top of page

Política de Privacidade

1. Quem somos e o escopo desta política

​

A XPAND AI é uma empresa brasileira de tecnologia que desenvolve a Luna, uma copiloto de inteligência artificial para times de vendas ("Luna" ou "Serviço"). A Luna é contratada por empresas ("Clientes") para apoiar suas equipes comerciais em tarefas como qualificação de leads, follow-up, reativação de oportunidades, preparação de reuniões e atualização do CRM.

 

Esta Política de Privacidade descreve como a XPAND AI trata dados pessoais no contexto específico do Serviço Luna. 

 

Importante: a Luna é um serviço B2B. A XPAND AI não tem relação contratual direta com os titulares dos dados (leads, clientes finais ou potenciais clientes do Cliente). Quem detém essa relação é o Cliente contratante. Esta política explica nossas responsabilidades como operador de dados (na qualidade de processor), em apoio ao Cliente, que atua como controlador (controller) nos termos da LGPD.
 

2. Papéis sob a LGPD: controlador e operador

​

Nos termos da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD):

  • O Cliente (empresa que contrata a Luna) é o controlador dos dados pessoais dos seus leads, prospects e clientes. É o Cliente quem determina as finalidades e os meios do tratamento — quem prospectar, com qual mensagem, em qual canal, por quanto tempo manter os dados.
     

  • A XPAND AI atua como operador: trata os dados estritamente em nome do Cliente, conforme suas instruções documentadas no Contrato de Prestação de Serviços e no Acordo de Tratamento de Dados (DPA) celebrado com o Cliente.
     

  • A Meta Platforms, Inc. atua como operadora independente da infraestrutura WhatsApp Business Platform, sob seus próprios termos e políticas de privacidade.


Os titulares dos dados (pessoas que conversam com os vendedores do Cliente via WhatsApp, e-mail ou reuniões) devem dirigir requisições de exercício de direitos prioritariamente ao Cliente controlador. A XPAND AI apoiará o Cliente no atendimento dessas requisições, conforme descrito na Seção 9.
 

3. Quais dados pessoais a Luna trata

 

No exercício de suas funções como operador, a Luna pode tratar as seguintes categorias de dados pessoais, conforme o Cliente conecte os respectivos canais:

 

3.1. Dados de contato e identificação

  • Nome, e-mail corporativo, telefone, cargo e empresa do titular.

  • Número de telefone do WhatsApp (apenas se o titular iniciou contato com o número do Cliente ou foi cadastrado pelo Cliente no CRM).

 

3.2. Conteúdo de comunicações

  • Mensagens trocadas entre o titular e a equipe comercial do Cliente nos canais conectados (WhatsApp Business, e-mail, formulários).

  • Gravações, transcrições e sumários de reuniões realizadas pela equipe comercial do Cliente, quando o recurso de Meeting Assistant for ativado e os participantes forem informados conforme a legislação aplicável.

 

3.3. Dados de pipeline e CRM

  • Dados de oportunidades, estágios, valores, notas, atividades e histórico de interação importados do CRM do Cliente.
     

3.4. Dados de uso da Luna pelo vendedor

  • Identificação do usuário-vendedor do Cliente, comandos enviados à Luna, interações com sugestões, histórico de uso da plataforma.

  • Metadados técnicos: endereço IP, identificadores de sessão, registros de acesso e logs de auditoria, retidos para segurança da informação nos termos do Marco Civil da Internet.

     

4. Bases legais e finalidades do tratamento


O tratamento de dados pessoais pela Luna ocorre sob as seguintes bases legais previstas no art. 7º da LGPD, sempre conforme instrução do Cliente controlador:

 

 

  • Responder e qualificar leads que iniciaram contato com o Cliente — Execução de procedimentos preliminares de contrato (art. 7º, V) ou consentimento (art. 7º, I).
     

  • Reativar leads e oportunidades já cadastradas no CRM do Cliente — Legítimo interesse (art. 7º, IX), respeitada a expectativa do titular.
     

  • Apoiar o vendedor com sumários, briefings e sugestões — Legítimo interesse do Cliente em otimizar sua operação comercial.
     

  • Armazenamento de logs e registros de auditoria — Cumprimento de obrigação legal e regulatória (art. 7º, II).​

​​

​​​

A Luna não realiza prospecção outbound a frio. A Luna não compra listas, não enriquece dados de terceiros e não dispara mensagens para titulares que nunca interagiram com o Cliente ou que não constam previamente em sua base autorizada.

​

​

5. Tratamento de dados via WhatsApp

 

A Luna pode operar como camada de inteligência sobre o WhatsApp Business Platform da Meta, sempre por meio de uma WhatsApp Business Account (WABA) do Cliente. A XPAND AI não opera um número próprio de WhatsApp para conversar com leads do Cliente.
 

A integração técnica é realizada por meio de provedores credenciados pela Meta (Business Solution Providers) ou por acesso direto à WhatsApp Cloud API, conforme as configurações adotadas pelo Cliente. Em qualquer modalidade, a Meta atua como operadora independente, sob seus próprios termos e políticas.
 

O opt-in do titular para receber mensagens via WhatsApp é responsabilidade do Cliente controlador, em conformidade com a Política de Mensagens do WhatsApp Business e com a LGPD. A XPAND AI fornece, como operador, os mecanismos técnicos para registrar e respeitar opt-ins e opt-outs, incluindo:

  • Registro de origem, data e canal do opt-in.

  • Atendimento imediato a comandos como "PARE", "SAIR" ou equivalentes.

  • Respeito automático aos sinais de feedback negativo (thumbs down, bloqueio) emitidos pelo titular dentro do WhatsApp.

​​

​

6. Uso de inteligência artificial e decisões automatizadas

​

A Luna utiliza modelos de inteligência artificial, incluindo modelos de linguagem (LLMs), para gerar respostas sugeridas, classificar leads, produzir sumários e priorizar atividades. Sobre o uso de IA pela Luna, é importante esclarecer:

​

  • A Luna não substitui o vendedor humano. A Luna é uma copiloto: sugere e automatiza tarefas operacionais, mas decisões comerciais relevantes (avançar um lead, descartar uma oportunidade, fechar uma venda) permanecem sob controle humano do Cliente.
     

  • Os dados do Cliente não são usados para treinar modelos genéricos. Dados pessoais e conteúdos de comunicações tratados pela Luna em nome de um Cliente não são utilizados para treinar modelos compartilhados entre Clientes, salvo quando expressamente autorizado pelo Cliente em instrumento separado.
     

  • Direito à revisão. Titulares afetados por decisões tomadas exclusivamente com base em tratamento automatizado têm direito de solicitar revisão, nos termos do art. 20 da LGPD. Tais requisições devem ser dirigidas ao Cliente controlador, com nosso apoio técnico.

​

​

7. Compartilhamento de dados com terceiros
 

A XPAND AI compartilha dados pessoais tratados pela Luna apenas com suboperadores necessários à prestação do Serviço, todos sujeitos a obrigações contratuais de confidencialidade e segurança equivalentes às assumidas pela XPAND AI perante o Cliente. As categorias atuais de suboperadores incluem:
 

  • Provedores de infraestrutura em nuvem: Google Cloud Platform, com armazenamento e processamento principal realizados em servidores localizados no Brasil, garantindo conformidade e residência de dados nacional.
     

  • Modelos de IA e LLMs: Google Vertex AI e/ou provedores de modelos de linguagem líderes de mercado de primeira linha (como OpenAI e Anthropic), sob acordos contratuais rígidos que vedam explicitamente o uso dos dados do Cliente para treinamento de modelos públicos ou compartilhados.
     

  • Provedores de WhatsApp Business (BSPs): intermediários técnicos credenciados pela Meta para conexão à WhatsApp Cloud API.
     

  • Plataformas de CRM e produtividade: conforme os sistemas que o Cliente expressamente conectar à Luna (CRM, e-mail, calendário, ferramentas de reunião).
     

A lista atualizada de suboperadores é mantida e disponibilizada aos Clientes mediante solicitação ao DPO. A XPAND AI notifica o Cliente previamente sobre alterações relevantes nessa lista.
 

A XPAND AI não vende dados pessoais e não os compartilha para fins de publicidade de terceiros.

 

8. Transferência internacional de dados


Determinados suboperadores listados na Seção 7 podem processar dados em infraestrutura localizada fora do Brasil. Quando isso ocorre, a XPAND AI adota as garantias previstas no art. 33 da LGPD, incluindo cláusulas contratuais padrão e avaliação de adequação dos países envolvidos.

 

9. Direitos dos titulares e como exercê-los


Todos os titulares de dados pessoais têm os direitos previstos no art. 18 da LGPD, incluindo:

  • Confirmação da existência de tratamento.

  • Acesso aos dados.

  • Correção de dados incompletos, inexatos ou desatualizados.

  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD.

  • Portabilidade dos dados.

  • Eliminação dos dados tratados com base em consentimento.

  • Informação sobre compartilhamento e revogação do consentimento.

  • Revisão de decisões tomadas exclusivamente com base em tratamento automatizado.


Como exercer: requisições devem ser direcionadas preferencialmente ao Cliente controlador com quem o titular tem relação. Caso o titular deseje contatar diretamente a XPAND AI na qualidade de operador, ou solicitar a exclusão de seus dados de nossos sistemas, pode escrever para:

Encarregado pelo Tratamento de Dados Pessoais (DPO) — XPAND AI

E-mail: dpo@xpandai.ai

Assunto sugerido: "Exercício de direitos LGPD — Luna"

Prazo de resposta: até 15 dias corridos, conforme art. 19 da LGPD.

 

10. Retenção e eliminação de dados


Os dados pessoais tratados pela Luna são retidos enquanto durar o contrato com o Cliente, ou pelo prazo definido pelo Cliente controlador em suas próprias políticas. Após o encerramento do contrato, a XPAND AI:

  • Disponibiliza ao Cliente, em formato estruturado, os dados tratados durante a vigência (portabilidade).

  • Elimina os dados pessoais de seus sistemas em até 90 dias após o encerramento, salvo retenção exigida por obrigação legal (ex.: logs de acesso por 6 meses, nos termos do art. 15 do Marco Civil).

     

11. Segurança da informação


A XPAND AI adota medidas técnicas e administrativas para proteger os dados pessoais, incluindo:

  • Criptografia em trânsito (TLS 1.2 ou superior) e em repouso.

  • Controle de acesso baseado em funções (RBAC) e segregação de ambientes por Cliente.

  • Registros de auditoria de acessos e operações relevantes.

  • Avaliações periódicas de segurança e processo de gestão de incidentes.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a XPAND AI comunicará o Cliente controlador em prazo razoável e sem demora indevida, para que o Cliente, na qualidade de controlador, possa comunicar a ANPD e os titulares conforme o art. 48 da LGPD.

 

12. Dados de crianças e adolescentes


A Luna é um produto voltado a equipes profissionais de vendas em ambiente B2B. O Serviço não é dirigido a crianças ou adolescentes. A XPAND AI não coleta intencionalmente dados de pessoas menores de 18 anos. Caso identifique tratamento incidental de tais dados, atuará imediatamente para sua eliminação, em conformidade com o art. 14 da LGPD.

 

13. Cookies e tecnologias semelhantes
 

Esta política trata especificamente do Serviço Luna. O uso de cookies e tecnologias de rastreamento no site institucional xpandai.ai é regido pela Política de Cookies disponível no próprio site.


 

14. Alterações nesta política


Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças regulatórias, novas funcionalidades da Luna ou ajustes em nossa lista de suboperadores. A versão vigente, com a respectiva data, estará sempre disponível em https://xpandai.ai/luna/privacidade.


Mudanças materiais serão comunicadas aos Clientes com antecedência razoável, para que possam, se necessário, atualizar suas próprias políticas e avisos aos titulares.

 

15. Contato e identificação do controlador-operador

XPAND AI

CNPJ: 11.332.845/0001-09

Endereço: Rua Comandante Cordeiro de Farias, 41

Site: https://xpandai.ai

E-mail geral: contato@xpandai.ai

E-mail do DPO: dpo@xpandai.ai

bottom of page