ADV OS, Política de Privacidade

1. Quem somos

O ADV OS é uma plataforma de gestão de relacionamento com clientes voltada para escritórios de advocacia brasileiros. Esta política descreve como tratamos os dados pessoais que você ou seus clientes nos fornecem, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, LGPD).

2. Quais dados coletamos

Coletamos os seguintes dados:

• Do escritório/advogado: nome, e-mail, telefone, número do WhatsApp Business, dados de faturamento.
• Dos leads/clientes do escritório: nome, telefone, mensagens trocadas via WhatsApp, mídias enviadas (foto, áudio, documento), tags, demandas e estágios cadastrados.
• De integração Google Calendar: tokens de acesso OAuth e eventos de agenda criados pelo escritório.
• Operacionais: logs de acesso, IP, user-agent, timestamp de eventos.

3. Base legal e finalidade

Tratamos dados com base em: (i) execução do contrato com o escritório (art. 7º, V LGPD); (ii) consentimento do titular dos dados quando aplicável (art. 7º, I); e (iii) legítimo interesse para segurança e prevenção a fraudes (art. 7º, IX).

Os dados são utilizados exclusivamente para operação do CRM: receber e enviar mensagens via WhatsApp, organizar leads em funil de atendimento, gerar relatórios de produtividade, transcrever áudios, operar o assistente de IA e criar eventos no Google Calendar quando autorizado.

4. Papéis: controlador e operador

O escritório de advocacia é o controlador dos dados dos seus clientes/leads. A ADV OS atua como operador, tratando os dados conforme as instruções do escritório e os termos contratados. A ADV OS é controlador apenas dos dados cadastrais do escritório e dos usuários da plataforma.

5. Compartilhamento com terceiros (subprocessadores)

Para operar a plataforma, compartilhamos dados estritamente necessários com os seguintes subprocessadores:

• Supabase (banco de dados Postgres e autenticação), servidores em São Paulo, Brasil (sa-east-1).
• Cloudflare R2 (armazenamento de mídias: áudios, imagens, documentos), rede global Cloudflare; dados podem residir fora do Brasil.
• Railway (hospedagem da aplicação e workers), servidores nos Estados Unidos (US East).
• UZapi (entrega e recepção de mensagens via WhatsApp), provedor brasileiro; opera via protocolo não-oficial do WhatsApp. O escritório é responsável pelo uso adequado do número cadastrado.
• OpenAI (assistente de IA GPT-4o-mini e transcrição de áudio Whisper), servidores nos Estados Unidos. Dados enviados apenas quando o escritório habilita o assistente de IA ou solicita transcrição de áudio.
• Resend (envio de e-mails transacionais: convites, notificações, autenticação), servidores nos Estados Unidos.
• Google LLC (integração de Google Calendar, quando o usuário conecta sua agenda), servidores nos Estados Unidos.

Não vendemos dados a terceiros. Não usamos dados dos escritórios para treinar modelos de inteligência artificial próprios ou de terceiros.

5.1. Uso da Google API (Google Calendar)

Quando o administrador do escritório autoriza a integração com o Google, a ADV OS solicita acesso aos seguintes escopos da Google API:

• https://www.googleapis.com/auth/calendar.events, criar e gerenciar eventos de agenda do escritório dentro da ADV OS.
• https://www.googleapis.com/auth/calendar.readonly, listar as agendas disponíveis para que o administrador escolha qual receberá os eventos criados.
• https://www.googleapis.com/auth/userinfo.email, identificar o usuário autenticado e associar o token ao usuário correto no sistema multi-tenant.

Divulgação de Uso Limitado (Google API Services User Data Policy, Limited Use):

O uso e a transferência pelo ADV OS de informações recebidas das APIs do Google estão em conformidade com a Política de Dados do Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado.

Especificamente:

• Os dados da Google API são usados exclusivamente para criar, listar e gerenciar eventos de agenda relacionados aos atendimentos do escritório dentro da ADV OS.
• Não transferimos dados da Google API para terceiros, exceto quando estritamente necessário para prestar a funcionalidade ao usuário, cumprir obrigações legais, ou em caso de fusão/aquisição com aviso prévio ao usuário.
• Não usamos dados da Google API para publicidade, segmentação ou venda a terceiros.
• Não usamos dados da Google API para treinar modelos de inteligência artificial generalizados, próprios ou de terceiros.
• Pessoas físicas da ADV OS não acessam dados da Google API, exceto: (i) com consentimento explícito do usuário; (ii) para fins de segurança (investigação de abuso); (iii) para cumprir obrigação legal; ou (iv) para fins de operação interna agregada e desidentificada.
• O administrador pode revogar o acesso a qualquer momento em Configurações → Google Agenda → Desconectar, ou diretamente em myaccount.google.com/permissions. A desconexão remove o token de acesso armazenado na ADV OS. Eventos já criados permanecem na agenda do Google.

6. Transferência internacional

Alguns subprocessadores (Railway, OpenAI, Resend, Google) operam fora do Brasil. As transferências ocorrem com base em cláusulas contratuais padrão e nas políticas de privacidade dos respectivos provedores, garantindo nível de proteção compatível com a LGPD (art. 33, VIII). O banco de dados principal está hospedado em São Paulo (Brasil), minimizando transferências internacionais dos dados mais sensíveis.

7. Retenção

Mantemos os dados enquanto durar a relação contratual com o escritório. Após o encerramento do contrato, os dados são excluídos em até 30 dias, ressalvadas obrigações legais de guarda. Backups técnicos podem reter cópias por até 30 dias adicionais.

Mídias específicas (documentos jurídicos, imagens de identificação vinculadas a contratos assinados) podem ser retidas por prazo superior quando houver base legal (legítimo interesse jurídico ou obrigação legal), conforme descrito na política de retenção disponível em Configurações → Retenção de dados.

8. Segurança

Adotamos medidas técnicas e organizacionais para proteger dados pessoais, incluindo:

• TLS em todas as conexões (em trânsito);
• Criptografia em repouso;
• Isolamento por tenant via Row-Level Security (RLS) no banco de dados;
• Controle de acesso baseado em papéis (owner, advogado, assistente);
• Logs de auditoria com retenção de 7 dias;
• Backups diários automatizados com retenção de 7 dias.

9. Incidente de Segurança

A ADV OS adota práticas e protocolos para prevenir incidentes de segurança envolvendo dados pessoais. Em caso de incidente que possa gerar risco ou dano relevante aos titulares, nos comprometemos a:

• Comunicar os titulares afetados em prazo razoável, com informações sobre a natureza dos dados envolvidos e as medidas adotadas;
• Notificar a Autoridade Nacional de Proteção de Dados (ANPD) conforme previsto no art. 48 da LGPD;
• Adotar imediatamente as medidas técnicas e organizacionais necessárias para conter o incidente e minimizar seus efeitos.

Para reportar suspeitas de incidente de segurança: privacidade@ryba.com.br

10. Direitos do titular (art. 18 LGPD)

Você tem direito a:

• Confirmar a existência de tratamento;
• Acessar os dados;
• Corrigir dados incompletos, inexatos ou desatualizados;
• Solicitar anonimização, bloqueio ou eliminação de dados desnecessários;
• Solicitar portabilidade;
• Revogar consentimento;
• Opor-se a tratamento realizado com base no legítimo interesse.

Para clientes/leads do escritório, o exercício desses direitos deve ser direcionado ao escritório (controlador). Para usuários cadastrados na ADV OS, basta enviar e-mail ao encarregado abaixo.

11. Cookies

Utilizamos cookies estritamente necessários para autenticação e funcionamento da plataforma (sessão de usuário, preferências de interface). Não usamos cookies de rastreamento publicitário ou de terceiros para fins de marketing.

12. Encarregado pelo Tratamento de Dados (DPO)

Contato para dúvidas, solicitações ou reclamações sobre o tratamento de dados pessoais:
E-mail: privacidade@ryba.com.br

13. Alterações

Podemos atualizar esta política a qualquer tempo. A versão vigente sempre estará disponível nesta página, com a respectiva data de atualização. Alterações materiais serão comunicadas por e-mail com antecedência mínima de 15 dias.