O uso continuado da Plataforma após o prazo de notificação constitui aceitação da Política atualizada. Contato. Para exercer seus direitos, esclarecer dúvidas ou enviar reclamações sobre esta Política: E-mail do DPO: privacidade@catalisa.io E-mail geral: contato@catalisa.io WhatsApp: +55 11 97730-3414 Foro. Fica eleito o foro da Comarca de São Paulo, Estado de São Paulo, Brasil, para dirimir quaisquer controvérsias decorrentes desta Política.