Política de Privacidade
Como tratamos seus dados
Aqui no ComandAI a gente trata dado pessoal com o cuidado que ele merece. Esta página explica, sem juridiquês desnecessário, o que coletamos, por que coletamos e quais são os seus direitos sobre essa informação — tudo em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018, "LGPD").
Última atualização: 22 de maio de 2026 · Em vigor desde: 22 de maio de 2026
01
Em resumo
Para quem só quer o essencial, antes da gente entrar nos detalhes:
- O ComandAI é uma plataforma B2B que digitaliza comandas recebidas por WhatsApp usando inteligência artificial.
- A gente coleta dois grupos de dados: dados do seu negócio (você, sua equipe, sua assinatura) e dados dos seus clientes (extraídos das comandas que chegam pelo seu WhatsApp). Em relação aos dados dos seus clientes, o ComandAI atua como operador — o controlador é você.
- A gente nunca vende seus dados. Nunca. E não usamos as informações dos seus clientes para treinar modelos de IA de uso geral.
- Você tem direito a acessar, corrigir, exportar e excluir seus dados a qualquer momento. Basta escrever para dpo@comandai.app.
- A gente usa parceiros internacionais (Google, Meta, Stripe, Vercel) para fazer o produto funcionar. Tudo isso está descrito nas seções abaixo.
02
Quem é o controlador
O controlador dos dados pessoais tratados nesta plataforma é eSource Consulting Ltda., inscrita no CNPJ sob o nº 05.370.708/0001-58, com sede em Rua São Domingos Savio nº 201, apto 71 Bloco - São Paulo/SP, CEP 05455-040], aqui chamada simplesmente de "ComandAI", "nós" ou "a plataforma".
Importante: quando você (a empresa contratante) digitaliza comandas dos seus clientes finais usando o ComandAI, você é o controlador desses dados e o ComandAI atua como operador, processando os dados em seu nome e conforme suas instruções (Art. 5º, VII da LGPD). É a sua relação com o cliente final que determina por que os dados estão sendo tratados — a gente só fornece a ferramenta.
03
Quais dados coletamos
3.1. Dados que você cria ao se cadastrar
- Dados de identificação: nome, e-mail e telefone. A gente não usa senha — autenticação é por código de uso único enviado por e-mail ou WhatsApp, então não há senha pra vazar.
- Dados do negócio: nome da organização, ramo de atividade, número do WhatsApp utilizado, configurações da conta.
- Dados da sua equipe: quando você convida funcionários, coletamos nome, e-mail, telefone e papel deles (proprietário ou funcionário).
3.2. Dados de pagamento e assinatura
- Plano contratado, ciclo de cobrança, histórico de pagamentos e status da assinatura.
- Dados de cartão de crédito não passam pelos nossos servidores. Eles são processados diretamente pela Stripe, nosso provedor de pagamento certificado PCI-DSS Nível 1. A gente só guarda um identificador opaco e os últimos 4 dígitos do cartão para referência.
3.3. Dados das comandas (dos seus clientes finais)
Quando uma comanda chega no seu WhatsApp e é processada pela nossa IA, a gente extrai e armazena:
- Imagem original da comanda (foto enviada pelo cliente).
- Dados estruturados extraídos: nome do cliente, telefone, endereço (quando presente na comanda), itens, valores, datas de retirada, observações.
- Metadados do WhatsApp: número de telefone do remetente, ID da mensagem, data e hora do recebimento.
3.4. Dados de uso da plataforma
- Logs técnicos: endereço IP, navegador, sistema operacional, páginas acessadas, ações realizadas no painel.
- Métricas de produto: a gente usa o PostHog para entender quais funcionalidades são mais usadas e onde os usuários travam. Esses dados são pseudonimizados.
3.5. Dados que você nos manda diretamente
Quando você fala com a gente por e-mail, suporte ou redes sociais, a gente guarda o conteúdo dessas conversas para atender você melhor e manter registro do que foi resolvido.
04
Por que coletamos esses dados
A gente trata seus dados pessoais com as seguintes finalidades:
- Operar o serviço: criar e autenticar sua conta, processar comandas, exibir o painel, notificar seus clientes sobre o status do pedido.
- Faturamento: processar cobranças, gerar recibos, renovar a assinatura, prevenir fraude.
- Suporte: responder dúvidas, investigar problemas técnicos, atender solicitações relacionadas aos seus direitos como titular.
- Melhoria do produto: entender quais funcionalidades funcionam, descobrir bugs, priorizar o roadmap. Para isso usamos dados agregados e pseudonimizados sempre que possível.
- Segurança e prevenção a fraudes: detectar acesso não autorizado, abuso da plataforma e tentativas de uso indevido.
- Cumprimento de obrigações legais: emissão de notas fiscais, atendimento a determinações de autoridades, retenção de registros conforme o Marco Civil da Internet (Lei nº 12.965/2014).
- Comunicação: enviar avisos sobre o produto, atualizações importantes da plataforma e — só se você optar — novidades de marketing.
05
Bases legais (Art. 7º e 11 da LGPD)
A LGPD exige que todo tratamento de dados pessoais tenha uma base legal. Cada finalidade acima se apoia em uma destas:
- Execução de contrato (Art. 7º, V): para entregar o serviço que você contratou — autenticação, processamento de comandas, faturamento, suporte.
- Cumprimento de obrigação legal ou regulatória (Art. 7º, II): para reter logs exigidos pelo Marco Civil, emitir documentos fiscais e atender autoridades competentes.
- Legítimo interesse (Art. 7º, IX): para prevenir fraudes, melhorar o produto, manter a segurança da plataforma e comunicar-se com clientes ativos sobre o serviço. Sempre que essa for a base, ponderamos com seus direitos e liberdades — e você pode se opor a qualquer momento.
- Consentimento (Art. 7º, I): para envio de comunicações de marketing e para uso de cookies não essenciais. Você pode revogar a qualquer momento.
- Proteção ao crédito (Art. 7º, X): nos casos específicos previstos em lei.
06
Com quem compartilhamos
A gente não vende dados pessoais. Mas, para fazer o produto funcionar, contamos com operadores e parceiros que processam dados em nosso nome. Todos têm contratos que os obrigam a manter a segurança e a usar os dados apenas para os fins que indicamos.
| Parceiro | Para quê | Tipo de dado |
|---|---|---|
| Google (Gemini API) | Reconhecimento da letra à mão nas comandas (OCR/IA) | Imagem da comanda e texto extraído |
| Meta (WhatsApp Business API) | Recebimento e envio de mensagens no seu número de WhatsApp | Mensagens, números, IDs de conversa |
| Stripe | Processamento de pagamentos e cobrança recorrente | Dados de cartão, e-mail, valores |
| Vercel | Hospedagem da aplicação e entrega de conteúdo | Logs de requisição, IP, dados em trânsito |
| Supabase / provedor de banco | Armazenamento estruturado dos seus dados | Todos os dados persistidos da plataforma |
| PostHog | Analytics de produto (uso de funcionalidades) | Eventos de uso pseudonimizados |
| Provedores de e-mail e SMS | Envio de notificações transacionais e códigos de verificação | E-mail, telefone, conteúdo da mensagem |
Além desses operadores, podemos compartilhar dados quando exigido por lei, ordem judicial ou solicitação de autoridade competente; ou quando necessário para defender direitos do ComandAI em processos judiciais ou administrativos.
Em caso de operações societárias (fusão, aquisição, incorporação ou venda de ativos), os dados poderão ser transferidos para o sucessor legal, mantendo-se as garantias desta Política.
07
Transferências internacionais
Vários dos nossos operadores estão sediados fora do Brasil (principalmente nos Estados Unidos). Quando isso acontece, garantimos que a transferência ocorra com salvaguardas adequadas, nos termos do Art. 33 da LGPD, por meio de:
- cláusulas contratuais específicas que replicam as proteções da LGPD;
- adesão dos operadores a códigos de conduta reconhecidos e a programas internacionais de proteção de dados;
- seleção de fornecedores com certificações de segurança maduras (SOC 2, ISO 27001, PCI-DSS).
08
Por quanto tempo guardamos
A gente só guarda dados pessoais pelo tempo necessário para cumprir as finalidades que indicamos, somado aos prazos legais aplicáveis:
- Conta ativa: enquanto sua organização estiver ativa na plataforma.
- Conta cancelada: dados de identificação e financeiros por 5 anos após o encerramento, para fins fiscais e de defesa em eventuais litígios (Art. 7º, II, da LGPD c/c art. 174 do CTN).
- Comandas e dados dos clientes finais: mantidos durante o período da assinatura ativa. Após o cancelamento, são anonimizados ou eliminados em até 90 dias, exceto quando houver obrigação legal de retenção.
- Logs de acesso à aplicação: 6 meses, conforme o Marco Civil da Internet.
- Backups: rotacionados a cada 30 dias.
09
Seus direitos como titular
O Art. 18 da LGPD garante a você uma série de direitos sobre seus dados pessoais. A gente leva isso a sério e oferece um caminho simples para você exercer qualquer um deles.
- Confirmação e acesso: saber se tratamos seus dados e obter uma cópia.
- Correção: atualizar dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade: receber seus dados em formato estruturado e interoperável para levá-los a outro fornecedor.
- Eliminação dos dados tratados com consentimento: ressalvadas as hipóteses do Art. 16.
- Informação sobre compartilhamento: saber com quais entidades públicas e privadas compartilhamos seus dados.
- Revogação do consentimento a qualquer momento, sem prejuízo do tratamento já realizado.
- Oposição a tratamentos realizados com base em legítimo interesse.
- Revisão de decisões automatizadas que afetem seus interesses, conforme o Art. 20.
Para exercer qualquer um desses direitos, escreva para dpo@comandai.app. A gente confirma o recebimento em até 48 horas úteis e responde a solicitação em até 15 dias.
Se você não ficar satisfeito com a nossa resposta, tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelo site gov.br/anpd.
10
Segurança da informação
A gente adota medidas técnicas e administrativas aptas a proteger seus dados contra acessos não autorizados, perda, alteração ou destruição:
- criptografia em trânsito (TLS 1.2+) em toda a comunicação com a plataforma;
- criptografia em repouso para dados sensíveis e backups;
- autenticação sem senha (códigos de uso único por e-mail ou WhatsApp) — não há senha em texto puro nem hash pra vazar;
- controle de acesso baseado em papéis dentro da organização (proprietário vs. funcionário);
- isolamento de dados entre organizações (multi-tenancy lógico) com filtros obrigatórios por
organizationIdem toda consulta; - monitoramento contínuo, logs de acesso e revisões periódicas de permissões;
- avaliação de fornecedores e contratos de operadores que incluem cláusulas de confidencialidade e segurança.
Apesar de todos os esforços, nenhum sistema é 100% seguro. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos os afetados e a ANPD em prazo razoável, conforme determina o Art. 48 da LGPD.
12
Crianças e adolescentes
O ComandAI é uma plataforma B2B destinada a empresas e maiores de 18 anos. A gente não coleta dados de crianças e adolescentes intencionalmente. Se você é responsável legal e identificar dados de um menor sob sua tutela na plataforma, escreva para dpo@comandai.app — a gente providencia a eliminação imediata.
13
Mudanças nesta política
Esta política pode ser atualizada conforme o produto evolui, a legislação muda ou novos parceiros são adicionados. Quando houver mudança material, vamos avisar você por e-mail e/ou pelo painel da aplicação, com pelo menos 15 dias de antecedência. Versões anteriores ficam disponíveis sob solicitação.
14
Como falar com a gente
Para qualquer dúvida, solicitação relacionada aos seus direitos ou reclamação sobre o tratamento de dados:
Encarregado pelo Tratamento de Dados (DPO)
Rafael Leal Estevam
dpo@comandai.app
Contato geral
contato@comandai.app
eSource Consulting Ltda.
CNPJ 05.370.708/0001-58
Rua São Domingos Savio nº 201, apto 71 Bloco - São Paulo/SP, CEP 05455-040]
Você também pode consultar nossos Termos de Uso.