Última atualização: 06 de maio de 2026
A GPT MARKETING & TECNOLOGIA LTDA, inscrita no CNPJ sob o nº 58.361.242/0001-90, com sede na Avenida Itapetinga, nº 804, Natal/RN, CEP 59.124-400 (doravante “CRM Zap” ou “nós”), é a controladora dos dados pessoais tratados no âmbito do aplicativo CRM Zap, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), com os Termos da Plataforma da Meta e com as Políticas do Desenvolvedor da Meta.
Esta Política de Privacidade descreve quais dados coletamos, como os utilizamos, com quem compartilhamos, como protegemos e como você pode exercer seus direitos como titular.
1. Quem somos e como nos contatar
GPT Marketing & Tecnologia LTDA é uma empresa brasileira de tecnologia que oferece o CRM Zap, plataforma SaaS de Customer Relationship Management e atendimento omnichannel integrada às APIs oficiais da Meta (WhatsApp Business Platform, Facebook Messenger e Instagram Direct).
Encarregado pelo Tratamento de Dados Pessoais (DPO): E-mail: contato@crmzap.com.br Endereço: Avenida Itapetinga, nº 804, Natal/RN, CEP 59.124-400
2. Quem está protegido por esta política
Esta política se aplica a três grupos de titulares de dados:
Empresas contratantes — pessoas jurídicas que contratam o CRM Zap para operar atendimento aos seus próprios clientes finais.
Usuários autorizados das empresas contratantes — administradores, supervisores e operadores de atendimento (atendentes) que acessam o CRM Zap mediante credenciais individuais.
Consumidores finais — pessoas físicas que iniciam contato com uma empresa contratante por meio dos canais autorizados (WhatsApp, Messenger, Instagram Direct) e cujas mensagens são processadas pelo CRM Zap em nome da empresa contratante.
3. Dados que coletamos e tratamos
3.1. Dados das empresas contratantes
Razão social, CNPJ, endereço, contrato social, dados bancários e dados de faturamento, comprovantes de endereço, dados do administrador (nome, e-mail, telefone), e documentação exigida para Business Verification junto à Meta.
3.2. Dados dos usuários autorizados (atendentes e administradores)
Nome, e-mail corporativo, senha (armazenada de forma criptografada com hash unidirecional), perfil de acesso, registros de atividade (logs de operação) e, quando aplicável, foto de perfil.
3.3. Dados da Plataforma recebidos da Meta (Platform Data)
No exercício das funcionalidades de atendimento, o CRM Zap recebe da Meta, por meio das APIs oficiais e das permissões autorizadas pela empresa contratante, os seguintes dados referentes aos consumidores finais que iniciam contato com a empresa:
Identificadores e metadados de canal: número de telefone do consumidor (no caso do WhatsApp), identificador único de usuário da Meta (Meta User ID, IDs for business), identificador de mensagem (WAMID), identificadores da conta WhatsApp Business (Phone Number ID, WABA ID), identificadores de Página do Facebook e identificadores da conta Instagram for Business.
Perfil público do consumidor: nome de perfil público, foto de perfil, conforme configurado pelo próprio consumidor nas plataformas Meta.
Conteúdo das mensagens: texto, mídias (imagens, áudios, vídeos, documentos), localização e contatos compartilhados pelo próprio consumidor durante a conversa.
Metadados operacionais: data e hora das mensagens, status de entrega e leitura, tipo de mensagem.
Dados de autenticação e configuração da empresa contratante: tokens de acesso emitidos pela Meta (armazenados criptografados), e-mail do administrador autenticado via Facebook Login, escopo de permissões concedidas.
4. Finalidades e bases legais do tratamento
Tratamos os dados acima exclusivamente para as seguintes finalidades, sob as bases legais correspondentes da LGPD:
Execução de contrato com a empresa contratante (art. 7º, V): viabilizar o recebimento, leitura, resposta e gestão de mensagens trocadas entre a empresa contratante e seus consumidores finais nos canais WhatsApp, Messenger e Instagram Direct; gerenciar tickets, filas e distribuição de atendimentos; gerenciar templates de mensagem aprovados pela Meta; gerenciar catálogo de produtos vinculado à conta WhatsApp Business.
Cumprimento de obrigação legal ou regulatória (art. 7º, II): atendimento a obrigações fiscais, contábeis, regulatórias e a determinações de autoridades competentes.
Legítimo interesse (art. 7º, IX): segurança da informação, prevenção a fraudes, monitoramento de qualidade do serviço, geração de métricas operacionais agregadas para a empresa contratante.
Consentimento (art. 7º, I): para funcionalidades opcionais e ativadas pela própria empresa contratante, como assistência por inteligência artificial.
NÃO utilizamos Dados da Plataforma para finalidades publicitárias, marketing direto a terceiros, perfilamento de consumidores fora do contexto da empresa contratante, treinamento de modelos de inteligência artificial generalistas, ou enriquecimento de bases de dados externas. NÃO vendemos, alugamos, cedemos ou licenciamos Dados da Plataforma a terceiros.
5. Como armazenamos e protegemos os dados
Os Dados da Plataforma são armazenados em infraestrutura própria da GPT Marketing & Tecnologia LTDA, localizada fisicamente em território brasileiro, em servidores dedicados administrados diretamente pela empresa.
Adotamos as seguintes medidas técnicas e organizacionais:
Criptografia em trânsito via TLS 1.2 ou superior em todas as comunicações entre a Meta, nossa infraestrutura e os usuários da plataforma.
Criptografia em repouso para dados sensíveis e tokens de acesso emitidos pela Meta.
Segregação lógica multi-tenant: dados de cada empresa contratante são acessíveis exclusivamente dentro do contexto autenticado daquela empresa, identificado por chave única (companyId).
Conteinerização via Docker e virtualização gerenciada via Proxmox para isolamento computacional.
Banco de dados PostgreSQL com autenticação restrita e controle de acesso baseado em perfis.
Reverse proxy com terminação TLS obrigatória.
Controle de acesso por credenciais individuais com autenticação de cada usuário autorizado.
Registro de logs de operação para fins de auditoria.
Procedimentos formais de resposta a incidentes de segurança, com notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados conforme exigido pela LGPD.
6. Compartilhamento de dados
NÃO compartilhamos Dados da Plataforma com terceiros, exceto nas seguintes situações estritamente necessárias:
Com a própria empresa contratante: os dados das mensagens trocadas com seus consumidores finais são, por natureza do serviço, acessíveis aos operadores autorizados daquela empresa contratante.
Com a Meta Platforms: os dados são trocados com a Meta por meio das APIs oficiais para viabilizar a entrega das mensagens e a operação dos canais.
Com prestadores de serviços técnicos estritamente operacionais: provedores de infraestrutura de telecomunicações e conectividade, que atuam sob contrato com cláusulas de confidencialidade e proteção de dados, sem acesso lógico ao conteúdo das mensagens.
Com a OpenAI (apenas quando funcionalidades de IA forem expressamente ativadas pela empresa contratante): para processar funcionalidades opcionais de assistência por inteligência artificial (sugestão de respostas, reescrita de mensagens, assistente contextual), sob cláusula contratual de não retenção e não utilização para treinamento de modelos. Esta funcionalidade pode ser desativada a qualquer momento pela empresa contratante.
Em cumprimento de ordem judicial, requisição de autoridade competente ou obrigação legal.
7. Transferência internacional de dados
A operação principal do CRM Zap é realizada em território brasileiro. Quando há transferência internacional, ela ocorre exclusivamente:
Para a Meta Platforms (Estados Unidos e Irlanda) — inerente ao uso das APIs oficiais.
Para a OpenAI (Estados Unidos) — apenas se a empresa contratante ativar funcionalidades de IA.
Estas transferências ocorrem sob cláusulas contratuais padrão e em conformidade com o art. 33 da LGPD.
8. Retenção de dados
Mantemos os Dados da Plataforma pelo período necessário ao cumprimento das finalidades declaradas e ao atendimento de obrigações legais, observando os seguintes prazos:
Mensagens e conteúdo de conversas: enquanto durar a relação contratual com a empresa contratante e por até 30 dias após o término do contrato, salvo solicitação de exclusão antecipada.
Dados cadastrais da empresa contratante: pelo prazo legal de 5 anos após o término do contrato, para cumprimento de obrigações fiscais e regulatórias.
Logs de auditoria: 6 meses, salvo necessidade de retenção superior por determinação legal.
Após o decurso desses prazos, os dados são excluídos ou anonimizados de forma irreversível.
9. Direitos dos titulares de dados (LGPD)
Em conformidade com os artigos 17 a 22 da LGPD, você, como titular de dados, tem os seguintes direitos:
Confirmação da existência de tratamento de seus dados.
Acesso aos dados que mantemos sobre você.
Correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade dos dados a outro fornecedor de serviço.
Eliminação dos dados pessoais tratados com seu consentimento.
Informação sobre as entidades públicas e privadas com as quais compartilhamos dados.
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Revogação do consentimento, quando o tratamento for baseado nele.
Revisão de decisões tomadas unicamente com base em tratamento automatizado.
Para exercer qualquer destes direitos, contate-nos por e-mail em contato@crmzap.com.br.
10. Procedimento de exclusão de dados (Data Deletion)
Em conformidade com as Políticas do Desenvolvedor da Meta e com a LGPD, oferecemos os seguintes mecanismos de exclusão de dados:
10.1. Para consumidores finais (titulares cujos dados foram processados via WhatsApp, Messenger ou Instagram Direct)
Envie solicitação de exclusão para contato@crmzap.com.br informando: nome, número de telefone (no caso do WhatsApp) ou identificador da conta nos canais Meta, e descrição do pedido. Após validação da identidade, processaremos a exclusão em até 15 dias corridos, abrangendo registros de mensagens, metadados associados, mídias e backups operacionais regulares. Você receberá confirmação da exclusão.
10.2. Para empresas contratantes
A empresa contratante pode, a qualquer momento, solicitar a exclusão integral de seus dados e dos dados de seus consumidores finais. A solicitação deve ser feita pelo administrador autenticado por meio do canal de suporte oficial ou pelo e-mail contato@crmzap.com.br.
10.3. Revogação de acesso pelo administrador
A empresa contratante pode, a qualquer momento, revogar o acesso do CRM Zap aos seus ativos comerciais Meta diretamente pelo Painel de Configurações do Business Manager da Meta, removendo o aplicativo dos ativos autorizados. Após a revogação, cessamos imediatamente o recebimento de novos dados daqueles ativos.
10.4. Exclusão automática via callback de desinstalação
O CRM Zap implementa o endpoint Data Deletion Request Callback exigido pela Meta. Quando a Meta notifica nosso sistema sobre a desinstalação ou revogação por parte de um usuário, registramos a solicitação, retornamos o código de confirmação e a URL de status conforme a especificação técnica da Meta, e disparamos o procedimento interno de exclusão dos dados associados.
11. Segurança da informação e notificação de incidentes
Mantemos plano formal de resposta a incidentes de segurança da informação. Em caso de violação que possa acarretar risco ou dano relevante aos titulares, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme estabelecido na LGPD e nas regulamentações da ANPD.
12. Cookies e tecnologias similares
O site institucional crmzap.com.br e a aplicação app1.crmzap.com.br utilizam cookies estritamente necessários ao funcionamento da plataforma, bem como cookies analíticos para melhoria contínua do serviço. O usuário pode gerenciar preferências de cookies pelo navegador.
13. Funcionalidades de inteligência artificial
O CRM Zap oferece, como recurso opcional, funcionalidades de assistência por inteligência artificial, ativadas exclusivamente por decisão da empresa contratante. Quando ativadas, o conteúdo das mensagens é transmitido à OpenAI (provedor do modelo de linguagem) sob acordo contratual com cláusula de não retenção e não utilização dos dados para treinamento de modelos. A funcionalidade pode ser desativada a qualquer momento pela empresa contratante.
14. Alterações desta política
Esta Política de Privacidade pode ser atualizada periodicamente. A data da última atualização constará no topo deste documento. Alterações relevantes serão comunicadas aos titulares por meio dos canais de contato cadastrados.
15. Foro e legislação aplicável
Esta Política é regida pelas leis brasileiras. Fica eleito o foro da Comarca de Natal/RN para dirimir quaisquer questões oriundas deste documento, com renúncia a qualquer outro, por mais privilegiado que seja.
GPT MARKETING & TECNOLOGIA LTDA — CNPJ 58.361.242/0001-90 Avenida Itapetinga, nº 804, Natal/RN, CEP 59.124-400 contato@crmzap.com.br