GiaS
← Voltar para a home

GiaS · documento legal

Política de Privacidade

Última atualização: [DATA] · alinhada à Lei 13.709/2018 (Lei Geral de Proteção de Dados — LGPD)

Esta Política de Privacidade explica como o GiaS coleta, usa, armazena, compartilha e protege dados pessoais — do lojista que contrata o serviço e dos clientes finais que falam com a loja dele pelo WhatsApp. Ela faz parte dos nossos Termos de Uso. Leia com atenção; se algo não ficar claro, fale com a gente pelos canais da seção 12.

1. Quem é o controlador dos dados

O GiaS é um produto operado pela GiaSHub ([RAZÃO SOCIAL / CNPJ A PREENCHER]), oferecido como assinatura (SaaS) a lojistas que atendem, vendem e organizam o estoque da própria loja pelo WhatsApp, com apoio de inteligência artificial.

Essa estrutura cria dois papéis distintos, previstos no art. 5º, incisos VI e VII, da LGPD:

  • O lojista é o controlador dos dados dos próprios clientes finais — é ele quem decide atender pelo WhatsApp, define o que vende e a quem cabe garantir uma base legal adequada para tratar os dados de quem fala com a loja dele.
  • A GiaSHub atua como operadora dos dados pessoais que trafegam pela plataforma, tratando-os sempre a serviço e conforme as instruções do lojista contratante, nos termos do art. 39 da LGPD: “O operador deve realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das instruções e das normas sobre a matéria.”

Já em relação ao cadastro do próprio lojista na plataforma (nome, e-mail, senha), a GiaSHub atua como controladora — é quem decide como esses dados são tratados para viabilizar a prestação do serviço.

2. Quais dados coletamos

Coletamos e tratamos os seguintes dados, conforme o uso do GiaS:

2.1. Dados de cadastro do lojista

Nome, e-mail e senha da pessoa que cria a conta do GiaS para a loja. A senha é sempre armazenada com hash, nunca em texto puro.

2.2. Conversas de WhatsApp

O histórico de mensagens trocadas pelo número de WhatsApp do lojista — tanto do próprio lojista/operadores da loja quanto dos clientes finais que entram em contato com ela — é armazenado para viabilizar o atendimento contínuo, o histórico de conversa e a geração de respostas coerentes pela inteligência artificial.

2.3. Dados de estoque e produtos

Informações de estoque e cadastro de produtos inseridas pelo lojista, incluindo — quando o próprio lojista fornece — composição ou ingredientes de produtos. Esses dados são usados para responder com precisão a perguntas de clientes finais (por exemplo, sobre alergia), sempre com base apenas no que o lojista efetivamente cadastrou — o sistema não inventa composição que não foi informada.

3. Para que usamos seus dados

Tratamos dados pessoais apenas nas hipóteses previstas no art. 7º da LGPD. As bases legais que se aplicam ao GiaS são:

Art. 7º, inciso V, LGPD — execução de contrato

“quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados”

Base principal do tratamento: a execução do contrato de assinatura entre a GiaSHub e o lojista, e a relação comercial entre o lojista e o cliente final que compra ou tira dúvidas pela loja.

Art. 7º, inciso IX, LGPD — legítimo interesse

“quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”

Usada de forma proporcional para prevenção a fraude e abuso da plataforma, telemetria técnica e melhoria do serviço.

Art. 7º, inciso I, LGPD — consentimento

“mediante o fornecimento de consentimento pelo titular”

Usada em hipóteses acessórias e específicas, quando aplicável — por exemplo, qualquer uso de dados que vá além do necessário para prestar o serviço contratado. Conforme o art. 8º, §4º, da LGPD, o consentimento “deve referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas”, e pode ser revogado a qualquer momento, de forma gratuita e facilitada (art. 8º, §5º).

Em todo o tratamento, observamos os princípios do art. 6º da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização (accountability).

4. Como seus dados são processados por inteligência artificial

Para gerar respostas de atendimento e analisar fotos de estoque, as mensagens de WhatsApp e as imagens enviadas passam por modelos de inteligência artificial de terceiros. Por padrão, o GiaS utiliza modelos da Anthropic (Claude); o sistema também suporta, de forma configurável pelo operador da plataforma, o uso da OpenAI (GPT-4o-mini) como alternativa. Somente os dados necessários para gerar cada resposta trafegam até esses provedores — não compartilhamos o banco de dados completo do lojista com eles.

Anthropic e OpenAI são empresas sediadas nos Estados Unidos. Isso significa que dados pessoais passam por transferência internacional, regida pelo art. 33 da LGPD:

Art. 33, caput e incisos, LGPD

“A transferência internacional de dados pessoais somente é permitida nos seguintes casos: I — para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; II — quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; [...] VIII — quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades [...]”

Os Estados Unidos ainda não possuem decisão de adequação de grau de proteção reconhecida pela Autoridade Nacional de Proteção de Dados (ANPD) nos termos do inciso I. Por isso, a transferência para os provedores de inteligência artificial se apoia no inciso II, alínea “b” (cláusulas-padrão contratuais — inclusive as Cláusulas-Padrão Contratuais aprovadas pela Resolução CD/ANPD nº 19/2024, cujo prazo de carência para adoção encerrou em 23/08/2025) e/ou nas cláusulas contratuais de proteção de dados que os próprios provedores mantêm com seus clientes de API.

Esses provedores mantêm padrões próprios de segurança e privacidade para o processamento de dados enviados via API. Não usamos esses provedores para treinar modelos de terceiros com os dados dos nossos clientes, e não enviamos mais dados do que o necessário para gerar cada resposta.

5. Compartilhamento com terceiros

Compartilhamos dados pessoais apenas com quem é necessário para prestar o serviço:

  • Meta / WhatsApp Business Platform: canal oficial pelo qual as mensagens de atendimento trafegam, integrado ao próprio número de WhatsApp do lojista;
  • Provedores de inteligência artificial (Anthropic e, quando configurado, OpenAI): conforme descrito na seção 4;
  • Provedores de infraestrutura e hospedagem, que armazenam e processam dados em nome da GiaSHub, sempre sob instrução e finalidade limitada à prestação do serviço.

Não vendemos dados pessoais a terceiros não relacionados à prestação do serviço, nem os compartilhamos para fins de publicidade de terceiros.

6. Retenção e exclusão

Mantemos os dados pessoais tratados pelo GiaS enquanto a assinatura do lojista estiver ativa, pelo tempo necessário para prestar o serviço contratado.

Após o cancelamento da assinatura, os dados são mantidos por um período adicional de [PRAZO DE RETENÇÃO A DEFINIR], para viabilizar eventual reativação da conta e o cumprimento de obrigações legais (por exemplo, fiscais). Findo esse prazo, os dados são excluídos ou anonimizados, ressalvadas as hipóteses de guarda obrigatória previstas em lei (art. 16 da LGPD).

O lojista pode solicitar a exclusão antecipada dos seus dados a qualquer momento, pelos canais descritos na seção 12.

7. Seus direitos como titular dos dados

Nos termos do art. 18 da LGPD, o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição, os seguintes direitos:

Confirmação da existência de tratamento

Você pode perguntar, a qualquer momento, se tratamos algum dado seu.

Acesso aos dados

Você pode pedir uma cópia dos dados que temos sobre você.

Correção de dados

Você pode pedir a correção de informações erradas, incompletas ou desatualizadas.

Anonimização, bloqueio ou eliminação

Você pode pedir que anônimizemos, bloqueemos ou eliminemos dados que não são mais necessários, são excessivos ou foram tratados fora da lei.

Portabilidade

Você pode pedir que seus dados sejam transferidos a outro fornecedor. Esse direito não alcança dados já anonimizados (art. 18, §7º).

Eliminação de dados tratados com consentimento

Você pode pedir a exclusão de dados que você consentiu tratarmos, salvo quando a lei exige que os mantenhamos (por exemplo, obrigação legal ou regulatória).

Informação sobre compartilhamento

Você pode pedir a lista de entidades com quem compartilhamos seus dados — veja também a seção 5.

Informação sobre a possibilidade de não consentir

Quando pedimos seu consentimento, você pode perguntar o que acontece se você não consentir.

Revogação do consentimento

Você pode revogar, a qualquer momento, um consentimento que tenha dado — de forma gratuita e facilitada.

Esses pedidos são atendidos sem custo para você (art. 18, §5º), mediante requerimento expresso (art. 18, §3º). Você também tem direito de peticionar contra nós perante a Autoridade Nacional de Proteção de Dados — ANPD (art. 18, §1º), de se opor a tratamento realizado em descumprimento da LGPD (art. 18, §2º), e pode exercer esses direitos também perante órgãos de defesa do consumidor (art. 18, §8º).

Como o GiaS é usado por um lojista para atender os próprios clientes dele, se você é um cliente final de uma loja que usa o GiaS, o canal mais rápido para exercer seus direitos é diretamente com essa loja (a controladora dos seus dados — seção 1). A GiaSHub, como operadora, também recebe e encaminha pedidos pelos canais da seção 12.

8. Segurança da informação

Adotamos medidas técnicas e administrativas para proteger os dados pessoais tratados pelo GiaS, em linha com o princípio da segurança previsto no art. 6º, VII, da LGPD, incluindo:

  • Criptografia em trânsito (HTTPS) em todas as comunicações com a plataforma;
  • Armazenamento de senhas com hash, nunca em texto puro;
  • Controle de acesso à conta por sessão autenticada.

Nossa infraestrutura está em transição para hospedagem em nuvem (VPS) no momento desta redação. Somos transparentes: ainda não possuímos certificação formal como ISO 27001 ou SOC 2, e não afirmamos possuir nenhum selo de segurança que não tenha sido efetivamente obtido. Continuamos evoluindo nossas práticas de segurança à medida que a plataforma cresce.

9. Cookies e dados de navegação

Este site institucional do GiaS não utiliza cookies de rastreamento, pixels de publicidade ou ferramentas de analytics de terceiros. Não monitoramos sua navegação neste site para fins de publicidade.

Se isso mudar no futuro — por exemplo, com a adoção de uma ferramenta de analytics para entender o tráfego do site — esta Política será atualizada antes da mudança entrar em vigor, conforme a seção 11.

10. Encarregado de dados (DPO)

Nos termos do art. 41 da LGPD, indicamos um encarregado pelo tratamento de dados pessoais, cujas informações de contato divulgamos publicamente:

Encarregado: [NOME DO ENCARREGADO A DEFINIR] · Contato: [EMAIL DE CONTATO A DEFINIR]

Cabe ao encarregado, entre outras atribuições previstas no art. 41, §2º, da LGPD: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; e orientar os colaboradores da GiaSHub sobre as práticas de proteção de dados. A definição de encarregado da LGPD admite tanto pessoa física quanto jurídica — não é necessário que seja uma área ou empresa dedicada.

11. Alterações desta política

Podemos atualizar esta Política de Privacidade de tempos em tempos, para refletir mudanças no serviço, nos provedores utilizados ou na legislação aplicável. Alterações relevantes serão comunicadas com antecedência razoável, por e-mail e/ou aviso no próprio painel do GiaS, antes de entrarem em vigor. A data no topo desta página sempre indica a versão mais recente.

12. Contato e exercício de direitos

Para exercer qualquer um dos direitos descritos na seção 7, tirar dúvidas sobre esta Política ou falar com o nosso encarregado de dados, entre em contato pelo WhatsApp oficial da GiaS: wa.me/5511972013159, ou pelo e-mail [EMAIL DE CONTATO A DEFINIR].

↑ Voltar ao topo