Política de Privacidade — Loki.ia Social Sales Agent
Última atualização: 19/abril/2026 · Versão: 1.0-beta
Resumo executivo: Loki.ia opera como Controlador de Dados conforme LGPD (Lei 13.709/2018). Coletamos dados mínimos para operar o agente de vendas sociais. Você tem direito a exportar, corrigir e apagar seus dados a qualquer momento.
1. Quem somos
Loki.ia Social Sales Agent ("Loki.ia", "nós") é um software SaaS de automação conversacional de vendas para influenciadores digitais em redes sociais (Instagram, WhatsApp Cloud, Telegram).
Controlador LGPD: Michel Wesley Lopes · Boa Vista/RR · privacy@loki-supermi-ai.duckdns.org
O DPO (Data Protection Officer) pode ser contatado no mesmo e-mail.
2. Dados que coletamos
2.1 Dados fornecidos por você (Tenant/Influencer)
- Cadastro: nome, e-mail, senha (armazenada com hash bcrypt — nunca em texto plano)
- Configuração de agente: arquétipo de vendas, catálogo de produtos, diálogos exemplo (fewshot)
- Identidade fiscal (opcional): CPF ou CNPJ quando ativar pagamento afiliado
- Credenciais de terceiros: Meta Graph API tokens (criptografados AES-256-GCM)
2.2 Dados de Leads (seus seguidores)
- Identificadores de plataforma: Instagram user ID, WhatsApp phone, Telegram user ID
- Conteúdo de mensagens: histórico de DMs (criptografado em repouso)
- Contato (após consentimento explícito): e-mail e/ou telefone quando o lead preenche gate
- Dados comportamentais: sentiment journey, V/A/C system, estágio SPIN, objeções
2.3 Dados técnicos automáticos
- IP de origem, user-agent, timestamp de consentimento (trilha auditoria LGPD Art. 46)
- Logs de uso do agente (tokens LLM, latência, custo por lead)
3. Finalidades e base legal
| Finalidade |
Base legal (LGPD) |
| Execução do contrato de automação de vendas |
Art. 7º V (execução de contrato) |
| Coleta de lead via gate de captação (e-mail/phone) |
Art. 7º I (consentimento explícito) + Art. 7º IX (legítimo interesse com teste proporcionalidade) |
| Rotulagem publicitária ostensiva (sufixo #publi) |
CDC Art. 36 (publicidade identificável) + CONAR |
| Cumprimento de obrigação legal |
Art. 7º II · Art. 46 (manutenção audit trail 5 anos) |
| Prevenção fraude + antifraude afiliados |
Art. 7º IX (legítimo interesse — teste proporcionalidade documentado) |
4. Como usamos IA (obrigatório Marco Legal IA)
O agente Loki.ia é um chatbot de inteligência artificial baseado em modelos de linguagem de grande escala (LLM). Transparência ostensiva conforme PL 2338/2023 Art. 20:
- Todas as conversas DM são iniciadas com declaração explícita "Sou IA, escopo vendas"
- Modelos utilizados: OpenRouter free tier (NVIDIA Nemotron, Z-AI GLM, Gemma, Meta Llama) + Anthropic Claude Sonnet em casos premium
- Direito à explicação algorítmica (LGPD Art. 20): se o agente recusar atendimento, ajustar preço ou encerrar venda, você pode solicitar explicação humana em privacy@loki-supermi-ai.duckdns.org
5. Compartilhamento com terceiros
- Meta (Facebook/Instagram/WhatsApp): mensagens saem via Graph API oficial. Meta mantém política própria — veja Meta Privacy Policy
- OpenRouter + provedores LLM: prompts são enviados com PII mascarada (e-mails, telefones, nomes substituídos por placeholders antes do LLM)
- Mercado Livre + Shopee: deep links afiliados com SubID único (permite rastreio comissão sem compartilhar PII)
- Hetzner: infraestrutura em servidor Nuremberg/Alemanha (GDPR compliant)
Não vendemos dados. Não usamos para treinar modelos externos sem consentimento.
6. Seus direitos (LGPD Art. 18)
- Confirmação de tratamento (Art. 18 I)
- Acesso aos dados (Art. 18 II) — exportação JSON via
POST /api/profile/export (triple-guard JWT + confirm header + bcrypt re-auth)
- Correção (Art. 18 III) — via painel
/configure
- Anonimização, bloqueio ou eliminação (Art. 18 IV) —
POST /api/profile/erasure ou solicite via privacy@loki-supermi-ai.duckdns.org
- Portabilidade (Art. 18 V) — JSON exportável padrão
- Eliminação dos dados coletados com consentimento (Art. 18 VI)
- Revogação do consentimento (Art. 8º §5º) — a qualquer momento
- Explicação algorítmica (Art. 20) — em decisões automatizadas que afetem você
Prazo de resposta: 15 dias (LGPD Art. 19).
7. Retenção de dados
| Dado |
Retenção |
Tier |
| Conversa ativa + leads ativos | Enquanto tenant ativo | Hot PG |
| Conversas analíticas | 90 dias | Hot ClickHouse LZ4 |
| Histórico frio (anonimizado) | 5 anos | Cold Parquet MinIO |
| Consent ledger (audit trail — Art. 46) | 5 anos | Append-only imutável |
| Tenant cancelado (erasure solicitado) | 30 dias backup + hard delete | — |
8. Segurança
- TLS 1.2+ em todas as conexões (cert ECDSA P-384 Let's Encrypt)
- Senhas com bcrypt cost 12
- Dados em repouso com AES-256-GCM
- Isolamento PostgreSQL via Row Level Security (RLS) + schema dedicado
- Firewall Hetzner Cloud + CrowdSec + nftables (5 camadas defesa em profundidade)
- Backup diário automatizado + restore drill mensal
- Alertas em drift de configuração (SOC 2 CC7.1 compliance)
9. Crianças
Loki.ia não é direcionado a menores de 18 anos. Se identificarmos que coletamos dados de menor sem consentimento, eliminamos imediatamente (LGPD Art. 14).
10. Alterações
Mudanças materiais serão notificadas via e-mail + banner no painel com 30 dias de antecedência.