Política de Privacidade

Última atualização: 20 de maio de 2026

1. Informações Gerais

Esta Política de Privacidade explica como a Fiwano processa e protege dados pessoais quando você usa nossa plataforma de integração para WhatsApp Business, Instagram Messaging e Facebook Messenger.

A Fiwano é operada por Individual Entrepreneur Roman Babakin (P/E Roman Babakin), registrado na Geórgia (país). A Fiwano é um provedor técnico verificado pela Meta e fornece uma camada técnica para conectar seus canais da Meta aos seus sistemas, webhooks, CRMs, helpdesks, agentes de IA e automações.

Esta página é a versão em português para clientes e usuários no Brasil. Mantemos a mesma base global de privacidade para todos os mercados e aplicamos o padrão mais protetivo quando diferentes leis forem relevantes.

1.1. Leis e Padrões que Seguimos

Brasil — LGPD (Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018), incluindo direitos dos titulares, segurança, transparência e transferências internacionais.
União Europeia e Reino Unido — GDPR / UK GDPR, incluindo regras de controlador, operador/processador, suboperadores, segurança e notificações de violação.
Transferências internacionais — Cláusulas Contratuais Padrão da União Europeia (Decisão de Execução (UE) 2021/914, Módulos Dois e Três) e o UK ICO International Data Transfer Addendum quando aplicável.
Geórgia — Lei de Proteção de Dados Pessoais da Geórgia, pois a entidade operadora está registrada na Geórgia.
Índia — DPDP Act 2023, para dados pessoais de titulares na Índia quando aplicável.
Estados Unidos — direitos equivalentes a CCPA/CPRA e outras leis estaduais de privacidade quando aplicável; a Fiwano não vende dados pessoais e não compartilha dados para publicidade comportamental cruzada.
Google API Services User Data Policy, incluindo os requisitos de Limited Use para login com Google.

1.2. Brasil LGPD: Controlador, Operador e Ponto de Contato

Para dados de conta, autenticação, segurança, auditoria, analytics com consentimento e informações de cobrança, a Fiwano atua como controlador, pois define as finalidades e meios necessários para operar o Serviço.

Para dados pessoais contidos nas mensagens e metadados que você roteia por seus canais conectados de WhatsApp, Instagram e Messenger, você é o controlador e a Fiwano atua como operador. Processamos esses dados apenas conforme sua configuração do Serviço: canais conectados, URLs de webhook, chaves de API, templates e regras técnicas de entrega.

O e-mail contact@fiwano.com é o ponto de contato de privacidade da Fiwano para solicitações de titulares no Brasil e comunicações relacionadas à LGPD.

1.3. GDPR, DPDP e Demais Mercados

Em mercados sujeitos ao GDPR ou UK GDPR, a Fiwano atua como controlador para dados de conta e como processador/subprocessador para conteúdo de mensagens roteado pelo cliente. Em mercados sujeitos ao DPDP Act da Índia, a Fiwano atua como Data Fiduciary para dados próprios de conta e como Data Processor para dados de mensagens processados sob instrução do cliente. Essa separação de papéis é a base da nossa arquitetura de privacidade.

2. Dados que Processamos

2.1. Dados da Conta

E-mail, nome e hash de senha.
Identificadores OAuth do Google ou GitHub, quando você escolhe esses métodos de login.
Chaves de API armazenadas somente como hashes SHA-256; a chave completa é exibida uma única vez.
Logs de auditoria, segurança, autenticação e uso operacional.
Dados de plano, assinatura e cobrança processados pela Paddle como Merchant of Record.

2.2. Dados de Canais da Meta

Tokens de acesso da Meta, armazenados criptografados com Fernet/AES.
IDs de WhatsApp Business Account, Phone Number ID, Instagram Account ID e Facebook Page ID.
Nomes, números, status de conexão e metadados técnicos dos canais.

2.3. Dados de Mensagens Roteadas

Quando a Meta envia eventos para a Fiwano ou quando você envia mensagens pela API, podemos processar conteúdo de mensagens, anexos, identificadores de remetente/destinatário, timestamps, status de entrega/leitura e metadados expostos pelas APIs da Meta.

A Fiwano não usa esse conteúdo para publicidade, perfilamento, treinamento de modelos, datasets derivados ou qualquer finalidade independente. O conteúdo é processado para receber, validar, assinar, entregar, reenviar por curto período quando necessário e apagar.

2.4. Login com Google

Se você entrar com Google, solicitamos apenas openid email profile: e-mail, nome de exibição e identificador interno da conta Google. Não acessamos Gmail, Drive, Calendário, Contatos ou outros serviços Google. Esses dados são usados somente para autenticação e identificação da sua conta Fiwano e seguem a política de Limited Use do Google.

3. Finalidades do Processamento

Operar integrações com WhatsApp, Instagram e Facebook Messenger.
Entregar webhooks assinados ao endpoint configurado pelo cliente.
Enviar mensagens e gerenciar templates autorizados pela Meta.
Manter contas, autenticação, segurança, prevenção a fraude e auditoria.
Processar assinaturas, impostos, reembolsos e faturas por meio da Paddle.
Cumprir obrigações legais e responder a solicitações de titulares.
Medir uso de páginas públicas com analytics somente quando houver consentimento.

4. Retenção e Segurança

4.1. Criptografia e Controles Técnicos

HTTPS/TLS para conexões.
Tokens da Meta criptografados em repouso com Fernet/AES e chave separada dos dados.
Senhas com hash bcrypt.
Chaves de API armazenadas somente como hash SHA-256.
Webhooks de saída assinados com HMAC-SHA256.
Isolamento por conta, controle de acesso, auditoria e backups criptografados.

4.2. Retenção de Conteúdo de Mensagens

Mensagens entregues com sucesso: o conteúdo não é armazenado. O payload é repassado ao endpoint configurado e não fica arquivado na Fiwano.
Falha temporária no webhook: o payload é criptografado e colocado em uma fila curta de retry.
Retry: até 7 tentativas durante aproximadamente 11 minutos.
TTL rígido: 20 minutos desde a falha inicial. Após entrega ou expiração, o payload criptografado é apagado.
Logs de metadados: status, timestamps, idempotência e dados técnicos sem arquivar o corpo da mensagem, por até 30 dias.
Logs de auditoria e segurança: retidos pelo tempo de vida da conta e por 3 anos após o encerramento da conta, para fins de segurança, prevenção a fraude e defesa legal.
Registros de consentimento (consent_records): retidos pelo tempo de vida da conta e por 3 anos após o encerramento. Registros anônimos (não vinculados a conta) são retidos por 3 anos a partir da coleta. Esses registros são necessários para demonstrar a conformidade com o consentimento (LGPD Art. 8; GDPR Art. 7).

A Fiwano não oferece interface operacional para leitura de conteúdo de mensagens de clientes. Não há pipeline de analytics, classificação, perfilamento ou treinamento de IA sobre dados de mensagens roteadas.

5. Suboperadores, Destinatários e Transferências Internacionais

5.1. Terceiros Envolvidos

Destinatário	Papel	Finalidade / Dados
Endpoints de webhook do cliente	Destino sob controle do cliente	Mensagens e status enviados por HTTPS com assinatura HMAC-SHA256.
Meta Platforms, Inc. / Meta Platforms Ireland Ltd.	Controlador independente e suboperador para trânsito técnico	APIs WhatsApp Cloud, Instagram Messaging e Messenger; credenciais, conteúdo e metadados necessários ao trânsito.
Paddle.com Market Limited	Controlador independente; Merchant of Record	Cobrança, pagamento, impostos, reembolso e faturas; e-mail, nome, endereço de cobrança e identificadores fiscais como CNPJ.
Google LLC	Operador/processador	Analytics consentido em páginas públicas e login Google opcional.
GitHub, Inc.	Operador/processador	Login OAuth opcional.
Hospedagem / IaaS na União Europeia	Operador/processador	Servidores, banco de dados e backups criptografados.
Provedor de e-mail transacional	Operador/processador	E-mails de conta, verificação e alertas operacionais.

5.2. Transferências Internacionais

A Fiwano é operada a partir da Geórgia e usa infraestrutura principal na União Europeia. Dados pessoais podem ser processados nesses locais e nos locais dos terceiros listados acima. Não prometemos residência de dados no Brasil.

Para transferências do Brasil, usamos os mecanismos do Capítulo V da LGPD, incluindo, quando aplicável, cláusulas-padrão contratuais alinhadas aos modelos da ANPD (Resolução CD/ANPD nº 19/2024), base legítima do controlador cliente ou outro mecanismo autorizado. Para transferências do EEE/Reino Unido à Geórgia, usamos SCCs da UE (Módulos Dois e Três) e o UK Addendum quando aplicável.

5.3. Notificação de Incidente

Se a Fiwano confirmar uma violação de dados pessoais que afete dados processados em nome de um cliente, notificaremos o contato da conta sem demora indevida e, quando viável, dentro de 72 horas da confirmação. Para dados de mensagens roteadas, o cliente controlador continua responsável por avaliar notificações à ANPD e aos titulares; a Fiwano prestará assistência razoável.

6. Direitos dos Titulares

Titulares no Brasil podem exercer os direitos previstos na LGPD Art. 18: confirmação de tratamento, acesso, correção, anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos, portabilidade, informação sobre compartilhamento, informação sobre a possibilidade de negar consentimento e revogação de consentimento quando aplicável.

Também atendemos direitos equivalentes sob GDPR/UK GDPR, DPDP e leis estaduais dos EUA quando aplicável. Para solicitar acesso, correção, exclusão ou exportação, escreva para contact@fiwano.com. Podemos verificar sua identidade antes de responder. Em geral respondemos em até 30 dias; solicitações sujeitas a leis estaduais dos EUA podem seguir prazo de até 45 dias quando permitido.

7. Cookies e Tecnologias Semelhantes

7.1. Categorias

Essenciais: autenticação, sessão, segurança, CSRF e registro da sua escolha de cookies. São necessários para fornecer o Serviço.
Analytics opcionais: Google Analytics 4 com IP anonimizado, carregado somente após consentimento.

Não usamos cookies de publicidade, marketing comportamental ou rastreamento entre sites. Você pode recusar analytics no banner ou alterar a escolha em Profile → Cookies.

7.2. Cookies Definidos

Nome	Categoria	Finalidade	Duração
session	Essencial	Mantém a sessão autenticada.	Sessão / até 30 dias
csrftoken	Essencial	Proteção contra CSRF.	Sessão
fw_consent	Essencial	Armazena sua escolha de cookies.	12 meses
fw_anon	Essencial	Vincula consentimento pré-cadastro à conta; não usado para tracking.	12 meses
_ga, _ga_*	Analytics opcional	Estatísticas agregadas e IP anonimizado após consentimento.	Até 24 meses

8. Crianças

O Serviço é B2B e destinado a profissionais adultos. Não é direcionado a crianças e não coletamos intencionalmente dados pessoais de crianças. Se você acredita que uma criança forneceu dados pessoais, entre em contato para que possamos apagá-los.

9. Alterações desta Política

Podemos atualizar esta Política. Mudanças relevantes serão comunicadas por e-mail, painel ou publicação nesta página. Recomendamos revisar esta página periodicamente.

10. Contato

Operador: Individual Entrepreneur Roman Babakin (P/E Roman Babakin), registrado na Geórgia

E-mail: contact@fiwano.com

Website: fiwano.com