Logo MOBY TECNOLOGIA BusinessVoltar ao login

Documentos legais

Política de Privacidade

Como o Zemfy trata dados pessoais de usuários, clientes finais e visitantes, conforme a LGPD.

Política de Privacidade — Zemfy

Última atualização: 30 de maio de 2026 Versão: 1.0

Esta Política de Privacidade descreve como Fly Now Systems, inscrita no CNPJ sob nº 43.897.291/0001-75, com sede em Rua Vicente Baptista, 502 — Jardim Apolo, Araras/SP, CEP 13605-338 ("Fly Now Systems", "nós"), operadora da plataforma Zemfy ("Plataforma", "Zemfy"), trata dados pessoais no âmbito da operação da Plataforma.

O Zemfy é uma plataforma SaaS multi-tenant que conecta empresas ("Clientes" ou "Business") ao WhatsApp Business Platform (Cloud API) da Meta, permitindo a orquestração de conversas, atendimento humano e agentes de inteligência artificial opcionais.

1. A quem esta política se aplica

Esta política se aplica a:

  • Usuários da Plataforma — pessoas que criam conta e acessam o painel do Zemfy (operadores, atendentes e administradores de um Business);
  • Clientes finais (contatos) — pessoas que se comunicam com um Business por meio do WhatsApp e cujos dados são tratados pela Plataforma;
  • Visitantes dos nossos sites e domínios (app.zemfy.com.br, api.zemfy.com.br e demais propriedades).

2. Nossos papéis sob a LGPD (Lei nº 13.709/2018)

O Zemfy atua em dois papéis distintos, conforme a natureza do dado:

SituaçãoPapel da Fly Now SystemsQuem é o Controlador
Dados de clientes finais trocados via WhatsApp (contatos, mensagens)Operador / Processador — tratamos sob instruções do BusinessO Business (Cliente Zemfy)
Dados de conta e cadastro dos usuários e Businesses da PlataformaControladorFly Now Systems

Em relação aos dados dos clientes finais, cada Business é o Controlador: é ele quem define as finalidades e os meios do tratamento e quem mantém a relação direta com o titular. A Fly Now Systems atua apenas como Operador, seguindo as instruções do Business e os termos do nosso Contrato de Tratamento de Dados (DPA).

A Meta atua como suboperadora no trânsito das mensagens via WhatsApp Cloud API.

3. Dados pessoais que tratamos

3.1 Dados de clientes finais (contatos via WhatsApp)

Tratados na qualidade de Operador, por conta e sob instrução do Business:

  • Identificadores do WhatsApp: número de telefone (formato E.164), Business-Scoped User ID (BSUID), username e nome de exibição fornecidos pela Meta;
  • E-mail, quando fornecido pelo contato em formulários ou fluxos de autenticação;
  • Conteúdo das mensagens trocadas (texto, imagem, áudio, vídeo, documento, localização, contatos, mensagens interativas) e seus metadados (status de entrega, horários, identificadores);
  • Anotações internas registradas pelo atendente sobre o contato;
  • Variáveis coletadas em fluxos automatizados (definidas por cada Business);
  • Registros de consentimento: endereço IP, *user-agent*, versão do termo aceito e data/hora do aceite;
  • Status de *opt-in/opt-out* para recebimento de mensagens.

Sobre o BSUID: a partir de 2026, a Meta passou a fornecer um identificador específico por portfólio de negócio (BSUID) que pode substituir o número de telefone quando o usuário opta por ocultá-lo. O BSUID é tratado como dado pessoal, pois identifica univocamente uma pessoa.

3.2 Dados de usuários da Plataforma (operadores)

Tratados na qualidade de Controlador:

  • Nome e e-mail;
  • Senha (armazenada de forma cifrada com *bcrypt* — nunca em texto puro);
  • Vínculo com um ou mais Businesses e permissões de acesso;
  • Tokens de sessão/acesso e códigos de verificação temporários (OTP).

3.3 Dados do Business (Cliente Zemfy)

  • Dados do negócio na Meta (nome e ID do negócio);
  • Token de acesso da Meta e chave de API da OpenAI, ambos armazenados cifrados em repouso (AES-256);
  • Configurações de envio de e-mail, identidade visual, domínio customizado, automações e templates de mensagem.

3.4 Arquivos e mídia

Anexos de atendimento são armazenados em bucket AWS S3 privado (região sa-east-1 — São Paulo/Brasil), com criptografia em repouso e acesso somente por links temporários assinados com expiração curta.

4. Para que usamos os dados (finalidades)

Enquanto Operador, sob instrução do Business:

  • Operação técnica da Plataforma: envio, recebimento e armazenamento de mensagens;
  • Disponibilização das ferramentas de atendimento, automação e agentes de IA contratadas pelo Business;
  • Suporte técnico ao Business;
  • Faturamento e medição de uso (incluindo as categorias de cobrança da Meta);
  • Registros operacionais (logs) para depuração e segurança da informação.

Enquanto Controlador (dados de conta):

  • Criação, autenticação e gestão de contas de usuário;
  • Comunicações transacionais (verificação, convites, notificações de serviço);
  • Cumprimento de obrigações legais e regulatórias;
  • Prevenção a fraudes e proteção da segurança da Plataforma.

5. Bases legais (LGPD, art. 7º e 11)

FinalidadeBase legal
Atendimento solicitado pelo cliente finalExecução de contrato (art. 7º, V)
Operação da Plataforma para o BusinessExecução de contrato (art. 7º, V)
Mensagens de marketing via templateConsentimento e/ou legítimo interesse (art. 7º, I e IX), com *opt-in*
Cumprimento de regras da Meta e obrigações legaisObrigação legal/regulatória (art. 7º, II e VI)
Segurança e prevenção a fraudesLegítimo interesse (art. 7º, IX)

A definição final das bases legais para o tratamento de dados de clientes finais é de responsabilidade de cada Business, na qualidade de Controlador.

6. Compartilhamento e suboperadores

Não vendemos dados pessoais. Compartilhamos dados apenas com os seguintes terceiros, na medida necessária para operar a Plataforma:

TerceiroFinalidadeDados envolvidosLocal de processamento
Meta Platforms (WhatsApp Cloud API)Trânsito de mensagens, status, templates e webhooksTelefone, BSUID, nome, conteúdo das mensagens, mídia, statusEUA / global
OpenAIModelo de IA para automação de respostas (quando o Business ativa Agente de IA)Conteúdo de mensagens repassado ao modeloEUA
Amazon Web Services (S3)Armazenamento de anexosArquivos enviados e seus metadadosBrasil (São Paulo)
CloudflareCDN, proxy e proteção (WAF)Endereço IP, cabeçalhos e conteúdo das requisiçõesGlobal (rede de borda)
HostingerEnvio de e-mails transacionais e hospedagemE-mail do destinatário e conteúdo do e-mailUnião Europeia

Também podemos compartilhar dados quando exigido por lei, ordem judicial ou autoridade competente, ou para defesa de direitos.

Importante: ao usar o WhatsApp por meio do Zemfy, dados transitam pelos servidores da Meta. Recomendamos a leitura da Política de Privacidade da Meta/WhatsApp em https://www.whatsapp.com/legal/privacy-policy.

7. Transferência internacional de dados

Alguns suboperadores (Meta, OpenAI e Cloudflare) processam dados fora do Brasil. Essas transferências são realizadas em conformidade com os arts. 33 a 36 da LGPD, com base em cláusulas contratuais e garantias adequadas de proteção fornecidas por esses fornecedores. Ao utilizar a Plataforma, você está ciente de que tais transferências podem ocorrer.

8. Segurança da informação

Adotamos medidas técnicas e organizacionais para proteger os dados, incluindo:

  • Comunicação exclusivamente por HTTPS/TLS;
  • Criptografia em repouso (AES-256) de tokens de acesso e credenciais sensíveis;
  • Senhas protegidas com *bcrypt*;
  • Isolamento de dados por cliente (cada Business possui banco de dados separado);
  • Controle de acesso baseado em papéis (RBAC) por organização;
  • Acesso ao ambiente de produção restrito à equipe da Fly Now Systems;
  • Registro auditável de aceite de termos (versão do documento, IP, *user-agent* e data/hora).

Nenhum sistema é completamente imune a riscos; em caso de incidente de segurança relevante, adotaremos as providências e comunicações previstas na LGPD.

9. Retenção de dados

Mantemos os dados pelo tempo necessário para cumprir as finalidades desta política, observados os prazos legais aplicáveis.

CategoriaPrazo de retenção
Mensagens e mídia de atendimentoEnquanto durar o contrato com o Business, com retenção padrão do histórico de até 12 meses (período configurável no DPA), alinhada à prática de mercado; após o encerramento do contrato, são eliminados ou anonimizados em até 90 dias, salvo retenção exigida por obrigação legal
Dados de conta de usuárioEnquanto a conta estiver ativa; após o encerramento, são eliminados ou anonimizados, salvo retenção exigida por obrigação legal
Registros de consentimento e aceiteMantidos como prova do aceite pelo prazo prescricional aplicável (em regra, até 5 anos após o término da relação)
Logs operacionais e de webhookMantidos por período limitado para fins de segurança e depuração, com rotação periódica

Aplicamos o princípio da necessidade: dados que deixam de ser necessários são eliminados ou anonimizados. Prazos específicos podem ser detalhados no Contrato de Tratamento de Dados (DPA) firmado com cada Business.

Quando os dados deixam de ser necessários, são eliminados ou anonimizados.

10. Direitos do titular

Nos termos da LGPD (art. 18), o titular pode solicitar: confirmação da existência de tratamento; acesso aos dados; correção; anonimização, bloqueio ou eliminação; portabilidade; informação sobre compartilhamento; e revogação do consentimento.

Importante: quando os dados de um cliente final são tratados pelo Zemfy como Operador, a solicitação deve, em regra, ser direcionada ao Business (Controlador) com quem o titular se relaciona. Encaminharemos ou apoiaremos o atendimento conforme o caso.

Para exercer seus direitos ou tirar dúvidas, consulte também a página Instruções de Exclusão de Dados e entre em contato pelos canais abaixo.

O prazo de resposta às solicitações é de até 15 dias. O exercício de direitos é realizado mediante solicitação pelos canais informados nesta política.

11. Encarregado pelo Tratamento de Dados (DPO)

  • Encarregado/DPO: Encarregado de Dados da Fly Now Systems
  • E-mail: contato@zemfy.com.br
  • Endereço: Rua Vicente Baptista, 502 — Jardim Apolo, Araras/SP, CEP 13605-338

12. Menores de idade

A Plataforma não se destina a menores de 18 anos. Não coletamos intencionalmente dados de menores sem o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, conforme o art. 14 da LGPD.

13. Cookies

O uso de cookies e tecnologias similares é descrito na nossa Política de Cookies.

14. Alterações nesta política

Podemos atualizar esta Política de Privacidade periodicamente. A versão vigente estará sempre disponível nesta URL, com a data de última atualização. Alterações relevantes serão comunicadas pelos canais apropriados.

15. Contato

Para qualquer questão relativa a esta política ou ao tratamento de dados:

  • Empresa: Fly Now Systems (Zemfy)
  • E-mail: contato@zemfy.com.br
  • Site: https://www.flynowsystems.com