Política de Privacidade

A SMSFlow, produto da HubFlow AI Tecnologia LTDA, inscrita no CNPJ nº 53.367.693/0001-11, com sede em Itajaí/SC, Brasil ("nós", "nosso" ou "Empresa"), respeita a sua privacidade e está comprometida em proteger seus dados pessoais em plena conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), o Marco Civil da Internet (Lei 12.965/2014) e demais legislações aplicáveis.

Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos suas informações quando você utiliza nossos serviços de gateway de SMS.

Controlador dos Dados: HubFlow AI Tecnologia LTDA

Email do DPO: [email protected]

Contato Geral: [email protected]

2.1. Dados de Cadastro (fornecidos por você):

• Nome completo

• Endereço de e-mail

• Número de telefone

• Dados empresariais (razão social, CNPJ — quando aplicável)

• Senha (armazenada em hash criptografado, nunca em texto claro)

2.2. Dados de Uso e Técnicos (coletados automaticamente):

• Logs de acesso: data, hora, endereço IP, User-Agent do navegador

• Histórico de mensagens enviadas: número do destinatário, status de entrega, data/hora (NÃO o conteúdo das mensagens)

• Informações do dispositivo Android conectado: modelo, versão do Android, identificador único do dispositivo

• Dados de sessão e cookies necessários para funcionamento do painel

2.3. Dados de Pagamento:

• Processados integralmente pelo Mercado Pago (BRL) e Stripe (USD/EUR/GBP)

• NÃO armazenamos dados de cartão de crédito ou dados bancários sensíveis em nossos servidores

• Registramos apenas: ID da transação, plano adquirido, data e valor — para fins contábeis e fiscais

2.4. Comunicações:

• Mensagens trocadas com nosso suporte (email, WhatsApp)

• Feedbacks e avaliações fornecidos voluntariamente

Dado Especialmente Importante: O conteúdo das mensagens SMS enviadas pelo seu dispositivo Android NÃO transita pelos nossos servidores. Registramos apenas metadados (status, horário, destinatário) — nunca o texto das mensagens.

Tratamos seus dados para as seguintes finalidades, com as respectivas bases legais da LGPD (Art. 7º):

3.1. Prestação dos Serviços Contratados (Base: Execução de Contrato — Art. 7º, V):

• Criação e manutenção de sua conta

• Provisão do acesso ao painel de controle e API

• Processamento de transações e emissão de faturas

• Suporte técnico e atendimento ao cliente

• Envio de comunicações operacionais (alertas de sistema, notificações de uso)

3.2. Cumprimento de Obrigações Legais (Base: Obrigação Legal — Art. 7º, II):

• Manutenção de registros fiscais e contábeis (Lei 9.249/1995)

• Atendimento a solicitações de autoridades competentes (judicial ou administrativa)

• Cumprimento de obrigações regulatórias da Anatel

3.3. Marketing e Comunicações Opcionais (Base: Consentimento — Art. 7º, I):

• Envio de newsletters, novidades e promoções

• Comunicações sobre novos recursos e planos

• Pesquisas de satisfação e NPS

Você pode revogar este consentimento a qualquer momento pelo painel ou pelo link de descadastro nos emails.

3.4. Prevenção de Fraudes e Segurança (Base: Interesse Legítimo — Art. 7º, IX):

• Monitoramento de atividades suspeitas

• Prevenção de abuso da plataforma e spam

• Segurança da conta e proteção contra acessos não autorizados

• Análises agregadas para melhoria do serviço (dados anonimizados)

Compartilhamos seus dados pessoais apenas nas seguintes situações:

4.1. Provedores de Serviço (processadores de dados — Art. 7º, V):

• **Mercado Pago:** Processamento de pagamentos em BRL (Mercado Livre S.A.)

• **Stripe, Inc.:** Processamento de pagamentos internacionais (USD/EUR/GBP)

• **Firebase / Google LLC:** Autenticação e identidade do usuário; Google cumpre o EU-US Data Privacy Framework

• **Hetzner Online GmbH:** Hospedagem em servidores na Alemanha (UE/GDPR)

• **Twilio / SendGrid:** Envio de emails transacionais (confirmação de cadastro, alertas)

Todos os nossos processadores são vinculados por contratos de processamento de dados (DPA) que garantem nível adequado de proteção.

4.2. Autoridades e Cumprimento Legal (Art. 7º, II e VI):

Podemos divulgar seus dados quando exigido por lei, ordem judicial ou regulatória, incluindo solicitações da Anatel, ANPD, Receita Federal ou outras autoridades competentes.

4.3. Transferência de Negócio:

Em caso de fusão, aquisição ou venda de ativos da HubFlow AI, seus dados poderão ser transferidos ao adquirente, mediante notificação prévia por email.

NÃO fazemos:

• Venda de dados pessoais a terceiros

• Compartilhamento com fins publicitários sem seu consentimento

• Compartilhamento do conteúdo de suas mensagens SMS

Alguns de nossos parceiros de serviço estão localizados fora do Brasil. Garantimos proteção adequada por meio de:

• **Cláusulas Contratuais Padrão** aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD), ou mecanismo equivalente

• **Consentimento específico** do titular quando exigido

• **Necessidade de execução do contrato** para serviços essenciais (ex.: autenticação via Firebase)

Os principais países de destino incluem: Alemanha (UE — Hetzner, nível de proteção equivalente), Estados Unidos (Firebase/Google e Stripe — sob Privacy Shield/SCCs).

Retemos seus dados pelo tempo necessário para cumprir as finalidades descritas nesta Política:

• **Dados de conta ativa:** Enquanto a conta estiver ativa e por mais 5 anos após encerramento (prazo prescricional geral — Art. 205 do CC)

• **Registros de transações:** 5 anos (obrigações fiscais — Receita Federal)

• **Logs de acesso:** 6 meses (Marco Civil da Internet, Art. 15) + 12 meses adicionais para segurança

• **Dados de marketing:** Até revogação do consentimento ou solicitação de exclusão

• **Backups criptografados:** 90 dias após a exclusão da conta

Após o vencimento dos prazos de retenção, os dados são eliminados de forma segura ou anonimizados irreversivelmente.

Como titular de dados, você tem os seguintes direitos:

• **Confirmação e Acesso:** Confirmar se tratamos seus dados e obter cópia dos mesmos

• **Correção:** Solicitar correção de dados incompletos, inexatos ou desatualizados

• **Anonimização, Bloqueio ou Eliminação:** De dados desnecessários, excessivos ou tratados em desconformidade com a LGPD

• **Portabilidade:** Receber seus dados em formato estruturado para outro serviço

• **Eliminação:** De dados tratados com seu consentimento (com exceções legais)

• **Informação:** Saber com quem compartilhamos seus dados e as bases legais

• **Revogação do Consentimento:** Retirar o consentimento dado anteriormente

• **Oposição:** Se opor ao tratamento realizado com base em legítimo interesse

Para exercer seus direitos, acesse Configurações → Privacidade no painel, ou envie solicitação para [email protected]. Responderemos em até 15 dias úteis (Art. 18, §5º, LGPD).

Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados contra acesso não autorizado, perda, alteração ou destruição (Art. 46, LGPD):

• Criptografia SSL/TLS 1.3 em todas as comunicações entre cliente e servidor

• Senhas armazenadas em hash bcrypt (fator de custo ≥ 12) — nunca em texto claro

• Autenticação de dois fatores (2FA) disponível para todas as contas

• Controle de acesso baseado em funções (RBAC) com princípio do menor privilégio

• Monitoramento e alertas de segurança em tempo real (24/7)

• Backups criptografados com chave AES-256, armazenados em local geograficamente separado

• Política de senhas fortes e rotação periódica de credenciais de infraestrutura

• Plano de resposta a incidentes com notificação à ANPD e titulares em até 72 horas quando exigido

Em caso de incidente de segurança que possa afetar seus dados, notificaremos você por email o mais brevemente possível.

Utilizamos cookies e tecnologias similares para:

• **Cookies Essenciais:** Necessários para o funcionamento do painel (sessão de login, preferências de idioma). Não podem ser desativados.

• **Cookies Analíticos:** Análise de uso agregado e anonimizado para melhoria do produto (Google Analytics). Ativados apenas com seu consentimento.

• **Cookies de Marketing:** Para personalização de campanhas externas. Ativados apenas com seu consentimento explícito.

Você pode gerenciar suas preferências de cookies no banner de consentimento exibido no primeiro acesso ou nas configurações do seu navegador. Consulte nossa Política de Cookies separada para mais detalhes.

Nossos serviços são destinados a maiores de 18 anos. Não coletamos intencionalmente dados de menores de 18 anos. Se tomarmos conhecimento de que coletamos dados de um menor de forma não intencional, excluiremos tais dados imediatamente.

Se você é pai, mãe ou responsável legal e acredita que seu filho forneceu dados ao SMSFlow, entre em contato conosco em [email protected].

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas ou na legislação. Notificaremos você sobre alterações significativas por email com no mínimo 30 dias de antecedência. A data da última atualização está indicada no início desta página.

Recomendamos que você revise esta Política regularmente. O uso continuado dos serviços após a entrada em vigor das alterações implica aceitação da versão atualizada.