Política de Privacidade
Plataforma LUMNO — CRM e Gestão de Atendimento
Versão 1.0 — Vigente a partir de 2026-06-01 | Última atualização: 2026-06-01
Glossário: Tenant — empresa ou pessoa jurídica que contrata e utiliza a plataforma LUMNO. Termos equivalentes: Contratante, Cliente.
Esta Política de Privacidade descreve como a LUMNO trata dados pessoais ao operar sua plataforma de CRM e gestão de atendimento. Ela é redigida para atender simultaneamente à Lei Geral de Proteção de Dados brasileira (Lei nº 13.709/2018 — "LGPD") e ao Regulamento Geral de Proteção de Dados da União Europeia (Regulamento (UE) 2016/679 — "GDPR"), aplicando sempre o padrão mais protetivo quando houver divergência.
1. Quem somos
Controlador dos dados de cadastro e conta: DIAMOND CRED SERVICOS FINANCEIROS LTDA, pessoa jurídica de direito privado inscrita no CNPJ sob nº 36.519.470/0001-03, doravante "LUMNO", "nós" ou "nossa".
Encarregado pelo Tratamento de Dados (DPO): Bruno Lima Silva. Contato para qualquer questão de privacidade: privacidade@lumno.online.
A LUMNO atua em dois papéis distintos, dependendo da categoria de dados. Entender essa distinção é essencial para compreender esta política (ver Seção 4).
2. Dados que coletamos
2.1. Dados do cliente contratante ("Tenant")
Quando uma empresa contrata a plataforma (Tenant / Contratante / Cliente), coletamos:
- Dados cadastrais: razão social, CNPJ ou identificação fiscal, nome do responsável e e-mail do administrador.
- Dados de autenticação: e-mail e senha (armazenada apenas como hash criptográfico bcrypt) e endereço IP de acesso.
- Dados de cobrança: plano contratado e histórico de pagamentos, processados por nosso subprocessador de pagamento.
- Registro de aceite de termos: nome completo e CPF do responsável que realiza o aceite, data, hora, versão aceita e endereço IP (mantidos de forma permanente como prova de aceite e cumprimento de obrigação legal).
- Logs de acesso: endereços IP e ações realizadas na plataforma (retidos por 90 dias).
2.2. Dados dos usuários do Tenant (gestores e consultores)
- Nome completo, e-mail e senha (hash).
- Função e permissões atribuídas na plataforma.
- Logs de acesso (90 dias) e histórico de conversas atribuídas.
2.3. Dados dos contatos finais dos Tenants
Para esta categoria de dados, a LUMNO atua exclusivamente como Operador (LGPD) / Data Processor (GDPR). A base legal e a transparência perante o titular são responsabilidade do Tenant, que é o Controlador desses dados.
A plataforma processa, por instrução do Tenant:
- Número de telefone e nome de perfil do WhatsApp/Instagram do contato.
- Conteúdo de mensagens trocadas e mídia associada (imagens, vídeos, áudio e documentos).
- Status de lead, notas e histórico de interações do CRM.
- Metadados de entrega (identificadores de mensagem, datas e status de envio/entrega/leitura).
Eventualmente, mensagens podem conter dados pessoais sensíveis caso o contato final os informe ao Tenant. A LUMNO não solicita nem induz a coleta desses dados; a decisão sobre tratá-los e a respectiva base legal cabem ao Tenant.
2.4. Dados de IA e base de conhecimento
- Histórico de conversas processadas por agentes de IA de triagem.
- Avaliações (positivas/negativas) e comentários qualitativos feitos pelo gestor sobre cada conversa.
- Entradas da base de conhecimento (trechos de conversa curados pelo Tenant).
2.5. Credenciais de canal
Tokens de acesso a APIs da Meta (WhatsApp Cloud e Instagram) e tokens de verificação de webhook são armazenados de forma criptografada (AES-256) e usados apenas para operar os canais configurados pelo Tenant.
3. Finalidades e bases legais
| Categoria de dados | Finalidade | Base legal (LGPD / GDPR) |
|---|---|---|
| Cadastro e conta do Tenant | Prestar o serviço contratado, faturar e dar suporte | Execução de contrato — Art. 7º, V LGPD / Art. 6(1)(b) GDPR |
| Usuários do Tenant | Permitir acesso e operação da plataforma | Execução de contrato — Art. 7º, V LGPD / Art. 6(1)(b) GDPR |
| Logs de acesso e segurança | Segurança, prevenção a fraude e auditoria | Legítimo interesse — Art. 7º, IX LGPD / Art. 6(1)(f) GDPR |
| Registro de aceite de termos | Comprovar consentimento e cumprir obrigação legal | Cumprimento de obrigação legal — Art. 7º, II LGPD / Art. 6(1)(c) GDPR |
| Contatos finais dos Tenants | Operar o atendimento conforme instrução do Tenant | Definida pelo Tenant (Controlador); LUMNO processa sob instrução |
4. Modelo de responsabilidade compartilhada
A LUMNO disponibiliza a ferramenta; o Tenant decide como operá-la. Daí decorre o seguinte modelo:
LUMNO como Controlador: em relação aos dados de cadastro, conta e cobrança dos próprios Tenants e de seus usuários. Sobre esses dados, respondemos diretamente perante os titulares.
LUMNO como Operador / Processor: em relação aos dados dos contatos finais que o Tenant gerencia na plataforma. Nesses casos, o Tenant é o Controlador e é responsável por: ter base legal válida para tratar os dados de seus contatos; informar seus contatos sobre o tratamento; obter opt-in válido para campanhas; e cumprir a LGPD, o GDPR e as políticas das plataformas de mensagem (Meta) em sua operação.
Integrações de terceiros contratadas pelo Tenant: a plataforma pode oferecer conectores para serviços de terceiros. Quando o Tenant opta por contratar e habilitar tais serviços, a relação de tratamento se dá entre o Tenant e o respectivo fornecedor. A LUMNO apenas viabiliza tecnicamente a integração e não decide sobre esses dados nem responde pelo uso que o Tenant faz deles.
Ferramentas de consentimento fornecidas pela LUMNO: para auxiliar o Tenant no cumprimento de suas obrigações, a plataforma oferece o registro do estado de consentimento por número de telefone (opt-in, opt-out e ausência de manifestação), com data e origem, e o processamento de pedidos de opt-out, bloqueando o envio de novas mensagens ao número que solicitou a interrupção. A disponibilização dessas ferramentas não transfere à LUMNO a responsabilidade pela obtenção do consentimento, que permanece exclusivamente do Tenant na qualidade de Controlador.
5. Uso de inteligência artificial
A plataforma oferece, como recurso opcional ativado pelo Tenant, agentes de IA de triagem que respondem mensagens iniciais e encaminham o atendimento a um atendente humano. Esses agentes utilizam modelos de IA de terceiros (provedores de modelos de propósito geral).
A base de conhecimento construída a partir de conversas curadas alimenta exclusivamente o contexto do agente do próprio Tenant e não é compartilhada entre Tenants nem usada para treinar modelos externos. O Tenant é responsável por informar seus contatos finais de que estão interagindo com um sistema de IA, conforme exigido pelas políticas da Meta e pelo EU AI Act. O encaminhamento para atendimento humano é uma funcionalidade nativa e permanentemente ativa, não passível de desativação pelo Tenant, em conformidade com as políticas da Meta.
6. Compartilhamento e subprocessadores
Compartilhamos dados apenas com subprocessadores necessários à operação da plataforma, todos sujeitos a obrigações contratuais de proteção de dados. Provedores de infraestrutura de nuvem (banco de dados, armazenamento, hospedagem e pagamentos) são contratados com cláusulas equivalentes e constam integralmente no DPA disponível mediante solicitação. Os subprocessadores identificados abaixo são aqueles cujos dados transitam diretamente pelo seu dispositivo ou com os quais a LUMNO tem vínculo de tratamento de dados pessoais visível ao titular:
| Subprocessador | Função | Região | DPA |
|---|---|---|---|
| Meta (WhatsApp) | Canal de mensagens | EEE + EUA | whatsapp.com/legal |
| Meta (Instagram) | Canal de mensagens | EEE + EUA | facebook.com/legal/terms/dataprocessing |
| Google Tag Manager | Gerenciamento de tags de analytics/marketing | EUA / UE | cloud.google.com/terms/data-processing-addendum |
| Google Analytics 4 | Analytics de uso do site | EUA / UE | cloud.google.com/terms/data-processing-addendum |
| Google Ads | Rastreamento de conversões | EUA / UE | cloud.google.com/terms/data-processing-addendum |
| Meta Pixel + Conversions API | Rastreamento de conversões e remarketing | EUA / EEE | facebook.com/legal/terms/dataprocessing |
| Google (Gemini) | Modelos de IA (sem uso para treino) | EUA / UE | cloud.google.com/terms/data-processing-addendum |
| OpenAI (ChatGPT/GPT) | Modelos de IA (sem uso para treino) | EUA | openai.com/policies/data-processing-addendum |
| Anthropic (Claude) | Modelos de IA (sem uso para treino) | EUA | anthropic.com/legal/data-processing-addendum |
| Groq | Modelos de IA (sem uso para treino) | EUA | groq.com/legal |
Notificaremos os Tenants com pelo menos 30 dias de antecedência antes de adicionar ou substituir subprocessadores, oportunidade em que o Tenant poderá manifestar objeção.
7. Transferências internacionais
- Brasil → União Europeia: em 26 de janeiro de 2026, a União Europeia concedeu ao Brasil decisão de adequação (EU Decision 2026/179), de modo que transferências de dados entre a UE e o Brasil dispensam salvaguardas adicionais.
- Demais transferências: transferências para subprocessadores localizados fora do Brasil ou do Espaço Econômico Europeu ocorrem com base nas cláusulas contratuais padrão (Standard Contractual Clauses) adotadas por cada subprocessador.
8. Retenção de dados
| Categoria | Prazo de retenção |
|---|---|
| Dados de cadastro e conta | Durante a vigência do contrato + 5 anos (prazo prescricional fiscal/civil) |
| Conversas e mídia dos contatos finais | Configurável pelo Tenant; excluídas conforme sua instrução |
| Logs de acesso | 90 dias |
| Registro de aceite de termos | Permanente (prova de aceite) |
9. Direitos dos titulares
Você pode exercer, conforme aplicável, os direitos de: confirmação e acesso, retificação, eliminação, anonimização, portabilidade, informação sobre compartilhamento, oposição ao tratamento e revisão de decisões automatizadas.
Como exercer: envie solicitação para privacidade@lumno.online. Responderemos no prazo de 15 dias (LGPD) — padrão mais restritivo que o prazo de 1 mês do GDPR, adotado para cobrir ambos os regimes.
Importante: se a solicitação se referir a dados de contatos finais para os quais a LUMNO é apenas Operadora, encaminharemos o pedido ao Tenant Controlador e o auxiliaremos a atendê-lo, mas a decisão cabe ao Tenant.
Portabilidade: sob o GDPR, fornecemos os dados em formato estruturado e de leitura por máquina. Sob a LGPD, a portabilidade observa as exceções legais de segredo comercial e industrial.
Reclamações: você pode reclamar à ANPD (Autoridade Nacional de Proteção de Dados, no Brasil) ou à autoridade supervisora de proteção de dados competente na União Europeia.
10. Segurança
Adotamos medidas técnicas e organizacionais compatíveis com o Art. 46 da LGPD e o Art. 32 do GDPR, incluindo: criptografia AES-256 em repouso, TLS 1.2 ou superior em trânsito, controle de acesso baseado em função (RBAC), autenticação de dois fatores, registro de logs, backups e testes de segurança periódicos.
Notificação de incidentes: em caso de incidente de segurança relevante, notificaremos as autoridades e os afetados no prazo de 72 horas (GDPR) ou 3 dias úteis (LGPD), adotando o prazo mais restritivo aplicável.
11. Cookies e analytics
O site e a plataforma utilizam cookies e tecnologias similares gerenciados via Google Tag Manager (GTM) nas seguintes categorias:
Estritamente necessários — não podem ser desativados: cookies de sessão, autenticação e segurança da plataforma.
Analytics e desempenho — ativados mediante consentimento:
| Ferramenta | Provedor | Finalidade | Dados enviados |
|---|---|---|---|
| Google Analytics 4 (GA4) | Métricas de uso, comportamento de navegação | Eventos de página, cliques, sessões (anonimizados) |
Marketing e conversão — ativados mediante consentimento:
| Ferramenta | Provedor | Finalidade | Dados enviados |
|---|---|---|---|
| Meta Pixel + Conversions API | Meta | Rastreamento de conversões, remarketing | Eventos de conversão, dados de visitante (hash) |
| Google Ads | Rastreamento de conversões de anúncios | Eventos de conversão |
Você pode aceitar ou recusar cookies não essenciais no banner de cookies exibido na primeira visita. Preferências podem ser alteradas a qualquer momento nas configurações do site.
12. Dados de crianças e adolescentes
A LUMNO não coleta intencionalmente dados de menores de idade. Caso um Tenant venha a tratar dados de menores em sua operação, é responsabilidade exclusiva do Tenant assegurar base legal adequada, incluindo o consentimento específico de ao menos um dos pais ou responsável legal.
13. Alterações desta Política
Podemos atualizar esta Política periodicamente. Alterações relevantes serão comunicadas por e-mail com pelo menos 30 dias de antecedência, e a versão vigente estará sempre disponível em lumno.online/privacidade. Versões anteriores permanecerão acessíveis em nosso histórico.
14. Lei aplicável e contato
Esta Política é regida pela LGPD (Brasil) e, para titulares residentes na União Europeia, também pelo GDPR. Para qualquer dúvida, entre em contato pelo e-mail privacidade@lumno.online.