Berdy
Rascunho / modelo. Este é um texto-modelo, adaptado ao funcionamento da Berdy, ainda pendente de revisão por advogado(a) e da assinatura do Adendo de Tratamento de Dados (DPA). Complete os itens entre colchetes (CNPJ, foro, datas) e valide juridicamente antes de publicar como versão vigente.

Política de Privacidade

Última atualização: Julho de 2026 (modelo — pendente de revisão jurídica)

Esta Política de Privacidade explica como a Berdy coleta, usa, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) e o Marco Civil da Internet (Lei nº 12.965/2014). A Berdy é uma caixa de entrada multi-agente para atendimento no WhatsApp, construída sobre a WhatsApp Business Platform (Cloud API) da Meta. Ao criar uma conta e usar a plataforma, você declara ter lido e compreendido esta Política.

1. Quem somos

A Berdy é operada por DEVTRUE TECNOLOGIA LTDA, inscrita no CNPJ nº 37.351.934/0001-88, com sede em Angra dos Reis/RJ. Para tratar de qualquer assunto relacionado a dados pessoais, o canal do Encarregado pela Proteção de Dados (DPO) é contato@berdy.com.br.

2. A quem esta Política se aplica

Esta Política se aplica: (a) aos clientes contratantes da Berdy — as empresas e profissionais que criam uma conta na plataforma — e aos usuários (agentes) que operam a caixa de entrada; e (b) de forma informativa, aos clientes finais dessas empresas, cujas mensagens de WhatsApp transitam pela plataforma. O tratamento dos dados dos clientes finais é feito pela Berdy na condição de operadora, sempre em nome e sob instrução do cliente contratante, que é o controlador desses dados.

3. Papéis: controladora e operadora

A Berdy atua como CONTROLADORA dos dados de conta do cliente (dados de cadastro, cobrança, acesso e uso da plataforma), determinando as finalidades e os meios desse tratamento. A Berdy atua como OPERADORA em relação aos dados que transitam no atendimento — o conteúdo das conversas de WhatsApp e os dados dos contatos dos clientes finais. Esses dados são tratados exclusivamente em nome e conforme as instruções do cliente contratante, que é o CONTROLADOR. As responsabilidades de cada parte nesse tratamento são detalhadas no Adendo de Tratamento de Dados (DPA), parte integrante dos Termos de Uso.

4. Dados que coletamos

Como controladora, coletamos: dados de cadastro do responsável e da empresa (nome, e-mail, senha armazenada de forma cifrada, nome do negócio); dados dos agentes convidados ao espaço de trabalho (nome, e-mail, função); dados de cobrança processados pela Stripe (a Berdy não armazena números de cartão); e registros de acesso e uso (endereço IP, data e hora, ações realizadas na plataforma), retidos por no mínimo 6 meses conforme o art. 15 do Marco Civil da Internet. Como operadora, tratamos, em nome do cliente, o conteúdo das mensagens trocadas via WhatsApp (texto, mídia, localização, contatos), os identificadores e nomes dos contatos dos clientes finais, e metadados dessas conversas (horários, status de entrega, etiquetas e notas internas criadas pelos agentes).

5. Finalidades e bases legais

Tratamos dados de conta para: executar o contrato e prestar o serviço (art. 7º, V, LGPD); processar cobranças e prevenir fraude (art. 7º, V e IX); cumprir obrigações legais e regulatórias, incluindo a guarda de registros de acesso (art. 7º, II); e comunicar avisos operacionais e, com base no legítimo interesse ou consentimento, comunicações sobre produtos e novidades (art. 7º, IX e I). O conteúdo das conversas é tratado, como operadora, apenas para viabilizar o atendimento conforme instrução do cliente controlador — a Berdy não usa esse conteúdo para finalidades próprias nem o comercializa.

6. Compartilhamento e subprocessadores

A Berdy não vende dados pessoais. Compartilhamos dados apenas com os provedores necessários à operação do serviço, na medida do necessário: Meta Platforms (WhatsApp Business Platform / Cloud API) para envio e recebimento das mensagens; Stripe para processamento de pagamentos; e provedores de infraestrutura de nuvem e armazenamento que hospedam a aplicação e as mídias. Também podemos compartilhar dados para cumprir obrigação legal, ordem judicial ou requisição de autoridade competente. Cada subprocessador trata os dados sob contrato e com garantias de segurança compatíveis com a LGPD.

7. Transferência internacional de dados

Alguns subprocessadores (como Meta e Stripe) podem processar dados em servidores localizados fora do Brasil, inclusive nos Estados Unidos. Nessas hipóteses, a transferência internacional observa as bases do art. 33 da LGPD e são adotadas garantias contratuais de proteção equivalentes às previstas na lei brasileira.

8. Retenção e exclusão

Mantemos os dados de conta enquanto a conta estiver ativa e pelo prazo necessário ao cumprimento de obrigações legais, contábeis e de defesa de direitos. Registros de acesso são mantidos por no mínimo 6 meses. O conteúdo das conversas é retido conforme a configuração de retenção definida com o cliente controlador. A Berdy dispõe de rotinas de expurgo por período, exportação de dados e eliminação a pedido — inclusive a exclusão das mídias armazenadas — que podem ser acionadas pelo cliente ou pelo titular, conforme aplicável.

9. Direitos do titular

Nos termos do art. 18 da LGPD, o titular pode solicitar: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade; portabilidade; informação sobre com quem os dados foram compartilhados; e revogação do consentimento. Pedidos relativos a dados tratados no atendimento (dados de clientes finais) devem, em regra, ser dirigidos à empresa controladora que utiliza a Berdy; a Berdy, como operadora, apoia o controlador no atendimento desses pedidos. Para exercer seus direitos, escreva para contato@berdy.com.br.

10. Segurança

Adotamos medidas técnicas e organizacionais para proteger os dados, entre elas: cifragem em repouso das credenciais de acesso ao WhatsApp de cada cliente (AES-256-GCM); armazenamento de senhas com hash (argon2); isolamento lógico dos dados por cliente no banco de dados (Row-Level Security), de forma que uma consulta não alcance dados de outro cliente; trilha de auditoria imutável de ações sensíveis; e controle de acesso por função. As mídias em produção são armazenadas com cifragem em repouso e acesso restrito. Nenhuma medida é infalível, mas trabalhamos continuamente para reduzir riscos.

11. Cookies

O site institucional e a aplicação podem usar cookies e tecnologias similares estritamente necessários ao funcionamento (por exemplo, para manter a sessão autenticada) e, quando aplicável, cookies de medição de audiência. Você pode gerenciar cookies nas configurações do seu navegador; desativar cookies essenciais pode comprometer o uso da plataforma.

12. Dados de crianças e adolescentes

A Berdy é uma ferramenta destinada a empresas e profissionais e não se dirige a crianças e adolescentes. Não coletamos intencionalmente dados de menores de idade como titulares de conta.

13. Alterações nesta Política

Podemos atualizar esta Política para refletir mudanças legais, regulatórias ou operacionais. A versão vigente estará sempre disponível nesta página, com a data da última atualização. Alterações relevantes serão comunicadas por e-mail ou dentro da plataforma; o uso continuado após a vigência implica concordância.

14. Contato e Encarregado (DPO)

Para dúvidas sobre privacidade, para exercer direitos de titular ou para falar com o Encarregado pela Proteção de Dados, escreva para contato@berdy.com.br.