Política de Privacidade — Bevox
Última atualização: 07 de abril de 2026 Versão: 1.0
1. Quem somos
Esta Política de Privacidade descreve como a Bevox Solutions Inova Simples (I.S.), inscrita no CNPJ sob o nº 66.125.721/0001-36, com sede em Rua dos Cravos, nº 270, CEP 38.412-208, Uberlândia/MG ("Bevox", "nós" ou "Empresa"), trata dados pessoais coletados por meio do site https://bevox.ai e da plataforma operacional Bevox (Plataforma, Serviço).
A Bevox é uma plataforma operacional para negócios baseados em agenda (clínicas, estúdios, consultórios, prestadores autônomos), unificando atendimento via WhatsApp e Instagram, gestão de agenda, cobrança e camadas de Inteligência Artificial.
Esta Política se aplica a:
- visitantes do site institucional;
- pessoas físicas e jurídicas que se cadastram como Clientes da Plataforma;
- Usuários Finais (pacientes, clientes, alunos) cujos dados são tratados pelos Clientes por meio da Plataforma;
- candidatos a emprego, parceiros comerciais e demais titulares cujos dados sejam tratados pela Bevox.
2. Encarregado de Proteção de Dados (DPO)
Em cumprimento ao art. 41 da LGPD, indicamos como Encarregado:
- Nome: Bernard Tavares
- E-mail: [email protected]
- Endereço postal: Rua dos Cravos, nº 270, CEP 38.412-208, Uberlândia/MG
Você pode entrar em contato com o DPO para exercer seus direitos como titular, esclarecer dúvidas sobre tratamento de dados ou submeter solicitações relacionadas à LGPD.
3. Papéis: Controlador vs. Operador
A Bevox atua em dois papéis distintos, dependendo do tipo de dado:
3.1. Bevox como Controladora (define finalidades e meios)
A Bevox é a Controladora dos seguintes dados:
- dados de visitantes do site (cookies, analytics);
- dados de cadastro do Cliente (representante legal, dados de faturamento);
- dados de uso da Plataforma pelo Cliente (logs, métricas);
- comunicações com a Bevox (suporte, marketing direto opt-in).
3.2. Bevox como Operadora (trata em nome do Cliente)
Em relação aos dados de Usuários Finais que o Cliente insere ou recebe na Plataforma (mensagens de pacientes, agendamentos, dados de clientes, cobranças), o Cliente é o Controlador e a Bevox é a Operadora, atuando conforme instruções razoáveis e os Termos de Uso.
O Cliente é responsável por garantir base legal, transparência e direitos dos titulares em relação a esses dados. A Bevox auxilia o Cliente, dentro dos limites técnicos da Plataforma, a cumprir tais obrigações.
4. Dados que Coletamos
4.1. Dados que você fornece
| Categoria | Exemplos |
|---|---|
| Cadastro do Cliente | nome, e-mail, telefone, CPF/CNPJ, razão social, endereço, dados de pagamento (tokenizados via Stripe). |
| Conteúdo enviado pelo Cliente | nomes e contatos de Usuários Finais, agendamentos, anotações, conteúdo de mensagens, mídia (imagens, áudios, documentos), templates configurados. |
| Comunicações com a Bevox | mensagens enviadas a suporte, formulários de contato, candidaturas a vagas. |
4.2. Dados coletados automaticamente
| Categoria | Exemplos |
|---|---|
| Dados técnicos | endereço IP, identificador de dispositivo, tipo e versão do navegador, sistema operacional, idioma. |
| Dados de uso | páginas acessadas, ações realizadas na Plataforma, timestamps, latências, logs de eventos. |
| Cookies e tecnologias similares | conforme detalhado na seção 9 desta Política. |
4.3. Dados de integrações de terceiros (somente quando o Cliente conecta)
| Origem | Dados |
|---|---|
| Meta — WhatsApp Business | identificador do WABA, número de telefone, perfil público da conta business, mensagens trocadas com Usuários Finais (quando o Cliente recebe), status de entrega (sent/delivered/read), status de templates (aprovado/rejeitado), messaging_limit_tier, quality_rating. |
| Meta — Instagram Business | identificador da conta Instagram (instagram_id), username, tipo de conta, mensagens trocadas via DM, status de envio/leitura. |
| Google — Google Calendar | metadata de eventos (título, horário, participantes, local) somente dos calendários explicitamente autorizados pelo Cliente, conforme escopo OAuth concedido. |
| Stripe | identificadores de Connected Account, status de cobranças, valores transacionados, payouts. Dados de cartão são tokenizados pela Stripe e não trafegam nem são armazenados pela Bevox. |
4.4. Categorias especiais (dados sensíveis)
A depender da atividade do Cliente (ex.: clínica de saúde), a Plataforma pode tratar dados pessoais sensíveis (art. 5º, II, LGPD), incluindo dados de saúde, em mensagens, anotações ou agendamentos. Nessa hipótese:
- o Cliente é responsável por obter consentimento específico e destacado dos titulares ou utilizar outra base legal adequada (art. 11 LGPD);
- a Bevox aplica medidas técnicas e organizacionais reforçadas (cifra, controle de acesso, auditoria, redução à minimização) para proteger esses dados;
- o tratamento ocorre exclusivamente para as finalidades autorizadas pelo Cliente, vedado uso secundário.
5. Bases Legais para o Tratamento
A Bevox trata dados pessoais com base nas seguintes hipóteses legais (art. 7º e art. 11 da LGPD):
| Finalidade | Base legal |
|---|---|
| Execução do contrato com o Cliente; prestação do Serviço | execução de contrato (art. 7º, V) |
| Cobrança, cumprimento de obrigações fiscais e contábeis | obrigação legal/regulatória (art. 7º, II) |
| Prevenção a fraudes, segurança da Plataforma, auditoria | legítimo interesse (art. 7º, IX), com avaliação documentada |
| Comunicações de marketing direto a Clientes existentes | legítimo interesse + opt-out facilitado |
| Marketing a leads (visitantes que assinam newsletter etc.) | consentimento (art. 7º, I) |
| Cookies não essenciais, analytics | consentimento (art. 7º, I) |
| Compartilhamento com autoridades quando exigido | obrigação legal/regulatória ou tutela de direitos (art. 7º, VI) |
| Dados sensíveis (saúde) tratados em nome de Clientes | consentimento específico do titular ou tutela da saúde, conforme contrato com o Cliente Controlador |
| Decisões automatizadas com IA (sugestões/execuções aprovadas) | execução de contrato + legítimo interesse, com direito de revisão humana garantido (art. 20 LGPD) |
6. Para Que Usamos seus Dados (Finalidades)
- Operar a Plataforma: autenticação, gestão de workspaces, envio e recebimento de mensagens, gestão de agenda, cobrança.
- Suporte ao Cliente: responder dúvidas, diagnosticar problemas, treinar a equipe.
- Segurança: detectar fraudes, abusos, acessos indevidos; manter logs e auditoria.
- Melhoria do Serviço: análise estatística agregada, métricas de qualidade, desenvolvimento de novos recursos.
- Comunicações administrativas: avisos sobre conta, faturamento, mudanças contratuais (não opt-out por serem essenciais).
- Marketing direto (opt-out disponível): novidades, conteúdos, ofertas — apenas quando há base legal.
- Cumprimento de obrigações legais e regulatórias: fiscal, tributária, ANPD, ordens judiciais.
A Bevox não usa Conteúdo do Cliente para treinar modelos de IA de uso geral sem consentimento explícito do Cliente Controlador.
7. Com Quem Compartilhamos seus Dados
A Bevox não vende dados pessoais. Compartilhamento ocorre apenas com os agentes abaixo e nas finalidades descritas.
7.1. Subprocessadores (operadores que tratam dados em nome da Bevox)
| Subprocessador | Finalidade | País |
|---|---|---|
| Amazon Web Services, Inc. (AWS) | hospedagem de infraestrutura (compute, banco de dados, storage, armazenamento de mídia) | EUA / regiões aplicáveis (incluindo São Paulo, Brasil, quando disponível) |
| Vercel Inc. | hospedagem de aplicações web e edge computing | EUA / global |
| Supabase, Inc. | banco de dados gerenciado, autenticação e armazenamento auxiliar | EUA / global |
| Sentry (Functional Software, Inc.) | monitoramento de erros e performance (com PII redacted) | EUA |
| LangChain, Inc. | orquestração de pipelines de Inteligência Artificial | EUA |
| Anthropic, PBC | provedor de modelos de IA (inferência); não treina modelos com dados do Cliente sob os termos comerciais aplicáveis | EUA |
| OpenAI, L.L.C. | provedor de modelos de IA (inferência); não treina modelos com dados do Cliente sob os termos comerciais aplicáveis (API/Enterprise) | EUA |
| Stripe Payments do Brasil Serviços de Pagamento Ltda. | processamento de pagamentos | Brasil / global |
A lista de subprocessadores acima é atualizada nesta própria Política. Mudanças materiais (inclusão, substituição ou remoção de subprocessadores que tratem dados pessoais) são comunicadas com antecedência razoável a Clientes ativos por e-mail e refletidas na próxima revisão desta Política.
7.2. Provedores de Integração contratados pelo Cliente
Quando o Cliente habilita integrações com Meta (WhatsApp/Instagram) ou Google (Calendar), os dados necessários são compartilhados com esses provedores conforme escopo OAuth/permissões concedidas pelo Cliente. Esses provedores tratam os dados sob seus próprios termos (ver seções 11 e 12).
7.3. Autoridades públicas
Quando exigido por lei, ordem judicial ou requisição legítima de autoridade competente, a Bevox pode divulgar dados na medida estritamente necessária.
7.4. Reorganização societária
Em caso de fusão, aquisição, venda de ativos ou reorganização, dados podem ser transferidos ao sucessor, mantidas as obrigações desta Política. Os titulares serão informados.
8. Transferência Internacional de Dados
Parte dos subprocessadores listados na seção 7.1 está sediada fora do Brasil. Nessas hipóteses, a Bevox aplica salvaguardas previstas no art. 33 da LGPD:
- contratação de operadores que demonstrem conformidade;
- cláusulas contratuais específicas (SCCs/DPAs);
- avaliação de país com nível adequado de proteção quando aplicável.
Você pode solicitar mais informações sobre as salvaguardas aplicadas escrevendo ao DPO.
9. Cookies e Tecnologias Similares
9.1. Tipos de cookies que utilizamos
| Categoria | Finalidade | Necessita consentimento? |
|---|---|---|
| Estritamente necessários | autenticação, sessão, segurança | Não (essenciais ao serviço) |
| De funcionalidade | preferências de idioma, tema | Sim (LGPD trata como facultativo) |
| De analytics | medição de uso agregado (ex.: Google Analytics, Posthog) | Sim — ativados apenas após consentimento |
| De marketing | mensuração de campanhas, retargeting | Sim — ativados apenas após consentimento |
9.2. Como gerenciar
Ao acessar o site pela primeira vez, você verá um banner permitindo aceitar, recusar ou personalizar categorias de cookies. Você pode revisar suas escolhas a qualquer momento por meio do próprio banner (reapresentável a pedido), nas configurações do seu navegador ou enviando solicitação ao DPO no contato indicado na seção 2.
A recusa de cookies não essenciais não impede o uso do site, mas pode reduzir funcionalidades.
10. Retenção de Dados
| Categoria | Prazo de retenção |
|---|---|
| Dados de cadastro do Cliente ativo | enquanto a conta estiver ativa |
| Conteúdo do Cliente (mensagens, agendamentos, etc.) | 5 anos após o fato gerador, ou conforme exigência regulatória aplicável à atividade do Cliente (ex.: prontuário médico, conforme normas do CFM) |
| Dados de pagamento e fiscal | até 5 anos após o exercício fiscal, conforme legislação |
| Logs de acesso e auditoria | 6 meses (Marco Civil da Internet, art. 15) — podendo ser estendidos por exigência regulatória |
| Cookies | conforme tipo, máximo 12 meses |
| Dados de leads que não viraram Clientes | até 24 meses ou até pedido de exclusão |
| Eventos webhook (Meta) | 90 dias quentes; pseudonimização parcial até 180 dias; após, eliminação |
| Tokens OAuth e segredos | enquanto a integração estiver ativa; eliminação imediata ao desconectar |
| Audit log de mutações | 5 anos (compliance interno) |
Após os prazos, dados são eliminados ou anonimizados de forma irreversível, salvo obrigação legal de retenção superior.
11. Como tratamos dados oriundos de WhatsApp Business e Instagram (Meta)
Esta seção é exigida pelas Políticas da Meta. Sua publicação clara é critério para aprovação no App Review.
11.1. Dados acessados
Quando o Cliente conecta WhatsApp Business ou Instagram Business à Plataforma, a Bevox acessa, em nome do Cliente:
- identificadores do WABA, número de telefone, identificador da conta Instagram, perfil business público;
- mensagens trocadas entre o Cliente e seus Usuários Finais (texto, mídia, status);
- status de entrega e leitura;
- estado de templates (apenas WhatsApp);
- métricas de qualidade do número (apenas WhatsApp).
11.2. Como usamos
- exibir e organizar conversas para o Cliente;
- aplicar funcionalidades de IA configuradas pelo Cliente;
- gerar lembretes, confirmações e cobranças;
- registrar histórico para fins de auditoria e suporte.
11.3. O que não fazemos
- não usamos mensagens, mídias ou metadados Meta para treinar modelos de IA de uso geral;
- não vendemos esses dados a terceiros;
- não usamos esses dados para publicidade direcionada.
11.4. Conformidade com Políticas da Meta
A Bevox e seus Clientes comprometem-se a respeitar:
- WhatsApp Business Solution Terms;
- WhatsApp Commerce Policy;
- Instagram Platform Terms;
- Meta Platform Terms.
11.5. Exclusão e desconexão
Você (ou o Cliente) pode desconectar a integração a qualquer momento pelo painel da Plataforma ou solicitando ao DPO. Após desconexão:
- tokens OAuth são revogados imediatamente;
- mensagens já recebidas são retidas conforme política de retenção (seção 10);
- mediante solicitação formal (seção 14), excluímos integralmente os dados conforme a LGPD permite.
Solicitação de Exclusão de Dados (Data Deletion Request para Meta): envie pedido por e-mail ao DPO ([email protected]) com o assunto "Exclusão de Dados — Meta", informando o identificador da conta WhatsApp/Instagram conectada. A Bevox confirmará a exclusão em até 15 dias corridos, conforme procedimento descrito na seção 14.
12. Como tratamos dados oriundos de Google API Services (Google Calendar)
Esta seção é exigida pela Google API Services User Data Policy, incluindo a Limited Use Policy. Sua publicação literal e fiel é critério para Google OAuth Verification.
12.1. Escopos solicitados
Para integração com Google Calendar e identificação básica do Cliente, a Bevox solicita os seguintes escopos OAuth, e somente os necessários:
openid— autenticação federada via Google (OpenID Connect);https://www.googleapis.com/auth/userinfo.email— leitura do endereço de e-mail da conta Google autenticada, para vincular à conta Bevox;https://www.googleapis.com/auth/userinfo.profile— leitura do perfil básico (nome e foto pública), para exibição na Plataforma;https://www.googleapis.com/auth/calendar.events— leitura e gravação de eventos do Calendar do Cliente, exclusivamente nos calendários autorizados, para sincronização de agenda, prevenção de conflitos e envio de lembretes;https://www.googleapis.com/auth/calendar.readonly— leitura de calendários adicionais, quando o Cliente optar por exibir disponibilidade consolidada sem permitir gravação.
A Bevox não solicita escopos sensíveis ou restritos do Google que não sejam estritamente necessários ao funcionamento da Plataforma. Se, no futuro, novos escopos forem necessários, esta Política será atualizada e os Clientes serão informados antes da entrada em vigor.
12.2. Limited Use — declaração obrigatória
A Bevox confirma que o uso e a transferência, para qualquer outro aplicativo, de informações recebidas das APIs do Google adere às Políticas de Dados de Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado (Limited Use).
Em particular, a Bevox não:
- utiliza dados do Google para fornecer ou melhorar funcionalidades não relacionadas e voltadas ao usuário;
- transfere dados do Google a terceiros, exceto quando necessário para fornecer ou melhorar funcionalidades voltadas ao usuário, em conformidade com Termos de Serviço aplicáveis e mediante consentimento do usuário;
- utiliza dados do Google para fins de publicidade, incluindo publicidade direcionada por comportamento;
- permite que humanos leiam os dados do Google, salvo se (i) o usuário tiver consentido, (ii) for necessário para fins de segurança, (iii) for necessário para cumprir lei aplicável, ou (iv) os dados estiverem agregados e usados para análises internas;
- utiliza dados do Google para treinar ou desenvolver modelos de IA generalistas; o uso por modelos de IA da Bevox dentro do produto, em benefício do próprio usuário, segue as exceções da política do Google.
12.3. Como usamos
Dados do Google Calendar são usados exclusivamente para:
- sincronizar eventos com a agenda da Plataforma;
- evitar conflitos de horário;
- enviar lembretes e confirmações;
- exibir disponibilidade ao Usuário Final (quando o Cliente habilita).
12.4. Desconexão e revogação
Você pode revogar o acesso a qualquer momento em https://myaccount.google.com/permissions ou pelo painel da Plataforma. Após revogação, tokens são apagados imediatamente e dados sincronizados são tratados conforme política de retenção.
13. Stripe — Pagamentos
A Bevox utiliza a Stripe para processar pagamentos, com modelo Stripe Connect. Dados de cartão são tokenizados diretamente pela Stripe e não trafegam nem são armazenados em sistemas da Bevox. O tratamento pela Stripe é regido por sua própria Política de Privacidade.
A Bevox armazena apenas identificadores de Connected Accounts, status de transações e metadados de cobrança necessários à reconciliação.
14. Direitos dos Titulares (LGPD, art. 18)
Você, como titular de dados pessoais, tem o direito de:
| Direito | Descrição |
|---|---|
| Confirmação e acesso | confirmar a existência de tratamento e acessar os dados |
| Correção | retificar dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação | de dados desnecessários, excessivos ou tratados em desconformidade |
| Portabilidade | receber dados em formato estruturado e interoperável |
| Eliminação | de dados tratados com base em consentimento, ressalvadas hipóteses legais de retenção |
| Informação sobre compartilhamento | conhecer entidades públicas e privadas com quem compartilhamos |
| Revogação do consentimento | quando o tratamento se basear em consentimento |
| Revisão de decisões automatizadas | direito a revisão humana de decisões com efeitos jurídicos ou impactos significativos (art. 20 LGPD) |
| Oposição | a tratamentos baseados em legítimo interesse, exceto quando indispensáveis |
14.1. Como exercer
Envie solicitação a [email protected] com:
- nome completo;
- e-mail/telefone associado à conta (se Cliente);
- descrição da solicitação;
- documento de identificação (para confirmação de identidade — usado apenas para essa finalidade e descartado em seguida).
A Bevox responde em até 15 dias corridos. Em casos complexos, podemos prorrogar o prazo, com justificativa.
Se a solicitação envolver dados em que o Cliente é o Controlador (ex.: paciente solicitando acesso à clínica que usa a Bevox), encaminharemos o pedido ao Cliente Controlador e auxiliaremos no atendimento dentro de nossas obrigações como Operadora.
15. Crianças e Adolescentes
A Plataforma não é direcionada a menores de 18 anos. Se um Cliente trata dados de menores no exercício de sua atividade (ex.: pediatria, escola), o Cliente é responsável por obter consentimento específico do responsável legal (art. 14 LGPD) e por configurar a Plataforma de forma adequada à proteção desses dados.
16. Segurança da Informação
A Bevox aplica medidas técnicas e organizacionais para proteger dados pessoais, incluindo:
- TLS 1.2+ em todas as conexões;
- Cifra em repouso (AES-256-GCM) para dados sensíveis (tokens, conteúdo de mensagens);
- Controle de acesso baseado em função (RBAC) e princípio do menor privilégio;
- Logs de auditoria imutáveis para mutações sensíveis;
- Segregação multi-tenant estrita por workspace;
- Backups cifrados com restauração testada;
- Monitoramento contínuo (Sentry, Grafana, OTel) com PII redacted;
- Treinamento periódico do time em segurança e privacidade;
- Avaliação de subprocessadores antes da contratação.
Embora apliquemos medidas razoáveis, nenhum sistema é 100% seguro. Em caso de incidente de segurança que represente risco ou dano relevante a titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável (art. 48 LGPD).
17. Decisões Automatizadas e Inteligência Artificial
A Plataforma utiliza modelos de IA para sugerir respostas, gerar resumos e executar ações dentro de regras configuradas pelo Cliente. Você tem direito (art. 20 LGPD) a:
- transparência sobre os critérios utilizados;
- revisão humana de decisões que produzam efeitos jurídicos ou impactem significativamente seus interesses;
- contestação de decisões automatizadas que considere indevidas.
Solicitações nesse sentido devem ser enviadas ao DPO. A Bevox e o Cliente Controlador (quando aplicável) responderão dentro do prazo legal.
A Bevox não toma decisões totalmente automatizadas com efeito jurídico em titulares sem que o Cliente Controlador as configure dentro de regras explícitas e auditáveis.
18. Atualizações desta Política
Esta Política pode ser atualizada periodicamente. Mudanças materiais serão comunicadas com antecedência razoável por e-mail (a Clientes) e por aviso no site. A versão vigente será sempre a publicada nesta URL com a data da última atualização indicada no topo.
O histórico de versões anteriores pode ser solicitado por e-mail ao DPO. Versões vigentes anteriores são preservadas pela Bevox para fins de auditoria.
19. Reclamação à Autoridade Nacional de Proteção de Dados
Você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que o tratamento de seus dados pela Bevox não está em conformidade com a LGPD:
- Site: https://www.gov.br/anpd/
- Canal de Atendimento ao Titular: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao
20. Contato
| Para | Endereço |
|---|---|
| DPO / Encarregado | Bernard Tavares — [email protected] |
| Solicitações de exclusão de dados (Meta) | [email protected] (assunto: "Exclusão de Dados — Meta") |
| Suporte ao Cliente | [email protected] |
| Endereço postal | Rua dos Cravos, nº 270, CEP 38.412-208, Uberlândia/MG |
Histórico de versões
| Versão | Data | Mudanças |
|---|---|---|
| 1.0 | 07/04/2026 | Versão inicial. |