1. Escopo e definições
Esta Política se aplica aos seguintes ambientes e funcionalidades:
- HookCloud Flow: infraestrutura utilizada diretamente por assinantes para conectar números do WhatsApp Business e integrar webhooks, APIs e automações;
- HookCloud Partner: infraestrutura B2B que permite a empresas parceiras provisionar clientes finais, criar instâncias, conectar números, consultar status, administrar callbacks e integrar seus próprios sistemas;
- Partner Portal e Admin: painéis de acesso, equipe, billing, integração, instâncias, chaves e credenciais;
- Partner Connect: fluxo público de conexão do número do Cliente Final à Plataforma do WhatsApp Business;
- APIs, webhooks e serviços internos: endpoints usados para provisionamento, lifecycle, auditoria, conexão e suporte.
2. Quem somos e papéis na LGPD
Os papéis de Controlador e Operador dependem da finalidade e das decisões tomadas em cada operação de tratamento.
| Parte | Papel mais comum | Exemplos |
|---|---|---|
| HookCloud / MAM DIGITAL | Controladora para dados próprios; Operadora ou Suboperadora para dados tratados em nome de terceiros | Controladora em cadastro, segurança, cobrança, auditoria e suporte. Operadora/Suboperadora na infraestrutura técnica de conexão, credenciais e eventos, conforme instruções. |
| Partner | Controlador de seus usuários e integrações; pode atuar como Operador do Cliente Final | Administração do SaaS, chatbot, CRM, automações, equipe, webhook e uso do token Meta. |
| Cliente Final | Normalmente Controlador das conversas com seus consumidores | Definição das finalidades do atendimento, campanhas, contatos, bases legais, opt-in e retenção. |
A mesma organização pode assumir papéis diferentes em tratamentos diferentes. Quando a HookCloud atuar como Operadora ou Suboperadora, tratará os dados de acordo com as instruções documentadas do Controlador, os requisitos técnicos do serviço, a legislação aplicável e medidas de segurança e conformidade.
3. Dados pessoais e informações tratados
3.1. Cadastro, conta e equipe
- nome, e-mail, telefone, empresa, função, identificadores de usuário e dados de convite;
- perfis de acesso, como owner, admin, developer, viewer ou equivalentes;
- dados de autenticação, sessão, redefinição de senha e registros de acesso.
3.2. Partners e Clientes Finais
- nome empresarial, nome de exibição, e-mail, telefone e identificadores externos do Partner ou Cliente Final;
- instâncias, apelidos internos, status, datas de conexão, inativação e reativação;
- informações de assinatura, plano, período gratuito, ciclo, faturas, uso e suporte.
3.3. Dados técnicos da Meta e do WhatsApp
business_id,waba_id,phone_number_id, número de exibição, nome verificado, status do nome e qualidade;- status de inscrição do aplicativo, escopo e URL de callback por número, datas de configuração e remoção;
- versão da Graph API, App ID, respostas técnicas, códigos de erro e dados de diagnóstico.
3.4. Segredos, chaves e credenciais
- Partner API Keys, tokens de sessão, verify tokens de webhook e credenciais Meta;
- tokens Meta obtidos no Embedded Signup, armazenados de forma protegida e, quando permitido, revelados a usuários autorizados do Partner;
- registros de criação, revelação, cópia, rotação, revogação, uso e falha de credenciais.
3.5. Mensagens e eventos
Dependendo da arquitetura contratada, a HookCloud pode tratar conteúdo e metadados de mensagens, mídias, contatos e eventos de entrega, leitura, falha ou recebimento. No HookCloud Partner, o callback pode ser configurado diretamente no phone_number_id para o endpoint do Partner, e o Partner pode enviar mensagens diretamente à Meta usando credenciais autorizadas. Nesses casos, a HookCloud pode não receber ou armazenar o conteúdo completo dessas comunicações.
3.6. Logs e segurança
- endereço IP aproximado, navegador, dispositivo, data/hora, rota, identificadores e resultado da requisição;
- logs de auditoria, tentativas de acesso, alterações de permissões, erros, prevenção de fraude e abuso;
- dados fornecidos em tickets, e-mails e outros canais de suporte.
4. Como funciona o fluxo técnico do HookCloud Partner
- Provisionamento: o Partner cria seu Cliente Final e uma instância por API ou painel.
- Conexão: o Cliente Final conclui o Embedded Signup da Meta no Partner Connect.
- Credencial: a Meta entrega um token técnico, que é recebido pela infraestrutura HookCloud e protegido no banco de dados.
- Callback: o webhook do Partner pode ser configurado diretamente no número, por
phone_number_id. - Operação: os eventos podem seguir da Meta diretamente ao Partner. O Partner pode responder diretamente pela Graph API.
- Inativação: a HookCloud tenta remover o callback remoto antes de liberar o estado operacional e comercial da instância/cliente.
Quando o Partner recebe eventos diretamente e envia mensagens diretamente à Meta, ele se torna responsável pela segurança, retenção, legalidade e transparência desses tratamentos no próprio sistema.
5. Finalidades do tratamento
- prestar, operar, manter e evoluir os serviços HookCloud;
- criar e administrar Partners, Clientes Finais, instâncias, equipes, permissões e sessões;
- viabilizar onboarding, conexão, reconexão, status, callbacks e gestão de números;
- proteger e disponibilizar chaves, tokens e credenciais a usuários autorizados;
- permitir integração com sistemas próprios, n8n, Make, CRMs, chatbots e APIs;
- realizar cobrança, faturamento, período de teste, cálculo de uso e gestão contratual;
- prestar suporte, corrigir erros, investigar incidentes e prevenir fraude, spam e abuso;
- cumprir obrigações legais, regulatórias, contratuais e requisitos da Meta/WhatsApp.
6. Bases legais
Conforme o contexto, o tratamento pode se apoiar em:
- execução de contrato e procedimentos preliminares;
- cumprimento de obrigação legal ou regulatória;
- exercício regular de direitos em processos;
- legítimo interesse, com avaliação de necessidade e impacto, para segurança, prevenção a fraude, auditoria, suporte e melhoria do serviço;
- consentimento, quando exigido ou adotado pelo Controlador para uma finalidade específica.
O Partner e o Cliente Final são responsáveis por definir e documentar as bases legais aplicáveis às conversas, campanhas, contatos e automações realizados por seus sistemas.
7. Compartilhamento e suboperadores
Não vendemos dados pessoais. Podemos compartilhar dados estritamente necessários com:
- Meta e WhatsApp: conexão de ativos, autenticação, mensageria, números, qualidade e demais recursos da plataforma;
- Partner e Cliente Final: conforme o vínculo, permissões, instruções e finalidade da integração;
- provedores de infraestrutura: banco de dados, hospedagem, armazenamento, CDN, monitoramento, segurança, e-mail e suporte;
- consultores e auditores: quando necessário e sob deveres de confidencialidade;
- autoridades públicas: em cumprimento de obrigação legal, ordem válida ou proteção de direitos.
O acesso é limitado ao necessário para cada finalidade e pode ser condicionado a contratos, controles de segurança e obrigações de confidencialidade.
8. Transferência internacional
A operação pode envolver infraestrutura e fornecedores localizados fora do Brasil, especialmente Meta/WhatsApp, nuvem, monitoramento e serviços técnicos. Quando aplicável, utilizamos mecanismos contratuais, medidas de segurança e demais salvaguardas previstas na legislação de proteção de dados.
9. Retenção, inativação e exclusão
Os dados são mantidos pelo tempo necessário para:
- prestar o serviço e cumprir o contrato;
- atender obrigações fiscais, contábeis, legais e regulatórias;
- preservar evidências, segurança, auditoria, prevenção de fraude e exercício de direitos;
- manter backups pelo ciclo técnico necessário, com acesso restrito.
9.1. Inativação de uma instância
A HookCloud busca remover o callback remoto do número antes de marcar a instância como liberada. Em caso de falha, registros técnicos podem ser mantidos enquanto a remoção é tentada ou investigada, evitando que eventos continuem sendo enviados indevidamente.
9.2. Exclusão de Partner ou Cliente Final
A exclusão administrativa pode abranger clientes, instâncias, sessões, credenciais, chaves, webhooks, membros e dados de billing, observados vínculos técnicos, obrigações legais e períodos de retenção. Logs mínimos e backups podem permanecer temporariamente quando necessários.
9.3. Dados mantidos pelo Partner ou pela Meta
A exclusão na HookCloud não exclui automaticamente dados armazenados no sistema do Partner, do Cliente Final ou da Meta. Cada Controlador deve executar as exclusões sob sua responsabilidade.
10. Segurança, API Keys e tokens Meta
Adotamos medidas técnicas e organizacionais compatíveis com a natureza do serviço, incluindo:
- TLS em trânsito e proteção de credenciais em repouso;
- controle de acesso por função e segregação lógica por Partner;
- RLS, auditoria, validação de ownership e uso de credenciais administrativas apenas no backend;
- registro de eventos relevantes, limitação de exposição e mecanismos de inativação;
- processos de correção, resposta a incidentes e revisão de conformidade.
Quando um usuário autorizado do Partner revela ou copia um token Meta, a responsabilidade pela proteção desse segredo também passa ao Partner. O token deve permanecer exclusivamente em backend seguro, cofre de segredos ou ferramenta com acesso restrito. Ele não deve ser inserido em frontend público, aplicativo distribuído ao Cliente Final, logs abertos, e-mail ou documentação pública.
Nenhum sistema é completamente inviolável. A HookCloud não garante risco zero, mas trabalha para reduzir riscos e responder adequadamente a eventos relevantes.
11. Responsabilidades do Partner e do Cliente Final
O Partner e o Cliente Final devem, conforme seus papéis:
- publicar política ou aviso de privacidade próprio, adequado às funcionalidades de seu sistema;
- informar quem é o Controlador, quais dados são tratados, finalidades, bases legais, retenção e direitos;
- coletar e comprovar opt-in quando necessário e oferecer opt-out efetivo;
- proteger API Keys, tokens Meta, verify tokens, webhooks e acessos administrativos;
- limitar acessos por necessidade, desligar usuários e rotacionar credenciais quando houver risco;
- não usar a infraestrutura para spam, fraude, coleta ilícita, discriminação ou violação de direitos;
- responder a solicitações dos titulares e cooperar com a HookCloud quando necessário;
- informar a HookCloud sobre incidentes ou uso indevido que possam afetar a infraestrutura compartilhada.
12. Meta/WhatsApp, opt-in e uso aceitável
O uso dos serviços depende também dos termos, políticas e limites técnicos da Meta e do WhatsApp.
- mensagens devem possuir finalidade legítima e respeitar as regras de janela, template e consentimento aplicáveis;
- bases compradas, alugadas ou obtidas sem autorização não devem ser usadas;
- pedidos de parada, bloqueio, descadastro e oposição devem ser atendidos;
- polling agressivo, loops, retries sem controle e chamadas abusivas podem ser limitados;
- o Partner deve garantir que seus Clientes Finais conheçam e aceitem os termos aplicáveis da Meta/WhatsApp.
A HookCloud poderá aplicar bloqueios preventivos, limitar novas conexões, bloquear revelação de tokens ou suspender recursos quando houver risco técnico, legal, reputacional ou de conformidade.
13. Qualidade dos números e medidas de restrição
Podemos acompanhar sinais de qualidade, restrição, bloqueio, banimento, reclamações, volume anormal ou reincidência para proteger usuários, Partners, Clientes Finais e a infraestrutura. Números removidos podem permanecer em registros mínimos de conformidade durante uma janela razoável quando isso for necessário para evitar abuso ou fraude.
As medidas podem incluir alerta, revisão manual, exigência de comprovação de opt-in, bloqueio de novas conexões, limitação de API, suspensão parcial ou encerramento em casos graves ou reincidentes.
14. Direitos dos titulares e como solicitar
Nos termos da LGPD, o titular pode solicitar, quando aplicável:
- confirmação da existência de tratamento e acesso;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
- informações sobre compartilhamentos e portabilidade, quando aplicável;
- revogação do consentimento e informação sobre suas consequências;
- revisão de decisões automatizadas, nos casos previstos em lei.
Se sua solicitação se refere a uma conversa, campanha, cadastro ou atendimento realizado por um Cliente Final, procure primeiro a empresa com quem você conversou. Ela normalmente é o Controlador. A HookCloud cooperará com o Partner ou Cliente Final quando atuar como Operadora/Suboperadora.
16. Menores de idade
Os serviços HookCloud são destinados a empresas, profissionais e usuários autorizados em contexto B2B. Não são direcionados diretamente a crianças. Partners e Clientes Finais que tratem dados de crianças ou adolescentes devem adotar as bases legais, avisos, autorizações e salvaguardas específicas exigidas pela legislação.
17. Incidentes de segurança
Em caso de incidente confirmado com risco ou dano relevante, a HookCloud adotará medidas de contenção, investigação, correção, preservação de evidências e comunicação às partes e autoridades competentes, quando exigido. Partners devem comunicar prontamente incidentes em seus ambientes que possam envolver credenciais, webhooks ou dados processados pela HookCloud.
18. Contato e responsável
Para solicitações relacionadas a dados controlados por um Partner ou Cliente Final, a HookCloud poderá encaminhar a demanda ao responsável ou solicitar informações adicionais para localizar a operação correta.
19. Atualizações desta Política
Esta Política pode ser atualizada para refletir mudanças legais, regulatórias, contratuais, técnicas, comerciais ou de arquitetura. A versão vigente será publicada neste endereço, com a data de atualização. Alterações relevantes poderão ser comunicadas no painel ou por canais cadastrados.
Referências externas
Esta Política deve ser lida em conjunto com a legislação aplicável e os termos dos serviços de terceiros utilizados.