Última atualização: 12 de maio de 2026
Versão: 2.0
A IAT Consulting valoriza a privacidade e a proteção dos dados pessoais de seus usuários, clientes e dos titulares cujos dados são tratados em nossa plataforma. Esta Política descreve, de forma clara e transparente, como coletamos, utilizamos, armazenamos e protegemos os dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018, "LGPD") e demais legislações aplicáveis.
1. Quem somos
IAT Consulting ("IAT", "nós") é uma plataforma SaaS (software como serviço) que oferece a empresas-cliente soluções de atendimento automatizado, incluindo:
- Integração com WhatsApp Business API
- Agente de inteligência artificial proprietário ("Beny")
- CRM básico e gestão de contatos
- Integração com plataformas de pagamento, e-commerce, CRM e suporte
- Relatórios e análises de atendimento
2. Encarregada de Proteção de Dados (DPO)
Em cumprimento ao art. 41 da LGPD, indicamos a Encarregada de Proteção de Dados Pessoais:
- Nome: Flavia Porto
- E-mail: dpo@iatconsulting.com.br
- Prazo de resposta: até 15 (quinze) dias úteis a partir do recebimento da solicitação
A DPO é o canal de comunicação entre a IAT, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
3. Papéis no tratamento de dados (LGPD)
A IAT pode atuar em dois papéis distintos, conforme o tipo de dado:
3.1. IAT como Controladora
Somos controladoras dos seguintes dados:
- Dados de cadastro das empresas-cliente e seus representantes legais
- Dados de contato comercial (nome, telefone, e-mail, CNPJ/CPF)
- Dados de pagamento de assinatura (processados por parceiros)
- Dados de navegação no site institucional e na plataforma
3.2. IAT como Operadora
Atuamos como operadoras dos seguintes dados, sob orientação da empresa-cliente que contrata nossos serviços (controladora):
- Dados de contatos finais com quem a empresa-cliente se comunica via WhatsApp
- Conteúdo das conversas processadas pela plataforma
- Mensagens, mídias (imagens, áudios, documentos, vídeos) trocadas com esses contatos
- Eventuais transcrições de áudio realizadas por inteligência artificial
A empresa-cliente é responsável por obter, dos titulares finais, a base legal adequada (consentimento ou outra prevista na LGPD) para que o tratamento via plataforma IAT seja lícito.
4. Dados que coletamos
4.1. Dados fornecidos diretamente
- Nome completo, e-mail, telefone, CNPJ/CPF
- Dados de cobrança e pagamento (processados por terceiros; não armazenamos cartão de crédito completo)
- Informações que você ou seus contatos fornecem em conversas pela plataforma
4.2. Dados coletados automaticamente
- Endereço IP, tipo de navegador, sistema operacional, identificador de dispositivo
- Páginas visitadas, tempo de navegação, ações executadas na plataforma
- Logs técnicos (com redação de dados pessoais sensíveis)
- Cookies e tecnologias similares (ver seção 11)
4.3. Dados de contatos finais (via WhatsApp Business)
Quando a empresa-cliente utiliza a plataforma para se comunicar via WhatsApp:
- Número de telefone
- Nome do contato (quando informado)
- Conteúdo de mensagens (texto, áudio, imagem, vídeo, documento)
- Metadados da conversa (data, hora, status de entrega)
- Eventuais transcrições automáticas de mensagens de áudio
5. Para quais finalidades usamos os dados
Finalidade e base legal (LGPD)
| Finalidade | Base legal |
|---|---|
| Prestação do serviço contratado | Execução de contrato (art. 7º, V) |
| Atendimento ao cliente e suporte técnico | Execução de contrato |
| Cobrança, faturamento e cumprimento fiscal | Obrigação legal (art. 7º, II) |
| Comunicações operacionais (avisos, alterações) | Legítimo interesse (art. 7º, IX) |
| Comunicações de marketing | Consentimento (art. 7º, I); você pode revogar a qualquer momento |
| Segurança, prevenção a fraude e auditoria | Legítimo interesse |
| Aprimoramento da plataforma e da inteligência artificial | Legítimo interesse, com mecanismos de proteção e sem identificar individualmente o titular |
| Cumprimento de decisões judiciais e obrigações regulatórias | Obrigação legal |
Sobre inteligência artificial: o conteúdo das conversas pode ser processado pela inteligência artificial "Beny" para gerar respostas automáticas, sugestões e análises. Esse processamento ocorre por meio de provedores especializados de inteligência artificial (subprocessadores; ver seção 7). As conversas não são utilizadas para treinar modelos de IA de terceiros, conforme cláusulas contratuais firmadas com esses provedores.
6. Por quanto tempo guardamos os dados
A retenção segue o princípio da LGPD: guardamos apenas pelo tempo necessário.
Tipo de dado e prazo de retenção
| Tipo de dado | Prazo |
|---|---|
| Dados de conta e perfil da empresa-cliente ativa | Enquanto a conta estiver ativa |
| Dados de conta após cancelamento | 60 dias para reativação + retenção legal mínima |
| Mensagens trocadas via WhatsApp: contato com interação recente | Mantidas integralmente enquanto houver atividade |
| Mensagens trocadas via WhatsApp: contato inativo por 12 meses | Conteúdo anonimizado (mantém-se o registro da existência da interação para fins estatísticos) |
| Transcrições automáticas de áudio | 90 dias, após o que são deletadas (mantém-se apenas o registro de que houve mensagem de áudio) |
| Dados fiscais, contábeis e contratuais | Até 5 anos, conforme legislação fiscal |
| Backups | Até 90 dias (backups semanais) |
| Logs técnicos | 90 dias |
Cliente ativo pagante não tem dados apagados automaticamente; apenas contatos finais individualmente inativos por 12 meses passam por anonimização do conteúdo das mensagens.
7. Compartilhamento com terceiros (subprocessadores)
Para operar a plataforma, contamos com prestadores de serviço que podem ter acesso a dados pessoais sob nossa responsabilidade contratual. Não vendemos dados pessoais a terceiros.
Subprocessadores (categorias):
| Categoria | Finalidade | Localização |
|---|---|---|
| Provedores de Inteligência Artificial | Processamento de linguagem natural e geração de respostas automáticas pelo agente Beny. Operados sob contratos que vedam uso dos dados para treinamento de modelos de terceiros | EUA |
| Infraestrutura de Nuvem e Banco de Dados | Hospedagem da plataforma, banco de dados, autenticação, armazenamento de mídias e backup. Operados sob acordos de processamento de dados (DPA) com cláusulas contratuais padrão. | EUA / Brasil |
| WhatsApp Business API (Meta Platforms) | Comunicação via mensagens WhatsApp. Funcionalidade essencial e identificável ao usuário final. | EUA / Irlanda |
| Processadores de Pagamento | Cobrança de assinatura e processamento de transações financeiras. Dados de cartão não são armazenados pela IAT; são processados diretamente pelos provedores certificados PCI-DSS. | Brasil / EUA |
| Integrações de CRM, E-commerce e Suporte | Sincronização opcional ativada pela empresa-cliente para integração com sistemas de terceiros que ela já utiliza. | Brasil / EUA / outros |
| Ferramentas de Produtividade | Calendário, agendamento e armazenamento documental, ativados sob demanda pela empresa-cliente. | EUA |
Lista detalhada e nominal dos subprocessadores está disponível mediante solicitação ao e-mail dpo@iatconsulting.com.br e é fornecida em até 15 dias úteis. Atualizamos a lista a cada novo subprocessador relevante; alterações materiais serão comunicadas aos clientes ativos com antecedência razoável.
Outras situações de compartilhamento:
- Cumprimento de obrigação legal ou ordem judicial
- Defesa de direitos da IAT em processos
- Em caso de fusão, aquisição ou venda da empresa, com notificação prévia aos titulares
8. Transferência internacional de dados
Parte dos serviços que utilizamos opera em servidores localizados fora do Brasil, especialmente nos Estados Unidos e na Irlanda.
Asseguramos que essa transferência se dá:
- Para países que ofereçam grau de proteção adequado ou
- Mediante cláusulas contratuais padrão, garantias suficientes ou outros mecanismos previstos no art. 33 da LGPD
- Com fornecedores que mantenham certificações reconhecidas (ISO 27001, SOC 2, etc.)
Você pode solicitar mais informações sobre as garantias aplicáveis por meio do e-mail dpo@iatconsulting.com.br.
9. Segurança e backup
Adotamos medidas técnicas e organizacionais adequadas, em conformidade com o art. 46 da LGPD:
- Criptografia em trânsito (TLS 1.2 ou superior) e em repouso (AES-256)
- Backups automáticos com retenção de até 30 dias (diários) e 90 dias (semanais)
- Recuperação pontual (PITR) com janela de 7 dias
- Redundância em duas infraestruturas de nuvem distintas
- Controle de acesso baseado em função e princípio do menor privilégio
- Autenticação de múltiplas camadas
- Monitoramento, logs e alertas de segurança
- Revisão periódica de procedimentos de recuperação
- Sanitização (redação) de dados pessoais em logs operacionais
Nenhum sistema é 100% imune a falhas. Em caso de incidente, seguimos o procedimento descrito na seção 10.
10. Notificação de incidente de segurança
Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, a IAT:
- Conterá o incidente imediatamente e realizará investigação técnica
- Notificará a ANPD em até 2 (dois) dias úteis, conforme orientação da autoridade
- Notificará os titulares afetados quando aplicável, no mesmo prazo, com:
- Descrição da natureza dos dados afetados
- Informações sobre os titulares envolvidos
- Indicação das medidas técnicas e de segurança adotadas
- Riscos relacionados e medidas que o titular pode adotar
- Manterá registro de todos os incidentes pelo prazo legal
Canal para reportar suspeita de incidente: dpo@iatconsulting.com.br (assunto: "INCIDENTE").
11. Cookies e tecnologias de rastreamento
Utilizamos cookies e tecnologias similares para:
- Manter você autenticado na plataforma
- Lembrar preferências
- Analisar uso e melhorar a experiência
- Cumprir requisitos de segurança
Categorias utilizadas:
- Essenciais (não podem ser desativados; necessários ao funcionamento)
- Funcionais (preferências de interface)
- Analíticos (estatísticas anônimas; você pode recusar)
O banner de consentimento permite que você aceite, recuse ou personalize as categorias.
12. Direitos do titular (art. 18 da LGPD)
Você tem o direito de, a qualquer momento, solicitar o exercício dos direitos previstos na legislação. Em resumo:
Direitos disponíveis
| Direito | Descrição |
|---|---|
| Confirmação | Saber se tratamos dados seus |
| Acesso | Receber cópia dos dados que temos sobre você |
| Correção | Atualizar dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação | Pedir que dados desnecessários ou tratados em desconformidade sejam tratados |
| Portabilidade | Receber seus dados em formato estruturado |
| Eliminação | Excluir dados tratados com base em consentimento (respeitada obrigação legal) |
| Informação sobre compartilhamento | Saber com quais terceiros compartilhamos seus dados |
| Revogação do consentimento | Retirar consentimento previamente dado |
| Revisão de decisão automatizada | Solicitar revisão humana de decisões tomadas exclusivamente por sistema automatizado |
| Oposição | Opor-se a tratamento que viole a LGPD |
Como exercer: envie sua solicitação para dpo@iatconsulting.com.br indicando:
- Nome completo
- Documento de identidade (para verificação)
- Direito que deseja exercer
- Eventuais detalhes adicionais
Prazo de resposta: até 15 (quinze) dias úteis.
Em alguns casos, será necessária verificação adicional de identidade para evitar fraude. Solicitações de exclusão podem ser parcialmente atendidas quando houver obrigação legal de retenção (ex.: notas fiscais por 5 anos).
13. Crianças e adolescentes
A plataforma IAT não é destinada a menores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes. Caso identifiquemos coleta indevida, excluiremos os dados prontamente. Pais ou responsáveis podem entrar em contato pela DPO.
14. Alterações nesta Política
Esta Política pode ser atualizada periodicamente. Sempre que houver alteração relevante:
- Notificaremos por e-mail os usuários cadastrados
- Atualizaremos a data no topo do documento
- Manteremos histórico de versões disponível mediante solicitação
Histórico de versões:
- v2.0 (12/05/2026): Inclusão de DPO nominal, listagem de subprocessadores por categoria, cláusula de IA, procedimento de incidente, distinção Controlador/Operador
- v1.0 (27/10/2025), Versão Inicial
15. Lei aplicável e foro
Esta Política é regida pelas leis da República Federativa do Brasil. Fica eleito o foro da Comarca de São Paulo / SP como competente para dirimir quaisquer dúvidas ou conflitos relacionados.