A Kronos ("nós", "nosso" ou "Plataforma") é uma plataforma de CRM (Customer Relationship Management) que auxilia empresas na gestão de relacionamento com clientes, automação de vendas e comunicação via WhatsApp. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos e protegemos os dados pessoais dos usuários e de terceiros cujos dados sejam inseridos na Plataforma.
Ao utilizar a Kronos, você declara ter lido e concordado com esta Política. Caso não concorde, descontinue o uso da Plataforma.
1. Definições
| Termo | Significado |
|---|---|
| Usuário | Pessoa física que cria uma conta e utiliza a Plataforma |
| Organização | Pessoa jurídica ou grupo de trabalho ao qual o Usuário está vinculado dentro da Plataforma |
| Contato | Pessoa cujos dados são cadastrados pelo Usuário no módulo de CRM |
| Controlador | A Organização que decide a finalidade e os meios de tratamento dos dados de Contatos |
| Operador | A Kronos, quando trata dados pessoais em nome da Organização |
| LGPD | Lei Geral de Proteção de Dados (Lei nº 13.709/2018) |
2. Dados Pessoais que Coletamos
2.1. Dados do Usuário (Cadastro e Perfil)
Ao criar uma conta na Kronos, coletamos:
- Nome completo
- Endereço de e-mail
- Número de telefone
- Senha (armazenada de forma criptografada pelo serviço de autenticação)
- Foto de perfil (opcional)
2.2. Dados da Organização
Para funcionamento do serviço e emissão de cobranças, coletamos:
- Nome da organização
- Tipo de pessoa (Pessoa Física ou Jurídica)
- CPF ou CNPJ
- Razão Social / Nome Fantasia
- Regime tributário (Simples Nacional)
- Endereço completo de faturamento (CEP, logradouro, número, complemento, bairro, cidade, estado)
- Dados de contato de faturamento (nome, e-mail e telefone do responsável)
- Nicho/segmento de atuação
2.3. Dados de Pagamento
- Dados de cartão de crédito são coletados exclusivamente pela Stripe, nossa processadora de pagamentos, por meio de formulários seguros (Stripe Elements). Nenhum dado de cartão transita ou é armazenado em nossos servidores.
- Armazenamos apenas identificadores de referência (IDs de cliente, assinatura e método de pagamento da Stripe), necessários para gerenciar o ciclo de cobrança.
2.4. Dados de Contatos do CRM
Os Usuários podem cadastrar dados de terceiros (prospects, clientes, leads), incluindo:
- Nome
- Telefone
- CPF
- Cargo / função
- Empresa associada
- Marcação de decisor
Importante: A Organização é a Controladora desses dados e deve garantir base legal adequada (consentimento, legítimo interesse, etc.) para o tratamento. A Kronos atua como Operadora.
2.5. Dados Comerciais (Negócios, Produtos e Tarefas)
- Negócios: título, valor, prioridade, status, notas, data de fechamento prevista, motivo de perda
- Produtos: nome, descrição, preço
- Tarefas: título, tipo (tarefa, reunião, ligação, WhatsApp, visita, e-mail), data de vencimento, status
- Compromissos: título, descrição, datas de início/fim, status
2.6. Dados de Conversas e Mensagens (WhatsApp)
Quando a funcionalidade de inbox é utilizada, processamos:
- Número de telefone do remetente/destinatário
- Conteúdo das mensagens (texto, áudio, imagens e documentos)
- Metadados (timestamps, tipo de mensagem, informações de mídia)
- Resumos de conversas gerados por inteligência artificial
- Arquivos de mídia (áudios, imagens e documentos recebidos/enviados)
Os arquivos de mídia são armazenados em infraestrutura de armazenamento segura (Supabase Storage e Backblaze B2), organizados por organização e conversa.
2.7. Base de Conhecimento (Agente de IA)
Quando o Usuário faz upload de documentos para a base de conhecimento do agente de IA:
- Conteúdo extraído dos documentos (PDF, TXT, MD, DOCX — limite de 10 MB por arquivo)
- Vetores de embedding gerados a partir do conteúdo (representações matemáticas para busca semântica)
- Metadados dos arquivos (nome, tamanho, tipo MIME)
2.8. Dados de Integrações Externas
Quando o Usuário ativa integrações opcionais, coletamos:
- Google Calendar: Endereço de e-mail da conta Google, tokens de acesso e atualização (armazenados com criptografia AES-256-GCM), eventos de calendário sincronizados
- WhatsApp via Z-API: Credenciais de conexão da instância Z-API (ID da instância, tokens de autenticação)
2.9. Dados de Uso e Navegação
- Cookies de sessão para autenticação (HttpOnly, Secure)
- Cookie de organização (última organização acessada — retido por 30 dias)
- Dados de analytics coletados via Google Tag Manager (visualizações de página, interações, informações do navegador/dispositivo)
2.10. Dados Coletados Automaticamente
- Registros de atividades: Mantemos um log imutável de ações realizadas na Plataforma (criação, edição, exclusão de registros, mudanças de estágio, atribuições) para fins de auditoria e histórico.
- Uso de créditos de IA: Quantidade de mensagens processadas e créditos consumidos por organização, por mês.
- Transações de carteira: Registro imutável de compras de crédito, débitos de uso, recarga automática e ajustes.
3. Como Utilizamos os Dados
Utilizamos os dados coletados para as seguintes finalidades:
| Finalidade | Base Legal (LGPD) |
|---|---|
| Prestação do serviço de CRM (gestão de contatos, negócios, tarefas) | Execução de contrato (Art. 7º, V) |
| Autenticação e segurança da conta | Execução de contrato (Art. 7º, V) |
| Processamento de pagamentos e faturamento | Execução de contrato (Art. 7º, V) |
| Processamento de mensagens de WhatsApp | Execução de contrato (Art. 7º, V) |
| Respostas automatizadas via agente de IA | Execução de contrato (Art. 7º, V) |
| Criação automática de negócios a partir de conversas | Execução de contrato (Art. 7º, V) |
| Envio de e-mails transacionais (convites de equipe, redefinição de senha) | Execução de contrato (Art. 7º, V) |
| Sincronização de agendamentos com Google Calendar | Consentimento (Art. 7º, I) |
| Prevenção de fraudes e bots (reCAPTCHA) | Legítimo interesse (Art. 7º, IX) |
| Análise de uso e melhoria da Plataforma | Legítimo interesse (Art. 7º, IX) |
| Monitoramento de performance de IA (observabilidade) | Legítimo interesse (Art. 7º, IX) |
| Cumprimento de obrigações legais e fiscais | Obrigação legal (Art. 7º, II) |
4. Compartilhamento de Dados com Terceiros
Compartilhamos dados pessoais apenas com os terceiros estritamente necessários para a operação do serviço:
4.1. Subprocessadores
| Terceiro | Dados Compartilhados | Finalidade | Localização |
|---|---|---|---|
| Supabase (AWS) | Todos os dados da Plataforma | Banco de dados, autenticação e armazenamento de arquivos | São Paulo, Brasil (sa-east-1) |
| Stripe | Nome, e-mail, telefone, endereço, CPF/CNPJ | Processamento de pagamentos e gestão de assinaturas | EUA (com certificação PCI DSS Nível 1) |
| Meta (WhatsApp Cloud API) | Mensagens, contatos, mídia | Envio e recebimento de mensagens WhatsApp | EUA/Global |
| Evolution API | Mensagens, contatos, mídia | Integração alternativa de WhatsApp | Conforme configuração do cliente |
| Z-API | Mensagens, contatos, mídia | Integração alternativa de WhatsApp | Brasil |
| OpenRouter | Conteúdo de conversas, prompts do sistema | Processamento de linguagem natural (IA) | EUA |
| OpenAI | Áudios (Whisper), imagens (GPT-4o-mini), textos (embeddings) | Transcrição, descrição de imagens e busca semântica | EUA |
| Backblaze B2 | Arquivos de mídia (imagens, vídeos de produtos) | Armazenamento de arquivos de mídia | EUA |
| Google Calendar API | Eventos de calendário, tokens de acesso (criptografados) | Sincronização de agendamentos | EUA |
| Resend | E-mail do destinatário, nome da organização | Envio de e-mails transacionais | EUA |
| Google (reCAPTCHA v3) | Token de interação, endereço IP | Prevenção de bots no cadastro | EUA |
| Google (Tag Manager) | Dados de navegação e interação | Análise de uso | EUA |
| Langfuse | IDs de conversa/organização, métricas de tokens | Observabilidade de IA | UE/EUA |
| Trigger.dev | IDs de conversa/organização, conteúdo de mensagens | Processamento assíncrono em background | EUA |
| Redis (Hetzner) | Chaves de deduplicação, estados temporários | Cache e controle de concorrência | Alemanha |
4.2. Transferência Internacional de Dados
Alguns de nossos subprocessadores estão localizados fora do Brasil. Nestes casos, garantimos que a transferência de dados seja realizada de acordo com o Art. 33 da LGPD, mediante:
- Cláusulas contratuais padrão
- Certificações de segurança dos fornecedores (ex.: PCI DSS da Stripe)
- Padrões de proteção equivalentes aos da legislação brasileira
4.3. Quando Não Compartilhamos
- Não vendemos dados pessoais a terceiros
- Não compartilhamos dados para fins publicitários de terceiros
- Não utilizamos pixels de rastreamento de redes sociais (Facebook Pixel, etc.)
5. Inteligência Artificial e Decisões Automatizadas
A Kronos oferece funcionalidades baseadas em inteligência artificial:
5.1. Agente de IA para WhatsApp
- Responde mensagens de forma automatizada com base no prompt e na base de conhecimento configurados pela Organização
- O conteúdo das conversas (até 50 mensagens recentes) é enviado a provedores de LLM (via OpenRouter) para geração de respostas
- Áudios recebidos são transcritos automaticamente via OpenAI Whisper (o arquivo de áudio é enviado ao provedor e descartado após transcrição)
- Imagens recebidas são descritas automaticamente via OpenAI GPT-4o-mini (a imagem codificada é enviada ao provedor para geração de descrição textual)
- Documentos da base de conhecimento são transformados em vetores de embedding via OpenAI text-embedding-3-small para busca semântica
- O Usuário pode pausar o agente a qualquer momento; o agente também pausa automaticamente quando o atendimento humano assume
- Os dados enviados aos provedores de IA não são utilizados para treinamento de modelos, conforme as políticas dos provedores selecionados
5.2. Processamento Automático
- Criação automática de negócios: Mensagens recebidas podem gerar automaticamente registros de negócio no CRM
- Distribuição de leads: Leads podem ser atribuídos automaticamente a membros da equipe
- Recarga automática de créditos: A carteira pode ser recarregada automaticamente quando atinge um limite mínimo configurado pelo Usuário
- Resumo de conversas: A IA pode gerar resumos automáticos de conversas
5.3. Observabilidade de IA
Para garantir a qualidade e monitorar o desempenho dos agentes de IA, utilizamos a plataforma Langfuse para registrar:
- Identificadores de conversa e organização (sem conteúdo de mensagens de forma identificável)
- Métricas de uso de tokens (entrada/saída)
- Latência e performance das chamadas ao LLM
- Registro de erros para diagnóstico
Esses dados são utilizados exclusivamente para monitoramento técnico e melhoria do serviço.
5.4. Direito à Revisão
Conforme Art. 20 da LGPD, o titular tem direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado. Para exercer esse direito, entre em contato pelo canal indicado na Seção 10.
6. Armazenamento e Segurança dos Dados
6.1. Infraestrutura
- Banco de dados principal: PostgreSQL hospedado na Supabase (AWS São Paulo — sa-east-1)
- Armazenamento de arquivos: Supabase Storage (compatível com S3)
- Cache temporário: Redis com chaves auto-expiráveis (TTLs de 5 minutos a 1 hora)
6.2. Medidas de Segurança
| Medida | Descrição |
|---|---|
| Criptografia em trânsito | HTTPS/TLS em todas as comunicações |
| Criptografia em repouso | Banco de dados criptografado pela AWS |
| Criptografia de tokens | Tokens de integrações (Google Calendar) criptografados com AES-256-GCM |
| Autenticação segura | Senhas com hash, tokens de sessão HttpOnly/Secure/SameSite |
| Controle de acesso (RBAC) | Três níveis: Proprietário, Administrador e Membro — aplicado no servidor |
| Isolamento de dados | Cada Organização acessa apenas seus próprios dados |
| Verificação de webhooks | Assinaturas HMAC SHA-256 para Stripe e Meta |
| PCI Compliance | Dados de cartão tratados exclusivamente pela Stripe |
| Proteção contra bots | Google reCAPTCHA v3 no cadastro |
| Logs de auditoria | Registro imutável de ações na Plataforma |
6.3. Retenção de Dados
| Tipo de Dado | Período de Retenção |
|---|---|
| Dados de conta (Usuário/Organização) | Enquanto a conta estiver ativa |
| Dados de CRM (contatos, negócios, tarefas) | Enquanto a Organização mantiver assinatura ativa |
| Conversas e mensagens | Enquanto não excluídas pelo Usuário |
| Logs de atividade | Indefinido (trilha de auditoria imutável) |
| Transações de carteira | Indefinido (registro financeiro imutável) |
| Arquivos de mídia | Enquanto a conversa associada existir |
| Cache temporário (Redis) | Auto-expiração (5 minutos a 1 hora) |
| Cookies de sessão | Duração da sessão autenticada |
| Cookie de organização | 30 dias |
Após o encerramento da conta, os dados serão mantidos pelo prazo necessário para cumprimento de obrigações legais e fiscais, após o qual serão eliminados.
7. Cookies e Tecnologias de Rastreamento
7.1. Cookies Essenciais
| Cookie | Finalidade | Duração |
|---|---|---|
auth-token | Autenticação da sessão | Sessão |
refresh-token | Renovação automática da sessão | Conforme configuração |
kronos-last-org-slug | Redirecionamento para última organização acessada | 30 dias |
Estes cookies são estritamente necessários para o funcionamento da Plataforma e não podem ser desabilitados.
7.2. Cookies de Analytics
| Cookie | Finalidade | Duração |
|---|---|---|
_ga | Google Analytics — identificação persistente | 2 anos |
_gid | Google Analytics — identificação de sessão | 24 horas |
Estes cookies são utilizados via Google Tag Manager para análise agregada de uso. Não identificam individualmente o Usuário.
7.3. Gerenciamento de Cookies
Você pode gerenciar cookies através das configurações do seu navegador. A desativação de cookies essenciais pode comprometer o funcionamento da Plataforma.
8. Direitos dos Titulares
De acordo com a LGPD, você possui os seguintes direitos:
| Direito | Descrição |
|---|---|
| Confirmação e acesso | Confirmar a existência de tratamento e acessar seus dados |
| Correção | Solicitar a correção de dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação | Solicitar para dados desnecessários, excessivos ou tratados em desconformidade |
| Portabilidade | Solicitar a exportação e transferência dos seus dados a outro fornecedor, por meio da funcionalidade de exportação disponível na Plataforma |
| Eliminação | Solicitar a exclusão dos dados tratados com base no consentimento |
| Informação sobre compartilhamento | Saber com quais terceiros seus dados são compartilhados |
| Revogação do consentimento | Revogar consentimento a qualquer momento, inclusive por meio do painel de gestão de consentimento na Plataforma |
| Revisão de decisões automatizadas | Solicitar revisão humana de decisões baseadas exclusivamente em IA |
| Oposição | Opor-se ao tratamento quando realizado com base em legítimo interesse |
Para exercer qualquer desses direitos, utilize o canal indicado na Seção 10.
Prazo de resposta: Até 15 (quinze) dias úteis, conforme Art. 18, §5º da LGPD.
9. Dados de Menores
A Kronos não se destina a menores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos que dados de um menor foram coletados inadvertidamente, procederemos à sua exclusão imediata.
10. Contato e Encarregado (DPO)
Para questões relacionadas a esta Política de Privacidade, exercício de direitos ou comunicação de incidentes, entre em contato:
- E-mail: contato@kronoshub.com.br
- Encarregado de Proteção de Dados (DPO): PAULO ANTENOR NUNES GERMANO 15782957778 — contato@kronoshub.com.br
11. Alterações nesta Política
Reservamo-nos o direito de atualizar esta Política de Privacidade a qualquer momento. Alterações significativas serão comunicadas por e-mail ou por aviso na Plataforma. O uso continuado da Plataforma após a publicação de alterações constitui aceite das novas condições.
Recomendamos a revisão periódica desta página.
12. Legislação Aplicável e Foro
Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e pelo Marco Civil da Internet (Lei nº 12.965/2014).
Fica eleito o foro da comarca de Niterói/RJ para dirimir quaisquer controvérsias decorrentes desta Política, com renúncia expressa a qualquer outro, por mais privilegiado que seja.
Este documento foi elaborado com base na Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), no Marco Civil da Internet (Lei nº 12.965/2014) e nas melhores práticas de privacidade para plataformas SaaS.