ZAP-API
PreçosCasos de UsoBlogDocsLogin
Começar grátis
← Voltar para a home

Política de Privacidade

Última atualização: 12 de maio de 2026

Veja também os Termos de Uso.

Sumário

  1. 1. Introdução
  2. 2. Controlador dos dados
  3. 3. Dados coletados
  4. 4. Finalidades do tratamento
  5. 5. Base legal (Art. 7º LGPD)
  6. 6. Compartilhamento e subprocessadores
  7. 7. Cookies e tecnologias similares
  8. 8. Transferência internacional (Art. 33)
  9. 9. Retenção e descarte dos dados
  10. 10. Direitos do titular (Art. 18)
  11. 11. Segurança
  12. 12. Encarregado (DPO)
  13. 13. Crianças e adolescentes
  14. 14. Alterações desta Política
  15. 15. Contato e ANPD

1. Introdução

A ZAP API ("nós") leva a privacidade dos seus dados a sério. Esta Política descreve, em linguagem clara, como tratamos dados pessoais de Clientes e de destinatários finais de mensagens, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, "LGPD") e com o Marco Civil da Internet (Lei nº 12.965/2014).

Esta Política aplica-se a todo o ciclo de vida do serviço — desde o acesso à home zap-api.tech, passando pelo cadastro, uso do painel /dashboard, integração via API REST, até o cancelamento e descarte dos dados.

Ao utilizar o Serviço, você (titular dos dados) concorda com as práticas aqui descritas. Caso não concorde, não utilize o Serviço.

2. Controlador dos dados

O controlador dos dados pessoais tratados nesta Plataforma é:

PreviusIA Serviço Digital LTDA (nome fantasia: IA Tech)

CNPJ: 42.130.949/0001-56

Marca operacional: ZAP API

Endereço: R. S-1, 12, Quadra 27, Sala B — Parque Cuiabá — Cuiabá/MT — CEP 78.095-426

Email institucional: [email protected]

Encarregado de Proteção de Dados (DPO): [email protected]

Para mensagens enviadas pelo Cliente a destinatários finais via WhatsApp, o Cliente é o controlador dos dados desses destinatários e a ZAP API atua como operadora (Art. 5º, VII, LGPD).

3. Dados coletados

Coletamos as seguintes categorias de dados:

3.1 Dados de cadastro

  • Nome completo, email, telefone, senha (armazenada com hash bcrypt cost 12);
  • Dados de pessoa jurídica (quando aplicável): razão social, CNPJ, endereço de cobrança;
  • Dados de pagamento: processados diretamente pela Stripe / Woovi — a ZAP API não armazena número de cartão de crédito;
  • Tokens de autenticação (Bearer tk_xxx) com hash HMAC-SHA256.

3.2 Dados de uso da Plataforma

  • Logs de acesso (IP, user-agent, timestamp) — guardados conforme Art. 15 do Marco Civil;
  • Eventos da API (endpoint chamado, instância utilizada, status HTTP);
  • Métricas agregadas (contagem de mensagens, instâncias ativas, etc.).

3.3 Dados das mensagens WhatsApp do Cliente

Para que o Serviço funcione, processamos:

  • Número do dispositivo Cliente conectado (E.164);
  • Mensagens enviadas e recebidas (texto, mídia, contatos, localização, status de entrega);
  • Metadados da sessão WhatsApp (token de pareamento, chaves de criptografia Baileys mantidas localmente no servidor para preservar a sessão).

O Cliente é o controlador desses dados perante seus destinatários. Cabe ao Cliente possuir base legal LGPD válida para cada destinatário.

3.4 Dados que NÃO coletamos

  • Dados sensíveis (Art. 5º, II, LGPD): origem racial, religião, opinião política, saúde, vida sexual — não solicitamos esses dados no cadastro;
  • Dados de menores de 18 anos — não permitimos cadastro;
  • Cookies de tracking publicitário cross-site além dos descritos na cláusula 7.

4. Finalidades do tratamento

Cada categoria de dado é tratada para finalidades específicas:

DadoFinalidade
Email, senhaAutenticação, recuperação de conta, notificações operacionais.
Nome, telefone, dados PJEmissão de nota fiscal, comunicação comercial, suporte.
Dados de pagamentoProcessar cobranças (executado pela Stripe / Woovi).
IP, user-agent, logsSegurança, prevenção a fraude, cumprimento do Marco Civil.
Mensagens WhatsAppRoteamento entre o Cliente e o destinatário, retry em falhas, webhooks ao Cliente.
Métricas agregadasOperação técnica (capacidade), faturamento, melhoria do produto.

5. Base legal (Art. 7º LGPD)

O tratamento de dados pessoais pela ZAP API é fundamentado em:

  • Execução de contrato (Art. 7º, V): tudo que é necessário para entregar o Serviço contratado — autenticação, roteamento de mensagens, faturamento, suporte;
  • Cumprimento de obrigação legal (Art. 7º, II): emissão de nota fiscal, retenção de logs do Marco Civil (mínimo 6 meses), retenção fiscal/contábil (5 anos);
  • Legítimo interesse (Art. 7º, IX): prevenção a fraude, segurança da Plataforma, métricas agregadas, melhorias de produto — sempre observando teste de balanceamento conforme Art. 10;
  • Consentimento (Art. 7º, I): comunicações de marketing opcionais, cookies não-essenciais. Pode ser revogado a qualquer momento.

Para mensagens enviadas pelo Cliente aos seus destinatários finais, a base legal aplicável (consentimento, execução de contrato, legítimo interesse, etc.) é responsabilidade exclusiva do Cliente, conforme cláusula 9.4 dos Termos.

6. Compartilhamento e subprocessadores

Para operar o Serviço, compartilhamos dados estritamente necessários com os seguintes subprocessadores:

SubprocessadorFinalidadePaís
Stripe Inc.Processamento de pagamento por cartão de crédito.EUA
WooviProcessamento de pagamento via PIX.Brasil
Hostinger BrasilHospedagem dos servidores de aplicação e banco de dados de produção.Brasil
SolaDriveServidor dedicado ao gateway WhatsApp (Baileys).EUA
ResendEnvio de email transacional (cadastro, recuperação de senha, alertas).EUA
AnthropicGeração de conteúdo SEO interno (não processa dados de Clientes).EUA
Google (Gemini)Geração de conteúdo SEO interno (não processa dados de Clientes).EUA
OpenAIGeração de conteúdo SEO interno (não processa dados de Clientes).EUA
SerpAPIPesquisa de palavras-chave para SEO interno (não processa dados de Clientes).EUA

Os fornecedores Anthropic, Gemini, OpenAI e SerpAPI são utilizados pela ZAP API internamente para gerar conteúdo editorial (blog, SEO). Mensagens dos Clientes e dados de destinatários não são enviados a esses subprocessadores.

Não vendemos, não alugamos e não cedemos dados pessoais a terceiros para fins de marketing. Compartilhamento pode ocorrer mediante ordem judicial, requisição de autoridade competente nos termos da lei, ou para defesa em processo.

7. Cookies e tecnologias similares

Utilizamos cookies para os seguintes fins:

  • Essenciais: autenticação no painel (zap_session, zap_rt) — sem eles a aplicação não funciona;
  • Funcionais: preferência de tema (dark/light), idioma — melhoram a experiência;
  • Analíticos: métricas de uso da home (páginas mais visitadas, taxa de conversão de cadastro);
  • Marketing (opt-in): Meta Pixel e Conversions API próprios, para medir performance de campanhas de aquisição. Pode ser bloqueado nas configurações do navegador.

Você pode gerenciar cookies pelas configurações do seu navegador. O bloqueio de cookies essenciais impedirá o uso do painel.

8. Transferência internacional de dados (Art. 33 LGPD)

Conforme o Art. 33 da LGPD, dados pessoais podem ser transferidos para os países onde estão sediados os subprocessadores listados na cláusula 6 (predominantemente EUA), sob as seguintes garantias:

  • Contratos com cláusulas de proteção de dados equivalentes às exigências da LGPD;
  • Adesão dos subprocessadores a frameworks internacionais reconhecidos (ex. SOC 2, ISO 27001);
  • Minimização do volume de dados pessoais efetivamente transferidos;
  • Dados sensíveis e mensagens dos Clientes permanecem no Brasil (Hostinger);
  • Transferência baseada na hipótese do Art. 33, VII (necessária para execução de contrato) e/ou IX (consentimento específico).

9. Retenção e descarte dos dados

CategoriaPrazo de retençãoBase
Dados de cadastro pós-cancelamento5 anosPrescrição cível (Art. 206 CC)
Dados fiscais / notas fiscais5 anosLegislação tributária
Logs de acesso (IP, user-agent)6 meses (mínimo)Art. 15 Marco Civil
Mensagens WhatsApp processadas30 dias (rolling)Operacional / mínima necessária
Backups do banco de dados30 diasRecuperação de desastre
Trilha de auditoria (admin actions)5 anosCompliance LGPD / governança

Anonimização pós-cancelamento. Ao cancelar a conta, dados que identificam o Cliente (nome, email, telefone) são anonimizados/hasheados em até 30 dias, exceto registros mantidos por força legal (fiscal, Marco Civil). Mensagens são apagadas conforme o cron de retenção (30 dias).

10. Direitos do titular (Art. 18 LGPD)

Como titular de dados, você pode exercer, a qualquer momento, os seguintes direitos:

  • Confirmação de que tratamos dados seus;
  • Acesso aos dados (Art. 18, II) — exportação completa via endpoint self-service no painel;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
  • Portabilidade dos dados a outro fornecedor (formato estruturado);
  • Eliminação dos dados tratados com consentimento (exceto guardas legais);
  • Informação sobre com quem compartilhamos seus dados (vide cláusula 6);
  • Revogação do consentimento a qualquer momento, sem prejuízo do uso anterior;
  • Oposição ao tratamento realizado com fundamento em outras hipóteses de dispensa de consentimento.
Self-service: Os direitos de acesso, portabilidade e eliminação podem ser exercidos diretamente no painel em /dashboard/account — a exportação completa é gerada sob demanda em formato JSON estruturado. Para os demais direitos, contate [email protected] — responderemos em até 15 dias úteis.

11. Segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados:

  • Transporte: TLS 1.3 obrigatório em todas as conexões (HTTPS only);
  • Senhas: hash bcrypt com cost factor 12; nunca armazenadas em texto puro;
  • Tokens de API: hash HMAC-SHA256 com chave de servidor — apenas o prefixo de 12 caracteres fica visível;
  • Webhooks: assinados com HMAC-SHA256 e verificação timing-safe;
  • Autenticação: JWT com refresh rotation; suporte a 2FA (TOTP);
  • Isolamento multi-tenant: queries no banco filtram por companyId em todas as camadas;
  • Backups: diários, encriptados, com retenção de 30 dias;
  • Monitoramento: rate limiting, circuit breaker, alertas de anomalia (acesso de múltiplas redes, tentativas de login);
  • Auditoria: trilha imutável (hash chain) de ações administrativas críticas;
  • Atualizações: dependências mantidas em versões com correções de segurança aplicadas.

Nenhum sistema é 100% impenetrável. Em caso de incidente de segurança com risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados conforme o Art. 48 da LGPD.

12. Encarregado de Proteção de Dados (DPO)

Nosso Encarregado pode ser contatado pelo email [email protected]. Para correspondência postal:

A/C: Encarregado de Dados — ZAP API

PreviusIA Serviço Digital LTDA

R. S-1, 12, Quadra 27, Sala B

Parque Cuiabá — Cuiabá/MT — CEP 78.095-426

13. Crianças e adolescentes

O Serviço não é destinado a menores de 18 anos. Não coletamos intencionalmente dados pessoais de crianças ou adolescentes. Caso identifiquemos cadastro indevido, a conta será cancelada e os dados removidos, sem prejuízo da comunicação à autoridade competente nas hipóteses legais.

14. Alterações desta Política

Esta Política pode ser atualizada periodicamente para refletir mudanças no serviço, na legislação ou em decisões operacionais. Alterações materiais (novos subprocessadores, nova finalidade, mudança de retenção) serão comunicadas por email cadastrado e/ou banner no painel, com antecedência mínima de 15 dias da entrada em vigor.

A data "Última atualização" no topo desta página indica quando foi a última revisão. Versões anteriores podem ser solicitadas ao DPO.

15. Contato e ANPD

Para dúvidas, solicitações ou reclamações sobre privacidade e proteção de dados:

  • DPO ZAP API: [email protected]
  • Suporte geral: [email protected]

Caso não seja possível resolver sua demanda diretamente conosco, você pode encaminhar reclamação à Autoridade Nacional de Proteção de Dados:

  • ANPD — Autoridade Nacional de Proteção de Dados — gov.br/anpd
Última atualização: 12 de maio de 2026← Termos de Uso
ZAP-API

API REST para WhatsApp com webhooks assinados, Meta Pixel/CAPI e compliance LGPD. Sem aprovação da Meta.

Status operacional🇧🇷 Feito no Brasil

Produto

  • Preços
  • Casos de uso
  • Comparativo
  • Trial grátis
  • Dashboard

Recursos

  • Documentação
  • Blog
  • Glossário
  • RSS Feed

Empresa

  • Sobre
  • Imprensa
  • Termos de uso
  • Privacidade
  • Criar conta
  • Login

Contato

  • [email protected]
  • [email protected]
  • Resposta em até 24h úteis
© 2026 ZAP-API — Todos os direitos reservados·CNPJ 42.130.949/0001-56·Termos·Privacidade

Desenvolvido por PreviusIA