Legal
Política de Privacidade — Babilu App
Versão 1.0 · Em vigor desde 16 de junho de 2026
Versão em português do Brasil. O serviço é operado a partir de Portugal; esta Política observa o RGPD (Europa) e a LGPD (Lei 13.709/18, Brasil) quanto a titulares de dados no Brasil.
Esta Política descreve como Rafael Fernandes Gomes (cidadão português e brasileiro, trabalhador independente, prestador de serviços estabelecido em Portugal, NIF 308041488) — adiante "Babilu App", "nós" — trata dados pessoais no âmbito do serviço Babilu App. Aplica-se em conjunto com os Termos e Condições.
1. As duas relações de dados (importante)
O Serviço envolve duas categorias de pessoas, com papéis distintos:
| Pessoa | Quem é | Nosso papel |
|---|---|---|
| Cliente | A empresa/pessoa que assina o Babilu App e seus usuários da plataforma | Somos controlador dos dados de conta, faturamento e uso |
| Usuário Final | Quem envia DMs à conta Instagram do Cliente e conversa com o bot | Somos operador; o Cliente é o controlador desses dados (ver Seção 9 — Anexo de Tratamento de Dados) |
Se você é um Usuário Final e deseja exercer direitos sobre suas mensagens, o controlador é a empresa cujo Instagram você contatou; você também pode nos contatar e encaminharemos a solicitação.
2. Dados que tratamos
2.1. Dados do Cliente (somos controlador):
- Conta e identificação: nome, email, senha (em hash), idioma, dados da empresa.
- Faturamento: plano, histórico de assinatura e pagamentos. Os dados do cartão são tratados diretamente pela Stripe — não armazenamos números de cartão.
- Integração Meta: identificador da conta Instagram Business, nome de usuário, tokens de acesso (criptografados), associação página/conta.
- Conteúdo de configuração: textos, preços, horários, instruções e demais conteúdo que o Cliente carrega para o bot.
- Dados técnicos e de uso: logs, endereço IP, tipo de dispositivo/navegador, métricas de uso, para segurança e melhoria do Serviço.
2.2. Dados de Usuários Finais (somos operador do Cliente):
- Mensagens (DMs) trocadas com o bot e respectivos metadados (data/hora, identificador Instagram).
- Perfil público Instagram disponibilizado pela API (nome de usuário, foto, quando aplicável).
- Dados de lead extraídos da conversa (ex.: nome, contato, interesse) e disponibilizados ao Cliente.
3. Finalidades e bases legais
| Finalidade | Dados | Base legal (LGPD art. 7º / RGPD art. 6º) |
|---|---|---|
| Prestar e operar o Serviço (gerar respostas, captar leads) | Conta, configuração, mensagens, leads | Execução de contrato / instruções do Cliente |
| Faturamento e cobrança | Faturamento | Execução de contrato / obrigação legal |
| Segurança, prevenção de abuso e fraude | Técnicos, uso | Legítimo interesse |
| Suporte ao Cliente | Conta, uso | Execução de contrato / legítimo interesse |
| Melhoria do Serviço (dados agregados/anonimizados) | Uso agregado | Legítimo interesse |
| Cumprimento de obrigações legais | Conforme exigido | Obrigação legal/regulatória |
| Comunicações de marketing (se aplicável) | Consentimento / legítimo interesse, com opção de oposição |
4. Inteligência artificial e a Meta
4.1. Processamento por LLM. Para gerar respostas, o conteúdo relevante das mensagens e do conteúdo de configuração é enviado a fornecedores de modelos de linguagem (atualmente OpenAI), que os tratam como nossos operadores para devolver a resposta.
4.2. APIs da Meta/Instagram. O Serviço acessa mensagens e perfis por meio das APIs da Meta, observando suas políticas, incluindo a janela de 24 horas para resposta a mensagens. Os dados obtidos via Meta são usados exclusivamente para prestar o Serviço ao Cliente e não são vendidos nem cedidos para fins publicitários de terceiros.
4.3. Decisões automatizadas. O bot gera respostas automáticas, mas estas não produzem efeitos jurídicos significativos sobre o Usuário Final; o Cliente pode assumir o controle manual da conversa a qualquer momento.
5. Compartilhamento de dados (operadores e terceiros)
Compartilhamos dados apenas com:
- Plataformas de Terceiros necessárias ao Serviço: Meta/Instagram (mensagens), OpenAI (geração de respostas), Stripe (pagamentos), fornecedor de email transacional (Resend), fornecedor de hospedagem (Heroku, região UE).
- Autoridades, quando legalmente exigido.
- Adquirentes, em caso de reorganização, fusão ou transmissão do negócio, preservada esta Política.
Não vendemos dados pessoais.
6. Transferências internacionais
6.1. A hospedagem principal situa-se na União Europeia (região UE). Alguns operadores (notadamente OpenAI e Stripe) podem tratar dados fora do Brasil e do EEE (ex.: EUA). Nesses casos, asseguramos garantias adequadas (p. ex. Cláusulas Contratuais-Padrão).
7. Prazos de conservação
| Dados | Conservação |
|---|---|
| Conta e configuração | Enquanto a conta estiver ativa |
| Mensagens e leads | Enquanto a conta estiver ativa, salvo eliminação solicitada pelo Cliente |
| Faturamento | Pelo prazo legal de guarda de documentos fiscais |
| Logs técnicos | Conservados por 90 dias, para fins de segurança e diagnóstico |
| Após encerramento da conta | Os dados são eliminados ou anonimizados no prazo de 30 dias após o encerramento, salvo obrigação legal de guarda (ex.: faturamento) |
8. Direitos dos titulares
8.1. Nos termos da LGPD (e do RGPD), o titular tem direito a confirmação e acesso, correção, anonimização, eliminação, portabilidade, informação sobre compartilhamento e revogação de consentimento, entre outros.
8.2. Para dados de Cliente, exerça os direitos junto a nós, em contato@babiluapp.com. Para dados de Usuário Final, o controlador é o Cliente (a empresa contatada); nós auxiliamos o Cliente no atendimento dessas solicitações.
8.3. O titular pode reclamar à autoridade competente — no Brasil, a ANPD (www.gov.br/anpd); em Portugal/UE, a CNPD.
8.4 Como solicitar a exclusão dos seus dados (pedido de exclusão)
Você pode solicitar a exclusão dos seus dados pessoais a qualquer momento:
- Por email: envie um pedido para contato@babiluapp.com com o assunto "Exclusão de dados", indicando a conta ou o identificador Instagram em questão.
- Cliente (titular da conta Babilu App): também pode excluir sua conta e o conteúdo associado nas configurações do Serviço. A exclusão da conta remove os dados de conta e de configuração, ressalvados os prazos legais de guarda (Seção 7).
- Usuário Final (quem contatou um Instagram por meio do bot): seus dados de conversa pertencem à empresa que você contatou, que é a controladora. Encaminharemos sua solicitação a essa empresa e prestaremos o auxílio necessário ao seu atendimento.
Prazo: atendemos às solicitações de exclusão em até 30 dias, salvo obrigação legal de guarda (ex.: dados de faturamento — Seção 7). Confirmaremos a conclusão por email.
Dados obtidos por meio da Meta/Instagram: os dados recebidos via APIs da Meta associados à solicitação são excluídos no âmbito deste processo.
9. Anexo de Tratamento de Dados (DPA) — dados de Usuários Finais
Esta Seção formaliza o tratamento que efetuamos por conta do Cliente (controlador) na qualidade de operador.
- Objeto e duração: prestação do Serviço, durante a vigência do contrato.
- Natureza e finalidade: recepção, processamento e geração de respostas a DMs, e extração de leads, conforme as instruções documentadas do Cliente (o conteúdo de configuração e as definições do Serviço).
- Tipo de dados: dados de identificação e contato, conteúdo de mensagens, dados de perfil público Instagram.
- Categorias de titulares: Usuários Finais que contatam a conta do Cliente.
- Obrigações do operador: tratar apenas conforme instruções; garantir confidencialidade; adotar medidas de segurança adequadas (Seção 10); recorrer a suboperadores apenas com autorização (Seção 5) e impondo-lhes obrigações equivalentes; auxiliar o Cliente no atendimento a direitos e em incidentes; eliminar ou devolver os dados ao término do contrato.
- Incidentes de segurança: comunicaremos o Cliente sem demora injustificada após tomar conhecimento de incidente que afete dados tratados por sua conta.
- Auditoria: disponibilizaremos a informação razoavelmente necessária para demonstrar conformidade.
10. Segurança
Adotamos medidas técnicas e organizacionais adequadas, incluindo criptografia de tokens e dados sensíveis em repouso, isolamento de dados entre clientes (multi-tenancy com Row-Level Security), controle de acessos, transporte criptografado (HTTPS) e registros de auditoria. Nenhum sistema é totalmente imune; não podemos garantir segurança absoluta.
11. Cookies e tecnologias semelhantes
A aplicação utiliza armazenamento local estritamente necessário para autenticação e funcionamento (ex.: token de sessão).
12. Menores
O Serviço destina-se a empresas e não a menores. Não coletamos conscientemente dados de menores na qualidade de Clientes.
13. Alterações a esta Política
Podemos atualizar esta Política, comunicando alterações materiais por email ou pelo Serviço. A data e versão vigentes constam no topo.
14. Contato
Rafael Fernandes Gomes · NIF 308041488
Encarregado de Proteção de Dados (DPO), nos termos do art. 41 da LGPD: Rafael Fernandes Gomes — contato@babiluapp.com.