LGPD · Lei Geral de Proteção de Dados

Proteção de dados é parte do produto, não anexo.

Operamos em conformidade com a Lei nº 13.709/2018 (LGPD) e alinhamos práticas ao GDPR para clientes internacionais. Esta página descreve como a Partenero coleta, trata, protege e devolve controle sobre dados pessoais, com foco específico no contexto de Customer Success, Customer Experience e agentes de IA.

Última atualização: 15 de maio de 2026

Papéis

A Partenero atua em dois papéis distintos sob a LGPD.

A distinção entre controladora e operadora é essencial: define quem decide finalidades, quem responde por exercício de direitos e quem responde a uma autoridade.

Controladora

Quando você navega no site partenero.com, preenche formulários de contato, participa de webinars, candidata-se a vagas ou recebe nossas comunicações comerciais. Nestes casos, a Partenero decide finalidade e meios do tratamento e responde diretamente perante a ANPD e perante você.

Operadora

Quando empresas-clientes utilizam a plataforma Partenero para gerir seus próprios clientes finais (contas, contatos, conversas, healthscore, tickets, atendimentos de IA). Nestes casos, a empresa-cliente é a Controladora dos dados, e a Partenero trata os dados estritamente conforme instruções contratuais, sem reaproveitamento para finalidades próprias.

Princípios

Os dez princípios do art. 6º da LGPD aplicados ao dia a dia.

Finalidade

Cada finalidade de tratamento é declarada antes da coleta. Não reaproveitamos dados para fim diverso sem nova base legal.

Adequação

O tratamento se mantém compatível com a finalidade informada. Mudanças relevantes geram nova comunicação ao titular.

Necessidade

Coletamos o mínimo necessário. Campos opcionais são marcados como tal em formulários e telas.

Livre acesso

Titulares podem consultar dados, finalidades, duração e compartilhamentos por um canal único e gratuito.

Qualidade dos dados

Mantemos canais ativos para correção e exclusão. Bases internas têm rotinas de saneamento.

Transparência

Esta política, a de Privacidade e a de Cookies são públicas, atualizadas e versionadas.

Segurança

Camadas técnicas e organizacionais detalhadas na seção de Segurança desta página.

Prevenção

Avaliações de impacto (RIPD/DPIA) precedem mudanças relevantes e novos casos de uso de IA.

Não discriminação

Vedamos uso de dados para finalidades discriminatórias ou prejudiciais a grupos vulneráveis.

Responsabilização

Mantemos registros, evidências e plano de resposta para demonstrar conformidade quando demandada.

Bases legais

Cada finalidade tem base legal explícita.

Adotamos as hipóteses do art. 7º (dados pessoais) e do art. 11 (dados sensíveis, quando aplicável) da LGPD. A base aplicada a cada tratamento está disponível mediante solicitação ao Encarregado.

Execução de contrato (Art. 7º, V)

Dados necessários para entregar a plataforma a clientes pagos: provisionamento, billing, suporte, integrações.

Cumprimento de obrigação legal (Art. 7º, II)

Retenção fiscal, contábil, atendimento a ordens da ANPD e demais autoridades.

Legítimo interesse (Art. 7º, IX)

Marketing B2B com salvaguardas, prevenção a fraude, segurança da informação, melhoria de produto baseada em dados agregados e anonimizados.

Consentimento (Art. 7º, I)

Cookies analíticos e de marketing, newsletter, pesquisas opcionais. Sempre revogável em um clique.

Tutela da saúde / proteção do crédito (Art. 7º, VIII e X)

Aplicáveis apenas em casos pontuais e sempre documentados, com avaliação prévia do Encarregado.

Dados tratados

O que coletamos, em cada contexto.

Visitantes do site

  • Identificadores técnicos: endereço IP, user agent, páginas visitadas, referrer.
  • Dados de formulário: nome, e-mail corporativo, empresa, cargo, mensagem.
  • Cookies e armazenamento local conforme a Política de Cookies (link no rodapé).

Clientes (administradores e usuários da plataforma)

  • Identificação e contato: nome, e-mail, telefone, cargo, foto opcional.
  • Autenticação: hash de senha, tokens, registros de SSO e MFA.
  • Faturamento: razão social, CNPJ, endereço fiscal, meios de pagamento (tokenizados via processador).
  • Uso da plataforma: telas acessadas, ações, performance e logs de auditoria.

Dados operacionais (clientes finais dos nossos clientes)

  • Customer Success: identificação da conta e contatos, eventos de produto, healthscore, jornada, NPS/CSAT, notas e tarefas.
  • Customer Experience: histórico de conversas (WhatsApp, e-mail, chat, redes sociais), anexos, transcrições, classificação de sentimento.
  • Agentes de IA: prompts, respostas, fontes consultadas, ações tomadas (tool use), logs auditáveis por interação.

Dados que não tratamos intencionalmente

  • Dados sensíveis (art. 5º, II) só são tratados se inseridos pelo cliente em campos abertos. Não solicitamos, não indexamos para perfilamento e oferecemos rotina de eliminação sob demanda.
  • Dados de crianças e adolescentes: a plataforma é B2B e não se destina a esse público. Identificações desse tipo são tratadas como incidente e removidas.
Direitos do titular

Os nove direitos do art. 18 da LGPD.

Como titular, você pode exercer qualquer um dos direitos abaixo escrevendo para contato@partenero.com. O Encarregado responde em até 15 dias.

1

Confirmação

Saber se tratamos algum dado pessoal sobre você.

2

Acesso

Obter cópia dos dados pessoais que tratamos.

3

Correção

Solicitar correção de dados incompletos, inexatos ou desatualizados.

4

Anonimização ou bloqueio

Pedir anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.

5

Portabilidade

Receber seus dados em formato estruturado (CSV ou JSON) ou solicitar envio direto a outro fornecedor.

6

Eliminação

Pedir eliminação dos dados tratados com consentimento, observados deveres legais de retenção.

7

Informação de compartilhamento

Saber com quais entidades públicas e privadas seus dados foram compartilhados.

8

Informação sobre não consentir

Saber as consequências de não conceder consentimento e como negá-lo.

9

Revogação do consentimento

Revogar o consentimento concedido, a qualquer momento, sem custo.

Observação: Pedidos relacionados a dados operacionais inseridos por um cliente da Partenero (você é cliente final de uma empresa que usa a plataforma) são direcionados primeiro à empresa Controladora. Encaminhamos automaticamente quando aplicável.

IA e decisões automatizadas

Governança específica para agentes generativos.

Operamos agentes de IA em produção desde 2024. A LGPD prevê direitos específicos quando há decisão automatizada (art. 20). Aqui está como atendemos:

Dados de clientes não treinam modelos públicos

Contratos com OpenAI, Anthropic e Google incluem cláusula de zero-retention e proibição de uso para treinamento. Logs do provedor têm retenção máxima de 30 dias para detecção de abuso. Em planos Enterprise, oferecemos pin de modelo e deploy dedicado quando necessário.

Direito a revisão humana

Quando um agente toma decisões com efeito relevante sobre o titular (ex.: aprovação de troca, concessão de desconto, escalonamento), oferecemos revisão por pessoa natural mediante solicitação. O fluxo é configurável por cliente.

Auditabilidade completa

Cada ação do agente registra: prompt enviado, fontes consultadas (RAG), ferramentas chamadas, parâmetros, resposta gerada, nível de confiança e identificador da execução. Logs ficam disponíveis por 180 dias.

Guardrails configuráveis

PII detection, listas de tópicos vedados, mascaramento automático, e fallback humano quando o modelo indica baixa confiança. Cada cliente configura seus próprios guardrails sem código.

Subprocessadores

Quem nos ajuda a operar.

Mantemos uma lista pública e versionada de subprocessadores. Adições materiais são comunicadas a clientes com 30 dias de antecedência, oferecendo direito de objeção.

Infraestrutura de nuvem

Amazon Web Services (sa-east-1 primário, us-east-1 backup).

Borda e segurança

Cloudflare (DDoS, WAF, CDN).

Modelos de IA

OpenAI, Anthropic e Google (sob contrato zero-retention).

Comunicação

Meta WhatsApp Business API, Twilio (SMS/voz), SendGrid (e-mail transacional).

Observabilidade

Datadog e Sentry (logs e erros, sem PII em payload).

Pagamentos

Stripe (cartão) e provedor local para boleto e PIX.

Transferência internacional

Onde seus dados vivem.

Dados de clientes brasileiros residem no Brasil (AWS sa-east-1, São Paulo) por padrão. Backups criptografados podem ser replicados para us-east-1 (Virgínia, EUA) para fins de resiliência. Em todos os casos, adotamos cláusulas-padrão alinhadas a recomendações da ANPD e ao GDPR (SCCs) para garantir nível adequado de proteção.

Residência primária

São Paulo, Brasil (AWS sa-east-1).

Backup geográfico

Virgínia, EUA, criptografia em repouso (AES-256) e em trânsito (TLS 1.3).

Modelos de IA

Endpoints regionais quando disponíveis. Para clientes que exigem residência total no Brasil, oferecemos modelos hospedados em SP.

Retenção

Quanto tempo guardamos.

Conta ativaPelo tempo de vigência do contrato, mais o necessário para entregar o serviço.
Após cancelamento60 dias para portabilidade e exportação. Após esse período, eliminamos ou anonimizamos.
BackupsJanela rolante de 90 dias. Backups expiram automaticamente.
Logs de auditoria180 dias para logs de aplicação, 12 meses para logs de segurança.
Obrigações legaisDocumentos fiscais e contábeis podem ser retidos por até 5 anos, conforme legislação.
MarketingBases de marketing são revisadas a cada 12 meses. Contatos inativos são anonimizados.
Segurança

Camadas técnicas e organizacionais.

Criptografia

TLS 1.3 em trânsito, AES-256 em repouso, gestão de chaves via AWS KMS.

Controle de acesso

RBAC granular, SSO/SAML, MFA obrigatório para administradores, IP allowlist no Enterprise.

Auditoria

Logs imutáveis de acesso, alterações e exportações. Trilha por usuário, dispositivo e IP.

Programa formal

SOC 2 Type II em curso (conclusão 2026), ISO 27001 em curso, pentest anual com fornecedor externo, programa de bug bounty privado.

Continuidade

RPO 1h, RTO 4h. Testes de DR semestrais com relatório disponível sob NDA.

Pessoas

Treinamento anual obrigatório em LGPD e segurança. Background check para times com acesso a produção. Princípio do menor privilégio.

Incidentes

Como respondemos a incidentes de segurança.

  • Plano de resposta a incidentes formal, testado anualmente em tabletop exercises.
  • Detecção 24/7 via SIEM e alertas em pipeline observável.
  • Comunicação a clientes afetados em até 72 horas a partir da confirmação do incidente.
  • Notificação à ANPD em prazo razoável conforme orientação Resolução CD/ANPD nº 15/2024.
  • Postmortem público para incidentes de severidade alta, com causa-raiz e plano de ação.
Atualizações

Como esta política evolui.

Atualizamos esta página sempre que mudamos práticas relevantes. Mudanças materiais são comunicadas a clientes ativos com 30 dias de antecedência, por e-mail e dentro do produto. Versões anteriores ficam disponíveis no histórico, acessível sob solicitação.

Encarregado (DPO)

Canal direto com nosso Encarregado pelo Tratamento de Dados.

O Encarregado da Partenero é o ponto de contato para titulares, clientes e autoridades. Não usamos formulários intermediários: você escreve, uma pessoa responde.

SLA

Resposta em até 15 dias úteis (Art. 19, LGPD).

Endereço postal

Bizware Soluções em Informatica LTDA · Av. Pres. Juscelino Kubitschek, 2.041 · Torre B · São Paulo, SP · 04543-011

confiança por design

Quer ver como tratamos privacidade no produto?

30 minutos com um especialista, com tour pelos controles de privacidade e auditoria. Sem demo genérica.