Umbra Bot
LGPD

Política de Privacidade

Última atualização: 18 de maio de 2026

Rascunho modelo: Este documento não constitui assessoria jurídica. Consulte um advogado qualificado antes de publicar.

1Escopo e Conformidade com a LGPD

Esta Política de Privacidade descreve como [RAZÃO SOCIAL] (Umbra Bot), inscrita no CNPJ [CNPJ], coleta, usa, armazena, compartilha e protege dados pessoais de acordo com a Lei n.º 13.709/2018 (LGPD), o Marco Civil da Internet (Lei n.º 12.965/2014) e demais normas aplicáveis.

Ao criar uma conta, utilizar a Plataforma ou interagir com qualquer Bot criado por meio do Umbra Bot, você declara ter lido, compreendido e concordado com esta Política. Se não concordar, interrompa o uso imediatamente.

Esta Política aplica-se a: (a) Usuários (operadores de bots, titulares da conta no painel); (b) Compradores (usuários finais que interagem com bots via Telegram); e (c) visitantes do site e do painel web.

2Quem Somos — Controlador dos Dados

O controlador dos seus dados pessoais é:

Razão Social: [RAZÃO SOCIAL]
CNPJ: [CNPJ]
Endereço: [LOGRADOURO, NÚMERO, BAIRRO], [CIDADE]/[UF] — CEP [CEP]
E-mail geral: [E-MAIL DE SUPORTE]

3Encarregado pelo Tratamento (DPO)

Nos termos do art. 41 da LGPD, indicamos como Encarregado pelo Tratamento de Dados Pessoais:

Nome: [NOME DO ENCARREGADO]
E-mail: [E-MAIL DO ENCARREGADO]

O Encarregado é o canal oficial para solicitações de titulares, reclamações e comunicações com a Autoridade Nacional de Proteção de Dados (ANPD).

4Definições (art. 5.º LGPD)

Para os fins desta Política, adotam-se as definições da LGPD:

Dado pessoalInformação relacionada a pessoa natural identificada ou identificável.
Dado sensívelDado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, biometria ou dado de criança/adolescente.
TitularPessoa natural a quem se referem os dados pessoais.
ControladorQuem decide as finalidades e os meios do tratamento — neste caso, o Umbra Bot.
OperadorQuem realiza o tratamento em nome do controlador — ex.: parceiros de infraestrutura.
TratamentoToda operação com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.
ConsentimentoManifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para finalidade determinada.
Base legalHipótese prevista no art. 7.º ou art. 11 da LGPD que autoriza o tratamento.
ANPDAutoridade Nacional de Proteção de Dados — www.gov.br/anpd.

5Quais Dados Coletamos

5.1 Dados do Usuário (operador do bot):

  • Nome completo ou razão social
  • Endereço de e-mail
  • Número de telefone (opcional, para suporte)
  • Dados de faturamento: CPF/CNPJ, endereço de cobrança
  • Token(s) do Telegram Bot cadastrados pelo usuário
  • Dados de pagamento processados pelo gateway — o Umbra Bot não armazena número de cartão nem CVV
  • Logs de acesso: IP de origem, user-agent, data/hora (art. 15 MCI)
  • Preferências e configurações da conta

5.2 Dados do Comprador (usuário final via Telegram):

  • Telegram user ID, primeiro nome, sobrenome (se público), username (se público)
  • Idioma e configurações reportadas pela API do Telegram
  • Histórico de interação com o bot (mensagens, cliques em botões)
  • Dados informados voluntariamente no funil (ex.: nome, e-mail, telefone)
  • Status de compra, valor e gateway utilizado (via webhook do gateway)

5.3 Dados de navegação (painel web):

  • Cookies de sessão e autenticação
  • Dados de desempenho (carregamento de página, erros — via ferramenta de monitoramento)
  • Preferência de tema (claro/escuro)
Não coletamos dados de localização precisa, biometria, nem dados de saúde. O Umbra Bot não lê o conteúdo de conversas privadas que não sejam direcionadas ao bot configurado pelo Usuário.

6De Onde Vêm os Dados

  • Diretamente do titular — no cadastro, configuração da conta e interação com o suporte.
  • API do Telegram — dados do Comprador enviados automaticamente pelo aplicativo Telegram quando o usuário interage com o bot.
  • Gateways de pagamento — confirmações de compra, chargebacks e reembolsos via webhook.
  • Infraestrutura — logs gerados pelos servidores durante o uso da Plataforma.
  • Cookies e tecnologias similares — conforme descrito na Seção 11.

7Dados Pessoais Sensíveis

Em condições normais de operação, o Umbra Bot não coleta nem processa dados pessoais sensíveis (art. 5.º, II, LGPD), tais como dados de saúde, biometria, origem racial ou étnica, convicções religiosas ou políticas.

Se um Usuário configurar seu bot de modo que Compradores insiram espontaneamente dados sensíveis, o Usuário é responsável por obter o consentimento específico do titular (art. 11, I, LGPD) e por comunicar o Umbra Bot para que as medidas de proteção adequadas sejam aplicadas.

O uso da Plataforma para coletar dados sensíveis sem base legal válida é vedado e pode resultar em suspensão imediata da conta.

8Crianças e Adolescentes

A Plataforma é destinada exclusivamente a pessoas com 18 (dezoito) anos ou mais. Não coletamos intencionalmente dados de menores de 18 anos.

Caso identificarmos que dados de menores foram coletados sem o consentimento do responsável legal, procederemos à eliminação imediata, nos termos do art. 14 da LGPD.

Se você é pai, mãe ou responsável e acredita que seu filho forneceu dados à Plataforma, entre em contato com nosso Encarregado: [E-MAIL DO ENCARREGADO].

9Finalidades e Bases Legais

Tratamos dados pessoais com as seguintes finalidades e bases legais (art. 7.º e 11 da LGPD):

FinalidadeDados envolvidosBase legal (LGPD)
Criação e gestão de contaNome, e-mail, senha (hash)Execução de contrato — art. 7.º, V
Autenticação e segurançaIP, user-agent, cookies de sessãoLegítimo interesse — art. 7.º, IX
Processamento de pagamentosDados de faturamento, CPF/CNPJExecução de contrato — art. 7.º, V
Operação dos bots TelegramTelegram ID, mensagens do botExecução de contrato — art. 7.º, V
Entrega de produtos digitaisE-mail, Telegram ID do CompradorExecução de contrato — art. 7.º, V
Remarketing e disparos (quando configurado pelo Usuário)Telegram ID, status de compraConsentimento do Comprador — art. 7.º, I
Suporte ao clienteNome, e-mail, histórico de chamadosLegítimo interesse — art. 7.º, IX
Cumprimento de obrigações legaisDados fiscais, logs de acessoObrigação legal — art. 7.º, II
Prevenção de fraudesIP, padrões de acessoLegítimo interesse — art. 7.º, IX
Comunicações de produto (changelog, manutenções)E-mailLegítimo interesse — art. 7.º, IX
Marketing (newsletters, promoções)E-mailConsentimento — art. 7.º, I
[DECISÃO JURÍDICA — revisar com advogado]: as bases legais acima são uma sugestão baseada nos casos de uso típicos. Confirme cada base com seu advogado antes de publicar.

10Compartilhamento com Terceiros

Não vendemos, alugamos nem cedemos dados pessoais a terceiros para fins comerciais próprios desses terceiros. Compartilhamos dados apenas nas situações abaixo:

  • Provedores de infraestrutura — hospedagem, banco de dados, CDN, monitoramento (atuam como operadores sob contrato de proteção de dados).
  • Gateways de pagamento — dados de faturamento necessários para processar a transação.
  • Telegram — mensagens enviadas pelo bot transitam pela infraestrutura do Telegram conforme os Termos de Serviço do Telegram.
  • Autoridades competentes — quando exigido por lei, ordem judicial ou regulatório (ex.: ANPD, Receita Federal, Polícia Federal).
  • Sucessores empresariais — em caso de fusão, aquisição ou reestruturação, mediante aviso prévio de [PRAZO] dias aos titulares.
[REVISAR COM ADVOGADO]: liste aqui todos os subprocessadores/operadores reais (ex.: Supabase, Vercel, Stripe/MercadoPago, SendGrid etc.) com seus nomes e localização, e assine contratos de Tratamento de Dados (DPA) com cada um deles, conforme exige o art. 39 da LGPD.

11Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias equivalentes para as seguintes finalidades:

TipoFinalidadeDuração
Essenciais / SessãoAutenticação, segurança CSRF, preferência de temaSessão / 30 dias
FuncionaisLembrar idioma, estado do painel (sidebar recolhido)até 1 ano
Analíticos (se habilitados)Métricas de uso anônimas para melhoria do produtoaté 2 anos
Marketing (se habilitados)Campanhas de performance — somente com consentimentoaté 2 anos

Você pode gerenciar ou desabilitar cookies nas configurações do seu navegador. A desativação de cookies essenciais pode impedir o funcionamento correto da Plataforma.

[DECISÃO JURÍDICA]: se você usar cookies de marketing ou analíticos de terceiros (ex.: Google Analytics, Meta Pixel), é obrigatório implementar um banner de consentimento (LGPD + ePrivacy) antes de ativá-los. Consulte seu advogado.

12Transferência Internacional de Dados

Parte da infraestrutura da Plataforma pode estar localizada fora do Brasil. Quando dados pessoais são transferidos para outros países, adotamos as seguintes garantias (art. 33 da LGPD):

  • Cláusulas contratuais padrão de proteção de dados com os fornecedores.
  • Seleção de provedores localizados em países com nível de proteção adequado reconhecido pela ANPD, sempre que disponível.
  • Cláusulas específicas de proteção em todos os contratos com operadores internacionais.

A lista atualizada dos países para os quais dados podem ser transferidos está disponível mediante solicitação ao Encarregado: [E-MAIL DO ENCARREGADO].

13Segurança da Informação

Adotamos medidas técnicas e organizacionais para proteger dados pessoais contra acesso não autorizado, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado:

  • Criptografia em trânsito (TLS 1.2+) e em repouso
  • Armazenamento de senhas com hashing seguro (bcrypt / argon2)
  • Controle de acesso baseado em funções (RBAC) com princípio do menor privilégio
  • Monitoramento contínuo de anomalias e tentativas de invasão
  • Backups regulares com retenção cifrada
  • Revisões periódicas de segurança e atualizações de dependências
  • Autenticação de dois fatores (2FA) disponível para contas de Usuário

Nenhum sistema é 100% seguro. Se você identificar uma vulnerabilidade, comunique-nos imediatamente em [E-MAIL DE DENÚNCIAS].

14Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, seguiremos o protocolo abaixo:

  • Contenção imediata e avaliação do impacto nas primeiras horas.
  • Notificação à ANPD em prazo razoável, conforme a regulamentação vigente (referência: Resolução CD/ANPD n.º 15/2024).
  • Comunicação aos titulares afetados por e-mail ou notificação no painel, descrevendo a natureza do incidente, os dados envolvidos e as medidas tomadas.
  • Registro interno detalhado do incidente e das ações corretivas adotadas.

Para reportar um incidente de segurança: [E-MAIL DE DENÚNCIAS].

15Retenção de Dados

Retemos dados pessoais pelos prazos necessários para cada finalidade:

Categoria de dadoPrazo de retençãoFundamento
Logs de acesso (IP, data/hora)6 mesesArt. 15 MCI (Lei 12.965/2014)
Dados de conta (Usuário ativo)Enquanto a conta estiver ativaExecução do contrato
Dados de conta (após encerramento)Até 5 anosPrazo prescricional civil — art. 206 CC
Dados fiscais e faturamentoAté 10 anosObrigação tributária — art. 195 CTN
Histórico de transaçõesAté 5 anosPrazo prescricional civil
Dados de Compradores (interações)Até 5 anos após última interaçãoLegítimo interesse + prazo prescricional
Comunicações de suporteAté 3 anosLegítimo interesse
Dados de consentimento (opt-in)Enquanto necessário para comprovar o consentimentoArt. 7.º, I LGPD

Findo o prazo aplicável, os dados são eliminados de forma segura ou anonimizados, salvo se houver obrigação legal ou judicial de retenção por período maior.

16Direitos do Titular (art. 18 LGPD)

Como titular de dados pessoais, você tem os seguintes direitos, que podem ser exercidos a qualquer momento pelo canal [E-MAIL DO ENCARREGADO]:

I — ConfirmaçãoSaber se tratamos seus dados pessoais.
II — AcessoObter cópia dos dados pessoais que mantemos sobre você.
III — CorreçãoSolicitar a atualização ou correção de dados incompletos, inexatos ou desatualizados.
IV — Anonimização / Bloqueio / EliminaçãoSolicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
V — PortabilidadeSolicitar a transmissão dos seus dados a outro fornecedor de serviço, observados os segredos comercial e industrial.
VI — Eliminação com consentimentoSolicitar a eliminação de dados tratados com base no consentimento, exceto nos casos previstos no art. 16 da LGPD.
VII — Informação sobre compartilhamentoSaber com quais entidades públicas ou privadas compartilhamos seus dados.
VIII — Negativa de consentimentoSer informado sobre a possibilidade de não fornecer consentimento e as consequências da negativa.
IX — Revogação do consentimentoRetirar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente.
Responderemos às solicitações em até 15 dias corridos. Caso precisemos de mais tempo para solicitações complexas, informaremos o motivo e a previsão de conclusão.

17Comunicações de Marketing e Opt-out

Enviamos comunicações de marketing (newsletters, promoções, novidades do produto) somente para Usuários que manifestaram consentimento expresso.

Para cancelar o recebimento, você pode:

  • Clicar no link de "Cancelar inscrição" presente em qualquer e-mail marketing.
  • Ajustar suas preferências em Painel → Configurações → Notificações.
  • Enviar solicitação ao Encarregado: [E-MAIL DO ENCARREGADO].

Comunicações transacionais (confirmação de compra, alertas de segurança, avisos de manutenção) são enviadas independentemente da preferência de marketing, pois são necessárias para a execução do contrato.

18Quando Esta Política Não se Aplica

Esta Política não se aplica a:

  • Sites, aplicativos ou serviços de terceiros vinculados por meio de links na Plataforma.
  • Bots criados por Usuários que possuam Política de Privacidade própria — o Usuário é o controlador das interações com seus Compradores.
  • Dados tratados exclusivamente pelo Telegram (regidos pelos Termos de Privacidade do Telegram).
  • Dados anonimizados que não possam identificar uma pessoa natural.

O Umbra Bot atua como operador em relação aos dados de Compradores coletados pelos bots dos Usuários, e o Usuário é o controlador dessas informações, devendo manter sua própria Política de Privacidade.

19Direito de Reclamação à ANPD

Você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), caso considere que o tratamento dos seus dados viola a LGPD:

ANPD: www.gov.br/anpd
Formulário: www.gov.br/anpd/pt-br/assuntos/peticoes

Recomendamos que você entre em contato conosco primeiro, pois a maioria das questões pode ser resolvida diretamente. Nosso Encarregado responderá em até 15 dias corridos.

20Alterações desta Política

Reservamo-nos o direito de atualizar esta Política a qualquer momento. Alterações relevantes serão comunicadas com antecedência mínima de 15 (quinze) dias por meio de:

  • Notificação no painel do Usuário.
  • E-mail para o endereço cadastrado na conta.
  • Banner de aviso nesta página.

O uso continuado da Plataforma após a vigência da nova versão constitui aceitação das alterações. Se você não concordar com as mudanças, deverá encerrar sua conta antes da data de entrada em vigor.

Versões anteriores desta Política estão disponíveis mediante solicitação ao Encarregado: [E-MAIL DO ENCARREGADO].

21Contato

Para exercer seus direitos, tirar dúvidas ou reportar qualquer questão relacionada a esta Política, entre em contato com:

Encarregado (DPO): [E-MAIL DO ENCARREGADO]
Suporte geral: [E-MAIL DE SUPORTE]
Suporte Telegram: [LINK DO SUPORTE NO TELEGRAM]
Denúncias: [E-MAIL DE DENÚNCIAS]

Resumo Rápido (TL;DR)

  1. 1Coletamos apenas os dados necessários para operar a Plataforma e prestar suporte.
  2. 2Nunca vendemos seus dados a terceiros.
  3. 3O Comprador interage com o Bot via Telegram — os dados vêm da API do Telegram e são tratados apenas para entregar o serviço.
  4. 4Você pode solicitar acesso, correção, portabilidade ou exclusão dos seus dados a qualquer momento.
  5. 5Guardamos logs por 6 meses (art. 15 MCI); registros fiscais por até 10 anos; demais por 5 anos (prescrição civil).
  6. 6Usamos cookies somente para sessão e preferências — nunca para rastreamento de terceiros sem consentimento.
  7. 7Em caso de incidente, notificamos a ANPD e os titulares afetados dentro de 72 horas.
  8. 8Dúvidas? Fale com nosso Encarregado: [E-MAIL DO ENCARREGADO].