Política de
Privacidade.

Utilizamos suas informações exclusivamente para:

• Prestar e melhorar os serviços contratados;

• Enviar comunicações relacionadas ao serviço (entregas, aprovações, alertas);

• Responder dúvidas e solicitações de suporte;

• Cumprir obrigações legais e regulatórias.

Não vendemos nem alugamos seus dados para terceiros.

Seus dados podem ser compartilhados com os seguintes prestadores de serviço (subprocessadores), todos sob acordo de confidencialidade e tratamento de dados conforme LGPD:

• Meta Platforms Ireland (Irlanda) — WhatsApp Business Platform: envio e recebimento de mensagens em nome dos clientes contratantes, templates e perfil comercial. Aplicável apenas a clientes que contrataram o canal WhatsApp.

• Anthropic (EUA), OpenAI (EUA), Google (EUA) e Groq (EUA) — inferência de modelos de linguagem (Claude, GPT, Gemini, Llama) para agentes conversacionais e tarefas auxiliares contratadas. Tratamento via API seguindo políticas padrão de cada provedor, que por padrão não utilizam dados transmitidos via API para treinar modelos fundacionais. Consulte os termos vigentes de cada fornecedor.

• Supabase (EUA) — armazenamento de arquivos e banco de dados de storage.

• Resend (EUA) — envio de e-mails transacionais.

• Google Tag Manager / Google Analytics 4 (EUA) — análise de navegação (somente com seu consentimento).

• PostHog (EUA) — análise de produto e replay de sessões (somente com seu consentimento).

• Sentry (EUA) — monitoramento de erros e performance (somente com seu consentimento).

• Stripe (EUA) — processamento de pagamentos, quando aplicável.

• Autoridades legais, quando exigido por lei ou ordem judicial.

Nenhum dado pessoal é vendido. Transferências internacionais (EUA, Irlanda) seguem as salvaguardas do Art. 33 da LGPD, com cláusulas contratuais específicas de proteção de dados junto a cada subprocessador.

Mantemos seus dados enquanto o contrato de serviço estiver ativo. Após o encerramento, os dados são retidos por até 5 anos conforme exigido pela legislação fiscal e contábil brasileira (Lei nº 9.430/1996), salvo solicitação de exclusão dentro dos limites legais.

Carve-out de retenção legal — sobrepõe direito de eliminação (LGPD Art. 18 VI):

Determinados dados comerciais e financeiros são retidos por períodos específicos exigidos por lei e não podem ser eliminados mediante solicitação do titular durante o período legal vigente:

• Contratos comerciais (assinaturas digitais e cláusulas) — retidos por 6 anos conforme Código Civil Art. 1.179 (escrituração mercantil e comprovação de relações comerciais).

• Pagamentos Pix (transações e comprovantes) — retidos por 5 anos conforme Lei nº 9.613/1998 (prevenção à lavagem de dinheiro, normativos BACEN).

• Eventos de auditoria forense (PixAuditEvent) — retidos por 5 anos conforme Lei nº 9.613/1998 + obrigações regulatórias BACEN.

Durante o período de retenção legal, dados pessoais identificadores (IP, user agent, texto de consentimento, evidência de validação) podem ser anonimizados mediante solicitação formal de eliminação, preservando apenas os campos transacionais exigidos por lei (valor, data, identificador único da transação). Após o término do período legal, os dados são definitivamente eliminados.

Adotamos medidas técnicas e organizacionais para proteger suas informações, incluindo:

• Criptografia em trânsito (HTTPS/TLS);

• Banco de dados com acesso restrito por rede privada (sem exposição pública);

• Controle de acesso por função (RBAC) dentro da plataforma;

• Monitoramento contínuo de incidentes.

Em caso de incidente de segurança que afete seus dados, você será notificado dentro de 72 horas, conforme exigido pela LGPD.

De acordo com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), você tem direito a:

• Confirmar se tratamos seus dados;

• Acessar uma cópia dos seus dados;

• Corrigir dados incompletos ou desatualizados;

• Solicitar anonimização, bloqueio ou eliminação de dados desnecessários;

• Revogar consentimento a qualquer momento;

• Portabilidade dos dados (mediante solicitação formal).

Para exercer qualquer direito, contate nosso Encarregado pelo Tratamento de Dados (ver Seção 9) ou escreva para [email protected]. Respondemos em até 15 dias, conforme Art. 19 da LGPD.

Utilizamos três categorias de cookies. As categorias não-essenciais exigem seu consentimento explícito via banner na primeira visita — você pode aceitar, rejeitar ou escolher categorias individualmente.

• Essenciais (sempre ativos): sessão de login, autenticação, preferências de idioma e consentimento. Sem eles o portal não funciona.

• Analytics (opcional, com consentimento): Google Analytics 4, PostHog e Sentry coletam métricas agregadas de navegação, funil e erros para melhorar o produto. Dados pseudonimizados.

• Marketing (opcional, com consentimento): cookies de remarketing Google / Meta para medir e personalizar campanhas publicitárias.

Você pode revogar o consentimento a qualquer momento limpando o localStorage do seu navegador — o banner voltará a aparecer na próxima visita.

Esta política pode ser atualizada periodicamente. Alterações significativas serão comunicadas por e-mail ou notificação na plataforma com antecedência mínima de 15 dias.

Em conformidade com o Art. 41 da LGPD, a Crux9 designou um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer):

• Encarregado: Altair Pedro Viana Garcia (Founder & CEO)

• E-mail dedicado: [email protected]

• Endereço físico: Av. Carlos Gomes 700, sala 606, Boa Vista, Porto Alegre/RS, CEP 90480-000

• Atribuições: aceitar reclamações e comunicações dos titulares, receber comunicações da ANPD, orientar funcionários e executores sobre práticas a serem tomadas em relação à proteção de dados pessoais.

Autoridade Nacional de Proteção de Dados (ANPD): caso suas solicitações não sejam atendidas em até 15 dias (Art. 19, LGPD), ou caso entenda que seus direitos foram violados, você pode registrar petição diretamente à ANPD em www.gov.br/anpd.

A Crux9 opera em dois papéis distintos conforme a natureza dos dados tratados, em conformidade com a LGPD (Art. 5º, VI e VII):

• Crux9 como Operador (Processor): quando processamos dados pessoais dos consumidores finais dos nossos clientes — por exemplo, mensagens recebidas via WhatsApp, histórico de conversas, perfis de atendimento. Nestes casos, o cliente contratante é o Controlador, pois define a finalidade do tratamento, as categorias de dados tratados e os limites de uso. A Crux9 trata esses dados exclusivamente conforme instruções documentadas do cliente, sem finalidade própria, com dever de sigilo e segurança técnica.

• Crux9 como Controlador (Controller): quando tratamos dados da conta do cliente contratante, cobrança (billing), analytics agregado de uso da plataforma, e relacionamento comercial direto (suporte, comunicações de produto).

Quando aplicável (tipicamente em contratos que envolvem WhatsApp Business Platform ou automações com IA em nome de consumidores finais), esta separação pode ser formalizada por meio de DPA (Data Processing Addendum) mediante solicitação ao time Crux9. Independentemente da formalização específica, as obrigações legais do Operador previstas na LGPD (Art. 39) vigoram por força de lei.

A Crux9 utiliza modelos de linguagem (LLMs) de terceiros para operar os agentes conversacionais e automações contratadas. Este tratamento segue regras específicas:

• Modelos utilizados: Claude (Anthropic), GPT (OpenAI), Gemini (Google) e modelos open-source via Groq (Llama e similares), selecionados por tarefa. Credenciais do cliente não são expostas aos modelos.

• Dados enviados: apenas o contexto mínimo necessário à resposta — mensagem do usuário final, histórico recente da conversa, catálogo, horários ou políticas previamente autorizados pelo cliente contratante. Credenciais, dados de cobrança e informações pessoais fora do escopo do atendimento não são enviados aos modelos.

• Treinamento: por padrão, os provedores não utilizam dados transmitidos via API para treinar seus modelos fundacionais. A retenção no lado de cada provedor segue a política vigente do fornecedor, consultável nos termos de cada um.

• Retenção local: registros de conversas são armazenados no banco multi-tenant da Crux9 pelo prazo necessário à execução do contrato e a obrigações legais, podendo ser excluídos mediante solicitação do titular (Art. 18 da LGPD).

• Desativação: o cliente contratante pode solicitar, a qualquer momento, a desativação do processamento automatizado por IA mediante comunicação ao time Crux9 ([email protected]); as mensagens passam a ser atendidas manualmente.

• Transparência ao consumidor final: em conformidade com a Política de Agentes IA da Meta (vigente desde 15/01/2026) e o Art. 6º, VI da LGPD, os agentes identificam-se como atendimento automatizado na abertura da conversa ou quando solicitado pelo usuário. A implementação específica por canal é descrita no contrato de cada cliente.

Você tem o direito de solicitar a exclusão completa dos seus dados pessoais a qualquer momento, nos termos do Art. 18, VI da LGPD ("direito ao esquecimento"). A Crux9 oferece três caminhos para essa solicitação:

• Autoatendimento (usuários autenticados no Portal): acesse Configurações → Privacidade → Excluir minha conta dentro do Portal. A exclusão é imediata mediante confirmação explícita (digitação de "DELETE_MY_DATA"). Se você for o único administrador de algum workspace, é necessário transferir a administração antes.

• E-mail: envie uma solicitação para [email protected] com o assunto "Solicitação de exclusão de dados (LGPD)" incluindo nome completo, e-mail cadastrado e número de WhatsApp, se aplicável.

• Correspondência postal: Crux9 — A/C Encarregado pelo Tratamento de Dados (DPO) · Av. Carlos Gomes 700, sala 606 — Boa Vista, Porto Alegre/RS · CEP 90480-000.

Prazo de resposta: até 15 dias corridos a partir do recebimento da solicitação, conforme Art. 19 da LGPD.

O que é excluído imediatamente:

• Dados pessoais de cadastro (nome, e-mail, telefone, locale)

• Histórico de mensagens recebidas e enviadas via WhatsApp Business em canais operados pela Crux9 em seu nome

• Notificações e comentários feitos por você na plataforma

• Sessões ativas, tokens de autenticação e conexões OAuth vinculadas à sua conta

• Cookies de autenticação (logout automático)

O que é retido por obrigação legal (após exclusão do restante):

• Registros financeiros e fiscais: 5 anos, conforme Art. 37 da Lei nº 9.430/1996 (quando aplicável, por exemplo em relacionamento contratual ativo)

• Registros de acesso a aplicações: 6 meses, conforme Art. 15 da Lei nº 12.965/2014 (Marco Civil da Internet)

• Comprovantes de consentimento: enquanto persistirem obrigações legais relacionadas ao tratamento, para demonstrar conformidade perante a ANPD

O que é anonimizado (mantido sem identificação pessoal):

• Registros operacionais, legais e de auditoria que precisam sobreviver à exclusão da conta (por exemplo aprovações, histórico de workspace, decisões administrativas e contratos retidos por obrigação legal) podem manter o histórico com a referência ao usuário removida, anulada ou substituída pelo marcador de sistema ("DELETED_USER"). Isso preserva direitos de terceiros e obrigações legais sem manter identificação pessoal desnecessária.

Consumidores finais atendidos via WhatsApp por clientes Crux9: caso você não seja usuário do Portal, mas tenha interagido com um bot WhatsApp operado pela Crux9 em nome de um cliente, a responsabilidade de Controlador é do cliente contratante (Art. 5º, VI LGPD; ver Seção 10). Você pode solicitar exclusão tanto diretamente ao cliente quanto através da Crux9 ([email protected]), e nos encarregamos de acionar o Controlador e executar a exclusão no prazo legal.

Após a exclusão: você receberá confirmação por e-mail. A exclusão é definitiva e não pode ser revertida — se você criar uma nova conta posteriormente, será tratada como titular independente.