1. Quem é o controlador dos dados
O GiaS é um produto operado pela GiaSHub ([RAZÃO SOCIAL / CNPJ A PREENCHER]), oferecido como assinatura (SaaS) a lojistas que atendem, vendem e organizam o estoque da própria loja pelo WhatsApp, com apoio de inteligência artificial.
Essa estrutura cria dois papéis distintos, previstos no art. 5º, incisos VI e VII, da LGPD:
- O lojista é o controlador dos dados dos próprios clientes finais — é ele quem decide atender pelo WhatsApp, define o que vende e a quem cabe garantir uma base legal adequada para tratar os dados de quem fala com a loja dele.
- A GiaSHub atua como operadora dos dados pessoais que trafegam pela plataforma, tratando-os sempre a serviço e conforme as instruções do lojista contratante, nos termos do art. 39 da LGPD: “O operador deve realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das instruções e das normas sobre a matéria.”
Já em relação ao cadastro do próprio lojista na plataforma (nome, e-mail, senha), a GiaSHub atua como controladora — é quem decide como esses dados são tratados para viabilizar a prestação do serviço.
2. Quais dados coletamos
Coletamos e tratamos os seguintes dados, conforme o uso do GiaS:
2.1. Dados de cadastro do lojista
Nome, e-mail e senha da pessoa que cria a conta do GiaS para a loja. A senha é sempre armazenada com hash, nunca em texto puro.
2.2. Conversas de WhatsApp
O histórico de mensagens trocadas pelo número de WhatsApp do lojista — tanto do próprio lojista/operadores da loja quanto dos clientes finais que entram em contato com ela — é armazenado para viabilizar o atendimento contínuo, o histórico de conversa e a geração de respostas coerentes pela inteligência artificial.
2.3. Dados de estoque e produtos
Informações de estoque e cadastro de produtos inseridas pelo lojista, incluindo — quando o próprio lojista fornece — composição ou ingredientes de produtos. Esses dados são usados para responder com precisão a perguntas de clientes finais (por exemplo, sobre alergia), sempre com base apenas no que o lojista efetivamente cadastrou — o sistema não inventa composição que não foi informada.
3. Para que usamos seus dados
Tratamos dados pessoais apenas nas hipóteses previstas no art. 7º da LGPD. As bases legais que se aplicam ao GiaS são:
Art. 7º, inciso V, LGPD — execução de contrato
“quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados”
Base principal do tratamento: a execução do contrato de assinatura entre a GiaSHub e o lojista, e a relação comercial entre o lojista e o cliente final que compra ou tira dúvidas pela loja.
Art. 7º, inciso IX, LGPD — legítimo interesse
“quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”
Usada de forma proporcional para prevenção a fraude e abuso da plataforma, telemetria técnica e melhoria do serviço.
Art. 7º, inciso I, LGPD — consentimento
“mediante o fornecimento de consentimento pelo titular”
Usada em hipóteses acessórias e específicas, quando aplicável — por exemplo, qualquer uso de dados que vá além do necessário para prestar o serviço contratado. Conforme o art. 8º, §4º, da LGPD, o consentimento “deve referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas”, e pode ser revogado a qualquer momento, de forma gratuita e facilitada (art. 8º, §5º).
Em todo o tratamento, observamos os princípios do art. 6º da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização (accountability).
4. Como seus dados são processados por inteligência artificial
Para gerar respostas de atendimento e analisar fotos de estoque, as mensagens de WhatsApp e as imagens enviadas passam por modelos de inteligência artificial de terceiros. Por padrão, o GiaS utiliza modelos da Anthropic (Claude); o sistema também suporta, de forma configurável pelo operador da plataforma, o uso da OpenAI (GPT-4o-mini) como alternativa. Somente os dados necessários para gerar cada resposta trafegam até esses provedores — não compartilhamos o banco de dados completo do lojista com eles.
Anthropic e OpenAI são empresas sediadas nos Estados Unidos. Isso significa que dados pessoais passam por transferência internacional, regida pelo art. 33 da LGPD:
Art. 33, caput e incisos, LGPD
“A transferência internacional de dados pessoais somente é permitida nos seguintes casos: I — para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; II — quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; [...] VIII — quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades [...]”
Os Estados Unidos ainda não possuem decisão de adequação de grau de proteção reconhecida pela Autoridade Nacional de Proteção de Dados (ANPD) nos termos do inciso I. Por isso, a transferência para os provedores de inteligência artificial se apoia no inciso II, alínea “b” (cláusulas-padrão contratuais — inclusive as Cláusulas-Padrão Contratuais aprovadas pela Resolução CD/ANPD nº 19/2024, cujo prazo de carência para adoção encerrou em 23/08/2025) e/ou nas cláusulas contratuais de proteção de dados que os próprios provedores mantêm com seus clientes de API.
Esses provedores mantêm padrões próprios de segurança e privacidade para o processamento de dados enviados via API. Não usamos esses provedores para treinar modelos de terceiros com os dados dos nossos clientes, e não enviamos mais dados do que o necessário para gerar cada resposta.
5. Compartilhamento com terceiros
Compartilhamos dados pessoais apenas com quem é necessário para prestar o serviço:
- Meta / WhatsApp Business Platform: canal oficial pelo qual as mensagens de atendimento trafegam, integrado ao próprio número de WhatsApp do lojista;
- Provedores de inteligência artificial (Anthropic e, quando configurado, OpenAI): conforme descrito na seção 4;
- Provedores de infraestrutura e hospedagem, que armazenam e processam dados em nome da GiaSHub, sempre sob instrução e finalidade limitada à prestação do serviço.
Não vendemos dados pessoais a terceiros não relacionados à prestação do serviço, nem os compartilhamos para fins de publicidade de terceiros.
6. Retenção e exclusão
Mantemos os dados pessoais tratados pelo GiaS enquanto a assinatura do lojista estiver ativa, pelo tempo necessário para prestar o serviço contratado.
Após o cancelamento da assinatura, os dados são mantidos por um período adicional de [PRAZO DE RETENÇÃO A DEFINIR], para viabilizar eventual reativação da conta e o cumprimento de obrigações legais (por exemplo, fiscais). Findo esse prazo, os dados são excluídos ou anonimizados, ressalvadas as hipóteses de guarda obrigatória previstas em lei (art. 16 da LGPD).
O lojista pode solicitar a exclusão antecipada dos seus dados a qualquer momento, pelos canais descritos na seção 12.
7. Seus direitos como titular dos dados
Nos termos do art. 18 da LGPD, o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição, os seguintes direitos:
Confirmação da existência de tratamento
“confirmação da existência de tratamento” — art. 18, I, LGPD
Você pode perguntar, a qualquer momento, se tratamos algum dado seu.
Acesso aos dados
“acesso aos dados” — art. 18, II, LGPD
Você pode pedir uma cópia dos dados que temos sobre você.
Correção de dados
“correção de dados incompletos, inexatos ou desatualizados” — art. 18, III, LGPD
Você pode pedir a correção de informações erradas, incompletas ou desatualizadas.
Anonimização, bloqueio ou eliminação
“anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei” — art. 18, IV, LGPD
Você pode pedir que anônimizemos, bloqueemos ou eliminemos dados que não são mais necessários, são excessivos ou foram tratados fora da lei.
Portabilidade
“portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa [...] observados os segredos comercial e industrial” — art. 18, V, LGPD
Você pode pedir que seus dados sejam transferidos a outro fornecedor. Esse direito não alcança dados já anonimizados (art. 18, §7º).
Eliminação de dados tratados com consentimento
“eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei” — art. 18, VI, LGPD
Você pode pedir a exclusão de dados que você consentiu tratarmos, salvo quando a lei exige que os mantenhamos (por exemplo, obrigação legal ou regulatória).
Informação sobre compartilhamento
“informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados” — art. 18, VII, LGPD
Você pode pedir a lista de entidades com quem compartilhamos seus dados — veja também a seção 5.
Informação sobre a possibilidade de não consentir
“informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa” — art. 18, VIII, LGPD
Quando pedimos seu consentimento, você pode perguntar o que acontece se você não consentir.
Revogação do consentimento
“revogação do consentimento, nos termos do § 5º do art. 8º desta Lei” — art. 18, IX, LGPD
Você pode revogar, a qualquer momento, um consentimento que tenha dado — de forma gratuita e facilitada.
Esses pedidos são atendidos sem custo para você (art. 18, §5º), mediante requerimento expresso (art. 18, §3º). Você também tem direito de peticionar contra nós perante a Autoridade Nacional de Proteção de Dados — ANPD (art. 18, §1º), de se opor a tratamento realizado em descumprimento da LGPD (art. 18, §2º), e pode exercer esses direitos também perante órgãos de defesa do consumidor (art. 18, §8º).
Como o GiaS é usado por um lojista para atender os próprios clientes dele, se você é um cliente final de uma loja que usa o GiaS, o canal mais rápido para exercer seus direitos é diretamente com essa loja (a controladora dos seus dados — seção 1). A GiaSHub, como operadora, também recebe e encaminha pedidos pelos canais da seção 12.
8. Segurança da informação
Adotamos medidas técnicas e administrativas para proteger os dados pessoais tratados pelo GiaS, em linha com o princípio da segurança previsto no art. 6º, VII, da LGPD, incluindo:
- Criptografia em trânsito (HTTPS) em todas as comunicações com a plataforma;
- Armazenamento de senhas com hash, nunca em texto puro;
- Controle de acesso à conta por sessão autenticada.
Nossa infraestrutura está em transição para hospedagem em nuvem (VPS) no momento desta redação. Somos transparentes: ainda não possuímos certificação formal como ISO 27001 ou SOC 2, e não afirmamos possuir nenhum selo de segurança que não tenha sido efetivamente obtido. Continuamos evoluindo nossas práticas de segurança à medida que a plataforma cresce.
10. Encarregado de dados (DPO)
Nos termos do art. 41 da LGPD, indicamos um encarregado pelo tratamento de dados pessoais, cujas informações de contato divulgamos publicamente:
Encarregado: [NOME DO ENCARREGADO A DEFINIR] · Contato: [EMAIL DE CONTATO A DEFINIR]
Cabe ao encarregado, entre outras atribuições previstas no art. 41, §2º, da LGPD: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; e orientar os colaboradores da GiaSHub sobre as práticas de proteção de dados. A definição de encarregado da LGPD admite tanto pessoa física quanto jurídica — não é necessário que seja uma área ou empresa dedicada.
11. Alterações desta política
Podemos atualizar esta Política de Privacidade de tempos em tempos, para refletir mudanças no serviço, nos provedores utilizados ou na legislação aplicável. Alterações relevantes serão comunicadas com antecedência razoável, por e-mail e/ou aviso no próprio painel do GiaS, antes de entrarem em vigor. A data no topo desta página sempre indica a versão mais recente.
12. Contato e exercício de direitos
Para exercer qualquer um dos direitos descritos na seção 7, tirar dúvidas sobre esta Política ou falar com o nosso encarregado de dados, entre em contato pelo WhatsApp oficial da GiaS: wa.me/5511972013159, ou pelo e-mail [EMAIL DE CONTATO A DEFINIR].