Política de Privacidade

Versão: v1.0 — 2026-04-08

Esta Política de Privacidade descreve como o serviço AmpliAI BotFinanceiro ("AmpliAI", "nós") coleta, utiliza, armazena e protege os dados pessoais dos seus usuários ("você", "titular"), em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD).

1. Controlador dos dados

O controlador dos dados pessoais tratados por este serviço é o founder da AmpliAI, pessoa física operando sob o domínio ampliai.com.br. Identificação completa (CPF/CNPJ) disponível mediante solicitação ao DPO.

2. Encarregado (DPO)

O Encarregado pelo Tratamento de Dados Pessoais (DPO — Data Protection Officer) é o próprio founder da AmpliAI. Contato: [email protected].

3. Dados coletados

• Número de telefone WhatsApp — usado exclusivamente para identificar o tenant (sua conta) dentro da plataforma multi-tenant.
• Mensagens enviadas ao bot (texto e áudio) — processadas para extrair a despesa e registrá-la na sua planilha. Áudios são enviados à API Whisper (OpenAI) e descartados do nosso lado em menos de 60 segundos após a transcrição.
• Token OAuth do Google — armazenado criptografado em repouso via pgp_sym_encrypt (extensão pgcrypto do PostgreSQL). O escopo solicitado é exclusivamente https://www.googleapis.com/auth/drive.file, o que significa que o AmpliAI SÓ tem acesso à planilha que ele próprio cria para você — nunca a outros arquivos do seu Google Drive.
• Dados de pagamento — processados diretamente pelo Asaas via checkout hospedado. O AmpliAI não armazena dados de cartão ou chave Pix.
• Logs técnicos — metadados mínimos de execução (timestamps, identificadores de mensagem) para depuração e combate a fraude.

4. Finalidade do tratamento

Os dados são tratados com a única finalidade de prover o serviço de registro automático de despesas pessoais via WhatsApp, incluindo: compreender o conteúdo da mensagem, categorizar a despesa, registrar na sua planilha Google Sheets e responder às suas perguntas sobre os próprios gastos.

5. Base legal (LGPD Art. 7)

O tratamento é realizado com base em (i) execução de contrato do qual o titular é parte (Art. 7, V) e (ii) consentimento livre, informado e inequívoco (Art. 7, I), concedido no momento do OAuth e do aceite destes termos.

6. Sub-processadores

Para prover o serviço, o AmpliAI compartilha dados estritamente necessários com os seguintes sub-processadores:

• Anthropic PBC (EUA) — API Claude, para processamento de linguagem natural das suas mensagens.
• OpenAI OpCo LLC (EUA) — API Whisper, para transcrição de mensagens de áudio em texto.
• Google LLC (EUA) — Google Sheets API, para criar e atualizar a planilha que pertence à sua própria conta Google (escopo drive.file).
• Asaas S.A. (Brasil) — Processamento de pagamentos via Pix e cartão, através de checkout hospedado.
• Hostinger International Ltd. (União Europeia) — Hospedagem da infraestrutura (VPS que roda o backend, o banco de dados PostgreSQL e o n8n).

7. Transferência internacional de dados

Parte do tratamento ocorre fora do Brasil (EUA e União Europeia) nos sub-processadores listados acima. A transferência é amparada pelo consentimento específico do titular (LGPD Art. 33, VIII) e pela necessidade de execução de contrato (Art. 33, II).

8. Retenção

• Mensagens de WhatsApp (texto) são retidas por até 90 dias para permitir auditoria e correção de lançamentos, e então anonimizadas ou eliminadas.
• Áudios são eliminados em menos de 60 segundos após a transcrição.
• Tokens OAuth são retidos enquanto a conta estiver ativa e eliminados em até 7 dias após o encerramento.
• Registros de despesa vivem na SUA planilha do Google Sheets, sob seu controle exclusivo — o AmpliAI não os copia para seu próprio banco.

9. Direitos do titular (LGPD Art. 18)

Você tem direito a qualquer tempo a:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
• Portabilidade dos dados;
• Eliminação dos dados tratados com base em consentimento;
• Informação sobre entidades com as quais compartilhamos dados;
• Revogação do consentimento a qualquer momento.

10. Como exercer seus direitos

Você pode exercer qualquer destes direitos de duas formas:

• Enviando a mensagem "apagar minha conta" para o próprio bot no WhatsApp; ou
• Enviando email ao DPO em [email protected].

Responderemos em até 15 dias corridos.

11. Segurança

• Tokens OAuth criptografados em repouso via pgp_sym_encrypt (pgcrypto).
• TLS obrigatório em todas as conexões (Let's Encrypt, modo Full strict na Cloudflare).
• Isolamento multi-tenant por tenant_id em todas as tabelas.
• Backups diários criptografados off-box.

12. Alterações nesta política

Podemos atualizar esta Política. A versão corrente e a data de publicação constam no topo desta página. Alterações materiais serão comunicadas via WhatsApp aos usuários ativos.

13. Contato

Dúvidas, solicitações ou reclamações: [email protected]. Você também pode peticionar diretamente à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.