Concierge.OS Onde atendimento vira percepção

Concierge OS LTDA

Política de Privacidade

Esta política explica como a Concierge OS coleta, usa, armazena e protege dados pessoais nos fluxos de atendimento pelo WhatsApp. Isso inclui o uso da API WhatsApp Business, processamento por Twilio, armazenamento em Supabase e classificação de mensagens com IA da OpenAI.

Última atualização: 7 de maio de 2026. Este documento foi estruturado para atender aos requisitos de transparência da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), aos fluxos de App Review da Meta/WhatsApp e à operação SaaS da Concierge OS. CNPJ, endereço e encarregado devem ser preenchidos antes da publicação em produção.
Controlador Concierge OS LTDA, ao tratar dados do site, de relacionamento direto e de contratos próprios.
Operação SaaS Atendimento, qualificação, agendamento, confirmação e lembretes via WhatsApp.
Canal LGPD dpo@conciergeos.com.br
Retenção padrão Durante o contrato e até 180 dias após cancelamento, salvo obrigação legal.

1. Identificação do controlador

Razão social: Concierge OS LTDA.

CNPJ: em processo de abertura.

Endereço: a definir.

Encarregado de Dados (DPO): a definir.

Contato do encarregado: dpo@conciergeos.com.br.

Contato geral: contato@conciergeos.com.br.

2. Papéis da Concierge OS na LGPD

A Concierge OS pode atuar em papéis distintos, conforme quem decide sobre o tratamento dos dados:

  • Controladora: quando decide como e por que trata dados pessoais. Isso ocorre no site, em formulários comerciais, contratos, suporte, cobrança, prospecção própria ou relacionamento direto com visitantes e clientes da Concierge OS.
  • Operadora: quando trata dados em nome e sob instruções de outra empresa (cliente contratante), como uma clínica ou vidraçaria. Nesse caso, o cliente contratante é o controlador: define as finalidades do atendimento e deve manter base legal, aviso de privacidade e consentimentos aplicáveis aos seus pacientes, leads ou consumidores.

Se houver diferença entre esta política pública e um contrato específico de tratamento de dados firmado com cliente empresarial, prevalecem as regras daquele contrato, sempre respeitada a LGPD.

3. Dados pessoais coletados

Podemos tratar dados recebidos pelo site, pelo cliente contratante, pela conversa via WhatsApp, por integrações autorizadas ou por eventos técnicos necessários à operação.

Dados de identificação e contato

  • nome, telefone, identificador do WhatsApp e, quando informado, e-mail;
  • empresa, unidade, cargo ou contexto de atendimento;
  • preferência de horário, serviço desejado, canal de origem e status do atendimento.

Dados de conversa no WhatsApp

  • conteúdo das mensagens enviadas e recebidas;
  • respostas a perguntas de qualificação;
  • eventos operacionais, como confirmação, reagendamento, opt-out, falha de entrega ou retorno pendente;
  • metadados técnicos necessários para roteamento, auditoria, segurança e continuidade da conversa.

Dados sensíveis na vertical odontológica

Quando o cliente contratante for uma clínica odontológica, a conversa pode conter dados pessoais sensíveis de saúde: sintomas, queixa principal, urgência, convênio, histórico relatado pelo paciente e informações para triagem administrativa.

Esses dados só são tratados quando estritamente necessários ao fluxo contratado, sob responsabilidade do controlador correspondente. Quando exigido por lei, exige-se consentimento específico e destacado, com finalidade clara e sem uso para outros fins.

Dados técnicos do site e da plataforma

  • endereço IP, registros de acesso, tipo de dispositivo, navegador e data/hora de eventos;
  • cookies essenciais e métricas analíticas anonimizadas;
  • logs de segurança, autenticação, erros e uso da plataforma.

4. Finalidades do tratamento

Os dados são tratados para finalidades específicas e proporcionais ao produto contratado:

  • responder mensagens recebidas pelo WhatsApp e manter continuidade do atendimento;
  • qualificar leads, identificar intenção, urgência, disponibilidade e próxima ação recomendada;
  • agendar consultas, visitas técnicas, orçamentos, retornos e contatos comerciais;
  • enviar confirmações, lembretes e follow-ups operacionais, respeitando opt-in e opt-out;
  • organizar contatos, status, histórico e tarefas no painel do cliente contratante;
  • classificar mensagens com apoio de IA para reduzir demora, ruído operacional e perda de oportunidades;
  • prestar suporte, auditar falhas, prevenir abuso, cumprir obrigações legais e proteger a plataforma.

5. Bases legais

O tratamento de dados pessoais comuns ocorre com base em:

  • Art. 7º, I, da LGPD — consentimento do titular;
  • Art. 7º, V, da LGPD — execução de contrato ou procedimentos preliminares.

Outras bases podem ser aplicáveis conforme o caso: cumprimento de obrigação legal, exercício regular de direitos ou legítimo interesse para segurança, prevenção a fraude e melhoria operacional, sempre respeitando os direitos do titular.

Para dados pessoais sensíveis, especialmente dados de saúde em fluxos odontológicos, o tratamento segue o Art. 11 da LGPD. Quando exigido, usamos consentimento específico e destacado, sem aplicação para finalidades incompatíveis com a triagem administrativa e o atendimento contratado.

6. WhatsApp Business API, Twilio e uso de IA

O Concierge OS utiliza a API WhatsApp Business (também chamada WhatsApp Business Platform) para viabilizar comunicação oficial entre empresas contratantes e seus clientes, pacientes ou leads.

O processamento, roteamento, envio, recebimento e eventos de entrega de mensagens ocorrem por meio da Twilio, provedora de comunicação e infraestrutura para WhatsApp. A Meta disponibiliza a plataforma WhatsApp Business e trata dados conforme seus próprios termos e políticas.

A Concierge OS também utiliza IA da OpenAI para classificar mensagens, extrair informações de texto livre, identificar intenção e sugerir a próxima ação operacional. Esse uso de IA é estritamente auxiliar e não substitui avaliação humana, diagnóstico clínico, orientação profissional, decisão comercial final ou a responsabilidade do cliente contratante.

Transparência para App Review: mensagens trafegadas via WhatsApp podem ser processadas pela Twilio, pela Meta/WhatsApp Business Platform e pela OpenAI para classificação operacional. A finalidade é atendimento, qualificação, agendamento, lembretes e organização de leads. Não vendemos dados nem criamos assistentes genéricos fora do contexto do negócio contratante.

7. Subprocessadores e compartilhamento

Compartilhamos dados apenas quando necessário para operar, proteger ou cumprir o serviço contratado. Os principais subprocessadores previstos são:

Subprocessador Finalidade Dados envolvidos
Twilio Roteamento, envio, recebimento, webhooks e eventos de mensagens WhatsApp. Telefone, identificadores WhatsApp, conteúdo e metadados de mensagens.
Meta / WhatsApp Disponibilização da WhatsApp Business Platform e da API WhatsApp Business. Dados necessários à comunicação, conta WhatsApp Business, eventos e políticas da plataforma.
Supabase Hospedagem, banco de dados, autenticação e infraestrutura da aplicação. Dados de conta, leads, conversas, logs e registros operacionais.
OpenAI Classificação de mensagens e apoio de IA para intenção, contexto e próxima ação. Trechos de mensagens e campos estritamente necessários para classificação operacional.

Também poderemos compartilhar dados com provedores de pagamento, contabilidade, jurídico, segurança, hospedagem, DNS ou autoridades públicas quando necessário para cumprir contrato, obrigação legal, ordem válida ou defesa de direitos.

8. Transferências internacionais

Alguns subprocessadores — como Twilio, Meta, Supabase e OpenAI — podem armazenar ou processar dados fora do Brasil. Quando isso ocorre, a Concierge OS adota medidas contratuais, técnicas e organizacionais compatíveis com a LGPD, incluindo:

  • avaliação de necessidade e limitação de finalidade;
  • controles de acesso e criptografia;
  • salvaguardas oferecidas pelos fornecedores, como cláusulas contratuais padrão.

9. Retenção e descarte

Dados pessoais da plataforma são mantidos durante a vigência do contrato com o cliente contratante e por até 180 dias após o cancelamento, salvo quando prazo maior for exigido para:

  • cumprimento de obrigação legal ou regulatória;
  • auditoria, prevenção a fraude ou segurança;
  • cobrança ou exercício regular de direitos.

Após o prazo aplicável, os dados serão excluídos ou anonimizados. Dados anonimizados podem ser mantidos para estatísticas agregadas, melhoria de estabilidade e análise operacional sem identificação direta do titular.

Backups podem preservar dados por ciclos técnicos limitados até sua sobrescrita ou expiração, sempre com controles de segurança e sem uso para nova finalidade.

10. Direitos do titular

Nos termos da LGPD, você pode exercer os seguintes direitos:

  • confirmar se seus dados estão sendo tratados;
  • acessar seus dados pessoais;
  • corrigir dados incompletos, inexatos ou desatualizados;
  • pedir anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
  • solicitar portabilidade, quando aplicável e conforme regulamentação da ANPD;
  • ser informado sobre com quem seus dados foram compartilhados;
  • pedir eliminação de dados tratados com base em consentimento, observadas exceções legais;
  • revogar o consentimento a qualquer momento;
  • revisar decisões exclusivamente automatizadas, quando houver.

Envie sua solicitação para dpo@conciergeos.com.br. Para proteger você e terceiros, poderemos pedir informações adicionais para confirmar sua identidade, localizar o atendimento e verificar se a Concierge OS atua como controladora ou operadora naquele caso.

11. Exclusão de dados e opt-out

Para pedir exclusão de dados, envie e-mail para dpo@conciergeos.com.br com o assunto Exclusão de dados. Informe telefone, empresa atendente e contexto suficiente para localizar o registro.

Quando a Concierge OS atua como operadora em nome de um cliente contratante, a solicitação pode ser encaminhada ao controlador correspondente. A Concierge OS apoia o cliente na localização, exportação, anonimização ou exclusão dos dados, conforme contrato e legislação aplicável.

Você também pode pedir a interrupção de mensagens diretamente pelo WhatsApp, usando comandos de opt-out quando disponíveis ou solicitando ao negócio contratante que pare de enviar comunicações.

12. Segurança da informação

Adotamos medidas técnicas e organizacionais proporcionais ao risco:

  • tráfego protegido por TLS 1.3 quando suportado pela infraestrutura;
  • criptografia AES-256 para dados em repouso quando suportada pelos provedores;
  • isolamento multi-tenant para separar dados de cada cliente contratante;
  • controle de acesso por credenciais, princípio do menor privilégio e segregação operacional;
  • logs de segurança, auditoria técnica, monitoramento de erros e revisão de incidentes;
  • proteção de segredos, chaves de API e webhooks em ambientes seguros.

Nenhuma plataforma é totalmente imune a incidentes. Em caso de incidente relevante com dados pessoais, adotamos medidas de contenção, análise, mitigação e comunicação conforme a LGPD, contratos aplicáveis e orientações da ANPD.

13. Cookies e analytics

O site usa cookies essenciais para funcionamento, segurança e carregamento das páginas. Também usamos cookies e tecnologias analíticas anonimizadas para medir visitas, desempenho e origem de tráfego em conjunto, sem identificar indivíduos.

Se passarmos a usar cookies não essenciais de forma identificável, implementaremos aviso, base legal e mecanismo de consentimento compatíveis com a LGPD.

14. Crianças e adolescentes

A plataforma não é destinada ao uso direto por crianças. Em clínicas que atendam menores de idade, o cliente contratante deve garantir que o tratamento de dados ocorra com autorização do responsável legal e apenas para finalidades compatíveis com o atendimento.

15. Alterações desta política

Esta política pode ser atualizada para refletir mudanças legais, operacionais, contratuais, de fornecedores ou de funcionalidades. A data da última atualização aparece no início deste documento. Alterações materiais serão comunicadas por e-mail, aviso na plataforma ou site.

16. Contato

Para dúvidas gerais sobre a Concierge OS, escreva para contato@conciergeos.com.br.

Para assuntos de privacidade, exercício de direitos, consentimento, exclusão, portabilidade ou incidentes com dados pessoais, escreva para dpo@conciergeos.com.br.

DPO/Encarregado: a definir. CNPJ: em processo de abertura. Endereço: a definir.