Política de privacidade

A Mirellys (“nós”) trata dados pessoais conforme a LGPD (Lei nº 13.709/2018) e as políticas de privacidade da Meta. Operamos como controlador dos dados da sua conta Mirellys e como operador dos dados trocados pelo WhatsApp com seus clientes — você (ou seu cliente proprietário do número) é o controlador desses dados.

Quais dados coletamos

• Conta: nome, e-mail, senha (hash bcrypt 12 rounds), preferências de notificação.
• Pastas conectadas: nome do negócio, telefone, horário de atendimento e credenciais WhatsApp Business Cloud API (cifradas em repouso com AES-256-GCM).
• Conversas: mensagens trocadas via WhatsApp Business Cloud API, incluindo metadados (horário, status de entrega, status de leitura, anexos de mídia armazenados em Cloudflare R2 com URLs pre-signed).
• Notas internas: texto livre da secretária — nunca enviado ao cliente final.
• Logs de auditoria: registros de ações (envio de mensagem, mudança de status, criação/remoção de colaboradoras). Nunca contêm conteúdo de mensagem (PII).

Base legal

Execução de contrato (Art. 7 V da LGPD) para dados da sua conta Mirellys. Dados de terceiros (contatos dos negócios atendidos) são processados sob legítimo interesse do dono do WhatsApp pareado, que declarou ter autorização para gerenciar a comunicação no ato do pareamento.

Compartilhamento com a Meta

Mensagens são enviadas/recebidas através da WhatsApp Business Cloud API. A Meta é sub-operador necessário pro funcionamento do produto. Consulte as WhatsApp Business Messaging Policies e a Política de Privacidade do WhatsApp.

Retenção e residência

Mensagens ficam armazenadas até exclusão explícita pelo usuário (via /account/security) ou exclusão da conta. Logs de auditoria são mantidos por até 180 dias em forma anonimizada (com folder snapshot que sobrevive à exclusão — trilha mínima exigida para cumprimento de obrigação legal). Banco de dados na região sa-east-1 (São Paulo, Brasil); anexos em Cloudflare R2 multi-região.

Seus direitos (Art. 18 da LGPD)

• Acesso e portabilidade: exportação JSON completa dos seus dados via GET /api/export/me (com sessão) ou botão em /account/security.
• Correção: edite dados da conta e pastas diretamente na plataforma.
• Exclusão: remova sua conta em /account/security (digite “EXCLUIR” pra confirmar) ou por e-mail pro DPO. Bubbles são anonimizadas; cascade remove folders, contacts, conversas, templates e tokens.
• Revogação de consentimento: desconectar uma pasta remove os tokens e encerra o processamento daquela WABA.
• Oposição: contato com o DPO abaixo.

Segurança

• Autenticação com bcrypt 12 rounds + 2FA TOTP opcional.
• Access tokens WhatsApp cifrados em repouso (AES-256-GCM).
• Rate limiting em endpoints sensíveis (login, signup, webhook).
• HTTPS obrigatório; HSTS no domínio principal.
• Webhooks da Meta validados via HMAC-SHA256 (X-Hub-Signature-256).

Contato do DPO

Encarregado de proteção de dados: privacidade@mirellys.com

Última atualização: 20 de abril de 2026