LGPD Compliant100% Brasil

Política de Privacidade

Última atualização: 18 de maio de 2026

Esta Política de Privacidade descreve como md4tech ("Controlador") coleta, utiliza, armazena, compartilha e protege dados pessoais no contexto da plataforma CRM Omnichannel, em conformidade com a Lei nº 13.709/2018 ("LGPD").

1. Controlador de Dados

md4tech
CNPJ: 00.000.000/0001-00
Endereço: Endereço a ser publicado
Contato geral: suporte@md4tech.com.br
Encarregado (DPO): dpo@md4tech.com.br

2. Dados Pessoais Coletados

Cadastro e conta: nome, e-mail, telefone (com consentimento WhatsApp opcional), senha (armazenada em hash).
Uso do serviço: registros de acesso (IP, user agent, data/hora) conforme exigido pelo Marco Civil da Internet.
Conteúdo gerado: leads, contatos, mensagens trocadas em canais integrados, anotações e tarefas inseridas pelo usuário.
Dados de enriquecimento B2B: informações públicas de empresas (CNPJ, razão social, CNAE, endereço) obtidas via parceiros como Wholead/Data Stone e Receita Federal.
Cookies estritamente necessários: sessão autenticada e proteção contra CSRF. Não utilizamos cookies de rastreamento publicitário.

3. Finalidades do Tratamento

Prestação do serviço de CRM e canais omnichannel.
Autenticação, segurança, prevenção a fraude e cumprimento de obrigação legal.
Cobrança e gestão da relação contratual.
Comunicação operacional (transacional) sobre conta, faturas, mudanças de termos e incidentes.
Melhoria contínua do produto a partir de métricas agregadas.

4. Base Legal (LGPD art. 7º)

Execução de contrato (art. 7º, V) — prestação do serviço contratado.
Cumprimento de obrigação legal/regulatória (art. 7º, II) — guarda de logs (Marco Civil), obrigações fiscais.
Legítimo interesse (art. 7º, IX) — segurança da plataforma, prevenção a abuso.
Consentimento (art. 7º, I) — comunicações via WhatsApp e finalidades opcionais explicitamente aceitas no cadastro.

5. Compartilhamento com Terceiros (Operadores)

Compartilhamos dados estritamente necessários com operadores contratados para viabilizar o Serviço. Cada operador é submetido a cláusulas contratuais de proteção de dados:

Vercel (hosting frontend) — região: gru1 — São Paulo, Brasil.
Supabase / PostgreSQL (banco de dados) — região: Brasil.
Redis (cache e filas) — região: Brasil.
Wholead / Data Stone (enriquecimento B2B) — região: Brasil.
Z-API, Meta, Telegram, Evolution (canais de mensageria) — região: Variável.

Não vendemos dados pessoais e não os compartilhamos com terceiros para finalidades de marketing fora da relação contratual.

6. Retenção

Dados de conta são mantidos enquanto vigente o contrato. Após o encerramento, dados podem ser retidos por até 5 (cinco) anos para cumprimento de obrigações fiscais e de defesa em processos judiciais, e 6 (seis) meses para logs de acesso (Marco Civil, art. 15). Solicitações de exclusão antecipada são atendidas conforme o art. 18, V da LGPD, respeitadas as hipóteses legais de retenção (art. 16).

7. Direitos do Titular (LGPD art. 18)

Você pode exercer, a qualquer momento, os seguintes direitos:

Confirmação da existência de tratamento.
Acesso aos seus dados.
Correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários.
Portabilidade dos dados a outro fornecedor.
Eliminação de dados tratados com base em consentimento.
Informação sobre entidades com as quais compartilhamos dados.
Revogação do consentimento.
Revisão de decisões automatizadas que afetem seus interesses.

Solicitações podem ser enviadas para dpo@md4tech.com.br. Responderemos no prazo máximo de 15 (quinze) dias, conforme art. 19 da LGPD.

8. Segurança

Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados pessoais, incluindo:

Criptografia em trânsito: TLS 1.2 ou superior em todas as conexões entre cliente, edge, API, banco de dados e cache.
Senhas: armazenamento com hash Argon2 (algoritmo resistente a ataques por força bruta com GPU/ASIC); senhas em texto claro nunca são persistidas.
Credenciais de integrações: cifradas em repouso com Fernet (AES-128-CBC + HMAC-SHA256) antes da gravação no banco.
Tokens de sessão (JWT): assinatura HS256, validação explícita do cabeçalho alg, armazenamento em cookieshttpOnly e revogação via blacklist em Redis.
Notificações push: payloads cifrados de ponta a ponta conforme RFC 8291 (AES-128-GCM).
Dados transacionais em banco: proteção via criptografia de disco do provedor de banco de dados, controle de acesso por papéis, segregação multi-tenant por organização, registro de auditoria e monitoramento contínuo.
Backups: realizados e cifrados pelo provedor de banco de dados, com retenção mínima conforme o plano contratado.

Em caso de incidente de segurança que possa acarretar risco relevante aos titulares, notificaremos a ANPD e os titulares afetados conforme o art. 48 da LGPD.

9. Data Residency — 100% Brasil

A infraestrutura principal de processamento e armazenamento (banco de dados, cache, filas, hospedagem do frontend) está localizada em território brasileiro. Eventuais operadores com infraestrutura internacional (por exemplo, provedores de mensageria operados pelas plataformas Meta e Telegram) são submetidos a salvaguardas previstas nos arts. 33 a 36 da LGPD para transferência internacional de dados, sempre limitadas ao estritamente necessário para a prestação do serviço.

10. Cookies

Utilizamos apenas cookies estritamente necessários para autenticação, manutenção de sessão e proteção contra ataques (CSRF). Não utilizamos cookies de publicidade, perfilamento ou rastreamento entre sites. Caso futuramente sejam introduzidas categorias adicionais (analytics, marketing), um banner de consentimento será apresentado para sua escolha prévia.

11. Alterações desta Política

Esta Política pode ser atualizada periodicamente. Alterações materiais serão comunicadas com antecedência razoável pelos canais cadastrados e a data de "Última atualização" será revisada. O uso continuado do Serviço após a vigência das alterações implica ciência das novas condições, observado o direito de revogar consentimentos.

Consulte também nossos Termos de Uso.