B
Bossa CRM
Termos de Privacidade

Política de Privacidade

Como o Bossa CRM coleta, usa, protege e elimina dados pessoais, em conformidade com a LGPD (Lei nº 13.709/2018).

Última atualização: 11 de junho de 2026

Baixar em PDF

1. Quem somos e o papel desta política

O Bossa CRM é uma plataforma de gestão de relacionamento com clientes (CRM) desenvolvida e operada pela Bossa Company (49.425.266 Nicolas Antunes de Souza, inscrita no CNPJ sob o nº 49.425.266/0001-75, com sede em Bauru, Estado de São Paulo). Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e eliminamos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, "LGPD") e demais normas aplicáveis.

Ao criar uma conta ou utilizar o Bossa CRM, você declara ter lido e compreendido esta política. Se não concordar com algum termo, recomendamos não utilizar a plataforma.

2. Definições importantes

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (art. 5º, I, da LGPD).
  • Titular: a pessoa natural a quem os dados pessoais se referem.
  • Controlador: quem toma as decisões sobre o tratamento de dados pessoais (art. 5º, VI).
  • Operador: quem realiza o tratamento de dados em nome do controlador (art. 5º, VII).
  • Tratamento: toda operação com dados pessoais, como coleta, uso, armazenamento, compartilhamento e eliminação (art. 5º, X).
  • Workspace: o ambiente isolado de cada empresa cliente dentro do Bossa CRM.

3. Nossos papéis: controlador e operador

O Bossa CRM atua em dois papéis distintos, e isso define responsabilidades diferentes sob a LGPD:

  • Como CONTROLADOR: em relação aos dados das pessoas que criam conta e usam a plataforma (nome, e-mail, dados de acesso, dados de cobrança). Nós decidimos como e por que esses dados são tratados.
  • Como OPERADOR: em relação aos dados que cada empresa cliente insere no seu workspace (contatos, leads, deals, conversas, histórico comercial). Nesses casos, a empresa cliente é a controladora e nós tratamos os dados exclusivamente conforme as instruções dela e os limites desta política.

Se você é um lead ou contato cadastrado no CRM de uma empresa que usa o Bossa CRM, a responsável primária pelo tratamento dos seus dados é essa empresa. Recomendamos direcionar solicitações a ela; ainda assim, colaboraremos no que for necessário para atender seus direitos.

4. Quais dados coletamos

Coletamos as seguintes categorias de dados:

  • Dados de cadastro: nome, e-mail, telefone e empresa, fornecidos na criação da conta.
  • Dados de cobrança: informações necessárias para faturamento dos planos pagos. Dados completos de cartão são processados por provedores de pagamento e não ficam armazenados em nossos servidores.
  • Dados inseridos no workspace: contatos, empresas, deals, anotações, tarefas e conversas cadastrados pelos usuários da empresa cliente.
  • Dados de integrações: quando a empresa cliente conecta contas de Google Ads e Meta Ads, coletamos métricas de campanhas e credenciais de acesso (tokens), armazenadas com criptografia AES-256-GCM.
  • Dados de uso: registros de acesso (logs), endereço IP, tipo de navegador, páginas visitadas e ações na plataforma, conforme obrigação do Marco Civil da Internet (Lei nº 12.965/2014, art. 15).
  • Cookies: utilizamos cookies essenciais para autenticação e funcionamento, e cookies analíticos para entender o uso da plataforma. Cookies não essenciais podem ser recusados sem prejuízo ao serviço.

5. Finalidades e bases legais

Todo tratamento de dados no Bossa CRM se apoia em uma das bases legais do art. 7º da LGPD:

  • Execução de contrato (art. 7º, V): operar a plataforma, autenticar usuários, processar pagamentos e prestar suporte.
  • Legítimo interesse (art. 7º, IX): melhorar o produto, prevenir fraudes e garantir a segurança da plataforma, sempre respeitando os direitos e expectativas do titular.
  • Consentimento (art. 7º, I): envio de comunicações de marketing e uso de cookies não essenciais. O consentimento pode ser revogado a qualquer momento.
  • Cumprimento de obrigação legal (art. 7º, II): guarda de registros de acesso e obrigações fiscais e contábeis.

6. Inteligência artificial

O Bossa CRM oferece recursos de IA, como qualificação automática de leads e sugestões de follow-up. Sobre esses recursos:

  • Os dados do seu workspace não são utilizados para treinar modelos de IA, nem nossos, nem de terceiros.
  • Os agentes de IA acessam apenas os dados que o usuário que os aciona tem permissão de ver.
  • Ações executadas por IA ficam registradas e podem ser revisadas pelo usuário.
  • Quando o processamento envolve provedores externos de IA, os dados são enviados de forma limitada à operação solicitada e sob obrigação contratual de não retenção para treinamento.

7. Compartilhamento de dados

Não vendemos dados pessoais. Compartilhamos dados apenas com operadores e suboperadores necessários à prestação do serviço:

  • Infraestrutura de banco de dados e autenticação: Supabase (data centers AWS).
  • Hospedagem e entrega da aplicação: Vercel.
  • Plataformas de anúncios: Google e Meta, exclusivamente quando a empresa cliente conecta suas próprias contas de anúncios.
  • Provedores de pagamento, para faturamento dos planos.
  • Autoridades públicas, quando houver obrigação legal ou ordem judicial.

Todos os fornecedores são avaliados quanto a práticas de segurança e privacidade e estão vinculados a obrigações contratuais de proteção de dados.

8. Transferência internacional de dados

Parte da nossa infraestrutura (Supabase, Vercel e AWS) pode armazenar ou processar dados fora do Brasil. Essas transferências ocorrem com fundamento no art. 33 da LGPD, para países ou organizações que proporcionam grau de proteção adequado ou mediante cláusulas contratuais que asseguram o cumprimento dos princípios e direitos previstos na lei brasileira.

9. Segurança da informação

Adotamos medidas técnicas e administrativas aptas a proteger os dados pessoais, conforme o art. 46 da LGPD:

  • Criptografia de dados em trânsito (TLS) e em repouso.
  • Criptografia AES-256-GCM para credenciais de integrações.
  • Isolamento de dados por workspace com políticas de Row Level Security no banco de dados.
  • Controle de acesso por papéis e princípio do privilégio mínimo.
  • Backups automáticos com recuperação pontual.
  • Monitoramento e registro de eventos de segurança.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, nos termos do art. 48 da LGPD.

10. Retenção e eliminação de dados

  • Dados da conta: mantidos enquanto a conta estiver ativa. Após o encerramento, são eliminados ou anonimizados em até 90 dias, salvo obrigação legal de retenção.
  • Dados do workspace: pertencem à empresa cliente e podem ser exportados ou excluídos a qualquer momento pelos administradores do workspace.
  • Registros de acesso: mantidos por no mínimo 6 meses, conforme o art. 15 do Marco Civil da Internet.
  • Dados fiscais e de cobrança: mantidos pelos prazos exigidos pela legislação tributária.
  • Backups: expiram em ciclo definido. Dados excluídos deixam de existir nos sistemas ativos imediatamente e nos backups após o ciclo de expiração.

11. Seus direitos como titular

O art. 18 da LGPD garante a você, a qualquer momento e mediante requisição:

  • Confirmação da existência de tratamento dos seus dados.
  • Acesso aos dados que temos sobre você.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade dos dados a outro fornecedor de serviço.
  • Eliminação dos dados tratados com base no seu consentimento.
  • Informação sobre com quem compartilhamos seus dados.
  • Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa.
  • Revogação do consentimento.
  • Oposição a tratamento realizado com base em legítimo interesse, caso entenda haver violação à LGPD.

Para exercer qualquer um desses direitos, escreva para o nosso Encarregado de Proteção de Dados pelo e-mail indicado na seção 13. Responderemos em prazo razoável e, nos casos do art. 19, nos prazos legais.

Você também tem o direito de peticionar à ANPD caso entenda que seus direitos não foram atendidos.

12. Crianças e adolescentes

O Bossa CRM é um produto destinado a empresas e profissionais. Não é direcionado a menores de 18 anos e não coletamos intencionalmente dados de crianças e adolescentes. Se identificarmos cadastro feito por menor, a conta será encerrada e os dados eliminados.

13. Encarregado de Proteção de Dados (DPO)

Em cumprimento ao art. 41 da LGPD, mantemos um Encarregado de Proteção de Dados responsável por receber comunicações dos titulares e da ANPD.

Contato do Encarregado: tech@somosbossa.net

14. Alterações desta política

Esta política pode ser atualizada para refletir mudanças no produto ou na legislação. Alterações relevantes serão comunicadas por e-mail ou aviso na plataforma com antecedência razoável. A versão vigente estará sempre disponível nesta página, com a data de atualização indicada no topo.

Esta política é regida pela legislação brasileira. Fica eleito o foro da comarca de Bauru, Estado de São Paulo, para dirimir quaisquer controvérsias, sem prejuízo da competência prevista em lei para ações do titular.