Política de Privacidade

Esta Política descreve como a Flashbox trata dados pessoais na plataforma Flashbox Hub e em seus canais (incluindo este site), em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD) e demais normas aplicáveis. Nosso compromisso é tratar dados de forma lícita, transparente, segura e estritamente necessária às finalidades descritas abaixo.

1. Objetivo

Esta Política tem por objetivo informar titulares de dados — clientes, usuários, contatos comerciais e demais pessoas cujos dados tratamos — sobre quais dados pessoais coletamos, com quais finalidades, com base em quais fundamentos legais, com quem compartilhamos, por quanto tempo retemos e como exercer seus direitos previstos na LGPD.

2. Quem somos

A plataforma Flashbox Hub e este site são operados por FLASHBOX TECNOLOGIA LTDA, sociedade inscrita no CNPJ sob o nº 59.893.021/0001-26, com sede na Av. Paulista, nº 1.106, Sala 01, 16º andar, Bela Vista, São Paulo/SP (“Flashbox”, “nós”).

O Flashbox Hub é uma plataforma multiempresa (multi-tenant) de inteligência artificial corporativa, que reúne em um único lugar agentes, fluxos de trabalho, base de conhecimento, geração e edição de documentos, tabelas e integrações com sistemas da organização contratante.

3. A quem esta Política se aplica

Esta Política se aplica ao tratamento de dados pessoais de:

• Usuários da plataforma — pessoas autorizadas por uma organização contratante a acessar o Flashbox Hub;
• Contatos comerciais — pessoas que nos procuram por este site (por exemplo, pelo formulário de contato) ou por outros canais;
• Clientes finais das organizações contratantes — pessoas que interagem com agentes ou canais públicos configurados por uma organização cliente (nesse caso, atuamos como operadora — ver Seção 5).

4. Definições

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
• Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico, entre outros previstos na LGPD.
• Titular: pessoa natural a quem se referem os dados pessoais.
• Tratamento: qualquer operação com dados pessoais, como coleta, uso, acesso, armazenamento, compartilhamento ou eliminação.
• Controladora: quem decide sobre as finalidades e os meios do tratamento.
• Operadora: quem trata dados pessoais em nome e segundo as instruções da controladora.
• Encarregado (DPO): pessoa indicada como canal de comunicação entre a Flashbox, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
• Organização (ou cliente): empresa contratante que disponibiliza o Flashbox Hub aos seus usuários.
• BYOK (Bring Your Own Key): modelo em que a organização utiliza suas próprias chaves de API junto a provedores de inteligência artificial — ver Seção 9.

5. Nosso duplo papel: controladora e operadora

Pela natureza multiempresa do Flashbox Hub, atuamos sob dois papéis distintos, e é importante entender qual se aplica a cada tipo de dado:

5.1. Quando somos controladora

Decidimos sobre o tratamento dos dados necessários para operar o serviço e nos relacionar com você — por exemplo: dados de cadastro e autenticação de usuários, dados de contatos comerciais, registros de acesso, métricas de uso para faturamento e segurança, e comunicações conosco.

5.2. Quando somos operadora

Em relação ao conteúdo que a organização contratante insere e processa na plataforma — documentos, mensagens de chat, bases de conhecimento, arquivos conectados, tabelas, e dados de clientes finais coletados por agentes públicos da organização — atuamos como operadora, tratando esses dados em nome e segundo as instruções da organização, que é a controladora desses dados.

6. Dados que tratamos

6.1. Dados de cadastro e autenticação

Nome, endereço de e-mail e credenciais de acesso. O acesso ao Flashbox Hub é concedido por convite da organização contratante (não há cadastro público). A autenticação é feita por e-mail e senha ou por login federado (OAuth) por meio de um provedor de identidade; nesse caso, recebemos do provedor seu e-mail, nome e identificador de conta. Senhas são geridas de forma segura por nosso provedor de identidade e não temos acesso a elas em texto legível.

6.2. Dados de contatos comerciais

Quando você nos contata por este site, coletamos as informações que você fornece — por exemplo, nome, e-mail, telefone e nome da empresa — para retornar o contato e avaliar uma eventual parceria.

6.3. Dados de uso e técnicos

Registros de acesso e de atividade na plataforma (data, hora, ações realizadas), endereço IP, informações de dispositivo e navegador, e métricas agregadas de uso — como volume de processamento por organização — utilizadas para faturamento, aplicação de limites, segurança e melhoria do serviço. Como regra, registramos métricas e metadados, e não o conteúdo das mensagens.

6.4. Conteúdo fornecido pela organização (tratado como operadora)

Documentos enviados ou gerados, mensagens de chat e de agentes, bases de conhecimento, tabelas, arquivos acessados por conectores e dados de clientes finais coletados por canais públicos (que podem incluir nome, e-mail, telefone e o conteúdo das conversas). Esses dados são tratados conforme a Seção 5.2.

6.5. Credenciais de integração e chaves de IA

Chaves de API de provedores de inteligência artificial (modelo BYOK) e tokens de autorização de conectores de serviços de terceiros integrados pela organização. Essas credenciais são armazenadas de forma cifrada (criptografia AES-256-GCM) e usadas exclusivamente para executar as funcionalidades solicitadas.

7. Finalidades e bases legais

Tratamos dados pessoais para as seguintes finalidades, com as respectivas bases legais da LGPD:

• Fornecer e operar a plataforma (autenticação, processamento de funcionalidades, suporte) — execução de contrato (art. 7º, V).
• Faturamento, controle de limites e prevenção a fraudes/abuso — execução de contrato e legítimo interesse (art. 7º, V e IX).
• Segurança da informação, registros de auditoria e integridade do serviço — legítimo interesse e cumprimento de obrigação legal (art. 7º, II e IX).
• Atendimento a contatos comerciais e comunicação com clientes — procedimentos preliminares a contrato e legítimo interesse (art. 7º, V e IX).
• Cumprimento de obrigações legais e regulatórias e exercício de direitos em processos — cumprimento de obrigação legal e exercício regular de direitos (art. 7º, II e VI).
• Tratamento de conteúdo da organização — realizado como operadora, conforme as instruções e a base legal definidas pela organização controladora (Seção 5.2).

Não realizamos tratamento de dados pessoais sensíveis como atividade-fim. Caso uma organização insira tais dados em conteúdo na plataforma, ela permanece responsável, como controladora, pela base legal adequada.

8. Compartilhamento e subprocessadores

Não vendemos dados pessoais. Compartilhamos dados apenas na medida necessária para operar o serviço, com prestadores que atuam como operadores, sob obrigações contratuais de confidencialidade e segurança. Esses prestadores enquadram-se nas seguintes categorias:

• Infraestrutura de nuvem e hospedagem — hospedagem e entrega da aplicação web e dos serviços de back-end.
• Banco de dados, autenticação e armazenamento de arquivos.
• Orquestração e agendamento de fluxos e tarefas.
• Serviços conectados pela organização — quando a organização autoriza a integração com serviços de terceiros, no escopo de acesso por ela concedido.
• Provedores de inteligência artificial — no modelo BYOK descrito na Seção 9.

Por transparência e flexibilidade, não nomeamos publicamente cada fornecedor, que pode variar ao longo do tempo. A relação dos subprocessadores então vigentes pode ser solicitada a qualquer momento pelo e-mail contato@flashboxlabs.com.

Também poderemos compartilhar dados com autoridades públicas quando exigido por lei, ordem judicial ou para exercício regular de direitos, e com terceiros em caso de reorganização societária, sempre preservando a confidencialidade e a finalidade originais.

9. Inteligência artificial e o modelo BYOK

O Flashbox Hub opera, como regra, no modelo BYOK (Bring Your Own Key): a organização contratante utiliza suas próprias chaves de API junto aos provedores de inteligência artificial. Isso significa que:

• Quando uma funcionalidade de IA é acionada, o conteúdo necessário (por exemplo, o texto de uma conversa ou de um documento) é enviado ao provedor de IA usando a chave e a conta da própria organização, sendo aquele tratamento regido também pelos termos e pela política de privacidade do respectivo provedor.
• A Flashbox não desenvolve nem treina modelos de IA próprios e não utiliza o conteúdo das organizações para essa finalidade. O processamento ocorre por meio das APIs dos provedores que, conforme seus próprios termos de uso para API, não empregam os dados enviados por API para treinar seus modelos.
• A chave de API e os custos de uso do provedor de IA são de responsabilidade da organização. As chaves são armazenadas de forma cifrada e usadas somente para executar as solicitações da própria organização.

10. Transferência internacional de dados

Alguns dos subprocessadores listados na Seção 8 podem armazenar ou processar dados em servidores localizados fora do Brasil (por exemplo, nos Estados Unidos). Nesses casos, adotamos salvaguardas compatíveis com a LGPD — como cláusulas contratuais e compromissos de segurança — para assegurar nível adequado de proteção aos dados transferidos, nos termos dos arts. 33 e seguintes da LGPD.

11. Cookies e tecnologias similares

Utilizamos cookies estritamente necessários ao funcionamento da plataforma — principalmente para autenticar sua sessão e manter você conectado com segurança. Esses cookies são essenciais e não podem ser desativados sem comprometer o uso do serviço.

Atualmente não utilizamos cookies de publicidade nem rastreadores de marketing. Caso passemos a empregar ferramentas de análise de uso ou cookies não essenciais, atualizaremos esta Política e, quando exigido, solicitaremos seu consentimento previamente.

12. Segurança da informação

Adotamos medidas técnicas e organizacionais para proteger os dados, entre as quais:

• Criptografia dos dados em trânsito (TLS) e criptografia em repouso para credenciais e segredos (AES-256-GCM);
• Isolamento entre organizações (multi-tenant), com escopo por organização e por área de trabalho aplicado tanto na aplicação quanto no banco de dados;
• Controles de acesso por papel e princípio do menor privilégio;
• Registros de auditoria de ações relevantes;
• Monitoramento e práticas de desenvolvimento seguro.

Nenhum sistema é totalmente imune a riscos; em caso de incidente de segurança relevante, adotaremos as medidas cabíveis e faremos as comunicações exigidas pela LGPD à ANPD e aos titulares afetados.

13. Retenção e eliminação de dados

Mantemos os dados pessoais apenas pelo tempo necessário às finalidades para as quais foram coletados, e pelos prazos exigidos por obrigações legais, regulatórias ou para exercício de direitos. Em regra:

• Dados de conta e de uso são mantidos enquanto durar a relação com a organização contratante;
• Conteúdo tratado como operadora segue as instruções e os prazos definidos pela organização controladora, sendo devolvido ou eliminado ao término do contrato, conforme acordado;
• Dados de contatos comerciais são mantidos pelo tempo necessário ao relacionamento e enquanto houver interesse legítimo na comunicação.

Cópias em backups podem persistir por período adicional limitado, sendo posteriormente sobrescritas ou eliminadas de forma segura.

14. Direitos do titular

Nos termos do art. 18 da LGPD, você pode solicitar, a qualquer tempo:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
• Portabilidade dos dados, observados os segredos comercial e industrial;
• Eliminação dos dados tratados com base no consentimento;
• Informação sobre o compartilhamento de dados;
• Informação sobre a possibilidade de não consentir e as consequências da negativa;
• Revogação do consentimento e oposição a tratamento em desacordo com a LGPD.

Para exercer seus direitos, escreva para contato@flashboxlabs.com. Quando o pedido se referir a conteúdo no qual atuamos como operadora (Seção 5.2), poderemos encaminhá-lo à organização controladora e auxiliá-la no atendimento. Podemos solicitar informações para confirmar sua identidade antes de atender à solicitação.

15. Dados de crianças e adolescentes

O Flashbox Hub é um produto corporativo (B2B), não direcionado a crianças e adolescentes, e não coleta intencionalmente dados de menores. Caso identifiquemos tratamento indevido nesse sentido, adotaremos as providências para eliminá-lo.

16. Alterações desta Política

Esta Política poderá ser atualizada periodicamente para refletir mudanças legais, técnicas ou de negócio. A versão vigente estará sempre disponível nesta página, com a data de última atualização indicada no topo. Alterações relevantes serão comunicadas pelos canais apropriados.

17. Contato e Encarregado (DPO)

Para dúvidas, solicitações ou exercício de direitos relativos a esta Política e ao tratamento de dados pessoais, fale com nosso Encarregado pelo Tratamento de Dados Pessoais (DPO):

• Controladora: FLASHBOX TECNOLOGIA LTDA — CNPJ 59.893.021/0001-26
• Endereço: Av. Paulista, nº 1.106, Sala 01, 16º andar, Bela Vista, São Paulo/SP
• E-mail: contato@flashboxlabs.com

Caso entenda que sua solicitação não foi adequadamente atendida, você pode contatar a Autoridade Nacional de Proteção de Dados (ANPD) pelos canais oficiais do órgão.