Política de Privacidade
Explicamos de forma clara e transparente como coletamos, usamos e protegemos seus dados pessoais em conformidade com a Lei Geral de Proteção de Dados.
Controlador dos Dados
A Avanter Aliado Tecnológico Ltda. ("Avanter", "nós" ou "nossa empresa") é a controladora dos dados pessoais tratados por meio da plataforma Avanter Voki ("Plataforma"). Somos responsáveis por definir as finalidades e os meios do tratamento de dados realizado neste serviço.
Razão Social: Avanter Aliado Tecnológico Ltda.
CNPJ: 26.124.734/0001-76
Endereço: São Paulo — SP, Brasil
E-mail: privacidade@avanter.com.br
Site: voki.avanter.com.br
A Plataforma opera em modelo multi-tenant: nossos clientes corporativos ("Tenants") são também controladores de dados de seus próprios usuários e clientes finais. Nesse contexto, a Avanter atua como operadora de dados em nome dos Tenants, e como controladora dos dados de cadastro, faturamento e uso da própria plataforma.
Dados Coletados
Coletamos diferentes categorias de dados dependendo de sua relação com a Plataforma (usuário corporativo, atendente, cliente final ou visitante).
| Categoria | Dados Coletados | Quem Fornece |
|---|---|---|
| Cadastro e Conta | Nome completo, e-mail, telefone, CPF ou CNPJ, razão social, senha (hash bcrypt), foto de perfil | Usuário / Empresa |
| Videochamadas | Áudio e vídeo durante a chamada (WebRTC), metadados (horário, duração, departamento, participantes) | Participantes da Chamada |
| Gravações | Arquivo de vídeo/áudio gravado, hash de integridade SHA-256, timestamp certificado, consentimento registrado | Gerado pela Plataforma |
| Transcrições e Resumos | Texto transcrito da chamada (via IA), resumo automático gerado por LLM, idioma detectado | Gerado pela Plataforma (IA) |
| Clientes Finais | Nome, e-mail, telefone, CPF/CNPJ, histórico de atendimento, avaliações, anotações do atendente | Tenant / Cliente Final |
| Faturamento | Dados de cobrança (processados pelo Asaas), histórico de pagamentos, plano contratado, uso mensal | Empresa (Tenant) |
| KYC / Biometria | Foto de documento, selfie para reconhecimento facial (liveness check, face match), apenas quando solicitado | Cliente Final (opcional) |
| Uso e Técnicos | Endereço IP, logs de acesso, tipo de navegador, sistema operacional, tempo de sessão, métricas de chamada | Automático (servidor) |
Dados Sensíveis: Imagens biométricas (selfie e documento) são dados pessoais sensíveis nos termos do Art. 5º, II da LGPD. Seu tratamento ocorre exclusivamente mediante consentimento explícito e específico do titular, somente nos fluxos de verificação KYC habilitados pelo Tenant.
Finalidade e Base Legal do Tratamento
Todo tratamento de dados pessoais na Plataforma possui finalidade determinada e base legal explícita conforme os Arts. 7º e 11 da LGPD.
| Finalidade | Base Legal (LGPD) | Artigo |
|---|---|---|
| Prestação do serviço de videoatendimento (criação de conta, acesso à plataforma, realização de chamadas) | Execução de Contrato | Art. 7º, V |
| Gravação de chamadas (quando política de gravação está habilitada pelo Tenant) | Art. 7º, I | |
| Transcrição e resumo automático por IA | Art. 7º, I | |
| Verificação de identidade KYC (biometria, reconhecimento facial) | Art. 11, I | |
| Faturamento, cobrança e controle financeiro | Execução de Contrato | Art. 7º, V |
| Segurança, prevenção a fraudes, proteção de direitos e auditoria | Legítimo Interesse | Art. 7º, IX |
| Cumprimento de obrigações legais e regulatórias | Obrigação Legal | Art. 7º, II |
| Comunicações transacionais (e-mail de confirmação, redefinição de senha, alertas do sistema) | Execução de Contrato | Art. 7º, V |
| Análise de uso, melhoria da plataforma e estatísticas agregadas (dados anonimizados) | Legítimo Interesse | Art. 7º, IX |
O consentimento para gravação e transcrição é colhido explicitamente antes do início de cada sessão. O titular pode revogar seu consentimento a qualquer momento, sem prejuízo ao tratamento realizado anteriormente (Art. 8º, §5º, LGPD). A recusa ao consentimento não impede o acesso ao serviço principal de videoatendimento.
Retenção e Exclusão de Dados
Os dados são mantidos apenas pelo tempo necessário para cumprir as finalidades declaradas ou obrigações legais. Abaixo os prazos por categoria:
| Tipo de Dado | Período de Retenção | Justificativa |
|---|---|---|
| Dados de conta (cadastro de usuário) | Enquanto a conta estiver ativa + 5 anos após encerramento | Obrigação legal tributária e contábil (Lei 9.613/98, Código Civil) |
| Gravações de chamadas | Conforme plano contratado (30 dias a 12 meses) ou configuração do Tenant | Conforme contrato com Tenant e consentimento do titular |
| Transcrições e resumos de IA | Mesmo prazo da gravação associada | Vinculado ao ciclo de vida da gravação correspondente |
| Logs de acesso e auditoria | 6 meses (operacional) + 5 anos (auditoria) | Marco Civil da Internet (Lei 12.965/2014), Art. 15 |
| Dados de faturamento e pagamentos | 5 anos após a transação | Código Tributário Nacional, legislação fiscal |
| Dados KYC (biometria e documentos) | Até 90 dias após a verificação, salvo obrigação legal específica | Minimização de dados — Art. 6º, III, LGPD |
| Cookies e dados de sessão | Sessão do navegador (sessão) ou até 12 meses (preferências) | Necessidade técnica de funcionamento da plataforma |
| Dados de clientes finais | Conforme definido pelo Tenant (controlador de dados do cliente) | Avanter atua como operadora; Tenant define a retenção |
Após o vencimento do prazo de retenção, os dados são deletados de forma segura (sobrescrita ou destruição certificada) ou anonimizados de forma irreversível. Backups são expurgados no prazo de 30 dias após a exclusão lógica.
Seus Direitos como Titular de Dados
O Art. 18 da LGPD garante ao titular uma série de direitos sobre seus dados pessoais. A Avanter se compromete a atender todas as solicitações no prazo de até 15 dias úteis.
Acesso
Obter confirmação sobre o tratamento e acessar seus dados pessoais que mantemos. (Art. 18, I e II)
Correção
Solicitar a correção de dados incompletos, inexatos ou desatualizados. (Art. 18, III)
Eliminação
Solicitar a eliminação de dados desnecessários, excessivos ou tratados sem base legal adequada. (Art. 18, VI)
Portabilidade
Requerer a portabilidade dos dados a outro fornecedor de serviço ou produto, em formato interoperável. (Art. 18, V)
Revogação do Consentimento
Revogar a qualquer momento o consentimento dado para gravação, transcrição ou KYC, sem prejuízo de tratamentos já realizados. (Art. 18, IX)
Anonimização ou Bloqueio
Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD. (Art. 18, IV)
Informação sobre Compartilhamento
Obter informações sobre entidades públicas e privadas com as quais realizamos o compartilhamento de dados. (Art. 18, VII)
Oposição
Opor-se ao tratamento de dados quando não realizado em conformidade com a lei, inclusive quando baseado em legítimo interesse. (Art. 18, §2º)
Para exercer qualquer um desses direitos, envie solicitação por e-mail para privacidade@avanter.com.br com seu nome completo, CPF (para verificação de identidade) e a descrição detalhada do direito que deseja exercer. Atenderemos no prazo máximo de 15 dias úteis. Em casos de negativa, forneceremos justificativa fundamentada.
Compartilhamento com Terceiros (Sub-Processadores)
Compartilhamos dados pessoais apenas com operadores e terceiros que possuem base legal adequada, mediante instrumentos contratuais específicos (Data Processing Agreements — DPA). Não comercializamos dados pessoais.
Hospedagem da infraestrutura principal (GKE Autopilot, Cloud SQL PostgreSQL, Memorystore Redis) na região southamerica-east1 (São Paulo). DPA disponível em cloud.google.com/terms/data-processing-terms. Certificações: ISO 27001, SOC 2 Type II.
Áudios de chamadas são enviados à API Whisper da OpenAI exclusivamente para transcrição, apenas quando habilitado pelo Tenant e com consentimento do titular. Textos são enviados ao GPT-4o mini para geração de resumos. A OpenAI não utiliza dados da API para treinamento de modelos. DPA disponível em openai.com/policies/data-processing-addendum.
Plataforma brasileira de cobrança e gestão financeira (CNPJ: 27.682.112/0001-10). Dados de faturamento são transmitidos via HTTPS com TLS 1.3. A Asaas é certificada PCI DSS e regulada pelo Banco Central do Brasil como Instituição de Pagamento. Os dados de cartão nunca trafegam pelos nossos servidores.
Utilizado para envio de e-mails transacionais (confirmação de cadastro, redefinição de senha, alertas do sistema). Apenas nome e endereço de e-mail são compartilhados. DPA disponível em twilio.com/legal/data-protection-addendum.
Utilizado exclusivamente quando o Tenant habilita o módulo KYC e o cliente final dá consentimento explícito. Processa imagens biométricas para liveness check, face match e documentoscopia. Os dados são enviados com criptografia TLS e não são retidos além do processamento da análise.
Armazenamento de arquivos de gravação de chamadas em nuvem com compatibilidade S3. Os arquivos são armazenados criptografados com AES-256. Backblaze possui DPA disponível e é certificada SOC 2 Type II.
Não compartilhamos dados pessoais com fins publicitários, não vendemos dados e não realizamos profiling para fins de marketing sem consentimento explícito. Podemos compartilhar dados quando exigido por lei, ordem judicial ou autoridade regulatória competente.
Transferência Internacional de Dados
Alguns de nossos sub-processadores operam em território estrangeiro, o que implica transferência internacional de dados conforme os Arts. 33 a 36 da LGPD e a Resolução CD/ANPD nº 19/2024, que regulamenta as transferências internacionais de dados pessoais e estabelece as Cláusulas Contratuais Padrão da ANPD como mecanismo de salvaguarda (em vigor desde agosto de 2025). A Avanter adota as seguintes salvaguardas para garantir a proteção adequada dos dados transferidos:
OpenAI (EUA): transferência amparada por Cláusulas Contratuais Padrão nos termos da Resolução CD/ANPD nº 19/2024 e Data Processing Addendum específico. A OpenAI detém certificações SOC 2 Type II e ISO 27001.
SendGrid / Twilio (EUA): transferência amparada por DPA com Cláusulas Contratuais Padrão conforme exigido pela Resolução CD/ANPD nº 19/2024. Certificação ISO 27001 e SOC 2 Type II.
Backblaze B2 (EUA): dados de gravação transferidos com criptografia ponta-a-ponta AES-256. DPA com Cláusulas Contratuais Padrão da ANPD e certificação SOC 2 Type II.
A infraestrutura principal (GCP) permanece na região de São Paulo (southamerica-east1), minimizando transferências internacionais. A Avanter monitora continuamente as regulamentações de transferência internacional emitidas pela ANPD — incluindo a Agenda Regulatória 2025-2026 (Resolução CD/ANPD nº 31/2025) — e atualiza suas práticas conforme necessário.
Base regulatória: Além dos Arts. 33–36 da LGPD, a Resolução CD/ANPD nº 4/2023 (Regulamento de Dosimetria e Aplicação de Sanções Administrativas) estabelece os critérios de fiscalização e penalidades aplicáveis ao tratamento irregular de dados, incluindo transferências internacionais em desconformidade.
Medidas de Segurança
Implementamos medidas técnicas e organizacionais adequadas ao risco do tratamento, conforme o Art. 46 da LGPD e as boas práticas de segurança da informação:
TLS 1.3 em todas as comunicações; AES-256 para gravações em repouso; SRTP para fluxos de mídia WebRTC; senhas armazenadas com bcrypt (fator 12); tokens JWT com rotação automática e revogação por versão.
Modelo RBAC (Role-Based Access Control) com 5 níveis de permissão (owner, manager, supervisor, attendant, vendor_admin); isolamento de dados por schema PostgreSQL por tenant; autenticação multifator (MFA) disponível; sessões JWT com expiração configurável.
Logs de auditoria completos de todas as ações relevantes; rate limiting em endpoints críticos (15 tentativas/minuto para autenticação); detecção de anomalias; monitoramento 24/7 com alertas automáticos.
Isolamento de rede (VPC privada, sem exposição direta do banco de dados à internet); Redis sem porta exposta externamente; limites de memória e CPU nos containers (app: 4GB, limite de requisições configurado); cabeçalhos de segurança HTTP (HSTS, X-Frame-Options, CSP).
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados no prazo estabelecido pelo Art. 48 da LGPD (em prazo razoável e compatível com regulamentação da ANPD), fornecendo informações sobre a natureza dos dados, os titulares afetados, as medidas adotadas e os riscos relacionados.
Proteção de Menores de Idade
A Plataforma Avanter Voki é destinada exclusivamente a pessoas jurídicas e profissionais maiores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes (menores de 18 anos) sem consentimento dos pais ou responsáveis legais.
Caso um Tenant necessite atender clientes menores de idade (por exemplo, serviços educacionais ou de saúde), o Tenant é responsável por obter o consentimento dos responsáveis legais e informar a Avanter para que medidas adicionais de proteção sejam aplicadas, conforme o Art. 14 da LGPD e a Lei 14.836/2024 (Marco Legal da Proteção Digital de Crianças e Adolescentes — "ECA Digital"), que reforça as obrigações de segurança e privacidade no ambiente digital para menores.
Se identificarmos que coletamos dados de menores de 18 anos sem o devido consentimento, procederemos à eliminação imediata desses dados.
Alterações desta Política
Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças nas nossas práticas de tratamento de dados, novas funcionalidades da Plataforma, alterações legais ou regulatórias, ou melhorias na transparência das informações.
Quando realizarmos alterações materiais (que afetem significativamente o tratamento de dados ou os direitos dos titulares), notificaremos os usuários por e-mail com no mínimo 15 dias de antecedência e atualizaremos a data de revisão nesta página. Alterações não materiais (correções ortográficas, reorganização de seções) entram em vigor imediatamente.
O uso contínuo da Plataforma após a data de entrada em vigor das alterações constituirá aceitação das novas condições. Recomendamos verificar esta página periodicamente.
Histórico de versões: v1.0 (jan/2025 — versão inicial), v2.0 (mar/2026 — adição das seções de KYC, Backblaze B2, Salesforce CRM, informações sobre GKE/GCP, atualização dos prazos de retenção e expansão das salvaguardas de transferência internacional), v3.0 (mar/2026 — adequação à Resolução CD/ANPD nº 19/2024 sobre transferências internacionais e Cláusulas Contratuais Padrão, referência à Resolução CD/ANPD nº 4/2023 sobre dosimetria de sanções, citação da Lei 14.836/2024 — ECA Digital — na proteção de menores, referência à Agenda Regulatória ANPD 2025-2026).
Contato e Encarregado de Dados (DPO)
Nos termos do Art. 41 da LGPD, a Avanter indica um Encarregado pelo Tratamento de Dados Pessoais (DPO — Data Protection Officer) como canal de comunicação entre a empresa, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Nome: Equipe de Privacidade — Avanter
E-mail: privacidade@avanter.com.br
Prazo de Resposta: Até 15 dias úteis
Exercer seus Direitos ou Tirar Dúvidas
Entre em contato com nossa equipe de privacidade para exercer qualquer direito previsto na LGPD, reportar incidentes ou solicitar informações adicionais sobre o tratamento de seus dados.