Como tratamos seus dados pessoais

1. Introdução

A Hybria é uma plataforma SaaS de Revenue Automation que oferece CRM, Inbox de atendimento e o módulo Cérebro para gestão do conhecimento de vendas. Este documento descreve como coletamos, usamos, armazenamos e protegemos os dados pessoais de quem utiliza nossa plataforma, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018, "LGPD") e com as políticas do Google API Services.

A controladora dos dados pessoais tratados é Arduus Tech LTDA, inscrita no CNPJ sob o nº 59.279.835/0001-75, doravante referida como "Hybria", "nós" ou "plataforma".

2. Definições

Titular

Pessoa natural a quem se referem os dados pessoais.

Controlador

Pessoa a quem competem as decisões sobre o tratamento dos dados pessoais. Para os dados aqui descritos, o controlador é a Hybria.

Operador

Pessoa que realiza o tratamento de dados pessoais em nome do controlador.

Dados pessoais

Informação relacionada a pessoa natural identificada ou identificável.

Anonimização

Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

3. Quais dados coletamos

3.1 Dados que você fornece

No cadastro e durante o uso da plataforma você pode nos fornecer:

• Nome completo
• Endereço de email
• Senha — armazenada apenas em formato de hash criptográfico (bcryptjs); nunca temos acesso à senha em texto puro
• Telefone (quando aplicável)
• Conteúdo que você produz na plataforma (notas em leads, mensagens em conversas, documentos no Cérebro)

3.2 Dados via OAuth do Google

Ao conectar sua conta Google à Hybria, solicitamos os seguintes escopos:

• Não-sensíveis: openid e https://www.googleapis.com/auth/userinfo.email — vinculam sua identidade Google ao seu cadastro na Hybria e recuperam o endereço de email principal da sua conta Google.
• Sensível: https://www.googleapis.com/auth/calendar — permite leitura, criação, edição e exclusão de eventos no Google Calendar. Finalidade: integrar a agenda do operador às automações da plataforma, permitindo que o Hybria crie, atualize e remova eventos de follow-up com leads diretamente no calendário pessoal. Escopos mais restritos não são suficientes porque a automação precisa gerenciar eventos em nome do usuário, não apenas lê-los.

Atualmente, o fluxo OAuth do Google é utilizado exclusivamente para a integração com o Google Calendar descrita acima. Em versões futuras, planejamos oferecer também autenticação na plataforma via Google — quando isso ocorrer, esta política será atualizada antes da entrada em produção e poderá incluir o escopo adicional profile (nome e foto pública).

Você pode revogar o acesso da Hybria à sua conta Google a qualquer momento em myaccount.google.com/permissions. Após a revogação, descartamos os tokens armazenados e cessamos o acesso na próxima requisição.

3.3 Dados gerados pelo uso

• Logs de acesso e eventos de auditoria (registramos ações sensíveis como exportações, alterações de configuração e gestão de usuários para fins de segurança e conformidade)
• Endereço IP do cliente — coletado para rate-limiting anti-enumeração nas rotas de autenticação e para auditoria forense em caso de incidentes
• User-agent do navegador (para diagnóstico técnico)
• Carimbos de data e hora de eventos relevantes

3.4 Cookies e armazenamento local

• Cookies HTTP-only de sessão (gerenciados por next-auth) — necessários para manter você autenticado entre requisições. Sem eles, a plataforma não funciona; não há opt-out viável.
• localStorage com a chave theme — guarda sua preferência de tema claro/escuro. Não-essencial; você pode removê-la a qualquer momento pelas ferramentas do navegador.
• Não utilizamos cookies de terceiros, ferramentas de analytics ou rastreadores de marketing (sem Google Analytics, Meta Pixel, Mixpanel, PostHog, Hotjar ou similares).

4. Bases legais para o tratamento

Tratamos seus dados pessoais com fundamento nas seguintes bases legais (LGPD art. 7º):

• Execução de contrato — para prestar o serviço que você contratou e operar funcionalidades essenciais
• Consentimento — especialmente para o acesso a escopos sensíveis do Google, comunicações opcionais e cookies não-essenciais
• Legítimo interesse — para segurança da plataforma, prevenção de fraude, auditoria e melhoria do produto
• Cumprimento de obrigação legal — para atender a exigências fiscais, tributárias e regulatórias

5. Como usamos seus dados

• Autenticar e identificar usuários
• Operar o CRM: gerir leads, conversas, automações e relatórios
• Prestar suporte técnico e responder a solicitações
• Garantir a segurança da plataforma (auditoria, rate-limit, detecção de uso indevido)
• Aprimorar funcionalidades a partir de dados agregados

Não usamos seus dados para treinar modelos de IA de terceiros nem para exibir anúncios. Não os comercializamos.

6. Google API Services — Limited Use

7. Compartilhamento com operadores e terceiros

Para operar a plataforma, contratamos provedores de infraestrutura que atuam como operadores nos termos do art. 39 da LGPD:

• Google — autenticação OAuth e APIs solicitadas conforme §3.2 (servidores nos EUA)
• Vercel — hospedagem e edge da aplicação web (infraestrutura global)
• MongoDB Atlas — banco de dados, região sa-east-1 (São Paulo)

Recuperação de senha: a Hybria atualmente não utiliza provedor de email transacional. Solicitações de redefinição de senha são mediadas por administradores do tenant, que compartilham credenciais temporárias por canal seguro acordado com o usuário.

Inteligência artificial: nesta data de vigência, nenhum provedor externo de modelos de linguagem é acionado pela plataforma. Caso passemos a integrar serviços de IA de terceiros, esta política será atualizada antes da entrada em produção.

Integrações ativadas pelo cliente: alguns recursos da plataforma só tratam dados pessoais quando o tenant ativa explicitamente a integração através de um administrador. Atualmente:

• WhatsApp Business (Evolution API) — quando configurada por um administrador do tenant, processa as mensagens trocadas entre o tenant e seus leads/contatos pelo canal WhatsApp.
• Hybria Engine — serviço de orquestração de cadências e métricas operado pela Arduus Tech LTDA. Processa metadados de leads e estado de pipeline para automações; cada tenant é isolado por chave secreta própria.

Não vendemos seus dados. Compartilhamentos com terceiros ocorrem apenas com operadores acima ou em cumprimento de ordem legal.

8. Transferência internacional

Parte da nossa infraestrutura está localizada fora do Brasil (principalmente EUA e União Europeia). A transferência internacional de dados ocorre nos termos do art. 33 da LGPD, com base em cláusulas contratuais padrão dos provedores e/ou no consentimento do titular, quando aplicável.

9. Retenção e exclusão

• Dados de conta: mantidos enquanto sua conta estiver ativa
• Após encerramento da conta: mantidos por até 5 anos para cumprimento de obrigações legais e fiscais (LGPD art. 16, II)
• Logs de auditoria: retidos por 12 meses
• Dados Google: mantidos enquanto a autorização OAuth estiver ativa. Ao revogar o acesso (em myaccount.google.com/permissions ou pela própria plataforma), descartamos os tokens armazenados e excluímos, no prazo máximo de 30 dias, qualquer cópia local de dados sincronizados do Google Calendar (eventos, metadados, identificadores), salvo quando obrigação legal exigir retenção específica.

10. Segurança

Adotamos medidas técnicas e organizacionais incluindo:

• Comunicação criptografada em trânsito (TLS 1.2+)
• Criptografia em repouso no banco de dados (provida pelo MongoDB Atlas)
• Hashing de senhas com bcryptjs (salt único por usuário, custo configurável)
• Controle de acesso por papel (RBAC)
• Registro de auditoria das ações sensíveis
• Rate-limit anti-enumeração nas rotas de autenticação
• Isolamento entre tenants ao nível de banco de dados

Apesar das medidas adotadas, nenhum sistema é integralmente imune. Mantemos um plano de resposta a incidentes; em caso de incidente que importe risco ou dano relevante aos titulares, comunicaremos o(s) titular(es) afetado(s) e a Autoridade Nacional de Proteção de Dados em prazo razoável a partir do conhecimento do fato (referência interna de até 72 horas), conforme art. 48 da LGPD.

11. Seus direitos como titular

Nos termos do art. 18 da LGPD, você tem direito a:

• Confirmação da existência de tratamento
• Acesso aos seus dados
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
• Portabilidade a outro fornecedor, mediante requisição expressa
• Eliminação dos dados tratados com seu consentimento
• Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências
• Revogação do consentimento

Para exercer qualquer desses direitos, escreva para guilherme.moura@hybria.ai. Responderemos em até 15 dias.

Caso entenda que sua solicitação não foi adequadamente atendida, você pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD).

12. Crianças e adolescentes

A Hybria é uma ferramenta corporativa e não é direcionada a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes.

13. Encarregado pelo tratamento (DPO)

O encarregado pelo tratamento de dados pessoais da Hybria é Guilherme Moura, contatável em guilherme.moura@hybria.ai. Endereço para correspondência: Rua 17, nº 33, Alphaville, Resende/RJ, CEP 27516-457.

14. Alterações desta política

Esta política pode ser atualizada para refletir mudanças no produto, em provedores ou na legislação aplicável. Comunicaremos alterações materiais por email aos usuários cadastrados e por banner na plataforma com antecedência razoável. Versões anteriores ficam disponíveis mediante solicitação.

15. Contato

Dúvidas, solicitações ou reclamações: guilherme.moura@hybria.ai.

Veja também os nossos Termos de Uso.