Política de Privacidade

A plataforma Followasy é operada por KODE SISTEMAS E CONSULTORIA INOVA SIMPLES (I.S.), inscrita no CNPJ nº 64.161.288/0001-69, com sede na Rua Resplendor, 40, Cruzeiro Celeste, João Monlevade/MG, CEP 35931-104 (“Followasy”, “nós”).

Atuamos em dois papéis distintos, nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD):

• Controladora dos dados de cadastro e operação das contas, organizações e usuários da plataforma (por exemplo: seu nome, e-mail, dados de sessão e de cobrança).
• Operadora dos dados que sua organização insere e trata sobre os próprios clientes e contatos (leads, conversas e mensagens). Nesse caso, a sua organização é a controladora e define as finalidades; nós apenas processamos conforme estes Termos e suas instruções.

Quando você conecta um canal (WhatsApp, Gmail, Outlook), tratamos os dados dessas caixas ou contas em nome da sua organização, exclusivamente para viabilizar o atendimento.

Coletamos diferentes categorias de dados conforme você usa a plataforma.

Conta e usuário

Identificação

Nome completo, e-mail (único) e foto de perfil (avatar).

Autenticação

Senha armazenada apenas como hash Argon2id — nunca em texto puro — e o status de verificação do e-mail.

Login social

Se você entra com Google ou Microsoft, recebemos apenas seu perfil básico e e-mail (identidade), nunca o conteúdo da sua caixa de mensagens.

Não coletamos telefone, cargo, idioma, fuso horário, gênero ou país do usuário — esses campos não existem no cadastro.

Organização

Dados da organização

Nome, identificador (slug), logo, limites do plano e configurações.

Membros e convites

Vínculo entre usuário e organização, papéis e permissões (RBAC), e convites enviados (e-mail, status e expiração).

Contatos e leads

Dados que sua organização cadastra ou recebe sobre os próprios clientes:

• Nome, e-mail e telefone do contato.
• Identidades por canal (telefone, e-mail ou identificador do WhatsApp), tags, origem e responsável.
• Posição no funil (pipeline e etapa) e campos personalizados definidos por cada projeto.
• Foto de perfil do contato (por exemplo, do WhatsApp), quando disponível.

Mensagens e conversas

• Conteúdo das mensagens trocadas, sentido (entrada ou saída), autor, anexos e mídias.
• Status da conversa, canal, contato vinculado e operador responsável.
• Nos canais de e-mail, o conteúdo completo do e-mail (ver a seção sobre integrações de e-mail).

Dados técnicos

Sessão

Endereço IP e user-agent do login, com expiração de 7 dias.

Registros de auditoria

Ator, ação, recurso, IP, user-agent e data/hora de operações sensíveis.

Logs de requisição

Apenas identificador de correlação, método, URL e código de status — não registramos corpo nem cabeçalhos sensíveis.

Cookies

Cookie de sessão (HttpOnly, Secure) e cookies de análise de uso (ver a seção de Cookies).

Quando você conecta uma caixa de e-mail como canal de atendimento, autoriza explicitamente — na tela de consentimento do provedor — que a Followasy acesse sua conta para ler e enviar e-mails em seu nome.

Escopos solicitados

• Gmail: openid, email, profile, gmail.readonly e gmail.send. Não solicitamos escopos para modificar, etiquetar ou excluir e-mails.
• Outlook (Microsoft Graph): openid, email, profile, offline_access, User.Read, Mail.Read e Mail.Send.

O que lemos e o que salvamos

• Lemos cabeçalhos (remetente, destinatários, assunto e data), o corpo do e-mail (HTML e texto) e os anexos das mensagens recebidas.
• Salvamos o e-mail recebido para exibi-lo na conversa: o HTML original, um texto alternativo, uma lista restrita de cabeçalhos (remetente, destinatários, assunto, data, message-id) e os anexos e imagens, armazenados no nosso provedor de arquivos.
• O endereço do remetente é usado como identidade do contato no CRM.

Envio em seu nome

Respostas e mensagens de primeiro contato são enviadas a partir da caixa conectada, usando o escopo de envio que você autorizou.

Conformidade com a Política de Dados do Google

Desconexão

Você pode desconectar e excluir o canal a qualquer momento; a partir daí, paramos de usar o token de acesso. Com transparência: atualmente a revogação do token junto ao Google ou à Microsoft não é automática — recomendamos revogar o acesso também em myaccount.google.com ou no portal da Microsoft — e os e-mails e anexos já recebidos permanecem armazenados até a exclusão explícita do canal, do projeto ou da organização (ver a seção de Retenção).

Tratamos dados pessoais para as finalidades abaixo, com as respectivas bases legais da LGPD:

Operar sua conta

Login, verificação de e-mail e redefinição de senha. Base: execução de contrato.

Prestar o atendimento

Exibir conversas, responder, atribuir operadores e organizar contatos e funis. Base: execução de contrato.

Primeiro contato e follow-up

Iniciar conversas proativas pelos canais que você conectou. Base: legítimo interesse da sua organização, sob a responsabilidade dela quanto ao consentimento dos contatos.

Inteligência artificial

Gerar respostas automáticas quando há um agente de IA configurado no canal. Base: execução de contrato e legítimo interesse.

Cobrança

Gerenciar assinatura e créditos. Base: execução de contrato.

Segurança e auditoria

Prevenção a fraude e abuso, limites de uso e registros de auditoria. Base: legítimo interesse e cumprimento de obrigação legal.

Comunicações transacionais

E-mails de verificação, redefinição de senha e convite. Base: execução de contrato.

Alguns canais podem ter um agente de IA configurado pela sua organização. Quando isso ocorre, a IA processa as mensagens da conversa e pode responder automaticamente ao cliente — não é apenas uma sugestão.

Canais sem agente são 100% humanos. O controle de ligar ou desligar a IA é a presença ou não de um agente atribuído ao canal.

• Usamos a OpenRouter como provedora de modelos de linguagem e de embeddings. São enviados a ela as mensagens da conversa, as instruções do agente, trechos da base de conhecimento e o contexto do contato, apenas para gerar a resposta.
• Usamos o Mem0 (hospedado na nossa infraestrutura) para a memória de longo prazo da IA, isolada por organização, projeto, agente e contato.

Não vendemos dados pessoais. Compartilhamos dados apenas com prestadores que viabilizam o serviço, na medida necessária:

Não recebemos nem armazenamos dados de cartão: o pagamento é processado inteiramente pela Stripe (checkout hospedado).

Usamos um conjunto mínimo de cookies e tecnologias:

Essenciais

Cookie de sessão (HttpOnly, Secure) que mantém você autenticado. Sem ele, a plataforma não funciona.

Análise de uso

Usamos o PostHog para entender como o produto é usado e melhorá-lo. Não gravamos sua tela (replay de sessão desativado) e só criamos perfil para usuários identificados (logados).

Não usamos cookies de publicidade nem de marketing de terceiros.

• Tráfego sempre por HTTPS; banco de dados com SSL em produção.
• Senhas com Argon2id; tokens de canais (Gmail, Outlook, SMTP, WhatsApp) criptografados em repouso com AES-256-GCM.
• Sessão por cookie HttpOnly + Secure; sessões revogadas ao redefinir a senha.
• Isolamento entre organizações por papéis e permissões (RBAC) e Row-Level Security no banco de dados.
• Registros de auditoria, limites de requisição (rate limiting) e verificação de assinatura em webhooks.

Nenhum sistema é 100% seguro, mas adotamos medidas técnicas e organizacionais adequadas ao risco.

Mantemos os dados pelo tempo necessário às finalidades acima e enquanto sua conta ou organização estiver ativa. Na prática, hoje:

• Conta de usuário: ao ser removida, é desativada e o e-mail é anonimizado, com revogação de todas as sessões.
• Contatos (leads): desativados de forma reversível; o histórico de conversas é preservado e reaponta para um contato ativo equivalente.
• Mensagens e conversas: não têm expurgo automático por tempo; são removidas quando o projeto ou a organização é excluído (em cascata) ou por exclusão explícita.
• Arquivos: servidos por URL temporária assinada (não são públicos) e removidos por exclusão explícita ou em cascata.

Como titular de dados, você pode, nos termos da LGPD:

• Confirmar a existência de tratamento e acessar seus dados.
• Corrigir dados incompletos, inexatos ou desatualizados.
• Solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários ou tratados em desconformidade.
• Solicitar a portabilidade e informações sobre os compartilhamentos realizados.
• Revogar o consentimento e se opor a tratamentos, quando aplicável.

Para exercer qualquer direito, escreva para [email protected]. Podemos precisar confirmar sua identidade antes de atender. Se você for um cliente ou contato de uma organização que usa a Followasy, direcione o pedido a essa organização (controladora); podemos auxiliá-la como operadora.

Alguns subprocessadores (como Google, Microsoft, Stripe, OpenRouter e PostHog) podem tratar dados fora do Brasil, inclusive nos Estados Unidos. Nesses casos, buscamos garantir que o tratamento ocorra com salvaguardas adequadas e em conformidade com a LGPD.

A Followasy é uma ferramenta corporativa, não direcionada a menores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes.

Podemos atualizar esta Política para refletir mudanças no produto ou na legislação. Quando a mudança for relevante, avisaremos pelos canais usuais. A data de “última atualização” no topo indica a versão vigente.

Para dúvidas sobre privacidade, sobre esta Política ou para exercer seus direitos:

Controladora

KODE SISTEMAS E CONSULTORIA INOVA SIMPLES (I.S.) — CNPJ 64.161.288/0001-69

Endereço

Rua Resplendor, 40 — Cruzeiro Celeste, João Monlevade/MG, CEP 35931-104

E-mail

[email protected]

Consulte também nossos Termos de Uso.