Design sem nome (12).png
Como funcionaPlanosPerguntas

Políticas e conformidade

Última atualização: 02 de maio de 2026

1. Termos de uso

Ao criar uma conta no CRM Hédiz, você concorda com estes Termos. Eles regulam o uso do CRM e dos serviços relacionados.

1.1. Conta e responsabilidade

  • Você é responsável pelas credenciais da sua conta e por qualquer atividade realizada nela.
  • Não é permitido revender, sublicenciar ou expor a API a terceiros sem autorização expressa.
  • É proibido usar o serviço para envio de spam, phishing, conteúdo ilegal ou qualquer prática que viole as políticas do WhatsApp, Meta ou Google.

1.2. Disponibilidade

Trabalhamos para manter o serviço disponível 24/7, com janelas de manutenção comunicadas com antecedência. Não garantimos zero downtime — eventuais indisponibilidades não geram direito a indenização além de pro-rata da mensalidade.

1.3. Cancelamento

O cancelamento pode ser feito a qualquer momento pelo próprio painel. Após o cancelamento, seus dados ficam disponíveis em modo leitura por 30 dias para exportação em CSV.

1.4. Alterações nos termos

Podemos atualizar estes Termos. Mudanças relevantes serão comunicadas com pelo menos 15 dias de antecedência por e-mail e dentro do próprio CRM.

2. Política de privacidade

A privacidade dos dados que você confia ao CRM Hédiz é levada a sério. Esta seção descreve o que coletamos, por quê e como tratamos.

2.1. Dados que coletamos

  • Cadastro: nome, e-mail, telefone, CPF (opcional), empresa, CRECI.
  • Operacionais: leads que você cadastra ou recebe via integrações (Meta, WhatsApp, Instagram, formulários, landing pages).
  • Uso: logs de acesso, ações realizadas, IP, user-agent, dados de telemetria pra detecção de fraude e auditoria.
  • Cobrança: dados financeiros tratados pela Asaas (sub-processador). Não armazenamos número de cartão.

2.2. Como usamos

  • Operar o produto contratado.
  • Distribuir leads, executar automações, enviar mensagens em seu nome via canais conectados.
  • Cobrar pelos serviços e gerenciar assinatura.
  • Suporte e melhoria do produto (analytics agregada).
  • Segurança e prevenção a abuso.

2.3. Compartilhamento

Não vendemos dados. Compartilhamos apenas com sub-processadores estritamente necessários:

  • Supabase (banco de dados, autenticação, storage)
  • Vercel (hospedagem)
  • Asaas (cobrança)
  • Meta / WhatsApp Cloud API (mensageria)
  • Anthropic (recursos de IA)
  • Resend (e-mail transacional)
  • Inngest (filas e jobs)

2.4. Retenção

Dados de leads e contatos são mantidos enquanto sua conta estiver ativa. Após cancelamento, ficam por 30 dias em modo leitura para exportação e depois são apagados em até 90 dias. Logs de auditoria podem ser mantidos por até 5 anos para cumprimento de obrigações legais.

3. Conformidade com a LGPD

O CRM Hédiz atua como operador dos dados pessoais que você (controlador) trata através da plataforma. Você decide quais dados coleta dos seus leads e clientes; nós executamos esse tratamento sob instrução, com as garantias técnicas e organizacionais exigidas pela Lei nº 13.709/2018.

3.1. Direitos do titular

Os titulares cujos dados você trata via Hédiz podem exercer:

  • Confirmação de tratamento
  • Acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação
  • Portabilidade
  • Revogação do consentimento

Solicitações dos titulares dos seus leads devem ser endereçadas a você (controlador). Como operador, atendemos as instruções do controlador em até 15 dias úteis.

3.2. Medidas de segurança

  • Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
  • Isolamento por imobiliária via Row Level Security (Postgres RLS).
  • Controle de acesso baseado em papéis (RBAC) com auditoria.
  • Backups automatizados diários com retenção de 30 dias.
  • Resposta a incidentes em até 24h, comunicação à ANPD em até 48h quando aplicável.

3.3. Encarregado (DPO)

Encarregado de proteção de dados: dpo@hediz.com

4. Deleção de dados (Data Deletion Instructions)

Você pode solicitar a deleção dos seus dados pessoais (e dos dados que você processou via CRM Hédiz) a qualquer momento. Atendemos solicitações em até 30 dias conforme a LGPD.

4.1. Como solicitar deleção

  1. Pelo painel do CRM: entre em Configurações → Conta → Excluir conta. Após a confirmação, todos os seus dados de cadastro, leads, imóveis, conversas e histórico passam por anonimização ou exclusão definitiva em até 30 dias úteis.
  2. Por e-mail: envie pedido para dpo@hediz.com informando o e-mail cadastrado e o motivo da solicitação. Confirmamos o recebimento em até 48h e concluímos em até 30 dias.
  3. Para titulares de dados (leads cadastrados via Meta/WhatsApp/Instagram): a solicitação deve ser feita ao controlador (a imobiliária dona da conta). Se você não tem contato direto, escreva pra dpo@hediz.com que repassamos.

4.2. O que é apagado

  • Cadastro: nome, e-mail, telefone, CPF, dados profissionais.
  • Leads, conversas, mensagens, anotações, tarefas, imóveis cadastrados pela conta.
  • Tokens OAuth Meta/WhatsApp/Instagram revogados e descartados.
  • Anexos enviados (fotos, PDFs, áudios).

4.3. O que é mantido (obrigação legal)

  • Notas fiscais e dados de cobrança: 5 anos (Receita Federal).
  • Logs de auditoria mínimos (data/hora de exclusão, IP do solicitante): 5 anos.

4.4. Revogação de tokens Meta

Ao excluir a conta, todos os tokens OAuth concedidos à Meta (Facebook, Instagram, WhatsApp Cloud API) são revogados via graph.facebook.com/me/permissions DELETE e os webhooks são cancelados. Você também pode revogar acesso manualmente em Configurações de Ferramentas Comerciais do Facebook.

5. Uso de APIs da Meta e do WhatsApp

O CRM Hédiz integra-se com produtos da Meta Platforms, Inc. para prover funcionalidades essenciais do CRM imobiliário. O acesso é feito sob seu consentimento explícito (OAuth) e somente para os fins descritos abaixo.

5.1. Facebook Pages

  • pages_show_list: listar Pages do seu Business Manager para que você escolha quais conectar ao CRM.
  • pages_read_engagement e pages_manage_metadata: ler informações básicas da Page e inscrever webhooks (mensagens, leads).
  • pages_messaging: receber e enviar mensagens do Messenger pelo CRM.
  • pages_manage_posts: criar, agendar e publicar posts orgânicos na Page (apenas quando solicitado por você).

5.2. Instagram Business

  • instagram_basic: identificar a conta IG Business vinculada à Page.
  • instagram_manage_messages: receber/enviar DMs no Inbox do CRM.
  • instagram_manage_comments: ler/responder comentários em posts e ads do Instagram.
  • instagram_content_publish: publicar foto, vídeo, carrossel ou reel quando solicitado por você.

5.3. Meta Marketing API (Ads)

  • ads_management: criar/pausar/retomar campanhas, ad sets, ads e Lead Forms a partir de imóveis cadastrados no CRM.
  • ads_read e read_insights: sincronizar métricas (gasto, impressões, cliques, leads, CPL) por campanha para exibir no dashboard.
  • leads_retrieval: receber leads de Lead Ads via webhook e atribuir origem (campanha, conjunto, anúncio) ao lead criado no CRM.
  • business_management: enumerar Business Managers e seus ativos (Pages, ad accounts, pixels) para configuração inicial.

5.4. WhatsApp Cloud API

  • whatsapp_business_management: cadastrar e configurar números de WhatsApp Business via Embedded Signup, gerenciar templates e webhook.
  • whatsapp_business_messaging: enviar/receber mensagens conforme as Janelas de Conversa de 24h e templates aprovados pela Meta.

Os dados obtidos via essas APIs são processados conforme as Platform Terms da Meta e a WhatsApp Business Policy. Não enviamos mensagens em massa não-solicitadas e respeitamos as janelas de conversação. Não compartilhamos conteúdo de mensagens com terceiros exceto sub-processadores listados na seção 2.3.

6. Cookies

Usamos cookies estritamente necessários (sessão, CSRF, preferência de tema) que não exigem consentimento. Para analytics e marketing usamos cookies opcionais sujeitos ao seu opt-in via banner de consentimento.

7. Contato

Dúvidas sobre estas políticas, exercício de direitos LGPD ou questões comerciais:

Este documento é um modelo padrão. Recomendamos revisão jurídica antes de uso em produção, especialmente para operações com particularidades (white-label, atuação internacional, dados sensíveis).