Em resumo: o que você precisa saber
Esta seção é um sumário simplificado da Política. Em caso de conflito entre o resumo e as seções detalhadas, prevalecem as seções detalhadas.
A WLabs é uma empresa brasileira de software que comercializa as plataformas WBudget (CRM, propostas comerciais, omnichannel e IA) e WPages (gestão documental e assinatura eletrônica). A WLabs opera sob o domínio oficial wlabs.com.br.
Tratamos dados pessoais em duas qualidades distintas: (i) somos Controladora dos dados dos próprios clientes da WLabs (cadastro, faturamento, suporte); (ii) somos Operadora dos dados que o cliente trata por meio da plataforma — como dados de leads/prospects, signatários de documentos, conversas com clientes do cliente. Nesses casos, o cliente WLabs é o Controlador, e responde pelas finalidades do tratamento.
Encarregado de Dados: Bruno Filardi. Canal principal: dpo@wlabs.com.br. Canais alternativos: privacidade@wlabs.com.br e lgpd@wlabs.com.br.
Onde os dados ficam armazenados: integralmente no Brasil (AWS, região São Paulo). Há transferências internacionais pontuais para serviços globais específicos — listados nesta Política e na página de subprocessadores.
Bases legais usadas: por padrão, execução de contrato (Art. 7º, V da LGPD). Consentimento é exigido apenas em hipóteses específicas (como cookies de marketing). Legítimo interesse é aplicado em casos pontuais, sempre com análise documentada.
IA generativa: usamos modelos da OpenAI (e prospectivamente Anthropic) em funcionalidades específicas. Inputs do cliente não são usados para treinar modelos. Quando o cliente contrata o módulo SDR, há decisão automatizada nos termos do Art. 20 da LGPD — direitos específicos do lead estão descritos na seção 9.
Assinatura eletrônica (WPages): a plataforma opera nos níveis simples e avançada da Lei 14.063/2020. Não oferece assinatura qualificada (ICP-Brasil) no escopo atual.
Retenção: enquanto durar o contrato. Após o encerramento, 30 dias para exportação dos dados, com eliminação progressiva nos backups em até 65 dias.
Seus direitos como titular: você pode acessar, corrigir, eliminar, portar seus dados, entre outros — todos os 9 direitos do Art. 18 da LGPD estão descritos na seção 12. O canal de exercício é dpo@wlabs.com.br.
Mudanças nesta Política: notificadas com 30 dias de antecedência, sem exigir re-aceite formal (mas com aviso destacado).
Esta Política é informativa, cumprindo dever de transparência da LGPD. Documentos contratuais — Termos de Uso, AUP, DPA — vivem separadamente em wlabs.com.br/legal.
1. Quem somos e o que esta Política cobre
1.1. Identificação da WLabs
A WLabs é a empresa responsável pelas plataformas WBudget e WPages, oferecidas em modelo SaaS (Software as a Service — software disponibilizado pela internet mediante assinatura, sem instalação local). Toda referência à “WLabs” nesta Política designa a pessoa jurídica titular desses produtos.
A WLabs opera sob o domínio oficial wlabs.com.br.
1.2. Sobre o que esta Política trata
Esta Política descreve como a WLabs trata dados pessoais — categorias coletadas, finalidades, bases legais, com quem compartilhamos, por quanto tempo retemos, quais são os direitos do titular e como exercê-los.
Esta Política se aplica a:
visitantes do site wlabs.com.br e demais páginas institucionais;
clientes que contratam as plataformas WBudget e WPages (e usuários autorizados desses clientes);
pessoas cujos dados são tratados pelos clientes da WLabs por meio das plataformas — em particular, leads/prospects abordados via WBudget e signatários de documentos enviados pelo WPages;
demais pessoas que interagem com a WLabs pelos canais de atendimento.
1.3. Sobre o que esta Política não trata
Esta Política não é contrato. É documento informativo, cumprindo o dever de transparência previsto no Art. 9º da Lei Geral de Proteção de Dados (Lei 13.709/2018, “LGPD”). Documentos contratuais — Termos de Uso, AUP (Acceptable Use Policy — política de uso aceitável, que define o que pode e o que não pode ser feito com a plataforma), DPA (Data Processing Agreement — adendo de tratamento de dados, contrato específico de proteção de dados entre Controlador e Operador), SLA (Service Level Agreement — acordo de nível de serviço) — vivem em wlabs.com.br/legal e regem a relação contratual entre a WLabs e seus clientes.
Esta Política também não substitui as políticas dos provedores de canais que o cliente conecta às plataformas — WhatsApp (Meta), Instagram (Meta), LinkedIn, Twilio, entre outros —, cuja aceitação é responsabilidade do cliente como controlador desses canais.
1.4. Como esta Política se relaciona com os demais documentos legais
A WLabs adota arquitetura modular de documentos legais. Esta Política é parte do conjunto, mas não é referenciada por aceite formal — você é informado dela, não a “aceita”. Você pode consultar a lista completa de documentos legais, com versões vigentes e histórico, em wlabs.com.br/legal.
Em caso de eventual divergência entre esta Política e documento contratual (Termos de Uso, DPA, contrato bilateral), prevalecem os documentos contratuais para fins de obrigação entre as partes. Esta Política, contudo, permanece como referência factual sobre nossas práticas — inconsistências entre o que aqui está descrito e a prática real devem ser corrigidas atualizando a Política, não ignorando-a.
2. Quem é o Controlador dos seus dados
Esta seção é a mais importante para entender o resto da Política. A LGPD distingue dois papéis:
Controlador (pessoa, física ou jurídica, que decide finalidades e meios do tratamento — Art. 5º, VI, LGPD): é quem “manda” no tratamento.
Operador (pessoa que realiza o tratamento em nome do Controlador — Art. 5º, VII, LGPD): é quem “executa” o tratamento sob instruções do Controlador.
A WLabs ocupa os dois papéis simultaneamente, dependendo de qual dado se fala.
2.1. Quando a WLabs é Controladora
A WLabs é Controladora dos seguintes dados:
Dados cadastrais dos clientes da WLabs — quando você contrata a plataforma como cliente direto da WLabs, somos Controladora do cadastro (nome, CNPJ ou CPF, e-mail, telefone, dados de cobrança, dados do representante legal).
Dados de usuários do cliente — quando o cliente cadastra usuários para operar a plataforma (funcionários, equipe interna), tratamos esses dados cadastrais como Controladora para fins de autenticação e auditoria de acesso.
Dados de pagamento e faturamento — embora o processamento de cartão seja feito pelo gateway (Stripe ou Pagar.me — ver seção 7), os dados de cobrança são tratados como Controladora.
Dados de visitantes do site institucional — incluindo cookies, formulários de contato, downloads de materiais.
Dados de interação de suporte — quando você abre um chamado, envia e-mail ao suporte ou usa o chat institucional.
Dados de comunicações operacionais — e-mails de mudança de produto, notificações de versão, comunicações regulatórias.
Para esses dados, a WLabs decide as finalidades (autenticar acesso, cobrar, atender suporte, comunicar mudanças), define os meios (qual provedor, qual servidor, qual configuração) e responde diretamente pelos direitos do titular previstos no Art. 18 da LGPD.
2.2. Quando a WLabs é Operadora
A WLabs é Operadora dos seguintes dados — ou seja, eles “passam” pela WLabs porque o cliente os insere/processa na plataforma, mas a decisão sobre o que é coletado, com que finalidade, por quanto tempo retido é do cliente WLabs, que atua como Controlador:
Dados de leads e prospects que o cliente cadastra no WBudget — nome, contato, histórico de conversa, qualificação comercial.
Conteúdo das conversas omnichannel que o cliente troca com seus próprios leads, prospects e clientes — WhatsApp, e-mail, Instagram Direct, LinkedIn Messaging, SMS.
Dados de signatários de documentos enviados pelo cliente via WPages — nome, CPF, e-mail, telefone, data de nascimento, IP do dispositivo de assinatura, dados capturados na trilha de auditoria.
Conteúdo de documentos gerados, organizados ou assinados pelo cliente no WPages.
Configurações operacionais do cliente — fluxos, scripts, prompts customizados, regras de automação.
Para esses dados, o cliente WLabs é o Controlador. Isso significa:
O cliente decide quais dados coleta, com que finalidade, por quanto tempo retém.
O cliente é responsável por ter base legal adequada para o tratamento desses dados.
Pedidos de titulares (Art. 18 LGPD) sobre esses dados devem ser direcionados ao cliente. A WLabs auxilia tecnicamente quando o cliente solicita, nos termos do DPA.
O cliente responde perante seus próprios titulares e perante a ANPD (Autoridade Nacional de Proteção de Dados, autarquia federal responsável pela fiscalização da LGPD) pelas decisões que toma como Controlador.
Esse arranjo é formalizado no DPA, documento que rege a proteção de dados na relação entre a WLabs e seus clientes.
2.3. Por que isso importa para você
Se você é cliente direto da WLabs (contratou WBudget ou WPages): a WLabs é Controladora dos seus dados cadastrais. Para esses dados, fale diretamente conosco.
Se você é lead, prospect ou cliente do nosso cliente (ou seja, alguém que está sendo abordado, atendido ou tendo conversa com uma empresa que usa o WBudget): seus dados estão sendo tratados pelo nosso cliente como Controlador, e pela WLabs como Operadora. Para pedidos sobre esses dados, fale com a empresa que está te atendendo. Se você não souber identificar quem é o Controlador, pode nos procurar e iremos auxiliar a direcionar.
Se você é signatário de um documento enviado via WPages: mesma lógica — o Controlador é quem enviou o documento para você assinar.
Se você tem dúvida sobre qual papel se aplica ao seu caso, o canal dpo@wlabs.com.br orienta.
3. Encarregado de Dados (DPO)
A LGPD exige (Art. 41) que o Controlador indique um Encarregado pelo tratamento de dados pessoais — pessoa designada como ponto de contato com titulares e com a ANPD. O termo equivalente no GDPR europeu é DPO (Data Protection Officer), usado popularmente também no Brasil.
Encarregado da WLabs: Bruno Filardi. Caso haja substituição do Encarregado, esta Política e a página de contato serão atualizadas com a nova indicação.
Canais de contato:
Principal: dpo@wlabs.com.br
Alternativos: privacidade@wlabs.com.br e lgpd@wlabs.com.br
Canal institucional não-LGPD (para assuntos comerciais, suporte, dúvidas gerais): contato@wlabs.com.br
Os três canais alternativos chegam ao Encarregado. Use o que preferir.
Atendemos pedidos de titulares (Art. 18 LGPD), dúvidas sobre tratamento de dados, comunicações de autoridades, denúncias de incidentes, e demais matérias de proteção de dados pelos canais acima. Para pedidos em que a WLabs é Operadora e não Controladora, redirecionamos ao Controlador competente (cliente WLabs) e auxiliamos no atendimento, conforme nossa obrigação contratual.
4. Quais dados tratamos
Esta seção lista as categorias de dados pessoais tratados, organizadas por produto e por tipo de titular. Não é exaustiva no nível atômico (não listamos cada campo de banco de dados), mas cobre todas as categorias relevantes para a transparência exigida pelo Art. 9º da LGPD.
4.1. Dados de clientes diretos da WLabs (a WLabs é Controladora)
Coletamos, no momento do cadastro e ao longo da relação contratual:
Identificação: nome ou razão social, CPF ou CNPJ, e-mail corporativo, telefone, dados do representante legal (nome, CPF, cargo).
Endereço: endereço comercial e/ou fiscal.
Dados de cobrança: dados bancários para emissão de cobrança, dados de cartão (processados pelo gateway, não armazenados pela WLabs em forma identificável — tokenização PCI SAQ A, padrão do mercado de pagamentos), histórico de faturas e pagamentos.
Dados de acesso e uso: e-mail e senha (esta última armazenada em forma irreversível, com algoritmo de hash criptográfico), papel/permissão do usuário, registros de login (IP, user-agent — informação técnica enviada pelo navegador identificando navegador, sistema operacional, versão —, data e hora).
Dados de comunicação com a WLabs: histórico de tickets de suporte, conversas no chat institucional, e-mails trocados com nossas equipes (comercial, suporte, financeiro, jurídico).
Dados de uso da plataforma: registros de uso de funcionalidades, métricas de adoção, registros de eventos. Esses dados são usados para faturamento (quando aplicável), suporte e melhoria do produto.
Aceite de Termos: data, hora, IP, user-agent e versão do documento aceito (registro técnico exigido para comprovação do aceite contratual click-wrap — modalidade de aceite digital em que o usuário marca um checkbox aceitando os termos antes de prosseguir).
4.2. Dados que o cliente WLabs insere no WBudget (a WLabs é Operadora)
Quando o cliente usa o WBudget, ele insere e processa dados de leads, prospects e clientes finais (ou seja, as pessoas que o cliente está abordando comercialmente). Categorias típicas:
Identificação do lead/prospect: nome, e-mail, telefone, empresa, cargo, segmento.
Conteúdo das conversas: mensagens enviadas e recebidas pelos canais omnichannel — WhatsApp (modalidade Cloud API oficial da Meta ou modalidade WAHA, uma biblioteca de código aberto que opera como um wrapper — camada de intermediação técnica — sobre o WhatsApp Web), e-mail (via Unipile como agregador ou IMAP/SMTP direto), Instagram Direct, LinkedIn Messaging, SMS via Twilio.
Histórico comercial: registros de qualificação, etapa do funil, agendamentos, propostas enviadas.
Dados gerados por IA: classificações de intenção, extração de dados estruturados, sugestões de resposta, transcrições de áudio (via Whisper da OpenAI). Detalhes na seção 9.
Anexos: documentos, imagens, áudios trocados nas conversas.
Esses dados ficam armazenados na instância do cliente, com isolamento multi-tenant (arquitetura em que múltiplos clientes compartilham a infraestrutura, mas têm seus dados logicamente segregados — no caso da WLabs, por schema dedicado ou por identificador filtrante obrigatório por procedure de banco de dados). Conversas de um cliente nunca são acessíveis por outro.
4.3. Dados que o cliente WLabs insere no WPages (a WLabs é Operadora)
Quando o cliente usa o WPages, especialmente o módulo de assinatura eletrônica, são tratados dados de signatários — pessoas que recebem documentos para assinar. Categorias:
Identificação do signatário: nome, e-mail, telefone, CPF, data de nascimento. Não há cadastro prévio na plataforma — o signatário recebe link único.
Dados de autenticação: código OTP (one-time password — código de uso único enviado por SMS, e-mail ou WhatsApp para confirmar identidade) usado, canal de envio do OTP, eventos de validação.
Trilha de auditoria: data e hora (sincronizadas com NTP — Network Time Protocol, protocolo padrão de sincronização de relógios em rede — da AWS, precisão sub-segundo), IP público do signatário, user-agent completo, papel do signatário no documento, hash criptográfico SHA-512 do binário do documento original (algoritmo padrão NIST FIPS 180-4 — uma “impressão digital” do documento; qualquer alteração de um único bit produz hash diferente, evidenciando adulteração), eventos correlatos (envio de OTP, leitura quando suportada).
Captura visual: imagem da rubrica desenhada em canvas (área de desenho do navegador); quando exigido pelo cliente Controlador, foto de documento e/ou selfie (sem validação biométrica automatizada — a comparação visual, se necessária, é manual pelo Controlador).
Conteúdo do documento assinado e manifesto exportável: PDF único contendo documento + manifesto com hash, dados dos signatários, log cronológico e citação à Medida Provisória nº 2.200-2/2001.
A WLabs não captura geolocalização GPS. A localização aproximada por IP é inferível por terceiros (provedores de geolocalização), mas não é capturada ativamente pela plataforma.
4.4. Dados de visitantes do site wlabs.com.br
Cookies — detalhes na Política de Cookies (wlabs.com.br/cookies); ver seção 15 desta Política para visão sumária.
Dados de formulários de contato e pedidos de demonstração.
Métricas anônimas de navegação via Google Analytics 4 (ver seção 7).
4.5. Dados sensíveis e dados de menores
A WLabs não coleta intencionalmente dados pessoais sensíveis (Art. 5º, II, LGPD — origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico). Funcionalidades das plataformas não são desenhadas para tratar essas categorias.
Eventualmente, o cliente WLabs pode, na qualidade de Controlador, registrar conversas com seus leads/clientes finais em que essas pessoas mencionem espontaneamente dados sensíveis. Nesses casos:
A responsabilidade pela base legal (Art. 11 LGPD) é do cliente como Controlador.
A WLabs trata o dado como Operadora, com o mesmo nível de proteção dos demais dados.
Não há funcionalidade de “extração automatizada de dados sensíveis” — a IA da WLabs trabalha sobre o conteúdo da conversa, mas não foi projetada para identificar e classificar dados sensíveis para fins de uso.
Sobre menores de idade: as plataformas WBudget e WPages são produtos B2B (business-to-business — comércio entre empresas) destinados a uso profissional por adultos. Não permitimos uso direto por menores. Se identificarmos cadastro de menor como usuário, suspendemos a conta e contatamos o cliente para regularização. Quanto ao tratamento de dados de menores que sejam titulares (por exemplo, um lead menor de idade abordado por nosso cliente), a base legal e os cuidados especiais do Art. 14 da LGPD são responsabilidade do cliente como Controlador.
5. Para que tratamos os dados (finalidades)
As finalidades estão organizadas por categoria de tratamento.
5.1. Finalidades em que a WLabs é Controladora
Execução do contrato com o cliente: autenticar o cliente na plataforma, dar acesso aos módulos contratados, processar cobrança, prestar suporte, comunicar mudanças.
Gestão da relação comercial: prospectar potenciais clientes, atender pedidos de demonstração, manter relacionamento pós-venda.
Faturamento e cobrança: emitir faturas, processar pagamentos via gateway, emitir notas fiscais (via NotaZZ).
Suporte ao cliente: atender tickets, resolver incidentes, registrar interações.
Melhoria do produto: analisar métricas anônimas e agregadas de uso para identificar oportunidades de melhoria. Não há análise individualizada do uso de cliente específico para fins de marketing direto sem autorização.
Comunicação institucional: enviar e-mails sobre mudanças de produto, atualizações de Termos, novidades de versão, comunicados de segurança.
Cumprimento de obrigações legais: emissão de notas fiscais, retenção fiscal, atendimento a ordens judiciais, comunicação a autoridades quando exigida.
Defesa de direitos em processos: preservação de registros para defesa em eventual litígio (Art. 7º, VI, LGPD).
Segurança da informação: monitoramento de acessos para identificação de fraude, ataque, uso indevido.
5.2. Finalidades em que a WLabs é Operadora
Quando o cliente WLabs trata dados na plataforma, as finalidades são definidas pelo cliente como Controlador. A WLabs limita-se a executar o tratamento conforme a configuração contratada e os Termos.
Em termos gerais, as finalidades típicas dos clientes incluem:
WBudget: prospecção comercial, gestão de pipeline, atendimento omnichannel, qualificação de leads, geração de propostas, automação comercial.
WPages: gestão documental, geração de documentos, envio para assinatura eletrônica, arquivamento e organização.
Cada cliente é responsável por definir e documentar suas próprias finalidades, conforme exigência da LGPD ao Controlador.
6. Bases legais
Toda atividade de tratamento de dados pessoais exige base legal — fundamento jurídico que autoriza o tratamento (Art. 7º LGPD para dados em geral, Art. 11 para dados sensíveis). A WLabs adota o seguinte regime:
6.1. Bases legais nas finalidades em que a WLabs é Controladora
Execução de contrato (Art. 7º, V, LGPD) — base padrão. Cobre autenticação, prestação dos serviços contratados, cobrança, suporte, comunicações operacionais.
Cumprimento de obrigação legal ou regulatória (Art. 7º, II) — para retenção fiscal, emissão de notas, atendimento a ordens judiciais, comunicações a autoridades.
Exercício regular de direitos (Art. 7º, VI) — para preservação de registros úteis à defesa em eventual litígio.
Legítimo interesse (Art. 7º, IX) — em hipóteses específicas, como prospecção B2B de potenciais clientes a partir de dados profissionais publicamente disponíveis, ou análise de métricas agregadas para melhoria do produto. Quando aplicamos legítimo interesse, conduzimos teste de proporcionalidade (avaliação documentada de necessidade, adequação e equilíbrio com direitos do titular — equivalente ao LIA, Legitimate Interest Assessment, no GDPR) antes de fundamentar a atividade.
Consentimento (Art. 7º, I) — usado em hipóteses estritamente específicas: cookies de marketing/publicidade (ver Política de Cookies), eventual envio de comunicações de marketing direto além do escopo da relação contratual. O consentimento é revogável a qualquer tempo, sem prejuízo da legitimidade do tratamento realizado durante sua vigência.
6.2. Bases legais nas finalidades em que a WLabs é Operadora
Como Operadora, a WLabs não escolhe a base legal — quem escolhe é o cliente como Controlador. O cliente é responsável por ter base legal adequada para tratar os dados que insere na plataforma (dados de leads, signatários, etc.).
Tipicamente, os clientes operam sob:
Execução de contrato (Art. 7º, V) com seu próprio cliente final, quando há relação comercial em curso.
Legítimo interesse (Art. 7º, IX) com teste de proporcionalidade próprio, para prospecção comercial B2B.
Consentimento (Art. 7º, I) em comunicações de marketing direto.
A WLabs não fiscaliza nem audita a base legal do cliente. Se uma autoridade ou titular questiona o tratamento de dados de lead/prospect/cliente final, o cliente como Controlador responde primariamente.
7. Compartilhamento com terceiros e subprocessadores
7.1. Princípio geral
A WLabs não vende dados pessoais. Não compartilha dados com terceiros para finalidade alheia à execução dos serviços contratados, exceto quando legalmente exigida (autoridades, ordens judiciais) ou quando autorizada pelo titular ou pelo Controlador (no caso da WLabs como Operadora).
7.2. Subprocessadores
Para operar as plataformas, a WLabs utiliza subprocessadores — fornecedores que tratam dados pessoais por conta da WLabs, em apoio à operação dos produtos. Subprocessador é diferente de fornecedor administrativo comum (contabilidade, marketing institucional): subprocessador toca o fluxo de dados pessoais do produto.
A lista atualizada de subprocessadores essenciais está publicada em wlabs.com.br/subprocessadores, com:
categoria (infraestrutura, IA, e-mail, etc.);
nome do fornecedor;
país-sede e região de tratamento;
finalidade;
indicação de transferência internacional.
A lista vigente no momento de publicação desta Política inclui, entre outros: Amazon Web Services (AWS), Cloudflare, OpenAI, Anthropic (previsto em roadmap), Meta Platforms (WhatsApp Business Cloud API), Unipile, SendGrid, Twilio, Amazon CloudWatch, Sentry, Google Analytics 4, LiveChat, Stripe, Pagar.me e NotaZZ.
7.3. Notificação de mudança de subprocessadores
Mudanças na lista de subprocessadores essenciais são notificadas com 30 dias de antecedência, por e-mail aos clientes ativos e por atualização da página pública, com identificação da nova versão. O cliente como Controlador pode apresentar objeção fundamentada; mantida a objeção e não havendo solução alternativa, o cliente tem direito de rescindir sem multa (conforme cláusula específica no DPA).
7.4. Outros compartilhamentos
Autoridades públicas e judiciais: compartilhamos dados pessoais quando exigido por lei ou ordem judicial, no estrito limite da requisição.
Reorganização societária: em caso de venda, fusão ou outra operação societária, os dados podem ser transferidos ao sucessor — sempre com observância da LGPD e comunicação aos titulares quando aplicável.
Prestadores administrativos: contadores, advogados externos, auditores, prestadores de marketing institucional podem ter acesso pontual a dados pessoais para execução de seus serviços, sob obrigação contratual de confidencialidade e proteção de dados.
8. Transferência internacional de dados
8.1. Onde os dados ficam armazenados
Os dados em produção e em backup da WLabs ficam integralmente no Brasil:
Aplicação e banco de dados: Amazon Web Services (AWS), região sa-east-1 (São Paulo).
Alta disponibilidade: réplica síncrona Multi-AZ (Multi Availability Zone — múltiplas zonas de disponibilidade) em zona secundária da própria região São Paulo (sa-east-1b).
Snapshots automáticos: armazenados em S3 dentro da mesma região, retenção de 7 a 35 dias conforme o plano.
Backup físico adicional: instalação controlada da WLabs em território brasileiro, isolada da rede pública, com criptografia em repouso e acesso restrito à equipe técnica de liderança. Destinado exclusivamente a recuperação em cenário de catástrofe ampla na infraestrutura cloud.
Em nenhuma das cópias os dados produtivos saem do território brasileiro.
8.2. Transferências internacionais decorrentes de serviços globais específicos
Apesar do armazenamento principal estar no Brasil, algumas funcionalidades exigem integração com serviços globais, o que caracteriza transferência internacional nos termos do Capítulo V da LGPD (Arts. 33–36) e da Resolução CD/ANPD nº 19/2024.
Transferências internacionais ocorrem nas seguintes hipóteses, conforme o módulo/funcionalidade contratado:
| Fornecedor | País de destino | Finalidade |
|---|---|---|
| Cloudflare | Rede global (sede EUA) | Borda da rede, Web Application Firewall, mitigação de DDoS |
| OpenAI | Estados Unidos | IA generativa (módulo SDR, assistente, análise) |
| Anthropic (em roadmap) | Estados Unidos | IA generativa (em adição à OpenAI) |
| Meta (WhatsApp Business Cloud API) | Servidores globais (sede EUA) | Canal WhatsApp na modalidade oficial |
| SendGrid | Estados Unidos | E-mail transacional, OTP |
| Twilio | Estados Unidos | SMS, OTP |
| Stripe | Estados Unidos | Gateway de pagamento (assinaturas) |
| Sentry | Estados Unidos | Captura de erros de aplicação |
| Google Analytics 4 | Estados Unidos | Telemetria web anônima |
| Google Ads | Estados Unidos | Publicidade e remarketing (mediante consentimento) |
| Meta (Meta Pixel) | Estados Unidos | Publicidade e remarketing (mediante consentimento) |
| Unipile | França (União Europeia) | Agregador omnichannel (E-mail, Instagram, LinkedIn) |
| LiveChat | Polônia (União Europeia) | Suporte ao cliente |
8.3. Base de adequação
Cada transferência internacional opera sob hipótese de adequação prevista no Capítulo V da LGPD e na Resolução CD/ANPD nº 19/2024. Conforme o destino e o fornecedor, aplica-se:
Cláusulas-padrão internacionais (modelo aprovado pela ANPD) — base aplicável à maioria das transferências para fornecedores nos Estados Unidos.
Decisão de adequação — para destinos que venham a ser reconhecidos pela ANPD como tendo grau equivalente de proteção (à data desta Política, não há decisão de adequação publicada pela ANPD; este item é mencionado para fins de completude).
Garantias específicas — quando o fornecedor opera sob arcabouço próprio reconhecido (por exemplo, certificações específicas), considerado caso a caso.
As bases de adequação aplicáveis a cada subprocessador estão indicadas no DPA e revisadas periodicamente.
8.4. Como exercer direitos quando há transferência internacional
Mesmo havendo transferência internacional, o titular brasileiro pode exercer todos os direitos do Art. 18 LGPD via WLabs (dpo@wlabs.com.br). A WLabs intermedia com o subprocessador quando necessário.
9. Inteligência artificial e decisões automatizadas
9.1. Onde a WLabs usa IA
As plataformas da WLabs usam inteligência artificial generativa em funcionalidades específicas. Atualmente, o provedor de IA em produção é a OpenAI, com modelos da família GPT e Whisper (transcrição de áudio). Está prevista, em roadmap de curto prazo, a inclusão da Anthropic (modelos Claude) como segundo provedor.
A IA é usada em dois regimes distintos:
(a) IA assistiva (com revisão humana antes do envio)
Sugestões de resposta em conversas — o vendedor edita e aprova antes de enviar.
Resumos automatizados de conversa e identificação de pontos-chave.
Copilot (assistente) que pergunta sobre estratégia, oferece insights.
Análise diagnóstica de pipeline e funil comercial.
Nesses casos, a IA é uma sugestão; a decisão final é humana. Não há aplicação direta do Art. 20 da LGPD, pois não há decisão automatizada com efeito sobre o titular.
(b) Módulo SDR — decisão automatizada (com aplicação direta do Art. 20 LGPD)
O módulo SDR (Sales Development Representative — agente de desenvolvimento comercial), quando habilitado, opera como agente conversacional ativo em WhatsApp, sem intervenção humana entre receber a mensagem do lead e responder. Funções:
Classificação de intenção do lead (rapport, descoberta, proposta de reunião).
Extração de dados do lead para enriquecimento de perfil.
Geração da resposta a ser enviada ao lead.
Auditoria periódica da conversa por mecanismo automatizado (watchdog), que pode escalar para humano ou encerrar a oportunidade como “perdida”.
Este uso caracteriza decisão tomada exclusivamente com base em tratamento automatizado nos termos do Art. 20 da LGPD.
9.2. Direitos do lead no módulo SDR
Quando você (lead/prospect) está sendo atendido por agente automatizado via WhatsApp em razão do uso do módulo SDR pelo cliente WLabs, você tem direito a:
Saber que está conversando com agente automatizado — disclosure proativo no início da interação.
Solicitar interação humana a qualquer momento (handoff — encaminhamento para atendente humano). O agente reconhece a solicitação e encaminha.
Solicitar revisão da decisão automatizada por pessoa natural — por exemplo, em caso de encerramento da oportunidade pelo watchdog.
Ser informado sobre os critérios gerais usados pelo agente — categorias gerais, sem revelar segredo industrial.
Canal de exercício desses direitos:
Diretamente na conversa, pedindo “falar com humano” ou similar — o agente reconhece e encaminha.
Por e-mail: dpo@wlabs.com.br. A WLabs encaminha ao Controlador competente (cliente WLabs que está conduzindo a abordagem).
Importante: o Controlador desses dados é o cliente WLabs que conduz a abordagem por meio do módulo SDR. A WLabs intermedia o atendimento, mas a decisão sobre revisão substantiva é do Controlador, conforme arquitetura da LGPD.
9.3. Não-treinamento de modelos com inputs do cliente
A WLabs adota a configuração padrão da API da OpenAI vigente desde março de 2023, segundo a qual inputs do cliente não são utilizados pela OpenAI para treinamento de modelos. A equipe técnica da WLabs não habilitou mecanismos opcionais que reverteriam essa configuração (como contribuição voluntária de dados).
Em consequência, prompts, contextos, dados de leads ou conteúdo de propostas enviados à API da OpenAI são processados exclusivamente para gerar a resposta da chamada. A OpenAI mantém retenção operacional limitada para fins de monitoramento de abuso (atualmente 30 dias, conforme política pública do fornecedor) — esse prazo é definido e gerido pela OpenAI, não pela WLabs.
A mesma configuração será aplicada à Anthropic quando entrar em produção: opt-out de treinamento por configuração contratada com o provedor.
Esse compromisso de não-treinamento está amarrado à configuração contratada com o provedor de IA. Não constitui promessa absoluta da WLabs sobre práticas internas dos fornecedores, mas reflete a configuração de API que efetivamente utilizamos.
9.4. Limitações conhecidas da IA
A IA generativa pode produzir respostas imprecisas, incorretas ou enviesadas (alucinações, bias). A WLabs adota salvaguardas técnicas (modelos calibrados, prompts estruturados, mecanismos de auditoria), mas não é possível eliminar integralmente o risco. Cabe ao cliente revisar criticamente o output da IA antes de tomar decisões substantivas, especialmente em comunicações comerciais e decisões com efeito sobre terceiros.
10. Assinatura eletrônica via WPages
Esta seção complementa o tratamento de dados de signatários descrito na seção 4.3.
10.1. Níveis de assinatura
O WPages oferece, conforme classificação da Lei 14.063/2020, assinaturas dos níveis simples e avançada. Não oferece assinatura qualificada com certificado digital ICP-Brasil no escopo atual — sua implementação requer projeto aditivo.
A assinatura avançada do WPages é caracterizada por: OTP enviado por canal independente (e-mail, SMS, WhatsApp), verificação de dados pessoais declarados (nome, CPF, data de nascimento), captura visual de rubrica em canvas, hash criptográfico SHA-512 registrado no manifesto, e trilha de auditoria documentando IP, user-agent, data/hora e eventos correlatos.
10.2. Quando o WPages não é adequado
Para hipóteses em que a lei exija assinatura qualificada (ICP-Brasil), o WPages não é adequado. A avaliação dessa adequação é responsabilidade do cliente como proprietário do documento.
10.3. Base legal para o tratamento de dados do signatário
Quando o cliente WLabs envia um documento para assinatura por terceiro (signatário sem cadastro prévio na plataforma), a base legal usual para tratar os dados do signatário é execução de contrato (Art. 7º, V, LGPD) entre o proprietário do documento e o signatário. Outra base legal pode ser aplicável conforme decisão do cliente como Controlador. A WLabs atua exclusivamente como Operadora.
10.4. Validador público
A integridade técnica dos documentos assinados é verificável por validador público disponibilizado pela plataforma, que recalcula o hash SHA-512 do documento e compara com o registrado no manifesto. Qualquer alteração de um único bit produz hash divergente, evidenciando adulteração.
11. Por quanto tempo retemos os dados
11.1. Dados em que a WLabs é Controladora
Dados cadastrais de clientes: enquanto durar o contrato; após o encerramento, mantidos pelo prazo prescricional civil e/ou fiscal aplicável (em geral 5 anos), conforme exigência legal.
Dados fiscais e de cobrança: pelo prazo legal de retenção fiscal — atualmente, em regra, 5 anos.
Registros de aceite contratual (IP, user-agent, timestamp, versão aceita): mantidos pelo prazo prescricional aplicável ao contrato (para fins de prova).
Registros de acesso a aplicações (logs de login): pelo prazo previsto no Marco Civil da Internet (Lei 12.965/2014, Art. 15 — guarda mínima de 6 meses; pode ser estendida quando justificado).
Histórico de suporte e comunicações: pelo prazo necessário ao atendimento e defesa em eventual disputa.
Cookies: prazos específicos descritos na Política de Cookies.
11.2. Dados em que a WLabs é Operadora (inseridos pelo cliente)
Enquanto durar o contrato com a WLabs, sem expiração automática. Não há rotina periódica de purga de conversas, documentos ou leads — o tempo de retenção é decisão do cliente como Controlador, conforme sua finalidade e prazo prescricional aplicável.
Após o encerramento do contrato com a WLabs:
30 dias corridos para que o cliente solicite exportação final dos dados em formato estruturado (Excel/CSV). Recomenda-se ao cliente solicitar exportação antes do encerramento, especialmente quando se trata de documentos com valor probatório duradouro (típicos do WPages).
Até 35 dias adicionais em snapshots de backup, com expiração natural conforme janela de retenção configurada (entre 7 e 35 dias).
Eliminação definitiva em até 65 dias após o encerramento (30 corridos + até 35 em backup).
Esses prazos aplicam-se também ao backup físico interno da WLabs.
11.3. Documentos assinados via WPages — atenção especial
Documentos assinados frequentemente têm valor probatório por mais de 5 anos (prazo prescricional civil ordinário). A WLabs recomenda fortemente que o cliente exporte e arquive os documentos assinados, com seus respectivos manifestos, antes do encerramento do contrato — a retenção pós-cancelamento segue a política geral (30 + 35 dias), sem regime especial.
11.4. Exclusão antecipada por solicitação do titular
Pedidos de eliminação de dados específicos de titulares (Art. 18, VI, LGPD) podem ser executados antes do prazo padrão, mediante solicitação autenticada do cliente WLabs como Controlador, observadas as obrigações legais de retenção (prazo prescricional civil, retenção fiscal, ordem judicial).
12. Seus direitos como titular
A LGPD (Art. 18) garante a você, titular de dados pessoais, os seguintes direitos:
Confirmação da existência de tratamento — você pode pedir confirmação de que tratamos seus dados.
Acesso aos dados — você pode solicitar cópia dos seus dados pessoais que tratamos.
Correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa.
Eliminação dos dados tratados com base no seu consentimento, ressalvadas as hipóteses de conservação legal.
Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, quando aplicável.
Revogação do consentimento, nos casos em que ele foi a base do tratamento.
Adicionalmente, no caso de tratamento automatizado com efeito sobre você (módulo SDR), você pode solicitar revisão da decisão por pessoa natural (Art. 20 LGPD) — ver seção 9.
12.1. Como exercer seus direitos
Canal principal: dpo@wlabs.com.br
Canais alternativos: privacidade@wlabs.com.br e lgpd@wlabs.com.br
Atendemos pedidos em prazo razoável e em conformidade com a LGPD. Podemos pedir confirmação de identidade antes de atender, para evitar fornecimento indevido de dados a terceiros.
Se você é titular cujos dados são tratados pela WLabs como Operadora (lead/prospect/cliente final de um cliente nosso, signatário de documento), o atendimento substantivo é responsabilidade do Controlador (cliente WLabs que está tratando seus dados). Encaminhamos seu pedido ao Controlador competente e auxiliamos tecnicamente. Se você não souber identificar o Controlador, podemos ajudar.
12.2. Direito de reclamar à ANPD
Você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) quando entender que houve violação dos seus direitos, pelos canais oficiais disponíveis em seu site.
13. Segurança da informação
A WLabs adota medidas de segurança para proteger os dados pessoais que trata, em conformidade com o Art. 46 e seguintes da LGPD. As principais medidas técnicas estão descritas abaixo.
13.1. Medidas técnicas
Criptografia em trânsito: TLS 1.2+ (Transport Layer Security — protocolo padrão de criptografia para comunicação na internet, sucessor do SSL) em todas as comunicações da plataforma.
Criptografia em repouso: dados armazenados em banco gerenciado, bucket de objetos e backup físico, todos com criptografia em repouso (algoritmo padrão de mercado).
Isolamento multi-tenant: arquitetura que garante que dados de um cliente nunca sejam acessíveis por outro, por schema dedicado ou identificador filtrante obrigatório por procedure de banco.
Controle de acesso: autenticação multifator para acessos administrativos; perfis por princípio do menor privilégio; trilha de auditoria de acessos administrativos.
Tokenização de dados de cartão: processamento de pagamentos 100% no gateway, sem armazenamento de dados de cartão pela WLabs (PCI SAQ A — Payment Card Industry, Self-Assessment Questionnaire A, modalidade aplicável a estabelecimentos que terceirizam integralmente o processamento de cartões).
Monitoramento e captura de erros: Amazon CloudWatch (métricas e logs operacionais), Sentry (erros de aplicação).
Redundância: alta disponibilidade Multi-AZ + snapshots automáticos + backup físico isolado.
13.2. Limites de divulgação
Esta Política descreve a postura geral de segurança. Detalhes operacionais específicos não são divulgados publicamente, em respeito ao princípio de não fornecer informação que sirva a atacantes. Clientes enterprise sob NDA (Non-Disclosure Agreement — acordo de confidencialidade) podem receber descrição mais detalhada sob demanda.
13.3. Confidencialidade do pessoal autorizado
O pessoal da WLabs com acesso autorizado a dados pessoais — incluindo colaboradores e prestadores de serviço — está submetido a obrigação contratual de confidencialidade, formalizada em termo de sigilo específico. A obrigação subsiste após o término do vínculo da pessoa com a WLabs, pelo prazo necessário à proteção dos dados pessoais e em conformidade com a lei.
14. Incidentes de segurança
A WLabs mantém Plano de Resposta a Incidentes interno e dedicado, alinhado ao Art. 48 da LGPD e à Resolução CD/ANPD nº 15/2024.
Em caso de incidente de segurança envolvendo dados pessoais, a WLabs:
Comunica o cliente (quando a WLabs é Operadora) em prazo razoável após a confirmação do incidente, com conteúdo mínimo previsto na Resolução ANPD 15/2024: natureza dos dados afetados, número estimado de titulares, possíveis consequências, medidas adotadas para mitigação.
Comunica a ANPD e os titulares (quando a WLabs é Controladora) nos termos da regulação.
Coopera com o Controlador no atendimento aos titulares e às autoridades.
Documenta o incidente e adota medidas corretivas estruturais.
Vulnerabilidades de segurança podem ser reportadas a dpo@wlabs.com.br.
15. Cookies e tecnologias similares
O site wlabs.com.br e as plataformas WBudget e WPages utilizam cookies e tecnologias similares (pixels, web beacons, armazenamento local do navegador) para:
Funcionamento essencial da plataforma (autenticação, preferências, segurança).
Métricas analíticas e de uso (Google Analytics 4 — métricas anônimas e agregadas).
Marketing e remarketing — por meio do Meta Pixel (Meta) e do Google Ads (Google), mediante consentimento.
O detalhamento dos cookies utilizados, sua finalidade, prazo de retenção e categoria (essencial / analítico / funcional / marketing) está descrito na Política de Cookies específica, publicada em wlabs.com.br/cookies.
Para cookies não essenciais (analítico, funcional e de marketing), o consentimento é obtido por meio de banner de cookies no primeiro acesso, com possibilidade de gestão granular das categorias. Recusar cookies não essenciais não impede o uso do site.
Os provedores de análise e de publicidade (Google e Meta) podem tratar os dados coletados por esses cookies também para finalidades próprias, na condição de controladores desses tratamentos; recomendamos consultar as políticas de privacidade desses provedores. Essas ferramentas estão sediadas nos Estados Unidos, o que implica transferência internacional, conforme a seção 8.
16. Clientes localizados fora do Brasil
A WLabs atende clientes em alguns países da América Latina — atualmente Argentina, Colômbia e México. Para esses clientes:
Norma primária aplicável: a Lei Geral de Proteção de Dados brasileira (Lei 13.709/2018), por se tratar de tratamento conduzido por empresa estabelecida no Brasil, com dados armazenados em território nacional, em prestação de serviço para cliente estrangeiro que se enquadra em hipótese de aplicação extraterritorial da LGPD (Art. 3º).
Aplicação supletiva das normas locais: a legislação de proteção de dados do país de estabelecimento do cliente (Argentina — Ley 25.326; Colômbia — Ley 1581 de 2012; México — LFPDPPP). Quando houver conflito entre LGPD e norma local, prevalece a LGPD como norma primária, ressalvada a aplicação obrigatória de norma local conforme o caso, sem prejuízo da cooperação da WLabs com o cliente como Controlador.
Atendimento a titulares: dirigido ao Controlador competente (cliente WLabs), com auxílio da WLabs como Operadora.
A WLabs não atende atualmente clientes estabelecidos na União Europeia, Estados Unidos ou Reino Unido. Caso essa configuração mude no futuro, esta Política será revisada para tratar do GDPR (General Data Protection Regulation, regulação europeia de proteção de dados), CCPA/CPRA (California Consumer Privacy Act e sua emenda) ou Data Protection Act britânica, conforme aplicável.
17. Mudanças nesta Política
Esta Política pode ser atualizada a qualquer tempo. Os critérios:
Mudanças materiais: notificadas com 30 dias de antecedência (ou em prazo menor quando a mudança decorrer de exigência legal ou regulatória), por e-mail aos clientes ativos e por aviso destacado na primeira sessão do usuário após a vigência. Não há re-aceite formal (porque a Política é informativa, não contratual), mas o aviso é destacado.
Mudanças formais ou de correção (atualização de subprocessadores listados, correção de redação, atualização de endereço): refletidas na próxima versão sem necessidade de pré-aviso de 30 dias, com indicação clara no histórico.
17.1. Versionamento e histórico
A WLabs adota versionamento no formato ANO.SEQUENCIAL (ex.: 2026.01). Cada versão tem data de vigência registrada. O histórico completo está disponível na página índice wlabs.com.br/legal, com possibilidade de consulta a versões anteriores.
A versão vigente desta Política está indicada no topo deste documento.
18. Documentos legais relacionados
Esta Política integra o conjunto de documentos legais da WLabs, hospedados em wlabs.com.br/legal:
Termos de Uso Gerais — wlabs.com.br/termos
Termos específicos do WBudget — wlabs.com.br/termos/wbudget
Termos específicos do WPages — wlabs.com.br/termos/wpages
DPA — Adendo de Tratamento de Dados — wlabs.com.br/dpa
AUP — Política de Uso Aceitável — wlabs.com.br/uso-aceitavel
Política de IA — wlabs.com.br/ia
Lista de Subprocessadores — wlabs.com.br/subprocessadores
Política de Cookies — wlabs.com.br/cookies
Política de Segurança da Informação — wlabs.com.br/seguranca
Para fins de hierarquia em caso de conflito entre documentos, prevalece a ordem definida no DPA e nos Termos contratuais.
19. Contato
Encarregado de Dados (DPO): Bruno Filardi
Canal principal: dpo@wlabs.com.br
Canais alternativos LGPD: privacidade@wlabs.com.br · lgpd@wlabs.com.br
Canal institucional não-LGPD: contato@wlabs.com.br
Domínio oficial: wlabs.com.br.
Política de Privacidade da WLabs — Versão 2026.03 — Vigência: a definir.