M3 / COMPANY · LEGAL
Política de Privacidade
Versão 1.0 · Vigência a partir de 06 de maio de 2026
A M3 Company respeita a sua privacidade e está comprometida com a proteção dos seus dados pessoais. Esta Política de Privacidade descreve como coletamos, usamos, compartilhamos e protegemos os dados pessoais tratados em nossos serviços, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, LGPD).
Ao acessar nosso site, contratar nossos serviços ou interagir com nossos canais, você declara estar ciente desta Política.
1. Identificação do Controlador
| Razão social | M3 Company LTDA |
| CNPJ | 47.980.631/0001-88 |
| Endereço operacional | Itajaí · SC, Brasil |
| Site | https://m3companyy.com.br |
| @m3.companyy | |
| Email LGPD (Encarregado/DPO) | joao@m3companyy.com.br |
A M3 Company atua como controladora dos dados de visitantes, leads e clientes contratantes. Em relação aos pacientes finais que interagem com agentes de IA via WhatsApp dos nossos clientes (clínicas), a M3 Company atua como operadora, sendo a clínica contratante a controladora desses dados.
2. Dados Pessoais Coletados
Coletamos diferentes categorias de dados conforme o tipo de titular.
2.1. Visitantes do site m3companyy.com.br
- Cookies de navegação e analytics (Google Analytics 4 e Google Tag Manager).
- Endereço IP, identificadores de dispositivo, sistema operacional, navegador.
- Eventos de interação: cliques em botões, tempo na página, páginas visitadas.
2.2. Leads (potenciais clientes)
Quando você clica no botão de WhatsApp ou inicia contato:
- Número de telefone WhatsApp (obrigatório para iniciar a conversa).
- Caso opte por compartilhar: nome, email, dados sobre a sua clínica.
2.3. Clientes contratantes
Após a contratação de qualquer pacote:
- Razão social ou nome completo, CNPJ ou CPF.
- Endereço, telefone, email.
- Dados de pagamento processados via Asaas. A M3 Company não armazena dados de cartão de crédito. O Asaas atua como operador de pagamento.
- Dados sobre a operação da clínica necessários para a entrega do serviço (horários, serviços oferecidos, equipe etc.).
- Quando o cliente optar por compartilhar para fins de configuração: credenciais de acesso a contas (Vercel, GitHub, Google). Essas credenciais nunca são armazenadas em texto claro pela M3.
2.4. Pacientes finais (terceiros)
Pacientes que interagem com o agente de IA via WhatsApp do cliente nos pacotes Completo e Premium:
- Mensagens trocadas com o agente (armazenadas para histórico de atendimento).
- Número de telefone.
- Nome, quando informado pelo paciente durante a conversa.
3. Como os Dados São Coletados
- Diretamente do titular: quando você preenche um formulário, inicia conversa por WhatsApp, contrata um serviço ou envia mensagens.
- Automaticamente: por meio de cookies, pixels e tecnologias semelhantes durante a navegação no site.
- De terceiros: quando recebemos dados de operadores (ex.: Asaas no processamento de pagamento) ou de fontes públicas para verificação cadastral.
4. Finalidades do Tratamento
| Finalidade | Titular | Base Legal |
|---|---|---|
| Permitir e melhorar a navegação no site | Visitante | Legítimo interesse |
| Análise de tráfego e comportamento agregado | Visitante | Legítimo interesse |
| Cookies não essenciais e marketing | Visitante / Lead | Consentimento |
| Atendimento comercial e envio de proposta | Lead | Procedimentos preliminares ao contrato |
| Execução do contrato e entrega dos serviços | Cliente | Execução de contrato |
| Cobrança e processamento de pagamento | Cliente | Execução de contrato |
| Emissão de notas fiscais e guarda contábil | Cliente | Cumprimento de obrigação legal |
| Operação do agente de IA via WhatsApp | Paciente final | Em nome do controlador (clínica) |
| Segurança da informação e prevenção a fraudes | Todos | Legítimo interesse |
5. Bases Legais (LGPD art. 7º e 11)
- Execução de contrato: para clientes contratantes.
- Consentimento: para cookies não essenciais e comunicações de marketing.
- Legítimo interesse: para analytics agregado, segurança e prevenção a fraudes.
- Cumprimento de obrigação legal: para guarda fiscal e contábil de notas e documentos.
- Procedimentos preliminares: para o atendimento de leads antes da contratação.
6. Compartilhamento e Subprocessadores
Compartilhamos dados pessoais apenas com operadores que nos auxiliam na entrega dos serviços, sob obrigações contratuais de confidencialidade e segurança equivalentes às nossas.
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Vercel Inc. | Hospedagem das landing pages e do dashboard | EUA |
| Google LLC | Google Analytics 4, Tag Manager e Workspace (email) | EUA |
| Supabase Inc. | Banco de dados de clientes (Pacotes Completo e Premium) | EUA |
| Anthropic PBC | API Claude, motor do agente de IA (Pacotes Completo e Premium) | EUA |
| Asaas Gestão Financeira | Processamento de pagamentos | Brasil |
| Evolution API (self-hosted) | Gateway WhatsApp não-oficial | Brasil (VPS própria) |
| DataCrazy | CRM (apenas Pacote Premium) | Brasil |
| GitHub Inc. | Hospedagem de código-fonte | EUA |
Não comercializamos dados pessoais. Eventuais compartilhamentos com autoridades públicas só ocorrem mediante ordem judicial ou requisição legal válida.
7. Transferência Internacional de Dados
Alguns subprocessadores estão localizados fora do Brasil, principalmente nos Estados Unidos (Vercel, Google, Supabase, Anthropic, GitHub). Essas transferências são realizadas com fundamento no art. 33 da LGPD, observando ao menos uma das hipóteses legais:
- O país de destino oferece grau de proteção adequado, ou
- O operador adota cláusulas contratuais específicas e garantias técnicas e organizacionais suficientes, ou
- A transferência é necessária para a execução do contrato com o titular.
Adotamos medidas adicionais para minimizar riscos: criptografia em trânsito (TLS), criptografia em repouso e contratos de processamento de dados com cada operador.
8. Cookies e Tecnologias Semelhantes
Utilizamos cookies para garantir o funcionamento do site, medir desempenho e personalizar a experiência. Você pode gerenciar cookies não essenciais a qualquer momento nas configurações do seu navegador.
| Tipo | Finalidade | Duração |
|---|---|---|
| Essenciais | Funcionamento básico do site e segurança | Sessão |
| Desempenho (GA4) | Métricas agregadas de uso e navegação | Até 14 meses |
| Marketing | Mensuração e remarketing de campanhas | Até 12 meses |
| Preferência | Lembrar escolhas do usuário | Até 12 meses |
Cookies não essenciais só são ativados após o seu consentimento.
9. Retenção de Dados
Mantemos os dados pessoais apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados ou para atender obrigação legal.
| Categoria de dado | Prazo de retenção |
|---|---|
| Dados de navegação e analytics | 14 meses (padrão GA4) |
| Leads não convertidos | 12 meses após o último contato |
| Clientes ativos | Durante a vigência do contrato + 5 anos após o encerramento (obrigação fiscal) |
| Mensagens do agente de IA (Completo/Premium) | 24 meses ou conforme acordado com o cliente controlador |
| Documentos fiscais e contábeis | Conforme prazo legal aplicável |
Após o prazo, os dados são eliminados, anonimizados ou bloqueados, conforme a finalidade remanescente.
10. Segurança da Informação
Adotamos medidas técnicas e administrativas para proteger seus dados:
- Comunicação criptografada (HTTPS/TLS) em todas as integrações.
- Banco de dados com Row Level Security (Supabase) restringindo acesso por contexto.
- Autenticação multifator obrigatória em ferramentas administrativas.
- Backups automáticos diários com retenção controlada.
- Acesso a dados restrito ao mínimo necessário (princípio do menor privilégio).
- Plano de resposta a incidentes com notificação à ANPD em até 72 horas quando o incidente representar risco ou dano relevante aos titulares (LGPD art. 48).
Apesar dos esforços, nenhum sistema é 100% seguro. Em caso de incidente, comunicaremos os titulares afetados e a ANPD nos termos da lei.
11. Direitos do Titular
Nos termos do art. 18 da LGPD, você tem direito a:
- Confirmação da existência de tratamento de seus dados.
- Acesso aos dados que tratamos sobre você.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade dos dados a outro fornecedor de serviço ou produto.
- Eliminação dos dados pessoais tratados com base no consentimento.
- Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
- Revogação do consentimento, a qualquer momento, mediante manifestação expressa.
- Reclamação à ANPD (Autoridade Nacional de Proteção de Dados).
Como exercer seus direitos
- Canal oficial: joao@m3companyy.com.br
- Prazo de resposta: até 15 dias corridos a partir do recebimento da solicitação.
- Podemos solicitar informações adicionais para confirmar sua identidade antes de atender ao pedido.
12. Encarregado pelo Tratamento de Dados (DPO)
| Nome | João Augusto, Encarregado pela M3 Company LTDA |
| joao@m3companyy.com.br |
O Encarregado é o canal de comunicação entre a M3 Company, os titulares e a ANPD.
13. Atualizações desta Política
Esta Política pode ser atualizada periodicamente para refletir mudanças legais, operacionais ou tecnológicas. A versão mais recente estará sempre disponível em m3companyy.com.br/legal/privacidade, com data e versão atualizadas. Alterações materiais serão comunicadas pelos canais oficiais.
14. Foro e Legislação Aplicável
Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela Lei nº 13.709/2018 (LGPD). Fica eleito o foro da comarca de Itajaí · SC para dirimir quaisquer controvérsias, salvo disposição contratual específica.
Versão 1.0 · 06 de maio de 2026
← Voltar para o início