Grapevine Grapevine

Política de Privacidade, Termos de Uso e Cookies

Última atualização: 12 de maio de 2026

Este documento descreve como a Grapevine coleta, utiliza, armazena, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) e com as políticas da Meta para uso da WhatsApp Business API.

1.Política de Privacidade

1.1Quem somos e contato

Grapevine é uma plataforma de automação de conversas e gestão de contatos (CRM) integrada à WhatsApp Business API. Para qualquer questão relacionada a privacidade, dados pessoais ou exercício de direitos, entre em contato pelo email hello@grapevinehq.io.

1.2Dados coletados

Dados de usuários da plataforma

  • Nome, email e avatar de perfil
  • Senha, armazenada exclusivamente em formato de hash (bcrypt)
  • Papel/função do usuário dentro da organização
  • Preferências de idioma, fuso horário e notificações

Dados de login externo

  • Login com Google (Google OAuth) — quando o usuário opta por entrar com sua conta Google, recebemos: email, nome, avatar e identificador único do provedor. Não recebemos senha do Google.
  • Login com Facebook (Meta) para WhatsApp Embedded Signup — o login com Facebook na Grapevine não serve para autenticar o usuário na plataforma. Ele é utilizado exclusivamente no fluxo de Embedded Signup da Meta para que o usuário autorize a Grapevine a conectar-se à sua conta WhatsApp Business Account (WABA). Nesse fluxo, recebemos da Meta apenas: identificadores da conta WABA, identificadores dos números de telefone autorizados e um token de acesso técnico. Não solicitamos nem armazenamos dados de perfil pessoal do Facebook.

Dados de dispositivo e sessão

  • Endereço IP da conexão
  • User agent (navegador, sistema operacional, tipo de dispositivo)
  • Geolocalização aproximada derivada do IP (cidade, região e país)
  • Datas e horários de login e atividade
  • Status de conexão em tempo real (online, ocupado, ausente)

Dados oriundos da integração com WhatsApp Business API

  • Números de telefone, nomes de exibição e avatares dos contatos
  • Conteúdo das mensagens trocadas (texto, imagens, áudios, vídeos, documentos, localização e contatos compartilhados)
  • Metadados de entrega: data/hora, status (enviado, entregue, lido, falha)
  • Anexos de mídia armazenados em provedor de armazenamento (Cloudflare R2)
  • Tokens de acesso da WhatsApp Business Account, mantidos criptografados em camada de aplicação

Dados de CRM (contatos e leads)

  • Telefone, email, nome, avatar e país do contato
  • Atributos customizados definidos pelo cliente
  • Histórico de conversas, notas, etiquetas e estágios de funil

1.3Como os dados são utilizados

Tratamos dados pessoais com as seguintes finalidades e bases legais (LGPD, art. 7º e 11):

  • Execução de contrato — operar a plataforma, autenticar usuários, sincronizar conversas e contatos do WhatsApp, processar webhooks e habilitar funcionalidades de CRM.
  • Legítimo interesse — segurança da aplicação, prevenção a fraudes, registros de auditoria, melhoria do produto a partir de métricas agregadas.
  • Consentimento — para usos opcionais como transcrição automática de áudio por inteligência artificial (quando ativada pelo cliente) e comunicações de marketing.
  • Obrigação legal e regulatória — retenção mínima de registros exigida pelo Marco Civil da Internet e por legislação fiscal.

1.4Armazenamento dos dados

  • Banco de dados PostgreSQL — armazena dados estruturados (contas, contatos, mensagens, configurações).
  • Cloudflare R2 — armazena anexos de mídia, avatares e arquivos exportados, isolados por tenant.
  • Redis — cache de sessão e filas temporárias.
  • Senhas são armazenadas como hash bcrypt e não podem ser recuperadas. Tokens de integração com a Meta são criptografados em camada de aplicação.
  • Todo o tráfego entre o usuário, a plataforma e seus sub-processadores ocorre sobre TLS (HTTPS).

1.5Compartilhamento e sub-processadores

A Grapevine não vende dados pessoais. Compartilhamos dados estritamente com os sub-processadores abaixo, e apenas no que é necessário para entregar o serviço:

Sub-processador Finalidade Dados envolvidos
Meta Platforms, Inc. WhatsApp Business API e Embedded Signup (Facebook Login) Telefones, mensagens, mídias, metadados de entrega, identificadores da WABA
Google LLC Login com Google (OAuth) e fontes web Email, nome, avatar e providerId
Resend Envio de emails transacionais (verificação, redefinição de senha, convites) Email, nome e conteúdo das mensagens transacionais
Cloudflare R2 Armazenamento de anexos, avatares e arquivos exportados Arquivos enviados em conversas e exportações
OpenAI (opcional) Transcrição automática de áudio, quando ativada pelo cliente Conteúdo de áudio submetido para transcrição

Webhooks configurados pelo cliente recebem os eventos da plataforma com os dados que o próprio cliente optou por integrar. Nesses casos, o cliente é o controlador da integração de destino.

1.6Retenção

  • Sessões e tokens de autenticação — removidos automaticamente após 7 dias da expiração.
  • Tokens de redefinição de senha e convites — removidos automaticamente após 7 dias da expiração ou utilização.
  • Dados de conta, contatos e conversas — mantidos enquanto a conta estiver ativa e por período adicional necessário ao cumprimento de obrigações legais.
  • Exclusão sob demanda — o titular pode solicitar a exclusão a qualquer momento por meio do procedimento descrito em Instruções para exclusão de dados.

1.7Segurança

  • Senhas armazenadas como hash bcrypt; nunca em texto puro.
  • Tokens de integração com a Meta criptografados em camada de aplicação.
  • Webhooks de saída assinados com HMAC-SHA256 para garantir autenticidade.
  • Tráfego protegido por TLS (HTTPS) em todas as interfaces públicas.
  • Controle de acesso baseado em papéis e isolamento por tenant.
  • Registros de auditoria de eventos sensíveis.

Apesar das medidas adotadas, nenhuma plataforma é absolutamente invulnerável. Em caso de incidente de segurança que afete dados pessoais, comunicaremos os titulares e a ANPD nos termos da LGPD.

1.8Direitos do titular

Nos termos do artigo 18 da LGPD, o titular pode solicitar:

  • Confirmação da existência de tratamento
  • Acesso aos dados pessoais
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
  • Portabilidade dos dados
  • Eliminação dos dados tratados com base em consentimento
  • Informação sobre entidades públicas e privadas com as quais os dados são compartilhados
  • Informação sobre a possibilidade de não fornecer consentimento e suas consequências
  • Revogação do consentimento
  • Oposição a tratamento realizado com base em outras hipóteses legais
  • Revisão de decisões automatizadas

Para exercer qualquer um desses direitos, envie um email para hello@grapevinehq.io identificando-se como titular e descrevendo a solicitação. Responderemos em até 15 dias úteis.

1.9Integração com WhatsApp Business API

A Grapevine integra-se diretamente com a WhatsApp Business API da Meta. Ao conectar uma conta WhatsApp Business à plataforma, o cliente reconhece que:

  • O uso do serviço está sujeito às Políticas Comerciais do WhatsApp e à Política de Mensagens do WhatsApp Business .
  • O cliente é o controlador dos contatos e do conteúdo das conversas. A Grapevine atua como operador (processador de dados) em nome do cliente, conforme art. 5º, VII da LGPD.
  • É responsabilidade do cliente possuir base legal adequada para comunicar-se com os contatos e tratar suas mensagens — incluindo, quando aplicável, consentimento prévio e expresso.
  • Conteúdo de mensagens é tratado exclusivamente para entrega do serviço e não é utilizado pela Grapevine para outros fins.

Tratamento dos dados de mensagens

Mensagens recebidas e enviadas pelo WhatsApp são processadas pela plataforma para entrega, sincronização entre dispositivos, exibição no CRM, indexação para busca interna do cliente e disparo de webhooks configurados. Não compartilhamos conteúdo de mensagens com terceiros além dos sub-processadores listados acima, e apenas no mínimo necessário para operação.

1.10Consentimento

Ao criar uma conta na Grapevine, o usuário confirma que leu e aceita esta Política de Privacidade e os Termos de Uso. Em fluxos opcionais — como conexão de uma WABA, importação de contatos por CSV ou ativação de transcrição por IA — o consentimento é coletado de forma específica na própria interface da plataforma. O consentimento pode ser revogado a qualquer momento pelos canais descritos na seção 1.8.

2.Termos de Uso

2.1Aceitação

Estes Termos regulam o uso da plataforma Grapevine. Ao criar uma conta, acessar ou utilizar o serviço, o usuário declara ter lido, compreendido e aceito integralmente estes Termos e a Política de Privacidade. Se não concordar, não utilize o serviço.

2.2Regras de uso e uso aceitável

O usuário compromete-se a não:

  • Enviar spam ou mensagens não solicitadas em massa
  • Violar as políticas comerciais e de mensagens da Meta/WhatsApp
  • Transmitir conteúdo ilegal, fraudulento, discriminatório, difamatório ou que viole direitos de terceiros
  • Utilizar a plataforma para phishing, engenharia social ou qualquer prática enganosa
  • Tentar acessar áreas restritas, contornar mecanismos de segurança ou submeter a plataforma a engenharia reversa
  • Sobrecarregar a infraestrutura com volume desproporcional de requisições
  • Coletar dados de outros usuários sem autorização

2.3Responsabilidades do usuário

  • Manter credenciais de acesso confidenciais e ser responsável por toda atividade realizada em sua conta.
  • Obter consentimento e base legal adequados dos contatos antes de importá-los ou comunicar-se com eles via WhatsApp.
  • Atuar como controlador dos dados dos seus contatos, em conformidade com a LGPD, atendendo às solicitações dos titulares dentro dos prazos legais.
  • Configurar webhooks apenas para destinos de sua propriedade ou com autorização explícita de seus operadores.

2.4Limitação de responsabilidade

A plataforma é fornecida "no estado em que se encontra". Na máxima extensão permitida pela legislação aplicável, a Grapevine não se responsabiliza por: indisponibilidades temporárias de sub-processadores (incluindo a Meta), perdas indiretas, lucros cessantes, perda de dados decorrente de uso indevido pelo cliente, ou consequências de bloqueios aplicados pela Meta por descumprimento das suas políticas.

2.5Propriedade intelectual

A marca "Grapevine", o software, o design, a documentação e todo o conteúdo da plataforma são de propriedade exclusiva da Grapevine e protegidos pela legislação aplicável. O uso da plataforma não transfere qualquer direito sobre essa propriedade.

Todo conteúdo enviado, importado ou produzido pelo cliente dentro da plataforma (contatos, mensagens, anexos, configurações) permanece integralmente de propriedade do cliente. A Grapevine recebe uma licença limitada e estritamente operacional, apenas para hospedar, processar e exibir esse conteúdo conforme necessário para entrega do serviço.

2.6Disponibilidade e SLA

A Grapevine envida esforços razoáveis para manter a plataforma disponível 24/7. Janelas de manutenção programada serão comunicadas com antecedência sempre que possível. Esta política pública não estabelece garantias contratuais de SLA; níveis de serviço específicos (uptime, tempo de resposta, suporte priorizado) são definidos em contrato individual quando aplicável.

2.7Suspensão e rescisão

A Grapevine pode suspender ou encerrar o acesso à plataforma em caso de violação destes Termos, das políticas da Meta, de obrigação legal ou de risco à integridade do serviço ou de terceiros. O usuário pode encerrar sua conta a qualquer momento solicitando exclusão por meio do procedimento descrito em Instruções para exclusão de dados.

2.8Alterações

Estes Termos podem ser atualizados periodicamente. Alterações relevantes serão comunicadas por email ou dentro da própria plataforma. A continuidade do uso após a notificação implica aceitação da versão atualizada.

2.9Lei aplicável e foro

Estes Termos são regidos pela legislação brasileira. Fica eleito o foro da comarca do domicílio do consumidor, quando aplicável, ou o foro do domicílio da Grapevine para demais casos, com renúncia a qualquer outro, por mais privilegiado que seja.

3.Política de Cookies

3.1O que são cookies

Cookies são pequenos arquivos de texto armazenados no navegador do usuário durante a navegação. Eles permitem, entre outras funções, manter o usuário autenticado entre páginas e lembrar preferências de uso.

3.2Cookies que utilizamos

  • Cookies estritamente necessários (sessão e autenticação) — armazenam o token de sessão e o token de atualização, mantendo o usuário logado entre páginas. Sem esses cookies a plataforma não funciona.
  • Cookies de preferência — armazenam ajustes do usuário, como tema, idioma e estado da interface.

A Grapevine não utiliza, neste momento, cookies de publicidade, retargeting ou rastreamento de terceiros nas superfícies institucional (este site) e do produto.

3.3Como gerenciar cookies

O usuário pode bloquear ou apagar cookies a qualquer momento nas configurações do navegador. A desativação de cookies estritamente necessários impedirá o funcionamento da plataforma — em especial, o login não será mantido entre páginas.

↑ Voltar ao topo