Voltar ao início

Política de Privacidade

Plataforma KHAL — Política de Privacidade pública

Namastex Labs Serviços em Tecnologia LtdaCNPJ 46.156.854/0001-62Brasil — endereço completo disponível mediante solicitação ao EncarregadoVersão 1.1Vigência: 1º de abril de 2026Próxima revisão programada: abril de 2027

A Namastex Labs Serviços em Tecnologia Ltda. (“Namastex”) é a controladora desta Política e operadora dos dados pessoais tratados em nome de seus clientes corporativos (“Licenciadas”) por meio da plataforma KHAL. Esta Política descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos dados pessoais. Adotamos transparência ativa: o que está aqui é o que praticamos — e o que praticamos é auditável. Esta versão é a fonte canônica pública da política; cópias internas em controle do Encarregado são snapshots versionados desta página.

1. Compromisso, escopo e definições

1.1. Esta Política aplica-se a Usuários, Licenciadas e Usuários Finais que interagem com a plataforma KHAL e a quem visita o site institucional da Namastex.

1.2. A Namastex está comprometida com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e demais normas aplicáveis. Onde houver dúvida razoável de interpretação, decidimos pela alternativa mais protetiva ao titular.

1.3. Para fins desta Política: “dado pessoal”, “dado pessoal sensível”, “titular”, “controlador”, “operador”, “tratamento” e “encarregado” têm o significado atribuído pela LGPD.

2. Agentes de tratamento e papéis

2.1. Para fins da LGPD, os papéis variam conforme o fluxo de dados:

  1. Quando processamos dados de Usuários Finais em nome de uma Licenciada (titulares atendidos pelos agentes Khal), a Namastex atua como operadora; a Licenciada é a controladora.
  2. Quando processamos dados de cadastro de colaboradores das Licenciadas que utilizam o painel administrativo, a Namastex pode atuar como controladora para finalidades próprias (autenticação, segurança, faturamento) ou conjuntamente com a Licenciada conforme o contrato.
  3. Quando processamos dados de leads, prospects, candidatos a vagas, colaboradores próprios e visitantes deste site, a Namastex é controladora.

3. Dados coletados

3.1. As categorias abaixo refletem o que efetivamente tratamos. Categorias não listadas não são coletadas pela plataforma.

  1. Dados de cadastro: nome, e-mail corporativo, cargo, telefone e dados de autenticação (incluindo segundo fator).
  2. Dados de uso: logs de acesso, funcionalidades utilizadas, horários e frequência, endereço IP, identificadores de sessão.
  3. Dados de conteúdo: configurações de agentes, bases de conhecimento e parâmetros de inferência fornecidos pela Licenciada.
  4. Dados de Usuários Finais: dados processados pelos canais omnichannel da Licenciada — transcrições de conversas, dados de identificação e histórico de interação — sob instrução da Licenciada como controladora.
  5. Dados de navegação no site institucional: páginas visitadas, origem do tráfego, identificadores de cookies essenciais e analíticos (quando habilitados).

4. Finalidades do tratamento

4.1. Tratamos dados pessoais para finalidades legítimas e específicas:

  1. Prestação dos serviços contratados e operação contínua da plataforma KHAL.
  2. Autenticação, controle de acesso e prevenção de fraude.
  3. Suporte técnico, comunicação operacional e atendimento de solicitações.
  4. Melhoria contínua da plataforma, sempre com base em métricas agregadas e dados anonimizados.
  5. Cumprimento de obrigações legais, regulatórias e contratuais.
  6. Geração de relatórios e analytics agregados e anonimizados, sem reidentificação.

5. Bases legais

5.1. O tratamento de dados pessoais é realizado nas seguintes bases legais (LGPD art. 7º e art. 11):

  1. Execução de contrato (art. 7º, V) — para entrega da plataforma e dos serviços contratados.
  2. Cumprimento de obrigação legal ou regulatória (art. 7º, II) — para retenção de logs e registros obrigatórios e atendimento a requisições de autoridades competentes.
  3. Legítimo interesse (art. 7º, IX) — para segurança da informação, prevenção de fraude e melhoria do serviço, sempre com avaliação de impacto e equilíbrio em LIA arquivada pelo Encarregado.
  4. Consentimento (art. 7º, I) — quando aplicável, para comunicações de marketing, cookies não essenciais ou tratamento de dado pessoal sensível por exceção contratualmente formalizada.
  5. Tutela da saúde (art. 11, II, ‘f’) ou outras hipóteses de art. 11 — apenas se a Licenciada formalizar contratualmente o tratamento de dado sensível em escopo específico, mediante Relatório de Impacto à Proteção de Dados Pessoais (RIPD) prévio.

6. Vedação de uso para treinamento de IA

6.1. Dados pessoais de Licenciadas e de Usuários Finais não são utilizados para treinamento de modelos de inteligência artificial — nem da Namastex, nem de terceiros. Esta vedação é contratual (cláusula padrão dos nossos Acordos de Tratamento de Dados — DPA) e tecnicamente reforçada por flags de opt-out de treinamento ativadas em todos os provedores de modelos de linguagem (LLM) que utilizamos como subprocessadores.

6.2. Dados anonimizados ou agregados, que não permitem reidentificação direta ou indireta do titular, podem ser usados para evolução do produto, em conformidade com o art. 12 da LGPD.

7. Cookies e tecnologias de rastreamento

7.1. Utilizamos cookies estritamente necessários para autenticação e funcionamento da plataforma. Cookies analíticos, quando habilitados, ocorrem com base em consentimento e podem ser desativados a qualquer momento via configurações do navegador ou banner de consentimento (quando aplicável).

7.2. A desativação de cookies essenciais pode comprometer funcionalidades da plataforma, como manutenção da sessão autenticada.

8. Subprocessadores e compartilhamento com terceiros

8.1. Para entregar a plataforma, contratamos subprocessadores rigorosamente avaliados e formalizados via Acordo de Tratamento de Dados (DPA). A lista canônica abaixo é mantida atualizada nesta página; mudanças materiais são comunicadas às Licenciadas com 30 (trinta) dias de antecedência.

8.2. Transferências internacionais ocorrem apenas para os subprocessadores listados acima, com salvaguardas contratuais (DPA com cláusulas-padrão de transferência) e técnicas (mascaramento de identificadores pessoais antes do envio aos provedores de LLM).

8.3. Compartilhamentos pontuais com autoridades competentes ocorrem apenas mediante requisição legal válida, em escopo proporcional e com registro auditável.

SubprocessadorFinalidadePaís de hospedagemSalvaguarda
Oracle Cloud InfrastructureHospedagem (compute, Kubernetes, banco de dados, storage)Brasil (sa-saopaulo-1)DPA + ISO 27001 + SOC 2 Type II
AnthropicModelos de linguagem (Claude)Estados UnidosDPA + SOC 2 Type II + opt-out de treinamento
OpenAIModelos de linguagem (GPT) e moderaçãoEstados UnidosDPA + SOC 2 Type II + ISO 27001 + opt-out de treinamento
GoogleModelos de linguagem (Gemini)Estados UnidosDPA + SOC 2 + ISO 27001 + opt-out de treinamento
WorkOSSSO, MFA e gestão de identidadeEstados UnidosDPA + SOC 2 Type II
CloudflareDNS, CDN, WAF e proteção de bordaRede global anycastDPA + ISO 27001 + SOC 2 Type II
SentryMonitoramento de erros e desempenhoEstados UnidosDPA + SOC 2
Bitwarden (self-hosted)Cofre de segredos operacionaisBrasil (auto-hospedado)Operação Namastex; SOC 2 Type II do produto upstream

9. Armazenamento, criptografia e medidas de segurança

9.1. Os dados operacionais são armazenados em Oracle Cloud Infrastructure, região São Paulo (sa-saopaulo-1), em território brasileiro. Não há replicação operacional de dados pessoais fora do Brasil. Transferências internacionais ocorrem somente nas chamadas a provedores de LLM com mascaramento de identificadores pessoais aplicado pré-envio.

9.2. Aplicamos criptografia em repouso (AES-256) e em trânsito (TLS 1.2+, com TLS 1.3 preferencial).

9.3. Antes de qualquer envio a provedores de modelo de linguagem, identificadores pessoais diretos (CPF, e-mail, telefone, identificadores únicos) são substituídos por tokens pseudonimizados consistentes na sessão. A chave de reversão não persiste fora do ambiente Namastex/OCI.

9.4. Medidas técnicas e organizacionais adicionais incluem:

  1. Controle de acesso baseado em papéis (RBAC) com 4 níveis e princípio do menor privilégio.
  2. Autenticação multifator (MFA) obrigatória para colaboradores Namastex.
  3. Isolamento por cliente: namespace Kubernetes dedicado e banco de dados PostgreSQL dedicado por Licenciada.
  4. Monitoramento contínuo (Sentry, Uptime Kuma) e detecção de credenciais expostas (GitGuardian).
  5. Backups regulares com testes de restauração rotineiros e retenção conforme Política de Backup interna.
  6. Logs de auditoria centralizados e retidos por no mínimo 180 dias.
  7. Gestão de vulnerabilidades em servidores e aplicações (Dependabot, varreduras periódicas) e roadmap de pentest externo formal.

10. Dados pessoais sensíveis e dados de menores

10.1. A plataforma KHAL não coleta intencionalmente dados pessoais sensíveis (origem racial, convicção religiosa, dados de saúde, biometria, opinião política, etc.). Caso uma Licenciada formalize um caso de uso que envolva dado sensível, a Namastex exige Relatório de Impacto à Proteção de Dados Pessoais (RIPD) prévio e aditivo contratual específico antes do início do tratamento.

10.2. Tratamento de dados de crianças e adolescentes ocorre exclusivamente sob responsabilidade da Licenciada (controladora), com base legal apropriada e consentimento de pelo menos um dos pais ou responsável legal quando exigido pela LGPD art. 14, §1º. Não realizamos profiling para fins comerciais sobre titulares menores de idade.

11. Retenção de dados

11.1. Dados pessoais são retidos pelo tempo necessário às finalidades para as quais foram coletados, observando os parâmetros operacionais abaixo:

  1. Dados operacionais (transcrições, conteúdo de sessão): 30 dias por padrão, salvo configuração contratual específica.
  2. Logs de auditoria e segurança: no mínimo 180 dias, em alinhamento à Política de Backup interna e ao Marco Civil da Internet (Lei nº 12.965/2014, art. 15).
  3. Dados de cadastro de Licenciadas e Usuários: durante a relação contratual e até 5 (cinco) anos após o término, para cumprimento de obrigações legais e prescricionais, salvo prazo legal específico maior.
  4. Backups: ciclos rotativos com retenção máxima de 90 dias para backups operacionais; retenção legal aplicada conforme tabela interna versionada.

12. Direitos dos titulares e como exercê-los

12.1. Os titulares de dados pessoais têm direito a (LGPD art. 18):

  1. Confirmação da existência de tratamento.
  2. Acesso aos dados pessoais.
  3. Correção de dados incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
  5. Portabilidade a outro fornecedor de serviço ou produto.
  6. Eliminação dos dados tratados com consentimento, nas hipóteses do art. 16.
  7. Informação sobre entidades públicas e privadas com as quais o controlador realizou compartilhamento.
  8. Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
  9. Revogação do consentimento.

12.2. Para exercer qualquer destes direitos, contate o Encarregado pelos canais indicados na seção 14. Confirmamos o recebimento em até 5 (cinco) dias úteis e respondemos de forma efetiva em até 15 (quinze) dias, conforme art. 19, §1º. Quando a Namastex atua como operadora, encaminhamos a solicitação à controladora competente, conforme art. 39 da LGPD.

12.3. A Namastex não cobra para o atendimento de direitos do titular, salvo expressa previsão legal em contrário.

Exercer meus direitos

13. Incidentes de segurança e notificação

13.1. Em caso de incidente de segurança que envolva dados pessoais, a Namastex segue o procedimento interno de Resposta a Incidentes:

13.2. Avaliação imediata da extensão e da severidade no momento da confirmação.

13.3. Notificação à Licenciada afetada em até 24 horas como objetivo operacional, observado o prazo máximo contratual e legal de 72 horas conforme art. 48 da LGPD.

13.4. Comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, quando aplicável, conforme orientação vigente da ANPD.

13.5. Lições aprendidas e medidas corretivas são documentadas e revisadas pelo Encarregado.

14. Encarregado pelo Tratamento de Dados Pessoais (DPO)

14.1. Encarregado: Cezar Vasconcelos.

14.2. Canais de contato:

  1. E-mail primário do Encarregado: dpo@namastex.ai (alias dpo@khal.ai ativo).
  2. Canal alternativo de privacidade e incidentes: privacidade@namastex.ai.

14.3. O Encarregado é responsável por receber comunicações de titulares e da ANPD, orientar a organização sobre práticas de proteção de dados pessoais e executar as demais atribuições do art. 41, §2º da LGPD. A Ata de Nomeação está disponível mediante solicitação.

15. Disposições sobre Usuários Finais (canais omnichannel)

15.1. Dados de Usuários Finais processados pelos canais omnichannel são de responsabilidade da Licenciada (controladora). Como operadora, a Namastex processa esses dados exclusivamente conforme as instruções documentadas da Licenciada e nos limites do contrato de licenciamento.

15.2. A Licenciada é responsável por:

  1. Possuir base legal adequada para o tratamento dos dados de seus Usuários Finais.
  2. Fornecer aviso de privacidade transparente aos Usuários Finais.
  3. Obter consentimento quando necessário, especialmente para gravação de chamadas de voz.
  4. Implementar políticas de retenção e descarte adequadas aos Usuários Finais.
  5. Atender solicitações de direitos do titular dos Usuários Finais (a Namastex apoia operacionalmente conforme contrato).

16. Enquadramento como Pequeno Porte e governança

16.1. A Namastex Labs é enquadrada como agente de tratamento de pequeno porte conforme Resolução CD/ANPD nº 2/2022 e adota o regime simplificado previsto no Guia ANPD para Agentes de Tratamento de Pequeno Porte (2024), sem prejuízo das obrigações materiais da LGPD.

16.2. A governança de privacidade é exercida diretamente pelo Encarregado, com escalada formal ao CEO para decisões com impacto contratual ou legal, e com revisão periódica documentada da política, dos procedimentos e do registro de atividades de tratamento (ROPA).

17. Alterações nesta política

17.1. Podemos alterar esta Política de tempos em tempos. Alterações materiais (que afetem o tratamento de dados pessoais por Licenciadas) são comunicadas com 30 (trinta) dias de antecedência, conforme nosso DPA padrão. Alterações editoriais não materiais (correções, ajustes de estilo) podem ser publicadas com 15 (quinze) dias.

17.2. Comunicações de alterações são feitas pela plataforma e/ou por e-mail aos contatos cadastrados das Licenciadas; o histórico de versões é mantido em controle do Encarregado e disponibilizado mediante solicitação.

17.3. A versão vigente é sempre a publicada nesta página.

Esta Política de Privacidade é a versão pública canônica. Cópias internas mantidas pelo Encarregado são snapshots versionados para fins de auditoria. Em caso de divergência aparente, prevalece esta versão pública.