Política de Privacidade
Versão 1.0 · Última atualização: 29 de maio de 2026
A presente Política de Privacidade descreve como a KEEKYAPP TECNOLOGIA E INOVAÇÃO INOVA SIMPLES (I.S.) (“KEEKYapp”, “nós”), inscrita no CNPJ sob o nº 67.064.855/0001-57, coleta, utiliza, armazena, compartilha e protege os dados pessoais tratados no contexto da plataforma de atendimento omnichannel disponível em keeky.app (“Plataforma” ou “Serviço”).
Esta Política observa a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 - LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e o Decreto nº 8.771/2016.
1. Quem somos e nosso papel
A KEEKYapp é uma plataforma SaaS (Software as a Service) que oferece a empresas brasileiras (“Clientes” ou “Tenants”) ferramentas de atendimento multi-canal, CRM, agendamento, automação de redes sociais e atendimento assistido por inteligência artificial, com integração ao WhatsApp.
1.1. Papéis no tratamento de dados
Para fins da LGPD, é importante distinguir os dois cenários principais de tratamento:
- Dados dos próprios Clientes (titulares que contratam a Plataforma): a KEEKYapp atua como Controladora, decidindo sobre o tratamento dos dados de cadastro, login, faturamento e uso do Serviço.
- Dados de terceiros tratados pelo Cliente dentro da Plataforma (ex.: contatos, leads e conversas de WhatsApp dos clientes finais do Cliente): a KEEKYapp atua como Operadora, processando os dados em nome do Cliente, que é o Controlador desses dados. O Cliente é o responsável legal pela base legal, finalidade, retenção e atendimento a direitos dos titulares relativos a esses dados.
Em razão deste modelo, a KEEKYapp NÃO utiliza o conteúdo das conversas, mídias ou contatos tratados pelos Clientes para treinar modelos próprios de inteligência artificial, para análise estatística agregada não solicitada, ou para qualquer finalidade que não seja a execução do serviço contratado.
2. Dados que coletamos
2.1. Dados de cadastro (Cliente)
No momento da criação de uma conta, coletamos: nome completo, endereço de e-mail, senha (armazenada exclusivamente em formato de hash), CPF ou CNPJ, razão social ou nome da empresa, telefone, tipo de pessoa (física ou jurídica) e plano contratado.
2.2. Dados de uso e configuração
Durante o uso do Serviço coletamos: assinatura de e-mail, avatar/foto de perfil, idioma de preferência, configurações de integração (chaves de API de terceiros configuradas pelo próprio Cliente), agendamentos, conversas internas entre atendentes do Cliente, registros de atendimento e categorização de leads.
2.3. Dados de comunicação processados em nome do Cliente
Quando o Cliente conecta números de WhatsApp ou perfis sociais à Plataforma, processamos: corpo das mensagens recebidas e enviadas, tipo da mensagem, timestamp, nome de exibição do contato, número de telefone do contato, status de entrega e a carga útil bruta fornecida pelas APIs da Meta ou pela Evolution API. Arquivos de mídia (imagens, áudios, vídeos e documentos) recebidos via WhatsApp são armazenados em nossa infraestrutura de objetos (MinIO).
2.4. Dados técnicos
Para fins de segurança e prevenção a fraudes coletamos: endereço IP, identificador de sessão (token JWT armazenado em cookie e em localStorage do navegador), user-agent, registros de tentativa de autenticação e eventos de auditoria. Não utilizamos cookies de rastreamento publicitário, pixels de terceiros ou ferramentas de analytics (Google Analytics, Meta Pixel, Hotjar, Mixpanel e similares). Utilizamos armazenamento local do navegador (localStorage) apenas para preferências de tema (claro/escuro) e para manter o token de autenticação durante a sessão.
2.5. O que NÃO coletamos
A KEEKYapp não coleta nem processa dados de cartão de crédito, número de conta bancária, instrumentos de pagamento ou qualquer informação financeira. A Plataforma atualmente não opera cobrança automatizada. Caso este cenário mude, esta Política será atualizada antes da coleta.
3. Finalidades e bases legais
Tratamos dados pessoais com as seguintes finalidades e bases legais previstas no art. 7º da LGPD:
| Finalidade | Base legal |
|---|---|
| Criar e manter conta; autenticar; faturar (quando aplicável); fornecer o Serviço contratado | Execução de contrato (art. 7º, V) |
| Processar mensagens e mídias em nome do Cliente | Execução de contrato (Cliente como Controlador; KEEKYapp como Operadora) |
| Garantir segurança da Plataforma; prevenir fraudes; registrar eventos de auditoria | Legítimo interesse (art. 7º, IX) e cumprimento de obrigação legal (art. 7º, II) |
| Enviar e-mails transacionais (confirmação de cadastro, redefinição de senha, alertas operacionais) | Execução de contrato (art. 7º, V) |
| Atender solicitações dos titulares (acesso, correção, exclusão) | Cumprimento de obrigação legal (art. 7º, II) |
4. Compartilhamento e operadores
Para entregar o Serviço, compartilhamos dados estritamente necessários com os seguintes operadores e fornecedores. A escolha do provedor de IA é feita pelo Cliente; o sistema permite uso de qualquer um dos três listados.
| Fornecedor | Finalidade | Jurisdição |
|---|---|---|
| Meta Platforms, Inc. | Envio e recebimento de mensagens WhatsApp via WhatsApp Business Platform (Cloud API), publicação em Facebook e Instagram | Estados Unidos |
| OpenAI, Inc. | Provedor de IA (modelo GPT) - opcional, configurável pelo Cliente | Estados Unidos |
| Anthropic, PBC | Provedor de IA (modelo Claude) - opcional, configurável pelo Cliente (padrão atual) | Estados Unidos |
| Google LLC | Provedor de IA (modelo Gemini) - opcional, configurável pelo Cliente | Estados Unidos |
| Servidor SMTP | Envio de e-mails transacionais (provedor configurável pelo Cliente) | Variável |
Os demais componentes da Plataforma (banco de dados NocoBase, armazenamento de mídia MinIO, cofre de credenciais HashiCorp Vault, fila Redis, automações n8n, Evolution API quando utilizada) são auto-hospedados em infraestrutura sob controle da KEEKYapp e não envolvem transferência a terceiros.
Transferência internacional de dados. O uso de Meta, OpenAI, Anthropic e Google envolve transferência internacional de dados pessoais para os Estados Unidos. A transferência é realizada com base no art. 33, II e VII, da LGPD, mediante cláusulas contratuais padrão dos respectivos fornecedores e, no caso da Meta, em conformidade com seu Data Processing Addendum.
Não vendemos dados. A KEEKYapp não comercializa, cede ou aluga dados pessoais a terceiros para fins de marketing, publicidade ou perfilamento. Não compartilhamos dados com nenhum terceiro fora do necessário para a execução do Serviço descrita nesta seção, exceto por obrigação legal, ordem judicial ou solicitação de autoridade competente.
5. Retenção e eliminação
- Dados de cadastro: mantidos enquanto a conta estiver ativa.
- Mensagens, mídias e dados de comunicação processados em nome do Cliente: mantidos enquanto a conta do Cliente estiver ativa. Em caso de inatividade da conta por 90 dias sem login, ou em caso de cancelamento, os dados serão eliminados após esse prazo, ressalvada a guarda mínima exigida por lei.
- Logs operacionais e de auditoria: retidos por até 90 dias.
- Backups: podem conter dados por janela adicional necessária à integridade do procedimento de backup, não superior a 30 dias após a eliminação dos dados ativos.
- Obrigações legais: alguns registros podem ser mantidos por prazos legais específicos (ex.: registros de acesso a aplicações de internet por seis meses, conforme art. 15 do Marco Civil da Internet).
O Cliente pode solicitar a exclusão antecipada dos dados a qualquer momento mediante contato com o Encarregado.
6. Segurança
Adotamos medidas técnicas e administrativas razoáveis para proteger os dados pessoais, incluindo:
- Conexões HTTPS/TLS em todas as interfaces públicas.
- Armazenamento de senhas em formato de hash (nunca em texto puro).
- Credenciais de integração (tokens de API, secrets) armazenadas em cofre dedicado (HashiCorp Vault) com selagem e mecanismo de auto-unseal validado em produção.
- Segregação de dados por tenant (multi-tenancy lógica com chave de isolamento por usuário-raiz).
- Controle de acesso baseado em JSON Web Tokens (JWT) e validação de origem por middleware.
- Rate limiting por IP em endpoints sensíveis (autenticação, redefinição de senha).
- Auditoria de eventos críticos (login, falhas de autenticação, acesso administrativo).
Nenhum sistema é completamente imune a incidentes. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a ANPD e os titulares afetados serão comunicados nos termos do art. 48 da LGPD.
7. Seus direitos
Como titular de dados pessoais, você tem direito de, a qualquer momento e mediante requisição ao Encarregado:
- Confirmar a existência de tratamento;
- Acessar seus dados;
- Corrigir dados incompletos, inexatos ou desatualizados;
- Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Solicitar a portabilidade dos dados a outro fornecedor de serviço ou produto;
- Eliminar dados pessoais tratados com base em consentimento, ressalvadas as hipóteses do art. 16 da LGPD;
- Obter informação sobre as entidades públicas ou privadas com as quais o controlador compartilhou dados;
- Obter informação sobre a possibilidade de não fornecer consentimento e as consequências dessa negativa;
- Revogar consentimento, quando aplicável (arts. 8º, §5º, e 18 da LGPD).
Importante: para dados em que a KEEKYapp atua como Operadora (ex.: dados de contatos finais que conversam com o Cliente via WhatsApp), as solicitações devem ser direcionadas diretamente ao Cliente (o Controlador desses dados). A KEEKYapp auxiliará o Cliente no atendimento da requisição na medida em que for tecnicamente possível.
Para facilitar o exercício do direito de eliminação, mantemos página dedicada com instruções passo a passo: keeky.app/exclusao-de-dados.
8. Cookies e armazenamento local
A Plataforma utiliza apenas o estritamente necessário:
- Cookie
token: armazena o token JWT de autenticação. Sem ele, o login não funciona. - localStorage
tokeneauth-storage: redundância do token de autenticação para a sessão do navegador. - localStorage
theme: preferência de tema (claro/escuro).
Não utilizamos cookies de rastreamento de terceiros, cookies de publicidade, pixels de redes sociais ou ferramentas de analytics comportamental.
9. Crianças e adolescentes
A Plataforma é destinada a pessoas jurídicas e a profissionais maiores de 18 anos. Não coletamos intencionalmente dados de menores de 18 anos. Caso identifiquemos coleta inadvertida, eliminaremos os dados imediatamente. Caso suspeite que um menor forneceu dados, contate o Encarregado.
10. Encarregado pelo tratamento de dados (DPO)
Em cumprimento ao art. 41 da LGPD, indicamos o seguinte Encarregado:
- Nome: Leandro Hergovic
- E-mail: [email protected]
Todas as comunicações sobre proteção de dados, requisições de titulares e dúvidas sobre esta Política devem ser direcionadas ao Encarregado pelo e-mail acima.
11. Alterações desta Política
Esta Política pode ser atualizada a qualquer momento para refletir mudanças no Serviço, em fornecedores, na legislação ou em práticas de segurança. A data de última atualização aparece no topo desta página. Alterações relevantes serão comunicadas aos Clientes por e-mail e/ou aviso na Plataforma antes da entrada em vigor.
12. Legislação aplicável e foro
Esta Política é regida pelas leis da República Federativa do Brasil. Fica eleito o foro da Comarca de São Paulo - SP para dirimir quaisquer controvérsias dela decorrentes, com renúncia expressa a qualquer outro, por mais privilegiado que seja.