01Quem somos
Esta Política de Privacidade é mantida pela Graviti Tecnologia Ltda. ("Graviti", "nós" ou "nossa"), pessoa jurídica de direito privado, controladora da plataforma de gestão empresarial e atendimento multicanal disponibilizada em graviti.app e demais subdomínios oficiais.
Quando você visita nosso site, cria uma conta, contrata um plano ou utiliza qualquer um dos nossos serviços, atua como Titular dos Dados Pessoais, e a Graviti atua como Controladora em relação aos seus dados de cadastro, uso e faturamento. Em relação aos dados que sua empresa insere na plataforma para operar (clientes, vendas, mensagens, OS, NF-e), a Graviti atua como Operadora, processando-os por sua conta e ordem.
Esta separação é importante: ela define quem decide o "porquê" do tratamento de cada dado e a quem o titular deve recorrer.
02Definições
Para evitar confusão, usamos os termos da LGPD com o significado abaixo:
- Dado pessoal: qualquer informação que identifique ou possa identificar uma pessoa natural (nome, e-mail, CPF, telefone, IP, foto, etc.).
- Dado pessoal sensível: dados sobre origem racial, convicção religiosa, opinião política, saúde, vida sexual, biometria, entre outros. A Graviti não coleta dados sensíveis como condição para uso da plataforma.
- Tratamento: qualquer operação com dados pessoais — coleta, uso, armazenamento, compartilhamento, exclusão.
- Titular: a pessoa natural a quem os dados se referem.
- Controlador: quem decide sobre o tratamento dos dados.
- Operador: quem trata os dados em nome do controlador.
- Encarregado (DPO): a pessoa indicada para atuar como canal entre titulares, controlador e a ANPD.
- ANPD: Autoridade Nacional de Proteção de Dados.
03Dados que coletamos
Coletamos apenas o necessário para entregar nossos serviços com qualidade, segurança e em conformidade com a lei. Abaixo, a lista por categoria:
| Categoria | Exemplos |
|---|---|
| Cadastro | Nome completo, CPF/CNPJ, e-mail, telefone, razão social, endereço comercial, regime tributário. |
| Acesso | Login, senha (criptografada), tokens de sessão, autenticação em dois fatores. |
| Faturamento | Plano contratado, dados de cartão (tokenizados pelo gateway), notas fiscais, histórico de pagamentos. |
| Uso da plataforma | Páginas visitadas, ações executadas, datas e horários, dispositivo, navegador, sistema operacional, endereço IP. |
| Comunicação | Mensagens trocadas com nosso suporte, gravações de chamadas para fins de qualidade, respostas a pesquisas. |
| Conteúdo do cliente | Dados que sua empresa insere — cadastros de clientes, conversas no painel multicanal, vendas, ordens de serviço, anexos. Aqui somos Operador. |
| Marketing | Origem da visita (UTM), interesses declarados, interações com nossos e-mails. Coletados apenas com base em legítimo interesse ou consentimento. |
Não solicitamos e não temos necessidade de tratar dados sensíveis. Caso você os insira voluntariamente em campos livres da plataforma, eles serão tratados sob sua responsabilidade como Controlador.
04Como coletamos
- Diretamente de você: ao preencher formulários, criar conta, contratar plano, falar com o suporte ou inserir dados na plataforma.
- Automaticamente: por meio de cookies, pixels e logs do servidor, quando você acessa o site ou o sistema (veja a seção 12).
- De terceiros autorizados: provedores de pagamento, parceiros de emissão fiscal (Focus NFe), provedores de identidade (login social) e bases públicas para enriquecimento de cadastro de pessoa jurídica (CNPJ).
05Por que tratamos seus dados
Cada dado que coletamos tem uma finalidade definida. Não usamos seus dados para propósitos que você não esperaria de uma plataforma de gestão.
- Operar o serviço: autenticar, processar transações, sincronizar estoque, emitir notas, enviar mensagens via WhatsApp Business API.
- Cobrança e fiscal: faturar mensalidades, emitir nota fiscal de serviço, atender obrigações da Receita Federal e municípios.
- Suporte: entender e resolver problemas técnicos, treinar novos usuários, responder dúvidas.
- Segurança e antifraude: detectar acessos suspeitos, prevenir uso indevido, investigar incidentes.
- Melhoria contínua: entender quais funcionalidades agregam valor, priorizar roadmap, corrigir bugs com base em telemetria agregada.
- Comunicação: avisar sobre mudanças no serviço, novidades, conteúdos relevantes (você pode descadastrar a qualquer momento).
- Cumprimento legal: atender determinações da ANPD, do Poder Judiciário, do Banco Central e demais autoridades competentes.
06Bases legais que utilizamos
A LGPD exige que todo tratamento esteja amparado em uma das bases legais do art. 7º. As que utilizamos são:
- Execução de contrato (art. 7º, V): para entregar o serviço contratado e operar a plataforma.
- Cumprimento de obrigação legal (art. 7º, II): para emissão fiscal, retenções tributárias e respostas a autoridades.
- Legítimo interesse (art. 7º, IX): para segurança da informação, prevenção a fraudes, melhoria do produto e marketing direto a clientes existentes — sempre com avaliação de impacto e respeitando seus direitos.
- Consentimento (art. 7º, I): para envio de comunicações de marketing a quem ainda não é cliente, cookies não-essenciais e qualquer tratamento que extrapole as bases acima.
- Exercício regular de direitos (art. 7º, VI): em processos administrativos, arbitrais ou judiciais.
07Com quem compartilhamos
A Graviti não vende seus dados pessoais. Compartilhamos apenas o estritamente necessário, e somente com:
- Provedores de infraestrutura em nuvem: hospedagem, banco de dados, backup e CDN — em datacenters certificados (ISO 27001, SOC 2).
- Gateways de pagamento: para processar mensalidades e cobranças (cartão, PIX, boleto).
- Parceiros fiscais: Focus NFe e equivalentes, para emissão de NF-e, NFS-e e NFC-e.
- WhatsApp Business / Meta: para o módulo de atendimento via WhatsApp oficial.
- Provedores de e-mail e SMS transacionais: para envio de confirmações, recuperações de senha e disparos.
- Provedores de telemetria e antifraude: com pseudonimização sempre que possível.
- Autoridades públicas: mediante ordem legal, judicial ou requerimento devidamente fundamentado.
- Sucessores em operações societárias: em caso de fusão, aquisição ou reorganização, sempre com a mesma proteção desta política.
Todos os operadores assinam contratos com cláusulas de confidencialidade e proteção de dados, e estão obrigados a tratar seus dados apenas para as finalidades determinadas pela Graviti.
08Transferência internacional
Parte da nossa infraestrutura — assim como a de WhatsApp/Meta e provedores de e-mail — pode estar localizada fora do Brasil. Nesses casos, garantimos que a transferência ocorra para países com nível adequado de proteção, ou mediante cláusulas contratuais padrão e demais salvaguardas previstas no art. 33 da LGPD.
09Por quanto tempo guardamos
Mantemos seus dados apenas pelo tempo necessário para cumprir as finalidades desta política e as obrigações legais aplicáveis:
| Tipo de dado | Prazo de retenção |
|---|---|
| Cadastro de conta ativa | Enquanto durar a relação contratual |
| Dados fiscais e financeiros | 5 anos após o encerramento (legislação tributária) |
| Logs de acesso a aplicações | 6 meses (Marco Civil da Internet, art. 15) |
| Mensagens com o suporte | 2 anos após o último contato |
| Backups operacionais | Até 90 dias em rotação criptografada |
| Conteúdo do cliente após cancelamento | 30 dias para exportação, depois excluído ou anonimizado |
Ao final do prazo, os dados são excluídos ou anonimizados de forma irreversível, exceto quando a guarda for exigida por lei ou para resguardar direitos da Graviti em litígios.
10Segurança da informação
Levamos segurança a sério porque entendemos que sua operação depende disso. Adotamos medidas técnicas e administrativas compatíveis com as melhores práticas do setor:
- Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256) para dados sensíveis e backups.
- Hash de senhas com algoritmos robustos (bcrypt/argon2) — nunca armazenamos senha em texto puro.
- Controle de acesso por função (RBAC), com princípio do menor privilégio.
- Autenticação em dois fatores disponível para todas as contas.
- Monitoramento contínuo de eventos de segurança, alertas e detecção de anomalias.
- Testes de invasão periódicos, conduzidos por equipes externas independentes.
- Plano de resposta a incidentes com notificação à ANPD e aos titulares afetados em prazo razoável, conforme art. 48 da LGPD.
- Treinamento recorrente do time em privacidade e segurança.
Apesar de todos os esforços, nenhuma plataforma é 100% imune. Caso você identifique qualquer fragilidade, escreva para atendimento@graviti.com.br.
11Seus direitos como titular
A LGPD garante a você uma série de direitos sobre seus dados. Você pode exercê-los gratuitamente, a qualquer momento.
Saber se tratamos seus dados e obter cópia.
Pedir correção de dados incompletos, inexatos ou desatualizados.
De dados desnecessários, excessivos ou tratados em desconformidade.
Receber seus dados em formato estruturado e legível.
Salvo as hipóteses do art. 16 da LGPD.
Saber com quais entidades públicas e privadas compartilhamos seus dados.
Quando o tratamento for baseado em consentimento.
A tratamentos realizados com base em legítimo interesse.
Como solicitar
Envie um e-mail para atendimento@graviti.com.br com o assunto "Solicitação LGPD", informando: (i) seu nome completo, (ii) o e-mail vinculado à conta na Graviti e (iii) a descrição do pedido. Responderemos em até 15 dias corridos, conforme prevê o art. 19 da LGPD.
Para confirmar sua identidade, podemos solicitar informações adicionais. Esse procedimento existe para proteger você de pedidos fraudulentos feitos por terceiros.
12Cookies e tecnologias similares
Cookies são pequenos arquivos que ficam no seu navegador para que o serviço funcione corretamente, lembre suas preferências e nos ajude a entender o que está sendo usado.
| Tipo | Função |
|---|---|
| Essenciais | Mantêm sua sessão, autenticação e preferências de segurança. Não podem ser desativados. |
| Funcionais | Lembram idioma, tema e configurações do painel. |
| Analíticos | Medem uso de funcionalidades e desempenho de páginas, de forma agregada. |
| Marketing | Personalizam anúncios e medem campanhas. Ativados apenas com seu consentimento. |
Você pode gerenciar cookies não-essenciais a qualquer momento pelo banner de cookies ou diretamente nas configurações do seu navegador. Bloquear cookies essenciais pode impedir o funcionamento da plataforma.
13Crianças e adolescentes
A Graviti é uma plataforma B2B destinada a empresas e profissionais maiores de 18 anos. Não direcionamos nossos serviços a menores de idade e não coletamos intencionalmente dados de crianças e adolescentes. Caso identifiquemos qualquer coleta indevida, os dados serão excluídos imediatamente.
14Alterações nesta política
Podemos atualizar esta Política para refletir mudanças regulatórias, novas funcionalidades ou melhorias de segurança. Sempre que isso ocorrer:
- Atualizamos a data de "Última revisão" no topo do documento.
- Comunicamos no painel da Graviti e/ou por e-mail, com pelo menos 15 dias de antecedência em caso de mudanças materiais.
- Mantemos versões anteriores arquivadas — você pode solicitar uma cópia ao DPO.
Recomendamos que você revisite este documento periodicamente. O uso continuado da plataforma após a publicação de uma nova versão indica concordância com os termos atualizados.
15Encarregado pelo Tratamento (DPO)
A Graviti mantém um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer), responsável por receber suas solicitações, dialogar com a ANPD e orientar nossas equipes.
Se entender que sua solicitação não foi atendida adequadamente, você também pode registrar reclamação diretamente na ANPD em gov.br/anpd.
16Lei aplicável e foro
Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela Lei nº 13.709/2018 (LGPD), pela Lei nº 12.965/2014 (Marco Civil da Internet) e pelo Código de Defesa do Consumidor, quando aplicável.
Fica eleito o foro da Comarca da sede da Graviti para dirimir quaisquer controvérsias decorrentes desta Política, com renúncia a qualquer outro, por mais privilegiado que seja.
FAQPerguntas frequentes
A Graviti vende meus dados?
Não. Nunca vendemos dados pessoais. Compartilhamos apenas com operadores essenciais para o funcionamento do serviço (pagamento, fiscal, infraestrutura) e mediante contratos de proteção de dados.
Cancelei meu plano. O que acontece com meus dados?
Você tem 30 dias para exportar tudo em formato aberto (CSV/JSON). Depois desse prazo, os dados operacionais são excluídos ou anonimizados, exceto os que precisamos manter por obrigação legal (ex.: notas fiscais, por 5 anos).
Onde meus dados ficam armazenados?
Nossa infraestrutura primária roda em datacenters certificados (ISO 27001 / SOC 2). Parte dos serviços auxiliares (e-mail, WhatsApp, telemetria) pode operar fora do Brasil — sempre com salvaguardas equivalentes às da LGPD.
Quem responde por dados de clientes que coloco no Graviti?
Sua empresa é Controladora desses dados; nós atuamos como Operadora. Isso quer dizer que o "porquê" do tratamento é definido por você. A Graviti executa apenas o que for instruído via plataforma e dentro do contrato.
Em quanto tempo recebo resposta a um pedido LGPD?
Em até 15 dias corridos, conforme o art. 19 da LGPD. Pedidos que envolvam exportação massiva de dados ou validações adicionais podem ter o prazo estendido — sempre com comunicação prévia a você.