Política de Privacidade

Última atualização: 8 de junho de 2026

A Operizy é uma plataforma SaaS multi-tenant de gestão de lojas online ("plataforma"). Esta Política de Privacidade explica como coletamos, usamos, armazenamos e protegemos as informações dos lojistas que contratam nossos serviços ("Cliente") e dos consumidores finais que interagem com as lojas hospedadas em nossa plataforma.

Ao usar a Operizy, você concorda com as práticas descritas nesta política. Se não concordar, não utilize a plataforma.

1. Quem somos

A Operizy é operada pela GWC TECNOLOGIA LTDA, sociedade empresária limitada (ME), inscrita no CNPJ sob nº 57.915.546/0001-90, com sede na Rua Pombos, 200, Sala 905, Candeias, Jaboatão dos Guararapes - PE, CEP 54.440-360. Esta política é regida pela Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

2. Dados que coletamos

2.1 Do lojista (Cliente)

Dados de cadastro: nome, e-mail, telefone, CPF/CNPJ, endereço, dados bancários (quando aplicável).
Dados de uso: páginas acessadas, ações realizadas no painel, logs de erro, IP, navegador.
Dados de pagamento: histórico de assinatura processado via gateway terceiro (não armazenamos número de cartão).

2.2 Dos consumidores finais (compradores da loja)

Dados informados em pedidos: nome, e-mail, telefone, endereço de entrega, CPF.
Dados de comportamento: páginas vistas, produtos visualizados, carrinho.
Dados de pagamento: processados por gateways (Pagar.me, etc.); armazenamos apenas o status da transação, nunca o cartão.

Importante: em relação aos consumidores finais, o lojista é o controlador dos dados e a Operizy atua como operadora, nos termos do art. 5º da LGPD.

3. Integrações com serviços do Google

Esta seção descreve como a Operizy usa dados acessados via APIs do Google quando o lojista conecta sua conta. Cumprimos integralmente a Google API Services User Data Policy, incluindo os requisitos de "Limited Use".

3.1 Quando o lojista conecta sua conta Google

Ao clicar em "Conectar Google" no painel da Operizy, o lojista autoriza nossa plataforma a acessar a Content API for Shopping (escopo https://www.googleapis.com/auth/content) em nome dele. Esse acesso permite à Operizy:

Criar e atualizar o datafeed de produtos do lojista no Google Merchant Center.
Enviar o XML de catálogo (gerado pela Operizy) pra processamento do Google.
Ler o status de processamento (produtos válidos, erros, avisos) pra exibir no painel.

3.2 O que NÃO fazemos com os dados do Google

❌ Não compartilhamos refresh tokens ou access tokens com terceiros.
❌ Não usamos os dados acessados via Content API pra anúncios direcionados.
❌ Não vendemos, alugamos ou transferimos os dados do Google pra outras empresas.
❌ Não usamos os dados pra treinar modelos de IA, generativos ou não.

3.3 Como armazenamos os tokens Google

O refresh_token recebido durante o OAuth fica criptografado em repouso usando AES-256-CBC com chave de aplicação Laravel (APP_KEY). Um vazamento de dump do banco de dados, isoladamente, não compromete os tokens.

3.4 Como o lojista revoga o acesso

O acesso da Operizy aos dados Google pode ser revogado a qualquer momento por 2 caminhos:

Painel Operizy → Marketing → Saúde do Rastreamento → botão "Desconectar" no card Google Merchant Center.
Diretamente no Google: myaccount.google.com/permissions → seleciona "Operizy" → "Remover acesso".

4. Integrações com serviços da Meta

Esta seção descreve como a Operizy usa dados acessados via APIs da Meta (WhatsApp Business Platform, Messenger, Instagram e Catálogo/Commerce) quando o lojista conecta suas contas. Cumprimos os Termos da Plataforma da Meta e as políticas aplicáveis a cada produto.

4.1 Quando o lojista conecta suas contas Meta

Ao conectar WhatsApp, Messenger, Instagram ou o Catálogo no painel da Operizy, o lojista autoriza nossa plataforma a agir em nome dele. Conforme o produto conectado, esse acesso permite à Operizy:

WhatsApp Business Platform: enviar e receber mensagens entre o lojista e seus clientes, gerenciar o número de telefone empresarial e os modelos de mensagem.
Messenger e Instagram Direct: ler e responder mensagens recebidas na Página do Facebook e na conta do Instagram do lojista.
Catálogo (Commerce): criar e atualizar o catálogo de produtos do lojista no Facebook e Instagram Shopping, a partir do feed gerado pela Operizy.
Conversions API / Pixel: enviar eventos de navegação e compra, com identificadores pessoais criptografados (hash), quando o lojista ativa o rastreamento.

4.2 O que NÃO fazemos com os dados da Meta

❌ Não compartilhamos os tokens de acesso da Meta com terceiros.
❌ Não vendemos, alugamos ou comercializamos os dados acessados via Meta.
❌ Não usamos o conteúdo das mensagens para finalidades alheias à prestação do serviço contratado pelo lojista (como anúncios direcionados de terceiros).

4.3 Como armazenamos os tokens Meta

Os tokens de acesso recebidos durante a conexão ficam criptografados em repouso usando AES-256-CBC com chave de aplicação Laravel (APP_KEY). Um vazamento isolado de dump do banco de dados não compromete os tokens.

4.4 Como o lojista revoga o acesso

O acesso da Operizy às contas Meta pode ser revogado a qualquer momento por 2 caminhos:

Painel Operizy → na tela de configuração do canal (em Conversas ou Marketing) → botão "Desconectar".
Diretamente na Meta: facebook.com/settings → Integrações de negócios → seleciona "Operizy" → "Remover".

5. Como usamos seus dados

Prestar os serviços contratados (gerir sua loja, processar pedidos, gerar relatórios).
Comunicar mudanças, alertas operacionais e suporte técnico.
Garantir segurança da plataforma (detecção de fraude, monitoria de abuso).
Cumprir obrigações legais, fiscais e regulatórias.

6. Com quem compartilhamos

Compartilhamos dados apenas com:

Provedores de infraestrutura (AWS, Cloudflare, Backblaze) sob contratos de processamento.
Gateways de pagamento (Pagar.me, etc.) pra processar transações.
APIs de marketing (Google, Meta) quando o lojista autoriza explicitamente o envio do catálogo.
Autoridades públicas, quando obrigatório por lei ou ordem judicial.

Nunca vendemos dados de Clientes ou consumidores finais a terceiros.

6.1 Solicitações de autoridades públicas

Quando recebemos solicitações de autoridades públicas relacionadas a dados pessoais — sejam ordens judiciais vinculadas a investigações criminais, sejam pedidos de segurança nacional —, aplicamos os seguintes procedimentos antes de qualquer divulgação:

Análise de legitimidade: avaliamos se a solicitação é válida, legal e emitida por autoridade competente.
Contestação de pedidos ilegais: recusamos ou contestamos formalmente solicitações que considerarmos ilegais, abusivas ou desproporcionais.
Minimização de dados: divulgamos apenas o mínimo de informação estritamente necessário para atender à solicitação legítima.
Registro: mantemos registro dessas solicitações, incluindo a resposta fornecida, o fundamento legal e as pessoas envolvidas.

7. Cookies e tecnologias similares

Usamos cookies essenciais (sessão de login, carrinho) por necessidade técnica. Cookies analíticos e de marketing só são ativados após consentimento explícito via banner LGPD, conforme decisão do Google Consent Mode v2.

8. Direitos dos titulares (LGPD Art. 18)

Você pode, a qualquer momento:

Confirmar se tratamos seus dados;
Acessar seus dados;
Corrigir dados incompletos ou desatualizados;
Solicitar anonimização ou eliminação de dados desnecessários;
Portar seus dados a outro fornecedor;
Revogar consentimento.

Pra exercer esses direitos, envie um e-mail pra [email protected]. Respondemos em até 15 dias úteis.

Para excluir seus dados (inclusive os obtidos via Meta — Facebook, Instagram e WhatsApp), acesse Exclusão de Dados.

9. Retenção de dados

Mantemos dados pelo período necessário pra prestar os serviços e cumprir obrigações legais. Após o encerramento da conta, dados pessoais são anonimizados ou excluídos em até 180 dias, ressalvada hipótese de retenção legal obrigatória.

10. Segurança

Adotamos medidas técnicas e organizacionais razoáveis:

Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256 pra tokens sensíveis).
Controle de acesso por papel (multi-tenant isolation via store_id).
Logs de auditoria e monitoria de anomalias.
Backups regulares com retenção limitada.

11. Alterações nesta política

Podemos atualizar esta política periodicamente. Mudanças relevantes serão comunicadas com 30 dias de antecedência por e-mail e/ou aviso no painel. A versão vigente fica sempre disponível em operizy.com/privacidade.

12. Contato do encarregado (DPO)

Razão social: GWC TECNOLOGIA LTDA
CNPJ: 57.915.546/0001-90
Endereço: Rua Pombos, 200, Sala 905, Candeias, Jaboatão dos Guararapes - PE, CEP 54.440-360
E-mail: [email protected]
Telefone / WhatsApp: (82) 99910-2175
Responsável (DPO): Caique Muller Batista Barros — Sócio administrador