XamarEN

Política de Privacidade

Versão 1.0 · Vigente desde 2026-05-06

1. Quem somos

Esta Política descreve como o Xamar trata dados pessoais. O serviço é operado por RASU TECNOLOGIA LTDA, inscrita no CNPJ sob o nº 62.121.803/0001-51, com sede em Av. Paulista, nº 1471, conj. 1110, Bela Vista, São PauloSP, Brasil ("RASU", "nós").

O Xamar é uma plataforma SaaS multi-tenant que conecta empresas brasileiras à API oficial do WhatsApp Business da Meta Platforms, Inc. ("Meta") via Meta Cloud API.

Para fins desta Política, somos Controladores dos dados pessoais dos nossos clientes diretos (administradores das contas Xamar) e Operadores dos dados tratados em nome desses clientes (incluindo dados de seus usuários finais que recebem ou enviam mensagens via WhatsApp).

2. Encarregado pelo Tratamento de Dados (DPO)

Em conformidade com o Art. 41 da LGPD, o canal oficial do nosso Encarregado é dpo@xamar.com.br.

3. Dados que coletamos

3.1. Cadastro do cliente

  • Nome completo do responsável legal e dos usuários administradores
  • E-mail corporativo
  • Telefone
  • CNPJ e razão social da empresa contratante
  • Endereço de cobrança
  • Senha (armazenada com hash bcrypt)

3.2. Dados técnicos de uso

  • Endereço IP e geolocalização aproximada
  • Tipo de navegador, sistema operacional e dispositivo
  • Logs de acesso, ações e erros
  • Cookies de sessão e segurança (não usamos cookies de rastreamento de terceiros)

3.3. Dados de WhatsApp Business

Quando o cliente conecta sua WABA (WhatsApp Business Account) ao Xamar via Embedded Signup da Meta, os seguintes dados passam pela nossa infraestrutura:

  • Identificadores da WABA, do número de telefone e dos templates aprovados
  • Mensagens enviadas e recebidas pelo cliente e seus contatos
  • Mídias anexadas (imagem, áudio, vídeo, documento)
  • Metadados de conversa (timestamps, status de entrega/leitura)
  • Números de telefone dos contatos do cliente

Importante: a Meta é a controladora primária dos dados de mensagens trocadas via WhatsApp. Atuamos como operadores destes dados em nome do cliente.

3.4. Dados de pagamento

Pagamentos são processados pela Stripe, Inc. Não armazenamos números completos de cartão de crédito — recebemos apenas tokens e os últimos 4 dígitos para identificação visual.

4. Bases legais (LGPD Art. 7 / GDPR Art. 6)

  • Execução de contrato — para prestar o serviço contratado (cadastro, processamento de mensagens, cobrança).
  • Cumprimento de obrigação legal — emissão de notas fiscais, retenção de logs por exigências regulatórias.
  • Legítimo interesse — segurança da plataforma, prevenção a fraudes, analytics agregados e anônimos.
  • Consentimento — comunicações de marketing, quando aplicável.

5. Compartilhamento e subprocessadores

Compartilhamos dados pessoais apenas com subprocessadores essenciais à operação do serviço, sob contrato com cláusulas de proteção de dados:

SubprocessadorFinalidadeLocal
Meta Platforms, Inc.WhatsApp Cloud APIEUA
Hetzner Online GmbHHospedagem (servidores)Alemanha
Cloudflare, Inc.CDN, DNS, Tunnel, WAFEUA
Stripe, Inc.Processamento de pagamentosEUA
Sendinblue SAS (Brevo)E-mails transacionaisFrança (UE)
GitHub, Inc.Repositório de código e CIEUA

6. Transferência internacional de dados

Alguns subprocessadores estão fora do Brasil (EUA, UE). Realizamos essas transferências com base no Art. 33 da LGPD, observando garantias adequadas (cláusulas-padrão contratuais, países com nível de proteção considerado adequado pela Comissão Europeia, ou consentimento específico do titular quando aplicável).

7. Tempo de retenção

  • Dados de cadastro: durante a vigência do contrato + 5 anos após encerramento (obrigações fiscais).
  • Logs técnicos: 6 meses para troubleshooting; 12 meses para logs de segurança e acesso (Marco Civil da Internet).
  • Mensagens WhatsApp: enquanto a conta do cliente estiver ativa. Após cancelamento, dados são eliminados em até 30 dias, exceto pedidos de retenção legal.
  • Dados financeiros: 5 anos (legislação contábil e fiscal brasileira).

8. Direitos do titular (LGPD Art. 18)

Você tem direito a, mediante requisição:

  • Confirmar a existência de tratamento
  • Acessar seus dados
  • Corrigir dados incompletos, inexatos ou desatualizados
  • Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade
  • Portar dados a outro fornecedor
  • Eliminar dados tratados com base em consentimento
  • Obter informação sobre compartilhamento
  • Revogar consentimento
  • Peticionar à ANPD

Para exercer qualquer direito, escreva para privacy@xamar.com.br. Responderemos em até 15 dias.

9. Segurança

Adotamos medidas técnicas e administrativas, incluindo:

  • Criptografia em trânsito (TLS 1.3) em todas as comunicações
  • Senhas armazenadas com hash bcrypt (custo ≥ 12)
  • Tokens JWT assinados e segredos rotacionáveis
  • Acesso ao painel administrativo protegido por Cloudflare Access (autenticação 2FA)
  • Firewall (UFW) limitando portas expostas; banco de dados sem acesso direto à internet
  • Backups criptografados em provedor de storage redundante
  • Princípio do menor privilégio para acessos internos

Em caso de incidente de segurança que possa acarretar risco aos titulares, comunicaremos a ANPD e os afetados nos termos do Art. 48 da LGPD.

10. Cookies

Usamos apenas cookies estritamente necessários (sessão, segurança CSRF, preferências de idioma). Não usamos cookies publicitários nem rastreadores de terceiros neste site.

11. Crianças e adolescentes

O Xamar é direcionado exclusivamente a pessoas jurídicas e seus representantes legais maiores de 18 anos. Não coletamos conscientemente dados de menores.

12. Alterações desta Política

Podemos atualizar esta Política. Mudanças relevantes serão comunicadas por e-mail ou por aviso no painel da plataforma com pelo menos 15 dias de antecedência. A versão atual está sempre disponível em https://xamar.com.br/privacy.

13. Contato

Dúvidas, requisições ou denúncias relacionadas ao tratamento de dados pessoais:
privacy@xamar.com.br (geral) · dpo@xamar.com.br (Encarregado/DPO)