Política de Privacidade

1. Quem somos e como nos contatar

A Reapfy é uma plataforma de automação para profissionais financeiros que opera via WhatsApp Business API. Nosso produto permite que corretores de seguros, assessores de investimentos e contadores automatizem alertas, relatórios e comunicações com seus clientes — de forma invisível e personalizada.

Para contato sobre privacidade e proteção de dados, use os canais indicados na seção 12 desta política.

2. Dados que coletamos

2.1 Dados do profissional (usuário direto da plataforma)

• Nome completo e tipo profissional (corretor, assessor, contador)
• Número de WhatsApp utilizado para acesso
• Preferências de tom e configurações de autonomia do agente
• Histórico de mensagens trocadas com o agente via WhatsApp
• Aceite e data do DPA (Data Processing Agreement)

2.2 Dados dos clientes do profissional

Os profissionais cadastram dados de seus clientes na plataforma para fins de monitoramento patrimonial. Esses dados incluem:

• Nome e número de WhatsApp do cliente
• Documentos financeiros enviados pelo profissional (apólices de seguro, declarações de IR, extratos de investimento)
• Informações patrimoniais extraídas desses documentos: imóveis, veículos, apólices, investimentos, financiamentos
• Alertas e relatórios gerados pelo sistema a partir da análise desses dados

2.3 Dados técnicos (coletados automaticamente)

• Logs de acesso ao webhook (timestamps, IPs de origem)
• Identificadores de mensagem WhatsApp (WAMID)
• Metadados de entrega das mensagens

3. Como usamos os dados

3.1 Para prestar o serviço contratado

• Processar documentos financeiros e extrair informações patrimoniais
• Gerar alertas de vencimento, gaps de cobertura e oportunidades comerciais
• Enviar comunicações em nome do profissional para seus clientes via WhatsApp
• Manter histórico de comunicações para auditoria do profissional

3.2 Para operação e segurança da plataforma

• Autenticar mensagens recebidas via HMAC-SHA256
• Registrar logs de auditoria imutáveis de todas as mensagens enviadas
• Detectar e bloquear conteúdo que viole privacidade ou escopo do serviço

3.3 Para melhorias do produto

Podemos analisar padrões agregados e anonimizados de uso para melhorar a qualidade das respostas do agente. Nenhum dado identificável de clientes é usado para treinamento de modelos de IA sem consentimento explícito.

4. Base legal (LGPD)

Tratamos dados pessoais com base nas seguintes hipóteses do Art. 7º e Art. 11 da Lei 13.709/2018 (LGPD):

• Execução de contrato (Art. 7º, V) — tratamento necessário para prestar o serviço contratado pelo profissional
• Legítimo interesse (Art. 7º, IX) — segurança da plataforma, prevenção de fraudes e integridade dos logs de auditoria
• Consentimento (Art. 7º, I) — para comunicações de marketing e uso de dados em melhorias de produto
• Cumprimento de obrigação legal (Art. 7º, II) — quando exigido por autoridade competente

Para dados sensíveis eventualmente presentes em documentos financeiros (como informações de saúde em apólices de seguro de vida), o tratamento se dá com base no consentimento do titular, concedido ao profissional no momento do envio do documento.

5. Compartilhamento com terceiros

A Reapfy não vende dados. Compartilhamos dados apenas com os seguintes terceiros, estritamente necessários para operar o serviço:

Anthropic (processamento de IA)

Os documentos e mensagens são processados pela API da Anthropic (Claude). A Anthropic opera sob política de privacidade própria. Utilizamos a flag de não-retenção de dados (anthropic-beta: no-training) em ambiente de produção, garantindo que os dados não sejam usados para treinamento de modelos.

Meta / WhatsApp Business API

As mensagens enviadas e recebidas transitam pela infraestrutura da Meta, sujeita aos Termos de Serviço do WhatsApp Business. A Meta pode reter metadados de mensagens conforme sua própria política.

Infraestrutura de hospedagem

Os dados são armazenados em servidores seguros. O profissional pode solicitar informações sobre a localização dos dados pelo canal de contato desta política.

6. Retenção e exclusão

Dados do profissional

Mantemos os dados enquanto a conta estiver ativa. Após encerramento do contrato, os dados são retidos por 90 dias para fins de backup e, em seguida, excluídos permanentemente — salvo obrigação legal de retenção maior.

Dados dos clientes do profissional

O profissional pode excluir os dados de qualquer cliente a qualquer momento via comando no WhatsApp. A exclusão é propagada em até 24 horas para todos os sistemas.

Logs de auditoria

Os logs de auditoria (registro de mensagens enviadas) são retidos por 5 anos por razões de conformidade regulatória, conforme exigências aplicáveis ao setor financeiro e de seguros. Esses logs contêm hash criptográfico e não podem ser alterados após registro.

Documentos financeiros

PDFs e documentos enviados pelo profissional são processados em memória e não armazenados permanentemente. Apenas os dados extraídos (estruturados em JSON) são persistidos.

7. Segurança

Adotamos as seguintes medidas técnicas e organizacionais para proteger os dados:

• Autenticação de webhooks via HMAC-SHA256 com comparação em tempo constante (resiste a timing attacks)
• Isolamento de tenants — cada profissional tem diretório de dados independente, sem acesso cruzado
• Logs imutáveis com hash criptográfico por entrada, permitindo detecção de adulteração
• Gatekeeper de saída — todas as mensagens passam por verificação automatizada antes do envio (detecção de CPF, dados bancários, violação de escopo)
• Segredos via variáveis de ambiente — nenhuma credencial em código-fonte
• Sem dados sensíveis em repositório — documentos financeiros nunca são commitados

Em caso de incidente de segurança que afete dados pessoais, notificaremos os profissionais afetados e a ANPD no prazo exigido pela LGPD (Art. 48).

8. Seus direitos como titular

Nos termos dos Arts. 17 a 22 da LGPD, você tem os seguintes direitos sobre seus dados pessoais:

• Confirmação e acesso — saber se tratamos seus dados e obter cópia deles
• Correção — solicitar correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação — para dados tratados sem consentimento ou com base em legítimo interesse
• Portabilidade — receber seus dados em formato estruturado e interoperável
• Eliminação — solicitar exclusão dos dados tratados com base no consentimento
• Informação sobre compartilhamento — saber com quem compartilhamos seus dados
• Revogação do consentimento — a qualquer momento, sem prejuízo do tratamento anterior
• Oposição — opor-se ao tratamento com base em legítimo interesse
• Revisão de decisão automatizada — solicitar revisão humana de decisões tomadas exclusivamente por IA

Para exercer qualquer desses direitos, entre em contato pelos canais da seção 12. Responderemos em até 15 dias úteis.

9. Cookies e rastreamento

O site institucional (reapfy.com) é uma página estática que não utiliza cookies de rastreamento, pixels de publicidade ou ferramentas de analytics de terceiros por padrão.

A plataforma operacional (acesso via WhatsApp) não utiliza cookies, pois opera inteiramente via API do WhatsApp Business.

10. Menores de idade

A Reapfy é um serviço destinado exclusivamente a profissionais financeiros adultos (maiores de 18 anos). Não coletamos intencionalmente dados de menores. Se identificarmos que dados de menores foram cadastrados inadvertidamente, eles serão excluídos imediatamente.

11. Alterações nesta política

Podemos atualizar esta política periodicamente. Quando houver alterações materiais, notificaremos os profissionais cadastrados via WhatsApp com pelo menos 10 dias de antecedência antes da vigência das mudanças.

O uso continuado da plataforma após a vigência das novas condições implica aceitação. Se não concordar com as alterações, você pode encerrar o contrato sem ônus durante o período de notificação.

12. Contato e DPO

Para exercer seus direitos, reportar incidentes ou tirar dúvidas sobre esta política, entre em contato: