SiteUp
Começar
Legal

Política de Privacidade

Esta política descreve como a SiteUp coleta, utiliza, armazena, compartilha e protege os dados pessoais dos Usuários e Contatos da Plataforma, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e demais regulamentações aplicáveis.

Última atualização: 28 de abril de 2026

1. Quem Somos

A controladora dos dados pessoais é a Siteup Marketing Digital e Automação LTDA, CNPJ 59.444.433/0001-89, com sede na Rua Silveira Martins, 805, Apto 801, Centro, Erechim/RS, CEP 99.700-234, Brasil. Para fins desta política, atuamos como controlador dos dados de cadastro de nossos Clientes (Usuários e Atendentes) e como operador dos dados de Contatos processados pelos Clientes através da Plataforma.

2. Dados que Coletamos

2.1 Dados de cadastro do Cliente

  • Nome completo, e-mail, telefone, CPF/CNPJ, endereço de cobrança.
  • Credenciais de acesso (e-mail e senha em hash bcrypt).
  • Foto de perfil e dados profissionais opcionais.

2.2 Dados de uso da Plataforma

  • Logs de acesso (IP, user-agent, timestamps).
  • Eventos de interação (mensagens enviadas, leads movidos, etapas alcançadas).
  • Cookies e identificadores de sessão (ver Política de Cookies).

2.3 Dados de Contatos (processados em nome do Cliente)

  • Nome, telefone, e-mail, foto de perfil pública, idioma, fuso horário.
  • Histórico de conversas em todos os canais conectados.
  • Mídia enviada (imagens, áudios, vídeos, documentos).
  • Metadados de mensagens (status de entrega, timestamps, identificadores das plataformas).
  • Notas internas, tags, atributos customizados criados pelo Cliente.

2.4 Dados sensíveis

A SiteUp não solicita ativamente dados sensíveis (saúde, biometria, orientação política, etc.). Caso esses dados sejam compartilhados pelos Contatos no curso de conversas, eles permanecem armazenados como parte do histórico, sob responsabilidade do Cliente como controlador desses dados.

3. Bases Legais de Tratamento (LGPD Art. 7º)

  • Execução de contrato: para prestar os serviços contratados pelo Cliente.
  • Consentimento: para envio de comunicações de marketing e cookies não essenciais.
  • Legítimo interesse: para prevenção a fraude, segurança da Plataforma e melhoria contínua.
  • Cumprimento de obrigação legal: para retenção de dados fiscais, contábeis e regulatórios.

4. Como Usamos os Dados

Os dados coletados são utilizados para:

  • Operar a Plataforma e prestar os serviços contratados.
  • Autenticar, autorizar e auditar acessos.
  • Processar pagamentos e emitir notas fiscais.
  • Comunicar suporte, atualizações de produto e avisos operacionais.
  • Treinar e melhorar funcionalidades de IA, exclusivamente em dados anonimizados ou com consentimento explícito do Cliente.
  • Detectar, investigar e prevenir fraudes, abusos e violações dos Termos.
  • Cumprir obrigações legais e regulatórias.

5. Compartilhamento com Terceiros

A SiteUp compartilha dados pessoais com prestadores de serviços (operadores) estritamente para a finalidade de operar a Plataforma. Cada terceiro tem sua própria política de privacidade, que recomendamos consultar. Os principais são:

5.1 Canais de mensageria

  • Meta Platforms, Inc. — WhatsApp Business Cloud API, Instagram Direct, Facebook Messenger. Política
  • 360Dialog GmbH — provedor BSP de WhatsApp Business. Política
  • Twilio Inc. — SMS e voz. Política
  • Telegram FZ-LLC — Telegram Bot API. Política
  • LINE Corporation — LINE Messaging API.

5.2 Inteligência Artificial e Processamento de Linguagem

  • OpenAI L.L.C. — modelos GPT para resumo, classificação, sugestão de respostas e transcrição. Política
  • Anthropic PBC — modelos Claude para o agente IA Capitão. Política
  • Google LLC — Speech-to-Text e Vertex AI. Política

Os provedores de IA processam dados sob contratos de processamento de dados (DPA) que vedam o uso para treinamento de modelos sem consentimento expresso. Conversas processadas pelo Capitão e pela transcrição não são utilizadas para treinar modelos públicos.

5.3 Marketing, Anúncios e Atribuição

  • Meta Platforms, Inc. — Conversions API (CAPI) para envio de eventos de conversão de leads.
  • Google LLC — Google Ads Conversion API, Google Analytics 4.

5.4 CRM e Vendas

  • HubSpot, Inc., Salesforce, Inc., Resultados Digitais (RD Station), Pipedrive — sincronização de leads e conversas quando ativada pelo Cliente.

5.5 Calendário, Comunicação e Produtividade

  • Google LLC — Google Calendar (sincronização bidirecional de agendamentos), Google Workspace SSO.
  • Microsoft Corporation — Outlook Calendar, Microsoft Teams, Microsoft 365 SSO.
  • Slack Technologies LLC — notificações e mensagens internas.

5.6 Dados de APIs do Google Workspace

A SiteUp utiliza a Google Calendar API (escopo https://www.googleapis.com/auth/calendar.events) para sincronizar o calendário pessoal/profissional do agente com o painel Kanban da SiteUp. O acesso é concedido individualmente por cada agente via OAuth e pode ser revogado a qualquer momento em https://myaccount.google.com/permissions.

Quais dados acessamos

  • Eventos do Google Calendar do agente autorizado: identificador, horário de início/fim, título e descrição.
  • Não acessamos Gmail, Drive, Contatos, Meet ou qualquer outro produto Google.

Para que usamos

  • Espelhar agendamentos criados no Kanban da SiteUp (campo scheduled_at) como eventos no Google Calendar do agente.
  • Ler eventos do calendário do agente para exibi-los na visão de agenda do Kanban, permitindo que o agente veja seus compromissos externos junto aos cards.
  • Atualizar e excluir esses eventos quando o card correspondente é alterado ou removido.

Como armazenamos

  • Em nossos servidores armazenamos apenas o identificador do evento do Google (event_id) e o horário, vinculados ao card Kanban correspondente. Esses dados ficam no banco de dados da SiteUp na União Europeia/Brasil.
  • Não armazenamos cópias persistentes do título, descrição ou participantes dos eventos: esses campos são lidos sob demanda e exibidos apenas para o próprio agente autenticado.
  • Tokens OAuth (access e refresh) ficam criptografados em repouso e são apagados em até 30 dias após o agente revogar o acesso ou excluir a conta.

O que NÃO fazemos com esses dados

  • Não vendemos, alugamos ou transferimos dados do Google Workspace para terceiros.
  • Não usamos dados do Google Workspace para publicidade, remarketing, Google Ads Conversion API, Meta Conversions API ou qualquer ferramenta de marketing.
  • Não usamos dados do Google Workspace para treinar, ajustar ou avaliar modelos de inteligência artificial ou machine learning, próprios ou de terceiros, ainda que de forma anonimizada ou agregada.
  • Não permitimos que humanos leiam dados do Google Workspace, exceto (i) com consentimento expresso e específico do próprio agente, (ii) por exigência legal, ou (iii) para fins de segurança/abuso e exclusivamente em escopo mínimo necessário.

Conformidade com Limited Use

The use of raw or derived user data received from Workspace APIs will adhere to the Google User Data Policy, including the Limited Use requirements.

(Tradução não-oficial: o uso de dados brutos ou derivados de usuário recebidos das Workspace APIs adere à Política de Dados do Usuário do Google, incluindo os requisitos de Uso Limitado.)

5.7 Pagamentos

  • Stripe, Inc. — processamento de cobrança recorrente e cartões. Política
  • Asaas Gestão Financeira S.A. — boletos, Pix e cartão (mercado brasileiro).
  • Mercado Libre / Mercado Pago — alternativa de pagamento.

A SiteUp não armazena dados completos de cartão de crédito — esses dados são tokenizados pelos provedores de pagamento.

5.8 Telefonia e VOIP

  • WAVOIP — chamadas via WhatsApp Business com transcrição.
  • Twilio Inc. — VOIP e gravação de chamadas (quando aplicável).

5.9 Automação e Workflows

  • Zapier, Inc., Make / Celonis SE, n8n.io GmbH — disparam fluxos a partir de eventos da Plataforma.

5.10 Infraestrutura e Hospedagem

  • Amazon Web Services (Amazon.com Services LLC) — armazenamento (S3), entrega (CloudFront), compute (EC2), banco de dados (RDS). Datacenters em São Paulo (sa-east-1) e Virginia (us-east-1) para redundância.
  • Cloudflare, Inc. — CDN, proteção contra DDoS e WAF.
  • Supabase — banco de dados PostgreSQL gerenciado quando aplicável.

6. Transferência Internacional de Dados

Vários dos provedores acima (Meta, Google, OpenAI, Anthropic, AWS, etc.) têm sede ou processam dados nos Estados Unidos e em outras jurisdições fora do Brasil. Realizamos essas transferências com base em (i) cláusulas contratuais padrão (Standard Contractual Clauses) com cada provedor, (ii) certificações de privacidade quando disponíveis, e (iii) consentimento do titular onde aplicável. O nível de proteção dos dados é mantido em padrão equivalente ao exigido pela LGPD.

7. Retenção

  • Dados de cadastro: enquanto a conta estiver ativa, mais 90 dias após encerramento.
  • Dados fiscais e contábeis: por até 5 anos após o encerramento, conforme exigência legal.
  • Conversas e mídia: enquanto a conta estiver ativa. Cliente pode solicitar exclusão antecipada.
  • Logs de segurança: até 12 meses para fins de auditoria e investigação.
  • Backups: rolam em janela de 30 dias e são apagados ao expirar.

8. Segurança

Adotamos medidas técnicas e organizacionais para proteger os dados:

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256).
  • Senhas armazenadas com hash bcrypt (cost factor 12+).
  • Autenticação multifator (MFA) opcional para Atendentes.
  • Princípio de privilégio mínimo no acesso interno aos dados.
  • Logs de auditoria de acessos administrativos e webhooks.
  • Backups criptografados, automatizados e testados periodicamente.
  • Monitoramento contínuo, WAF, rate limiting e detecção de intrusão.
  • Ambientes de produção, homologação e desenvolvimento estritamente segregados.
  • Treinamento periódico do time em segurança da informação e LGPD.

9. Direitos do Titular (LGPD Art. 18)

Como titular dos seus dados, você tem direito a:

  • Confirmação da existência de tratamento.
  • Acesso aos dados pessoais.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
  • Portabilidade dos dados a outro fornecedor.
  • Eliminação dos dados tratados com base no consentimento.
  • Informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
  • Revogação do consentimento.
  • Oposição ao tratamento realizado com fundamento em hipótese de dispensa de consentimento, em caso de descumprimento da LGPD.

Para exercer qualquer destes direitos, entre em contato com nosso Encarregado de Proteção de Dados (DPO) pelo e-mail dpo@siteup.com.br. Responderemos em até 15 dias.

10. Cookies e Tecnologias de Rastreamento

Detalhes em nossa Política de Cookies. Em resumo: usamos cookies essenciais para autenticação e funcionamento, e cookies analíticos com seu consentimento explícito.

11. Crianças e Adolescentes

A Plataforma é destinada a uso profissional por maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos coleta indevida, eliminaremos os dados imediatamente. Se você é responsável legal e suspeita que dados de um menor foram processados, contate o DPO.

12. Encarregado de Dados (DPO)

Em conformidade com o Art. 41 da LGPD, indicamos:

  • Nome: Lucas Debroin de Oliveira
  • E-mail: dpo@siteup.com.br
  • Endereço: Rua Silveira Martins, 805, Apto 801, Centro, Erechim/RS, CEP 99.700-234

13. Alterações desta Política

Esta Política pode ser atualizada periodicamente. Alterações materiais serão comunicadas com 30 dias de antecedência via e-mail e/ou aviso na Plataforma. A data de "última atualização" no topo desta página indica a versão vigente.

14. Contato

Dúvidas, reclamações ou exercício de direitos: dpo@siteup.com.br. Para outros assuntos: contato@siteup.com.br ou WhatsApp.

Documento modelo. [REVISAR] indica pontos a validar com o departamento jurídico antes da publicação. Os links para políticas de terceiros podem mudar — verificar periodicamente.

Voltar pra home