1. Quem somos
A controladora dos dados pessoais tratados nesta política é Kloel Tecnologia LTDA, nome fantasia Kloel Tecnologia, inscrita no CNPJ sob o nº 66.303.607/0001-59, com endereço em Alameda Carajás, s/n, Quadra 5, Lote 11, Residencial Aldeia das Thermas, Caldas Novas/GO, CEP 75.694-720, Brasil.
Para assuntos de privacidade, direitos do titular, revogação de consentimento, revogação de integrações e solicitações de exclusão, nosso canal principal é privacy@kloel.com. Para suporte operacional, usamos ajuda@kloel.com.
A Kloel opera como controladora em relação aos dados da sua própria conta, autenticação, faturamento e uso da plataforma. Para dados de clientes finais processados em nome dos nossos clientes, a Kloel normalmente atua como operadora/processadora, seguindo instruções contratuais do cliente-controlador.
2. Dados que coletamos
Coletamos dados pessoais e dados operacionais em diferentes contextos. Sempre buscamos limitar a coleta ao mínimo necessário para operação do serviço, segurança, prevenção à fraude, cumprimento legal e melhoria controlada do produto.
2.1 Dados fornecidos diretamente. Quando você cria uma conta, assina um plano, preenche um checkout, solicita suporte ou envia conteúdo para a plataforma, podemos coletar nome, email, telefone, senha ou prova de identidade, empresa, dados de cobrança, endereço, dados do pedido, mensagens, arquivos e preferências informadas manualmente.
2.2 Dados coletados automaticamente. Ao acessar nossos sites, checkouts e aplicações, coletamos logs, carimbos de data e hora, endereços IP, user-agent, device identifiers, cookies, informações de sessão, eventos de segurança, dados de performance e indicadores antifraude.
2.3 Dados recebidos de terceiros. Em fluxos de autenticação e integração, recebemos dados diretamente dos provedores autorizados por você:
- Google. Nome, email, foto de perfil, identificador da Conta Google e preferência de idioma via escopos
openid,emaileprofile. Quando a funcionalidade estiver aprovada e habilitada por feature flag, a Kloel poderá solicitar separadamenteuser.phonenumbers.readeuser.addresses.readpara preenchimento acelerado de checkout. - Meta/Facebook. Nome, email, foto de perfil e identificador do usuário via permissões
emailepublic_profilepara autenticação. Em contas de clientes da Kloel, também podemos receber ativos e identificadores de negócios, Pages, Instagram e WhatsApp conforme as permissões empresariais concedidas. - Apple. Nome e email via Sign in with Apple, quando esse provedor estiver ativado no ambiente.
2.4 Dados de clientes finais dos nossos clientes. Leads, contatos, conversas, dados de funil, compras, tags, histórico de atendimento e dados de campanha podem ser processados dentro da plataforma. Nesses cenários, o cliente da Kloel define a finalidade primária e a base legal do tratamento, e a Kloel atua como operadora/processadora.
3. Finalidades e bases legais
Tratamos dados pessoais para autenticação, onboarding, operação do workspace, faturamento, segurança, suporte, prevenção à fraude, analytics do produto, comunicação transacional, marketing opcional e cumprimento de obrigações legais.
| Tratamento | Finalidade | Base legal |
|---|---|---|
| Operação do serviço SaaS | Cadastro, autenticação, gerenciamento de workspace e entrega do produto | Execução de contrato, art. 7º, V, LGPD / art. 6(1)(b) GDPR |
| Comunicações transacionais | Alertas de segurança, faturamento, onboarding e suporte | Legítimo interesse, art. 7º, IX, LGPD / art. 6(1)(f) GDPR |
| Marketing e campanhas opcionais | Newsletters, convites e materiais promocionais | Consentimento, art. 7º, I, LGPD / art. 6(1)(a) GDPR |
| Segurança e antifraude | Monitoramento, trilhas de auditoria, rate limiting e resposta a incidentes | Legítimo interesse e obrigação legal |
| Compliance regulatório | Atendimento a ordens legais, fiscalizações e retenções obrigatórias | Obrigação legal ou regulatória, art. 7º, II, LGPD / art. 6(1)(c) GDPR |
4. Compartilhamento com terceiros
Compartilhamos dados apenas com operadores, suboperadores e provedores estritamente necessários para entregar a plataforma, processar pagamentos, enviar comunicações, monitorar segurança e executar integrações autorizadas por você.
| Terceiro | Finalidade | Região | Base da transferência |
|---|---|---|---|
| Railway | Infraestrutura de backend e serviços de aplicação | US/EU | Execução de contrato e cláusulas contratuais padrão |
| Vercel | Hospedagem do frontend, edge delivery e deploy previews | US | Execução de contrato e cláusulas contratuais padrão |
| Cloudflare R2 | Armazenamento de arquivos e ativos | Global | Execução de contrato e medidas contratuais adequadas |
| Resend | Envio de emails transacionais | US | Execução de contrato e cláusulas contratuais padrão |
| Sentry | Monitoramento de erros e incidentes | US | Legítimo interesse e cláusulas contratuais padrão |
| Asaas | Processamento de pagamentos no Brasil | BR | Execução de contrato e obrigação regulatória |
| Stripe | Pagamentos internacionais e métodos acelerados | US | Execução de contrato e cláusulas contratuais padrão |
| OpenAI | Processamento de linguagem natural e automações assistidas por IA | US | Execução de contrato e cláusulas contratuais padrão |
| Anthropic | Processamento complementar de IA e classificação de contexto | US | Execução de contrato e cláusulas contratuais padrão |
Também podemos compartilhar dados com autoridades públicas, judiciárias ou regulatórias quando houver obrigação legal, ordem judicial ou necessidade de defesa de direitos. A Kloel não vende dados pessoais e não comercializa dados de APIs do Google ou da Meta.
6. Retenção
Mantemos dados apenas pelo tempo necessário para cumprir a finalidade declarada, atender exigências legais, processar suporte, proteger o ambiente e permitir auditoria razoável do serviço.
| Categoria | Prazo | Justificativa |
|---|---|---|
| Conta, perfil e autenticação | Durante a conta ativa e até 30 dias após solicitação de exclusão | Recuperação de conta, segurança e suporte |
| Logs de segurança e acesso | 6 meses | Marco Civil da Internet, resposta a incidentes e prevenção à fraude |
| Dados financeiros, fiscais e comprovantes | 5 anos ou prazo legal superior aplicável | Obrigações tributárias, contábeis e de auditoria |
| Conteúdo operacional de workspace e automações | Enquanto houver contrato vigente ou instrução do cliente-controlador | Execução do serviço |
| Dados importados de Google/Meta para autenticação | Enquanto a conexão estiver ativa ou até revogação/exclusão | Autenticação, personalização e operação da integração |
| Dados de checkout social e recuperação | Até 180 dias após captura ou até conversão/exclusão | Otimização de conversão e prevenção à fraude |
7. Segurança
- TLS para dados em trânsito entre navegador, APIs, provedores e painéis administrativos.
- Criptografia em repouso para bancos, backups, segredos e material sensível mantido pela plataforma.
- Princípio de least privilege para credenciais internas, service accounts e integrações.
- Logs de auditoria, trilhas de eventos críticos, rate limiting e políticas de resposta a incidentes.
- Suporte a 2FA e mecanismos de revogação de sessões, refresh tokens e integrações revogadas.
Nenhum sistema é absolutamente invulnerável, mas buscamos um padrão compatível com ambientes SaaS empresariais e revisões de terceiros. Sempre que identificarmos incidente relevante com impacto material, seguiremos o fluxo de resposta, contenção, investigação e comunicação cabível.
8. Direitos do titular
Nos termos do art. 18 da LGPD, e em linha com direitos equivalentes no GDPR e no CCPA, você pode solicitar confirmação de tratamento, acesso, correção, anonimização, bloqueio, portabilidade, revogação de consentimento, oposição e exclusão quando aplicável. Também pode solicitar cópia estruturada dos seus dados e informações sobre compartilhamento.
Nosso canal para exercício desses direitos é privacy@kloel.com. Buscamos responder em até 15 dias, salvo quando legislação específica exigir prazo distinto ou quando precisarmos confirmar sua identidade ou a autoridade do solicitante.
9. Transferência internacional
Parte da infraestrutura e dos suboperadores da Kloel está localizada fora do Brasil. Nessas situações, adotamos medidas contratuais e organizacionais para assegurar grau adequado de proteção, incluindo cláusulas contratuais padrão, controles de acesso, segregação lógica e revisão periódica dos fornecedores.
Para usuários da União Europeia, as transferências internacionais são baseadas em mecanismos compatíveis com o art. 46 do GDPR quando não houver decisão de adequação aplicável. Para consumidores da Califórnia, mantemos mecanismos de acesso, exclusão e não-venda em linha com o CCPA/CPRA.
10. Menores de idade
A Kloel não direciona seus produtos a menores de 18 anos. Se identificarmos cadastro ou processamento incompatível com esse requisito, poderemos suspender a conta, solicitar validação adicional e eliminar os dados não obrigatórios.
11. Alterações desta política
Podemos atualizar esta política para refletir mudanças regulatórias, de produto, de segurança, de infraestrutura ou de integrações. Quando a alteração for material, notificaremos por email, banner no produto ou outro canal razoável antes da entrada em vigor, sempre que isso for operacionalmente viável.
12. Contato, ANPD e canais de privacidade
O contato principal do encarregado/DPO é privacy@kloel.com. O suporte geral da plataforma permanece disponível em ajuda@kloel.com.
Se você entender que a resposta da Kloel não foi suficiente, também poderá buscar os canais da Autoridade Nacional de Proteção de Dados (ANPD) ou da autoridade supervisora competente em sua jurisdição.
13. Uso de informações do Google
O uso e a transferência de informações recebidas das APIs do Google por Kloel para qualquer outro aplicativo aderirá à Política de Dados do Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado (Limited Use).
| Escopo | Dado acessado | Finalidade | Armazenamento |
|---|---|---|---|
| openid | Google account ID | Identificar a conta da pessoa usuária na Kloel | Hash/identificador interno com criptografia em repouso |
| Endereço de email | Login, comunicações transacionais e prevenção a contas duplicadas | Criptografado em repouso | |
| profile | Nome, foto de perfil e idioma | Personalização da interface e identificação visual da conta | Cache operacional com retenção de até 30 dias após revogação |
| https://www.googleapis.com/auth/user.phonenumbers.read | Telefone principal da Conta Google | Preenchimento acelerado de checkout e atualização de lead, apenas quando a feature estiver habilitada e houver consentimento separado | Criptografado em repouso e armazenado apenas pelo tempo necessário para o checkout |
| https://www.googleapis.com/auth/user.addresses.read | Endereço postal associado à Conta Google | Preenchimento acelerado de checkout, apenas quando a feature estiver habilitada e houver consentimento separado | Criptografado em repouso e armazenado apenas pelo tempo necessário para o checkout |
Não utilizamos dados das APIs do Google para treinar modelos de IA. Não vendemos dados das APIs do Google a terceiros. Não permitimos que humanos leiam dados das APIs do Google exceto com consentimento explícito, para operação ou segurança do serviço, ou quando exigido por lei.
14. Uso de informações da Meta
A Kloel utiliza APIs da Meta Platforms para operar autenticação e integrações de negócio. As permissões solicitadas são usadas somente para autenticar pessoas usuárias, conectar ativos empresariais autorizados e operar canais oficiais dentro da plataforma.
| Permissão | Finalidade |
|---|---|
| email, public_profile | Autenticação da conta Kloel e personalização básica do perfil |
| pages_show_list | Descobrir Pages elegíveis para conexão do cliente dentro da Kloel |
| pages_manage_metadata | Assinar webhooks e administrar metadados da Page conectada |
| pages_messaging | Enviar e receber mensagens do Messenger em nome do cliente |
| instagram_basic | Ler identificadores básicos da conta Instagram profissional conectada |
| instagram_manage_messages | Receber e responder mensagens do Instagram Direct |
| instagram_manage_comments | Ler e responder comentários vinculados ao fluxo comercial |
| instagram_content_publish | Publicar conteúdo quando a funcionalidade estiver habilitada pelo cliente |
| business_management | Gerenciar Business Assets e Embedded Signup do cliente |
| ads_management | Apoiar integrações de campanhas e ativos de mídia paga quando aplicável |
| catalog_management | Gerenciar catálogos sincronizados usados em experiências comerciais |
| whatsapp_business_management | Configurar ativos do WhatsApp Business do cliente |
| whatsapp_business_messaging | Enviar e receber mensagens do WhatsApp Cloud API em nome do cliente |
Dados recebidos das APIs da Meta são armazenados apenas pelo tempo necessário para operação do serviço. Usuários podem revogar acesso a qualquer momento em https://www.facebook.com/settings?tab=business_tools ou em https://www.kloel.com/data-deletion.