KenFlow
Versão 2.0 — minuta preparada para revisão jurídica. Os campos entre colchetes (razão social, CNPJ, endereço, canal do encarregado) precisam ser preenchidos e o texto revisado por um advogado especializado em LGPD antes do lançamento comercial — ver docs/lgpd.md no repositório para o checklist de conformidade completo.

Política de privacidade

Última atualização: 16 de julho de 2026.

Esta política descreve como a KenFlow ([Razão Social], CNPJ [00.000.000/0000-00]) trata dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

1. Controladora e operadora — duas funções distintas

A KenFlow é controladora dos dados da sua própria conta de usuário: nome, e-mail, cargo, preferências, registros de acesso e uso da plataforma. Para esses dados, decidimos a finalidade e os meios do tratamento, e esta política se aplica diretamente.

A KenFlow é operadora dos dados que sua organização insere na plataforma sobre terceiros — contatos, clientes, conversas, negócios, registros financeiros. Nesse caso, quem decide a finalidade do tratamento é a sua organização (controladora desses dados); nós tratamos apenas conforme as instruções dela e nesta política técnica de segurança, nunca para finalidade própria.

2. Dados que coletamos

CategoriaExemplosOrigem
ContaNome, e-mail, cargo, senha (hash, nunca em texto puro)Você, no cadastro
OrganizaçãoRazão social, dados cadastrais informadosVocê/administrador
Uso e sessãoIP, agente de usuário, data/hora de login, dispositivos conectadosAutomaticamente, ao usar a plataforma
Conteúdo inseridoContatos, negócios, conversas, tarefas, anexos, registros financeirosVocê/sua organização (KenFlow é operadora — ver seção 1)
Dados sensíveis de contatosDocumento, data de nascimento, endereço (quando sua organização opta por registrá-los)Sua organização, restrito por permissão específica na plataforma

3. Finalidade e base legal

  • Execução de contrato (Art. 7º, V): criar e manter sua conta, operar a plataforma, autenticação e autorização.
  • Legítimo interesse (Art. 7º, IX): segurança da informação, prevenção a fraude, registros de auditoria, melhoria do produto a partir de métricas agregadas.
  • Cumprimento de obrigação legal/regulatória (Art. 7º, II): retenção de registros exigida por lei (ex.: fiscal, quando aplicável ao módulo financeiro).
  • Consentimento (Art. 7º, I): quando sua organização opta por conectar integrações de terceiros (WhatsApp/Meta, Google Ads, provedores de Inteligência Artificial) que envolvem tratamento adicional — veja a seção 6.

4. Isolamento entre organizações

Cada organização tem seus dados isolados por controle de acesso em nível de linha (Row Level Security) diretamente no banco de dados — nenhuma organização visualiza dados de outra, e essa garantia não depende apenas da interface, mas do próprio banco.

5. Compartilhamento e sub-processadores

Não vendemos dados pessoais. Compartilhamos dados apenas com prestadores estritamente necessários para operar a plataforma, sob contrato e obrigação de confidencialidade:

  • Supabase — banco de dados, autenticação e armazenamento de arquivos.
  • Vercel — hospedagem da aplicação.

Quando sua organização opta ativamente por conectar uma integração (ela nunca vem conectada por padrão), dados relevantes também são processados pelo provedor escolhido — Asaas (cobrança), Meta/WhatsApp Business Platform (mensageria), Google Ads (rastreamento de conversão), ou um provedor de Inteligência Artificial (Anthropic, OpenAI ou Google, conforme configurado). Nesses casos, dados pessoais identificáveis (e-mail, telefone, CPF/CNPJ) são mascarados antes de qualquer chamada a um provedor de IA.

Parte da nossa infraestrutura pode processar dados fora do Brasil. Quando isso ocorre, exigimos garantias contratuais equivalentes às da LGPD dos prestadores envolvidos (Art. 33).

6. Seus direitos como titular (Art. 18 da LGPD)

Você pode, a qualquer momento:

  • Confirmar e acessar seus dados — em Configurações → Perfil.
  • Corrigir dados incompletos ou desatualizados — diretamente na mesma tela.
  • Exportar (portabilidade) os dados da sua organização — exportação CSV disponível nos módulos de CRM, respeitando as permissões de dado sensível já configuradas.
  • Eliminar permanentemente sua organização e todos os dados associados — Configurações → Organização → Zona de perigo. Ação imediata, irreversível e disponível sem necessidade de contato com o suporte. Um registro mínimo da exclusão (data, quem solicitou, nome da organização) é mantido separadamente por exigência de auditoria e segurança, sem conteúdo de negócio.
  • Revogar consentimento de integrações opcionais — desconectando-as em Configurações → Integrações.
  • Solicitar qualquer outro direito do Art. 18 (anonimização, bloqueio, informação sobre compartilhamento, revisão de decisão automatizada) — pelo canal de contato da seção 9. Respondemos em até 15 dias, prorrogáveis conforme a lei.

7. Retenção

Mantemos os dados da sua organização enquanto ela existir na plataforma. Ao excluir a organização (seção 6), os dados são apagados de forma imediata e definitiva, exceto o registro mínimo de auditoria da própria exclusão descrito acima, mantido pelo prazo exigido por obrigações legais/regulatórias aplicáveis. [A definir com a área jurídica: prazos específicos de retenção por categoria de dado — ex.: registros fiscais do módulo financeiro — quando exigidos por lei setorial.]

8. Cookies

Usamos apenas cookies estritamente necessários ao funcionamento da plataforma: um cookie de sessão (autenticação, httpOnly, gerenciado pelo Supabase Auth) e um cookie de organização ativa (também httpOnly). Não usamos cookies de publicidade ou rastreamento de terceiros hoje. Se isso mudar, esta seção será atualizada e um mecanismo de consentimento será adicionado antes da mudança entrar em vigor.

9. Segurança

Aplicamos medidas técnicas e organizacionais proporcionais ao risco: isolamento de dados por organização no próprio banco, criptografia de credenciais de terceiros, autenticação multifator disponível, controle de acesso granular por papel, e registro de auditoria de ações sensíveis. Detalhe técnico completo (para fins de due diligence) disponível mediante solicitação.

10. Encarregado de dados (DPO)

[Nome do encarregado ou canal formal a designar] — contato: [privacidade@kenflow.com.br]. Toda solicitação relacionada a dados pessoais deve ser dirigida a este canal.

11. Alterações desta política

Mudanças relevantes incrementam a versão exibida no topo desta página. Seu aceite fica registrado com a versão vigente no momento do cadastro; recomendamos revisitar esta página periodicamente.