Simple Agent
Criar meu agente
Docslgpd

LGPD & Privacidade

Como o Simple Agent trata dados pessoais, residência de dados no Brasil e como configurar sua instância para conformidade com a LGPD.

A Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) exige que empresas brasileiras tratem dados pessoais com transparência, segurança e finalidade específica. O Simple Agent foi desenvolvido com LGPD como requisito de design, não como afterthought.

Residência de dados no Brasil

Por padrão, todos os dados de clientes nos planos com sede BR são armazenados em São Paulo (AWS sa-east-1):

  • Banco de dados Postgres (Neon): sa-east-1
  • Vetores (pgvector): sa-east-1
  • Backups de fontes (R2): replicados em sa-east-1
  • Logs de conversa (Logtail): retenção 90 dias, Brasil

Nenhum dado de conversa transita para servidores fora do Brasil nos planos Starter, Growth e Agency BR.

O que dados o Simple Agent coleta

Dados do operador (você)

  • Email de conta
  • Dados de faturamento (tokenizados via Stripe ou Asaas)
  • Conteúdo das fontes de treinamento (documentos, URLs)
  • Configurações dos agents

Dados dos usuários finais (seus clientes)

  • Mensagens trocadas com o agent
  • IP (mascarado após coleta — apenas 3 primeiros octetos)
  • User-Agent do browser
  • Lead capture opt-in (se configurado)

O Simple Agent NÃO coleta:

  • Nome ou CPF dos usuários finais
  • Dados de pagamento dos usuários finais
  • Comportamento de navegação fora do widget

Base legal para tratamento

Dado Base LGPD Fundamento
Email da conta Execução de contrato (Art. 7º, V) Necessário para autenticação
Conversas Interesse legítimo (Art. 7º, IX) Melhoria da qualidade do serviço
Leads capturados Consentimento (Art. 7º, I) Opt-in explícito no widget
Analytics anônimos Interesse legítimo Dados agregados sem PII

Configurações de conformidade

1. Desativar armazenamento de conversas

Se você não precisa de histórico de conversas no dashboard:

Configurações → Privacidade → Armazenar conversas → Desativar

Com essa opção desativada:

  • Conversas não são gravadas
  • Analytics de volume continuam funcionando (contadores)
  • Você perde: replay de conversas, análise de perguntas sem resposta

2. PII scrubbing automático

O Simple Agent tem scrubbing automático de PII nas conversas antes do armazenamento:

  • CPF: detectado e redacted (***.***.***-**)
  • Email: detectado e redacted
  • Telefone: detectado e redacted
  • Cartão: 4 últimos dígitos preservados, resto redacted

Ative em Configurações → Privacidade → PII Scrubbing → Ativar.

3. Consentimento no widget

Para widgets que podem capturar leads, adicione o banner de consentimento:

<script
  src="https://simple-agent.me/widget/loader.js"
  data-agent-id="SEU-AGENT-ID"
  data-consent-required="true"
  data-consent-text="Ao conversar, você aceita nossa Política de Privacidade."
  data-consent-link="/privacidade"
  async
></script>

O widget exibe o banner antes da primeira mensagem e bloqueia o envio sem aceite.

Contrato DPA (Data Processing Agreement)

Para planos Growth, Agency e Scale, disponibilizamos um DPA assinado que documenta:

  • Obrigações do Simple Agent como operador de dados
  • Medidas técnicas de segurança
  • Procedimento de notificação em caso de incidente (72h, conforme LGPD Art. 48)
  • Subprocessadores autorizados

Solicite em Configurações → Legal → Solicitar DPA.

Direitos dos titulares

O Simple Agent oferece endpoints de API para responder a requisições de direitos LGPD dos seus usuários:

Exportar dados de um usuário

POST /v1/privacy/export
{
  "user_identifier": "ip:192.168.1",
  "format": "json"
}

Deletar dados de um usuário

POST /v1/privacy/delete
{
  "user_identifier": "session:abc123",
  "confirm": true
}

Retenção de dados

Tipo Retenção padrão Configurável
Conversas 365 dias 30–365 dias
Logs de sistema 90 dias Não
Dados de billing 7 anos (obrigação fiscal) Não
Embeddings Enquanto fonte ativa Sim

Para alterar retenção: Configurações → Privacidade → Retenção de dados.

Certificações e auditorias

  • SOC 2 Type II: Controles mapeados; relatório externo ainda não emitido
  • ISO 27001: Controles mapeados; certificação ainda não emitida
  • OWASP Top 10: Revisões internas e testes automatizados em andamento
  • Penetration test: Programa de teste externo planejado; relatórios serão disponibilizados via NDA quando emitidos

Para requisitos enterprise específicos, entre em contato com nossa equipe de segurança: security@simple-agent.me.