← Voltar ao sitePolítica de Privacidade
Esta Política de Privacidade descreve como o easyzap, plataforma operada pela Maro Tecnologia LTDA - ME (CNPJ 27.983.636/0001-57), coleta, usa, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018).
1. Quem somos e quem é o controlador
Controlador: Maro Tecnologia LTDA - ME, CNPJ 27.983.636/0001-57, com sede na Rua Sampaio, 360, apto 304, bairro Granbery, Juiz de Fora/MG, CEP 36010-360.
Maro Tecnologia ("Maro", "nós") é uma empresa de tecnologia brasileira. O easyzap é uma plataforma SaaS multi-tenant de atendimento via WhatsApp.
1.1. Papéis: controlador x operador
Esta plataforma envolve dois tipos de tratamento que precisam ser distinguidos:
- Maro como controladora: para dados de cadastro dos nossos clientes (a empresa contratante e seus usuários administradores/atendentes), dados de cobrança e dados de uso/auditoria da própria plataforma. Para esses dados, esta Política se aplica integralmente.
- Maro como operadora (art. 5º, VII, LGPD): para dados que o cliente (controlador) carrega ou trafega na plataforma — em especial contatos finais cadastrados pelo cliente, conteúdo de mensagens trocadas com esses contatos, mídias, tags e anotações. Nesses casos, o cliente determina a finalidade e a base legal, e a Maro trata os dados apenas sob instrução documentada do cliente, conforme cláusulas de tratamento de dados constantes nos Termos de Uso.
Titulares finais (ex.: clientes finais que enviam mensagens via WhatsApp aos nossos clientes) devem dirigir solicitações de exercício de direitos primariamente ao cliente controlador (a empresa que opera a conta WhatsApp). A Maro auxilia o cliente a atender essas solicitações na qualidade de operadora.
2. Categorias de titulares
- Clientes corporativos: pessoa jurídica contratante do SaaS.
- Usuários administradores e atendentes: pessoas físicas que acessam o painel em nome do cliente.
- Contatos finais: pessoas físicas com quem o cliente troca mensagens via WhatsApp. Para esses titulares, a Maro atua como operadora.
- Visitantes do site: pessoas que acessam a landing page sem cadastro.
3. Dados que coletamos
Coletamos os seguintes dados:
- Dados de cadastro (Maro como controladora): nome, e-mail, telefone, CNPJ/CPF, perfil de acesso e senha (armazenada com hash bcrypt).
- Dados de atendimento (Maro como operadora): conversas e mensagens trocadas via WhatsApp, mídias (imagens, áudios, vídeos, documentos), tickets, anotações internas, transferências entre atendentes.
- Dados de contatos (Maro como operadora): nome, telefone, e-mail e tags dos contatos cadastrados pelo cliente.
- Dados de uso e auditoria (Maro como controladora): logs de acesso, endereço IP, navegador, sistema operacional, ações realizadas na plataforma.
- Dados de pagamento (Maro como controladora): CPF/CNPJ, razão social, endereço fiscal e identificadores de pagamento (PIX, cartão, boleto). Dados completos de cartão são processados pelo gateway Asaas e não trafegam por nossos servidores.
4. Bases legais (art. 7º e art. 11 da LGPD)
Cada tratamento tem uma base legal específica. A tabela abaixo resume:
| Finalidade | Base legal | Dispositivo |
|---|
| Criação e manutenção de conta, cobrança, prestação dos serviços contratados | Execução de contrato | Art. 7º, V |
| Envio de notificações operacionais (faturas, alertas de SLA, status de instância) | Execução de contrato | Art. 7º, V |
| Atendimento a obrigações fiscais, trabalhistas e regulatórias (retenção de notas, contratos, logs fiscais) | Cumprimento de obrigação legal | Art. 7º, II |
| Logs de acesso e auditoria para segurança da plataforma e prevenção a fraude | Legítimo interesse e cumprimento de obrigação legal (Marco Civil) | Art. 7º, IX e II |
| Tratamento de contatos finais e mensagens carregadas pelo cliente | A Maro atua como operadora; base legal determinada pelo cliente controlador | Art. 39 |
| Recursos de IA (sugestão de respostas, classificação automática) quando ativados pelo cliente | Consentimento do cliente (ativação opt-in da feature) + execução de contrato | Art. 7º, I e V |
| Defesa em processos judiciais, administrativos ou arbitrais | Exercício regular de direitos | Art. 7º, VI |
O tratamento de dados sensíveis (art. 11) não faz parte do escopo padrão da plataforma. Caso o cliente carregue dados sensíveis em mensagens ou contatos, isso ocorre por iniciativa do cliente, que assume a responsabilidade pela base legal aplicável.
5. Cookies e tecnologias similares
Usamos somente cookies essenciais ao funcionamento da plataforma. Não utilizamos cookies de rastreamento publicitário nem compartilhamos dados de cookies com redes de anúncios.
| Cookie | Finalidade | Duração |
|---|
| ez_access | Autenticação (JWT em cookie httpOnly) | Sessão (15 min, renovado) |
| ez_refresh | Renovação de token de acesso | 30 dias |
| ez_tenant | Identificação do tenant ativo em ambiente multi-conta | Sessão |
| XSRF-TOKEN | Proteção contra CSRF | Sessão |
6. Como usamos os dados
- Prover o serviço de atendimento via WhatsApp (envio/recebimento de mensagens, filas, distribuição entre atendentes).
- Gerar relatórios de performance e estatísticas operacionais.
- Enviar notificações operacionais (alertas, SLA, status de pagamento).
- Cumprir obrigações legais e regulatórias.
- Prevenir fraudes e proteger a segurança da plataforma.
7. Decisões automatizadas e uso de IA
Quando o cliente ativa funcionalidades de inteligência artificial, a plataforma pode realizar tratamentos automatizados, como:
- Sugestão de respostas a atendentes.
- Classificação automática de tickets, sentimento ou intenção.
- Resposta automatizada por chatbot (fora do horário comercial, primeira interação, etc.).
Em conformidade com o art. 20 da LGPD, o titular tem direito a solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses. Para esse pedido, entre em contato com o DPO (seção 14). O cliente controlador também pode desativar os recursos de IA a qualquer momento no painel administrativo.
8. Compartilhamento com terceiros
Não vendemos dados pessoais. Compartilhamos dados estritamente necessários com os seguintes parceiros (operadores ou controladores independentes):
- Meta Platforms, Inc. (WhatsApp Business / Cloud API): quando o cliente conecta uma conta WhatsApp Business à plataforma, mensagens, números e identificadores são trocados com a infraestrutura da Meta. A Meta atua como controladora independente para esse tratamento, sob suas próprias políticas.
- Provedores de WhatsApp não-oficiais (ex.: Mega API): para clientes que optam por essa modalidade.
- Cloudflare: CDN e DNS — pode processar metadados de tráfego em servidores fora do Brasil.
- Cloudflare R2 / Amazon S3: armazenamento criptografado de mídias.
- Asaas: processamento de pagamentos (boleto, PIX, cartão).
- Provedores de IA (OpenAI, Anthropic): quando o cliente ativa funcionalidades de IA, conteúdos de conversas podem ser enviados para análise. O processamento é feito conforme as políticas dos provedores e os clientes podem desativar a IA a qualquer momento.
- Autoridades públicas: quando exigido por lei, ordem judicial ou requisição legítima.
9. Transferência internacional (arts. 33 a 36 da LGPD)
Alguns parceiros (Meta, Cloudflare, OpenAI, Anthropic) processam dados em servidores fora do Brasil, principalmente nos Estados Unidos. Nesses casos, garantimos um nível adequado de proteção por meio de:
- Cláusulas contratuais específicas com cada provedor.
- Adesão de cada provedor a frameworks reconhecidos (ex.: SOC 2, ISO 27001).
- Quando aplicável, autorização específica do titular ou execução de contrato em que o titular é parte (art. 33, V e IX).
10. Armazenamento e segurança
Os dados são armazenados em servidores próprios e de parceiros, com as seguintes salvaguardas:
- Criptografia em trânsito (TLS 1.2+).
- Criptografia em repouso para mídias (R2/S3) e dados sensíveis.
- Senhas armazenadas com hash bcrypt (nunca em texto plano).
- Tokens de acesso a APIs externas armazenados cifrados (AES-256-GCM).
- Controle de acesso baseado em papel (RBAC) com isolamento por tenant via AsyncLocalStorage.
- Logs de auditoria de todas operações sensíveis.
- Atualizações de segurança aplicadas regularmente nas dependências.
11. Comunicação de incidentes (art. 48 da LGPD)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Maro comunicará, em prazo razoável, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, incluindo:
- Descrição da natureza do incidente.
- Categorias de dados e de titulares envolvidos.
- Medidas técnicas e de segurança utilizadas para proteção dos dados.
- Riscos relacionados e medidas adotadas para reverter ou mitigar os efeitos do incidente.
12. Retenção
Os dados são mantidos enquanto a conta estiver ativa. Após desativação:
- Dados podem ser excluídos mediante solicitação a qualquer momento (ver Política de Exclusão de Dados ).
- Dados financeiros e fiscais são retidos por 5 anos conforme exigência da Receita Federal.
- Logs de auditoria são mantidos por até 2 anos (art. 16, II da LGPD c/c Marco Civil).
- Backups criptografados podem reter dados por até 30 dias após exclusão da base ativa.
13. Seus direitos (art. 18 da LGPD)
Como titular dos dados, você tem direito a:
- Confirmação da existência de tratamento.
- Acesso aos dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade dos dados a outro fornecedor.
- Eliminação dos dados tratados com consentimento (ver Política de Exclusão de Dados ).
- Informação sobre as entidades públicas e privadas com quem compartilhamos dados.
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
- Revogação do consentimento.
- Oposição a tratamentos realizados com fundamento em outras hipóteses que não o consentimento, em caso de descumprimento da LGPD.
- Revisão de decisões tomadas unicamente com base em tratamento automatizado (art. 20).
- Peticionar perante a ANPD em caso de violação dos seus direitos.
13.1. Como exercer seus direitos
Para exercer qualquer dos direitos acima:
- Envie um e-mail ao DPO em gustavo@easy.marotecnologia.com.br com o assunto "Exercício de direitos LGPD".
- Informe seu nome completo, e-mail/telefone associado à conta, código do tenant (se houver) e qual direito deseja exercer.
- A Maro pode solicitar informações adicionais para confirmar sua identidade antes de atender o pedido — essa verificação é exigência da própria LGPD para evitar atendimentos a terceiros não autorizados.
- Atenderemos seu pedido em até 15 dias corridos, contados a partir da confirmação de identidade. Em casos excepcionais, esse prazo pode ser estendido, e você será comunicado.
- Se o pedido for negado, justificaremos por escrito e informaremos os meios de recurso.
14. Encarregado pelo Tratamento de Dados (DPO)
Em conformidade com o art. 41 da LGPD, a Maro designou o seguinte Encarregado pelo Tratamento de Dados Pessoais:
Gustavo Mendes de Castro
CPF 039.001.616-07
Maro Tecnologia LTDA - ME (CNPJ 27.983.636/0001-57)
Rua Sampaio, 360, apto 304 — Bairro Granbery — Juiz de Fora/MG — CEP 36010-360
E-mail: gustavo@easy.marotecnologia.com.br
15. Autoridade Nacional de Proteção de Dados (ANPD)
Você tem o direito de apresentar reclamação à autoridade reguladora caso entenda que seus direitos não foram atendidos pela Maro. A ANPD pode ser contatada em gov.br/anpd .
16. Dados de menores de idade
O easyzap é destinado exclusivamente a pessoas maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos que um menor enviou dados pessoais sem o consentimento dos responsáveis, esses dados serão excluídos imediatamente. O cliente controlador é responsável por garantir que contatos de menores carregados na plataforma observem o art. 14 da LGPD.
17. Dados trocados com a Meta (WhatsApp)
Quando o cliente conecta uma conta WhatsApp Business à plataforma, a Meta também atua como controladora dos dados trafegados pelo WhatsApp, sob suas próprias políticas:
Caso queira que a Meta exclua dados associados ao seu número, solicite diretamente em Meta Data Subject Rights .
18. Alterações nesta política
Podemos atualizar esta política periodicamente. Mudanças relevantes serão comunicadas pelo e-mail cadastrado e/ou por aviso na plataforma com pelo menos 30 dias de antecedência. A versão vigente está sempre disponível nesta URL.
18.1. Histórico de versões
- v3.0 — 24/05/2026: conformidade plena com LGPD: declaração de CNPJ, separação de papéis controlador/operador, bases legais por finalidade, DPO nomeado, direito de revisão de decisão automatizada (art. 20), comunicação de incidentes (art. 48), referência à ANPD, detalhamento de cookies.
- v2.0 — 30/04/2026: ampliação do tratamento e listagem de subprocessadores.
- v1.0: versão inicial.