Legal

Política de Privacidade

Última atualização: 24 de junho de 2026 · Vigência imediata

Nossos compromissos, em uma frase cada:

Não vendemos seus dados. Nunca, em hipótese alguma.
Não compartilhamos seus dados com terceiros para publicidade ou marketing.
Isolamento rigoroso: os dados de cada cliente ficam separados; uma conta jamais enxerga os dados de outra.
Tudo criptografado: TLS em trânsito, dados cifrados em repouso e o conteúdo das mensagens + credenciais cifrados na aplicação com AES-256-GCM — ilegíveis no banco.
Dados no Brasil: a infraestrutura de produção fica em região no Brasil (São Paulo).
Você no controle: pode acessar e excluir seus dados a qualquer momento.

Conteúdo

Quem somos e nosso papel
Quais dados tratamos
Finalidades e bases legais
Com quem compartilhamos
Onde os dados ficam
Retenção
Segurança
Seus direitos (LGPD)
Dados de contatos/destinatários
Cookies
Alterações
Encarregado e contato

1. Quem somos e nosso papel

O Blaber é uma plataforma que conecta empresas a aplicativos de mensagem — na primeira versão, o WhatsApp Business, via WhatsApp Business Platform (Cloud API) da Meta. O Blaber é operado por Scaleup Tecnologia LTDA, inscrita no CNPJ 39.455.493/0001-90, com sede na Avenida Cidade Jardim, 377 — Itaim Bibi, São Paulo/SP, CEP 01453-900 ("Blaber", "nós").

Para fins da Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), atuamos em dois papéis:

Como controlador dos dados da relação com o nosso cliente (a empresa que contrata o Blaber): dados cadastrais, de conta e de uso da plataforma.
Como operador dos dados pessoais que tratamos em nome do cliente para entregar o serviço — por exemplo, os dados dos contatos/destinatários com quem o cliente conversa pelo WhatsApp. Nesse caso, o cliente é o controlador e define as finalidades; nós tratamos esses dados seguindo as instruções dele e esta Política.

2. Quais dados tratamos

2.1. Dados do cliente (empresa)

Dados de cadastro e conta: nome, e-mail, organização e perfis de acesso.
Credenciais de integração: chaves de API (armazenadas apenas como hash SHA-256, nunca em texto claro) e segredos de webhook.
Tokens de acesso da Meta/WhatsApp do cliente — cifrados (AES-256-GCM) antes de persistir, nunca expostos por nenhum endpoint nem registrados em log.
Dados de uso e auditoria: registros de requisições (amostrados), entregas de webhook e eventos de conexão, com identificadores de requisição.

2.2. Dados tratados em nome do cliente (contatos/destinatários)

Para oferecer caixa de entrada, histórico de conversas, automações e campanhas, a plataforma processa e armazena, sob instrução do cliente:

Número de telefone (formato E.164), nome de exibição e campos personalizados/etiquetas do contato.
Conteúdo e metadados das mensagens trocadas (texto, mídia, modelos, status de entrega, data/hora, identificadores).
Arquivos de mídia enviados/recebidos, quando aplicável.

Transparência: por ser uma plataforma de mensageria, o conteúdo das mensagens é necessário para prestar o serviço (você precisa ver e responder suas conversas). Em repouso, esse conteúdo é cifrado com AES-256-GCM e fica ilegível no banco; é decifrado apenas em memória para exibir a você. Esses dados são tratados exclusivamente para essa finalidade, com isolamento por cliente — e nunca são vendidos, compartilhados para publicidade, nem usados para treinar modelos sem autorização.

3. Finalidades e bases legais

Finalidade	Base legal (LGPD)
Prestar e operar o serviço contratado	Execução de contrato (art. 7º, V)
Segurança, prevenção a fraude e abuso	Legítimo interesse (art. 7º, IX)
Cumprir obrigações legais e regulatórias	Obrigação legal (art. 7º, II)
Dados de contatos tratados em nome do cliente	Definida pelo cliente (controlador) — em regra, consentimento/opt-in ou legítimo interesse

4. Com quem compartilhamos

Não vendemos e não compartilhamos seus dados com terceiros para marketing. O compartilhamento ocorre apenas com os operadores estritamente necessários para o funcionamento do serviço, todos sujeitos a obrigações de confidencialidade e segurança:

Operador	Para quê
Meta Platforms (WhatsApp Business Platform)	Envio e recebimento das mensagens — inerente ao serviço de WhatsApp.
Supabase (hospedagem, banco de dados e armazenamento)	Infraestrutura onde a plataforma roda, em região no Brasil.

Também podemos divulgar dados quando exigido por lei, ordem judicial ou autoridade competente. Fora isso, ninguém mais recebe seus dados.

5. Onde os dados ficam

A infraestrutura de produção do Blaber está hospedada em região no Brasil (São Paulo). Quando houver transferência internacional (por exemplo, no roteamento de mensagens pela Meta), ela ocorre com as salvaguardas previstas na LGPD.

6. Retenção

Mantemos os dados apenas pelo tempo necessário às finalidades acima ou conforme exigência legal. Dados de mensagens e contatos são mantidos enquanto a conta estiver ativa e o cliente os mantiver na plataforma. Encerrada a conta, os dados são eliminados em até 30 dias, salvo retenção mínima exigida por lei. Você pode solicitar exclusão antes disso — veja a página de Exclusão de Dados.

7. Segurança

Adotamos critérios rígidos de segurança da informação:

Criptografia em trânsito: todo o tráfego trafega sobre TLS/HTTPS (com HSTS).
Criptografia em repouso: banco de dados e armazenamento são cifrados em repouso (AES-256) na infraestrutura gerenciada.
Camada adicional nas credenciais: os tokens de acesso da Meta são cifrados na aplicação com AES-256-GCM antes de persistir; nunca são expostos por endpoints nem registrados em log.
Conteúdo das mensagens cifrado na aplicação: cada mensagem é cifrada com AES-256-GCM antes de ser gravada — fica ilegível no banco (mesmo num dump) e só é decifrada em memória para exibir a você. O mesmo se aplica ao cache de idempotência.
Isolamento multi-tenant em duas camadas: filtro explícito por cliente em todas as consultas e Row-Level Security no banco.
Autenticação e integridade: chaves de API guardadas apenas como hash SHA-256; webhooks assinados e verificados (HMAC-SHA256).
Gestão de segredos: segredos fora do código-fonte, controle de acesso por escopos e registros de auditoria.

Nenhum sistema é 100% imune; em caso de incidente relevante, seguimos os deveres de comunicação da LGPD.

8. Seus direitos (LGPD)

Você pode, a qualquer momento, solicitar (art. 18 da LGPD):

Confirmação da existência de tratamento e acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
Portabilidade e informação sobre compartilhamentos;
Revogação do consentimento, quando aplicável.

Para exercer, escreva para privacidade@getblaber.com. Respondemos nos prazos da LGPD.

9. Dados de contatos/destinatários

Quando tratamos dados de pessoas com quem o nosso cliente conversa (os destinatários das mensagens), atuamos como operador. Se você é um destinatário e quer exercer direitos sobre seus dados, o controlador é a empresa que entrou em contato com você — encaminhamos sua solicitação a ela e damos suporte ao atendimento. Você também pode pedir opt-out diretamente na conversa (ex.: respondendo com a palavra de descadastro), e o sistema registra e respeita o pedido.

10. Cookies

O painel do Blaber usa apenas cookies/armazenamento local essenciais (sessão de login e preferências como tema). Não usamos cookies de rastreamento publicitário de terceiros.

11. Alterações

Podemos atualizar esta Política para refletir mudanças no serviço ou na legislação. Mudanças relevantes serão comunicadas pelos canais usuais, e a data de "Última atualização" no topo sempre indica a versão vigente.

12. Encarregado (DPO) e contato

Encarregado pelo Tratamento de Dados Pessoais (DPO) — contato: dpo@getblaber.com.
Dúvidas gerais de privacidade: privacidade@getblaber.com.