Política de Privacidade - Overchat

Documento SI0001-2511- Política de Privacidade Overchat

1. Objetivo

A presente Política de Privacidade tem como objetivo estabelecer, de forma clara e transparente, como o Overchat, software de chatbot oferecido pela Overlabs Serviços de Tecnologia Ltda., realiza a coleta, o uso, o armazenamento, o compartilhamento e a proteção dos dados pessoais tratados durante a utilização da plataforma.

Este documento visa garantir que todos os usuários compreendam quais informações são tratadas, para quais finalidades, quais são seus direitos previstos na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) e de que maneira podem exercê-los.

Além disso, busca demonstrar o compromisso da Overlabs com a segurança da informação, a privacidade e a proteção dos dados, adotando práticas e controles alinhados às melhores normas de mercado e aos princípios legais aplicáveis.

2. Abrangência

Esta Política de Privacidade aplica-se a todos os usuários, clientes, visitantes, colaboradores, parceiros e demais indivíduos que interajam com o Overchat, software de chatbot disponibilizado pela Overlabs Serviços de Tecnologia Ltda., independentemente do meio de acesso utilizado (web, aplicativos, integrações API ou outros canais digitais).

A abrangência deste documento contempla:

• Todas as operações de tratamento de dados pessoais realizadas pelo Overchat, incluindo coleta, uso, armazenamento, compartilhamento e eliminação.
• Todos os módulos, funcionalidades, integrações e fluxos de atendimento oferecidos pelo software, seja em versões gratuitas, comerciais, privadas ou de uso interno.
• Dados tratados em nome dos clientes corporativos da Overlabs, no contexto da prestação de serviços SaaS (Software as a Service).
• Processamento de dados executado por terceiros contratados para suportar o funcionamento do Overchat, quando atuarem como operadores em nome da Overlabs.
• Usuários localizados no Brasil ou no exterior, sempre que seus dados forem tratados por infraestruturas ou serviços controlados pela Overlabs ou por seus parceiros.

Esta Política não se aplica a produtos, serviços, sites ou aplicações de terceiros que, eventualmente, se integrem ao Overchat, sendo tais ambientes regidos por seus próprios termos e políticas.

3. Princípios da Segurança da Informação e LGPD

• Finalidade e adequação: Tratamento de dados limitado às necessidades do produto ou serviço contratado.
• Minimização de dados: Coleta apenas do mínimo necessário para atingir os objetivos do serviço.
• Transparência e consentimento: Clareza quanto ao uso dos dados e obtenção de consentimento sempre que necessário.
• Segurança e prevenção: Proteção contra acessos não autorizados, vazamentos, destruição ou perda.
• Responsabilização e prestação de contas: Demonstração de conformidade com a LGPD.

4. Controlador/Operador dos Dados e DPO

Para fins da LGPD, a Overlabs atua:

• Controlador de Dados: Os clientes da OVERLABS, quando utilizam os sistemas para tratar dados pessoais próprios.
• Operadora de Dados: OVERLABS, nos casos de tratamento de dados sob instrução dos clientes (SaaS).
• Encarregado (DPO): Responsável pelo atendimento aos titulares e à ANPD:
  Tecnologia: Alexandre Bonnassis
  Jurídico : Rosana Monteiro
  e-mail: DPO@overlabs.com
• Colaboradores: Devem atuar com ética, sigilo e responsabilidade no manuseio de informações.

5. Tratamento de Dados Pessoais

• Dados pessoais tratados em nome de clientes devem ser armazenados com criptografia.
• Deve-se garantir que dados em ambientes de homologação e testes sejam anonimizados.
• A empresa atuará como operadora nos casos em que os dados pessoais forem tratados por ordem de seus clientes (controladores), conforme a LGPD.

5.1. Dados Pessoais Coletados

Dados do Cliente (Administrador da conta)

• Nome completo
• E-mail corporativo
• Telefone
• Empresa e cargo
• Dados de faturamento (CNPJ, endereço, POC)
• Dados de login e autenticação (ID de usuário, logs)

Dados dos Usuários Finais (interações no chatbot)

Dependem do uso definido pelo cliente e podem incluir:

• Mensagens enviadas ao chatbot
• Nome, e-mail ou identificadores fornecidos no diálogo
• Dados técnicos: IP, navegador, dispositivo, horário de acesso
• Cookies (se aplicável)

Responsabilidade do Cliente (Controlador do Uso Final)

O cliente:

• Define quais dados pessoais serão tratados no chatbot
• Deve informar os usuários finais e fornecer seu próprio Aviso de Privacidade
• É responsável por integrações, regras de coleta e conteúdo das interações
• Deve garantir conformidade com a LGPD no uso da plataforma

A coleta de Dados sempre observará aos Princípios da Minimização de dados e Finalidade/Adequação

6.0. Finalidade do Tratamento

Tratamos Dados Pessoais para:

6.1. Operação do Serviço

• Autenticação e acesso à plataforma
• Processamento das mensagens enviadas ao chatbot
• Funcionamento dos algoritmos de IA
• Monitoramento e detecção de falhas

6.2. Suporte e Relacionamento Comercial

• Atendimento técnico
• Comunicação administrativa
• Emissão de notas fiscais

6.3. Segurança da Informação

• Logs de auditoria
• Prevenção a fraudes
• Detecção de atividades suspeitas
• Controle de acesso

6.4. Aperfeiçoamento do Produto

• Análises agregadas e anonimizadas
• Indicadores de uso
• Diagnósticos de performance

Nunca utilizamos dados pessoais para treinamento de modelos sem autorização do cliente.

7.0. Bases Legais Utilizadas

O tratamento é realizado conforme os arts. 7 e 11 da LGPD, incluindo:

• Execução de contrato (art. 7º, V)
• Cumprimento de obrigação legal (art. 7º, II)
• Legítimo interesse (art. 7º, IX) com avaliação de impacto, quando aplicável
• Consentimento (art. 7º, I), apenas quando exigido para funcionalidades opcionais

8.0. Compartilhamento de dados

Os dados podem ser compartilhados com:

• Provedores de nuvem da Overlabs (ambientes computacionais e containers)
• Prestadores de serviços contratados (monitoramento, suporte, analytics)
• Autoridades públicas, mediante obrigação legal ou ordem judicial
• Parceiros integradores, quando autorizado pelo cliente

A Overlabs não comercializa, aluga ou vende dados pessoais.

9.0. Retenção e Eliminação de dados

• Prazo mínimo e finalidade
  - Os dados só podem ser armazenados enquanto forem necessários para a finalidade informada no momento da coleta.
  - Depois disso, devem ser eliminados ou anonimizados, salvo obrigações legais.
• Obrigações legais que exigem retenção
  - Dados fiscais e trabalhistas: 5 a 10 anos (conforme legislação tributária e CLT).
  - Contratuais e contábeis: até 5 anos ou mais, dependendo do tipo de documento.
• Divulgação de dados
  - Só pode ocorrer com base legal válida
  - Divulgar dados pessoais indevidamente pode gerar penalidades.
• Eliminação
  - O titular pode requerer a exclusão dos dados, e a empresa deve atender, salvo se houver base legal para mantê-los.

10.0. Segurança da Informação

A Overlabs adota medidas técnicas e organizacionais para proteção dos dados, incluindo:

• Criptografia em trânsito (TLS 1.2+) e em repouso
• Segregação de ambientes e tenants
• Logs e trilhas de auditoria
• WAF, IPS/IDS, Anti-DDoS
• Backup seguro e replicação
• Monitoramento contínuo (SIEM/SOAR)
• Políticas alinhadas às normas ISO/IEC 27001, 27017, 27018, 27701

O cliente é responsável por configurar acessos à sua instância e gerenciar dados inseridos pelos usuários.

10.1. Gestão de Incidentes

A organização manterá processos e procedimentos atualizados para identificação, tratamento, comunicação e investigação de incidentes de segurança da informação, incluindo fraudes internas e externas. Estes processos serão conduzidos pelas equipes designadas abaixo, em conformidade com o Procedimento de Resposta a Incidentes

10.2 Obrigatoriedade de Comunicação

• Incidentes devem ser comunicados imediatamente à equipe de segurança CISO.
• Ao encarregado de dados DPO no caso de vazamento de Dados Pessoais de Clientes
• Comunicação formal a clientes afetados ocorrerá obrigatoriamente em consonância com as normas estabelecidas pela ANPD, quando aplicável, dentro dos prazos legais.

11.0. Direitos dos Titulares

Conforme os arts. 18 e 20 da LGPD, o titular pode solicitar:

• Confirmação de tratamento
• Acesso aos dados
• Correção
• Anonimização, bloqueio ou eliminação
• Portabilidade
• Informação sobre compartilhamento
• Revogação de consentimento
• Oposição quando cabível

Solicitações devem ser enviadas ao Encarregado (DPO) pelo e-mail: direitotitulares-overchat@overlabs.com

12.0. Transferência Internacional

A Overlabs pode armazenar ou processar dados em data centers localizados no Brasil ou no exterior, sempre garantindo:

• Países com nível adequado de proteção
• Transferências baseadas em cláusulas contratuais
• Medidas técnicas de segurança equivalentes
• Consentimento específico do titular após ser informado sobre a transferência e os riscos envolvidos.
• Para cumprir obrigação legal, contratual ou regulatória, ou em casos de cooperação jurídica internacional.

13.0. Uso de Cookies e Tecnologias de Rastreamento

O chatbot e seu painel administrativo podem utilizar cookies para:

• Lembrar preferências
• Garantir autenticação
• Gerar métricas de uso
• Melhorar a experiência do usuário

Cookies não essenciais podem ser desativados pelo usuário (ou pelo administrador, no caso do SaaS).

14.0. Contratos com Clientes e Terceiros

• Inclusão de cláusulas de proteção de dados e confidencialidade nos contratos com clientes, parceiros e subcontratados.
• Terceiros devem ser auditados quanto à conformidade com esta política e com a LGPD.

15.0. Sanções e Penalidades

O descumprimento desta política poderá resultar em medidas disciplinares, incluindo término contratual com as devidas responsabilizações jurídicas, conforme o caso. Violações à LGPD também poderão gerar sanções da ANPD.

16.0. Revisão e Atualização

Podemos atualizar esta Política periodicamente. A versão vigente estará sempre disponível no site da Overlabs/Overchat. Mudanças relevantes serão comunicadas ao cliente via e-mail ou dashboard.