Política de Privacidade

1. Identificação do operador

Esta política descreve como a Lia Studio (marca em fase de constituição jurídica) coleta, usa, armazena e compartilha dados pessoais no contexto do produto Lia Secretária, uma assistente virtual operada no WhatsApp.

Os dados completos do operador (CNPJ e razão social) serão atualizados nesta página após a formalização jurídica da empresa. Até lá, atendemos como pessoa física brasileira sediada em Fortaleza, Ceará, Brasil.

Contato para qualquer assunto relacionado a privacidade, dados ou exercício de direitos: contato@liastudio.net.

2. Dados que coletamos

2.1 Dados cadastrais

Nome, telefone WhatsApp, profissão ou área de atuação, idioma de preferência, e quaisquer outras informações que você compartilhe ao se cadastrar ou durante o uso (por exemplo, "trabalho como veterinária", "sou contadora").

2.2 Conversas no WhatsApp

Mensagens enviadas e recebidas durante sua interação com a Lia. Armazenamos as conversas em uma janela móvel (rolling window) de até 90 dias, após a qual o conteúdo é descartado automaticamente. Resumos estruturados (lembretes, contatos guardados, preferências) podem persistir além desse prazo enquanto fizerem sentido para o serviço — você pode pedir exclusão a qualquer momento.

2.3 Dados do Google (mediante sua autorização explícita)

Quando você conecta sua conta Google, podemos acessar, conforme os escopos autorizados:

• Eventos do Google Calendar — para criar, ler, atualizar e cancelar compromissos por sua solicitação.
• Mensagens e metadados do Gmail — para resumir seu inbox no briefing diário, identificar lembretes implícitos (boletos, cobranças) e enviar emails em seu nome quando você pedir.

Detalhes completos sobre escopos, retenção e Uso Limitado estão na Seção 4.

2.4 Dados de pagamento

Processados pelo Banco Inter. Não armazenamos número de cartão, CVV ou dados bancários sensíveis em nossos servidores. Recebemos apenas confirmação de pagamento e identificador da transação.

2.5 Dados técnicos

Logs operacionais (identificador da conversa, timestamp, status de entrega), retidos por até 180 dias para diagnóstico e segurança.

2.6 Dados do Instagram (mediante autorização da empresa cliente)

Quando uma empresa cliente da Lia Studio (por exemplo, uma pousada) conecta sua conta Instagram Business à Lia Agentes via Facebook Login for Business, podemos acessar, conforme os escopos autorizados:

• Mensagens diretas (DMs) recebidas pela conta Instagram conectada, para gerar respostas automatizadas via IA.
• Mensagens enviadas em nome da empresa, dentro da janela de 24 horas após uma mensagem do usuário (em conformidade com a política da Meta).
• Nome de usuário e ID do remetente das DMs, para roteamento da conversa e contexto.
• Nome da Página do Facebook vinculada à conta Instagram Business, para identificação do tenant.
• Lista de comentários em publicações da conta Instagram (apenas para clientes que ativam o módulo de gestão de comentários).

Detalhes sobre escopos, retenção e uso estão na Seção 4.6.

3. Finalidades do tratamento

• Funcionamento do produto: entender suas solicitações, criar/editar eventos, enviar lembretes, responder perguntas, manter sua memória pessoal.
• Suporte ao cliente: investigar falhas, responder dúvidas técnicas.
• Cumprimento de obrigações legais e fiscais aplicáveis ao Brasil.
• Melhoria do serviço de forma agregada e anonimizada. Dados do Google nunca são usados para essa finalidade (ver Seção 4).
• Comunicações operacionais sobre o serviço (cobranças, mudanças de termos, avisos de segurança). Sem marketing externo sem opt-in explícito.

Bases legais (LGPD art. 7º): execução de contrato, consentimento (para escopos Google), legítimo interesse (segurança, prevenção a fraude), e cumprimento de obrigação legal.

4. Uso de dados das APIs do Google

Esta seção descreve, em detalhe, como a Lia Secretária acessa, usa e protege dados obtidos via APIs do Google. Ela é parte integrante desta Política e aplica-se a qualquer usuário que autorize a Lia a se conectar à sua conta Google.

4.1 Escopos solicitados e justificativa funcional

• https://www.googleapis.com/auth/calendar.events — Google Calendar (eventos). Necessário para criar, ler, atualizar e cancelar eventos no seu Google Calendar conforme você solicita por mensagem ("Lia, marca dentista quinta às 16h"). Sem este escopo, a Lia não consegue agendar nem te lembrar de compromissos. Acessamos apenas o calendário que você designar.
• https://www.googleapis.com/auth/gmail.readonly — Gmail (leitura). Necessário para resumir mensagens novas no seu briefing diário, identificar lembretes implícitos (boletos, prazos, confirmações) e responder dúvidas pontuais sobre seu inbox quando você pergunta. Não baixamos nem armazenamos o corpo completo das mensagens; apenas metadados (remetente, assunto, snippet curto fornecido pela API) podem ser mantidos em cache temporário por até 90 dias para reduzir chamadas à API.
• https://www.googleapis.com/auth/gmail.send — Gmail (envio). Necessário para enviar emails em seu nome quando você pede explicitamente ("Lia, manda um email para o João dizendo que…"). Cada envio é confirmado por você no WhatsApp antes de sair. Nenhum email é enviado sem confirmação interativa.

4.2 Conformidade com a Política de Dados do Usuário dos Serviços de API do Google

4.3 O que NÃO fazemos com seus dados do Google

• Não treinamos modelos de IA generativa ou de machine learning, próprios ou de terceiros, com dados obtidos do Gmail ou do Google Calendar.
• Não vendemos, alugamos, transferimos nem licenciamos esses dados a corretores de dados, anunciantes ou intermediários comerciais.
• Não usamos esses dados para fins publicitários, nem próprios nem de terceiros.
• Nenhum ser humano lê seus dados do Google em nossos sistemas, exceto: (a) com seu consentimento explícito; (b) para fins de segurança; (c) para cumprir obrigação legal; (d) para operações internas (debug, atendimento).

4.4 Retenção de dados do Google

• Eventos do Calendar: permanecem no seu Google Calendar. Não copiamos os eventos para nosso banco — fazemos chamadas em tempo real para a API quando você precisa.
• Metadados de Gmail (remetente, assunto, snippet): cache de até 90 dias. Conteúdo bruto não armazenado.
• Histórico de envios feitos pela Lia: registro mínimo (destinatário, assunto, timestamp) por até 180 dias para auditoria.
• Tokens OAuth: armazenados criptografados no Supabase (São Paulo). Revogáveis a qualquer momento em myaccount.google.com/permissions.

4.5 Revogação de acesso

Você pode desconectar sua conta Google a qualquer momento: pedindo no WhatsApp ("Lia, desconecta meu Google"), diretamente em myaccount.google.com/permissions, ou por email para contato@liastudio.net.

Após a revogação, apagamos os tokens imediatamente e os metadados em cache em até 30 dias.

4.6 Uso de dados das APIs da Meta (Facebook/Instagram)

Esta seção descreve como a Lia Agentes acessa, usa e protege dados obtidos via APIs da Meta (Facebook Graph API e Instagram Messaging API). Aplica-se a qualquer empresa cliente que autorize a Lia Studio a se conectar à sua conta Instagram Business via Facebook Login for Business.

4.6.1 Escopos solicitados e justificativa funcional

• instagram_basic — Perfil Instagram. Necessário para identificar a conta Instagram Business conectada (username, ID) e exibi-la no painel administrativo da empresa cliente.
• instagram_manage_messages — DMs Instagram. Necessário para ler mensagens diretas recebidas pela conta e responder automaticamente em nome da empresa, dentro da janela de 24 horas. Sem este escopo, a Lia Agentes não pode operar.
• pages_show_list — Listagem de Páginas. Necessário para que a empresa cliente selecione qual Página do Facebook (vinculada à sua conta Instagram) será conectada à Lia.
• pages_read_engagement — Leitura de metadados da Página. Necessário para identificar a Página correta e seu Instagram Business Account vinculado.
• business_management — Gerenciamento de portfólio empresarial. Necessário para que a Lia possa atuar em nome do portfólio empresarial do cliente.

4.6.2 O que NÃO fazemos com seus dados da Meta

• Não iniciamos conversas. A Lia Agentes responde apenas a mensagens enviadas por usuários — nunca envia DMs não solicitadas.
• Não enviamos respostas fora da janela de 24 horas: se um usuário não enviou mensagem nas últimas 24 horas, nenhuma resposta automatizada é enviada, em conformidade com a Messaging Policy da Meta.
• Não treinamos modelos de IA com o conteúdo das DMs. As mensagens são enviadas à Anthropic Claude com Zero Data Retention (ZDR) ativado, garantindo que o conteúdo não seja usado para treino.
• Não vendemos, alugamos, transferimos nem licenciamos dados de DMs ou metadados da conta Instagram a terceiros.
• Não usamos esses dados para fins publicitários.
• Nenhum ser humano lê as DMs em nossos sistemas, exceto: (a) com consentimento explícito da empresa cliente; (b) para fins de segurança e prevenção de abuso; (c) para cumprir obrigação legal; (d) para debug operacional, com acesso limitado a engenheiros sob NDA.

4.6.3 Retenção de dados da Meta

• Conteúdo das DMs (texto, anexos): armazenado por 30 dias em nossa base Supabase (São Paulo), apenas para fins de continuidade da conversa e suporte. Após 30 dias, descartado automaticamente.
• Anexos de mídia (imagens, áudios, vídeos): URLs temporárias da Meta não armazenadas localmente — referência apenas por até 180 dias para auditoria.
• Metadados (sender_id, username, timestamps): retidos enquanto a conta Instagram permanecer conectada à Lia, para roteamento e contexto.
• Tokens de acesso (Page Access Token, Long-lived Token): armazenados criptografados no Supabase. Revogáveis a qualquer momento pela empresa cliente.

4.6.4 Quem pode acessar os dados

• A própria empresa cliente (proprietária da conta Instagram conectada), via painel admin.liastudio.net.
• A equipe técnica da Lia Studio (engenheiros sob NDA), apenas para suporte e debug operacional, sob auditoria.
• Nenhum terceiro, exceto sub-processadores listados na Seção 5.

4.6.5 Revogação de acesso

A empresa cliente pode desconectar a integração Instagram a qualquer momento:

• No painel admin.liastudio.net → Conectores → Instagram → Desconectar.
• Diretamente em business.facebook.com/settings, removendo as permissões concedidas ao app "Lia Social Agent".
• Por email para contato@liastudio.net.

Após a revogação:

• Tokens são deletados imediatamente.
• Dados de DMs são apagados em até 30 dias.
• Metadados de conta Instagram são apagados em até 30 dias.

4.6.6 Conformidade com as políticas da Meta

O uso da Lia Agentes está em conformidade com:

• Meta Platform Terms
• Meta Developer Policies
• Instagram Messaging API Policy
• Política de Janela de 24 Horas — respostas automatizadas apenas dentro de 24 horas após a mensagem do usuário.

5. Subprocessadores e compartilhamento

• Supabase — banco de dados PostgreSQL na região São Paulo (Brasil), em conformidade com a LGPD.
• Anthropic (Claude AI, EUA) — processamento de linguagem natural, com Zero Data Retention (ZDR) ativado.
• Meta WhatsApp Cloud API — transporte das mensagens WhatsApp entre você e a Lia Secretária.
• Meta Graph API / Instagram Messaging API — apenas quando uma empresa cliente conecta sua conta Instagram Business à Lia Agentes (ver Seção 4.6).
• Google APIs — apenas quando você conecta sua conta Google à Lia Secretária (ver Seção 4).
• Banco Inter — processamento de pagamentos e emissão de cobranças PIX/boleto.

Não compartilhamos seus dados com terceiros fora dessa lista, exceto quando exigido por obrigação legal ou ordem judicial.

6. Direitos do titular (LGPD art. 18)

Como titular dos dados, você pode exercer a qualquer momento: confirmação da existência de tratamento, acesso aos dados, correção, anonimização/bloqueio/eliminação, portabilidade, eliminação dos dados tratados com base no consentimento, informação sobre compartilhamentos, e revogação do consentimento.

Como exercer: envie um email para contato@liastudio.net com o assunto "LGPD — pedido de [acesso/correção/eliminação/etc.]". Respondemos em até 15 dias.

7. Cookies

Nosso site institucional (liastudio.net) utiliza apenas cookies funcionais (sessão, idioma). Não utilizamos cookies de marketing, retargeting ou rastreamento de terceiros. A interface principal da Lia Secretária acontece no WhatsApp — onde cookies não se aplicam.

8. Segurança

• Criptografia em trânsito: TLS 1.2+ em todas as comunicações.
• Criptografia em repouso: banco Supabase com criptografia padrão Postgres, tokens OAuth criptografados com chave dedicada.
• Zero Data Retention ativado no provedor de IA (Anthropic).
• Acesso restrito aos dados de produção; logs de auditoria internos.
• Isolamento por tenant: dados de um cliente não são visíveis a outro cliente.
• Notificação de incidentes: em caso de incidente de segurança, notificamos você e a ANPD nos prazos previstos pela LGPD.

9. Crianças e adolescentes

A Lia Secretária é destinada a maiores de 18 anos. O uso por menores de idade requer acompanhamento e autorização parental expressa. Se você for responsável e identificar que um menor abriu uma conta sem sua autorização, escreva para contato@liastudio.net para exclusão imediata.

10. Alterações desta política

Podemos atualizar esta política conforme o produto evolui ou para refletir mudanças regulatórias. Alterações materiais são comunicadas com no mínimo 30 dias de antecedência por email ou no WhatsApp.

11. Lei aplicável e foro

Esta política é regida pela legislação brasileira, em especial pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e pelo Marco Civil da Internet. Fica eleito o foro da Comarca de Fortaleza, Ceará.

12. Encarregado de dados (DPO)

Canal único para qualquer assunto de privacidade, dados pessoais ou exercício de direitos LGPD:

Email: contato@liastudio.net
Prazo de resposta: até 15 dias corridos.