A Mcmont Consultoria e Tecnologia Ltda., atuando sob o nome fantasia Chat Check-in ("Empresa", "nós"), respeita sua privacidade e está comprometida com a proteção de dados pessoais, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), com o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.

Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais relacionados ao uso da nossa plataforma SaaS de atendimento automatizado por inteligência artificial via WhatsApp ("Plataforma" ou "Serviço").

O tratamento observa os princípios do art. 6º da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não-discriminação e responsabilização e prestação de contas. Quando o tratamento envolver risco elevado a direitos e liberdades (por exemplo, uso intensivo de IA generativa), realizamos avaliação de impacto à proteção de dados (Relatório de Impacto — RIPD), nos termos do art. 10 da LGPD.

1. Quem somos

A Mcmont Consultoria e Tecnologia Ltda. é sociedade empresária limitada brasileira, prestadora do serviço Chat Check-in, plataforma de atendimento automatizado por IA via WhatsApp para pousadas, hotéis e empresas do setor de hospitalidade.

2. Quais dados coletamos

A depender da forma de uso do Serviço, podemos coletar e tratar as seguintes categorias de dados pessoais:

2.1. Dados de cadastro do Cliente

• Nome completo, e-mail, telefone, senha (armazenada de forma criptografada);
• Razão social, nome fantasia, CNPJ, endereço e dados de contato comercial;
• Dados do estabelecimento (nome da pousada/hotel, localização, descrição, fotos);
• Dados de pagamento (processados diretamente por gateway terceirizado — não armazenamos dados completos de cartão).

2.2. Dados de uso e técnicos

• Endereço IP, identificadores de dispositivo, tipo de navegador, sistema operacional;
• Logs de acesso e de aplicação (em conformidade com o Marco Civil);
• Páginas acessadas, ações realizadas, horários, durações;
• Dados de telemetria, métricas de erro e desempenho.

2.3. Dados de hóspedes / usuários finais (processados em nome do Cliente)

• Número de telefone (WhatsApp);
• Nome (quando fornecido pelo próprio hóspede ou pelo provedor do WhatsApp);
• Conteúdo das mensagens trocadas com o Robô de IA;
• Datas, horários e metadados das interações;
• Eventuais informações fornecidas voluntariamente pelo hóspede no curso da conversa (datas de check-in, número de pessoas, preferências, etc.).

3. Como coletamos

Coletamos dados (i) diretamente do Cliente quando ele se cadastra e configura o Serviço; (ii) automaticamente por meio do uso da Plataforma e tecnologias similares; (iii) por meio de hóspedes que enviam mensagens ao número de WhatsApp configurado pelo Cliente, que serão processadas pelo Robô; e (iv) eventualmente de terceiros, como Meta/WhatsApp Business Platform, processadores de pagamento e provedores de inteligência artificial.

4. Para que utilizamos os dados

Os dados pessoais são utilizados, conforme aplicável, para as seguintes finalidades:

• Criar, autenticar e gerenciar contas de usuários;
• Prestar e operar o Serviço, incluindo o processamento das mensagens pelos modelos de IA;
• Processar pagamentos e gerenciar assinaturas;
• Comunicar avisos operacionais, atualizações, alertas de segurança e modificações nestes Termos;
• Prestar suporte técnico e atendimento ao Cliente;
• Melhorar, monitorar e desenvolver novas funcionalidades;
• Prevenir fraudes, abusos, violações de segurança e atividades ilícitas;
• Cumprir obrigações legais, regulatórias, fiscais e judiciais;
• Exercer regularmente direitos em processos judiciais, administrativos ou arbitrais;
• Realizar análises estatísticas agregadas e anonimizadas.

5. Bases legais

Tratamos dados pessoais com fundamento nas seguintes bases legais previstas na LGPD (art. 7º e art. 11), conforme aplicável a cada finalidade:

• Execução de contrato (art. 7º, V) — para prestar o Serviço contratado;
• Cumprimento de obrigação legal ou regulatória (art. 7º, II) — para registros fiscais, contábeis, Marco Civil etc.;
• Legítimo interesse (art. 7º, IX) — para prevenção de fraudes, segurança, análises e melhorias da Plataforma;
• Exercício regular de direitos (art. 7º, VI) — em processos judiciais, administrativos ou arbitrais;
• Consentimento (art. 7º, I) — quando for o caso, especialmente para comunicações de marketing.

6. Papéis de Controlador e Operador

Em relação aos dados de cadastro do Cliente e dados técnicos da Plataforma, a Mcmont Consultoria e Tecnologia Ltda. atua como Controladora.

Em relação aos dados de hóspedes/usuários finais que interagem com o Robô configurado por um Cliente, a Mcmont Consultoria e Tecnologia Ltda. atua como Operadora, processando tais dados em nome e segundo as instruções do Cliente, que é o Controlador. O Cliente é o único responsável por:

• Definir as finalidades e os meios do tratamento;
• Obter as bases legais necessárias;
• Informar adequadamente seus hóspedes sobre o tratamento;
• Atender requisições de titulares;
• Cumprir todas as demais obrigações da LGPD.

Recomendamos fortemente que o Cliente apresente esta Política e sua própria política de privacidade aos hóspedes antes de iniciar interações automatizadas.

7. Compartilhamento de dados

Não vendemos dados pessoais. Compartilhamos dados, conforme aplicável, com os seguintes operadores e parceiros, identificados nominalmente com o país onde processam os dados e a finalidade:

• Amazon Web Services (AWS) — Estados Unidos (regiões selecionadas): hospedagem em nuvem, computação e armazenamento da Plataforma;
• Stripe, Inc. — Estados Unidos / Irlanda: processamento de pagamentos e cobrança recorrente (não armazenamos dados completos de cartão; a tokenização é feita pelo Stripe);
• Meta Platforms / WhatsApp Business Platform — Estados Unidos / infraestrutura global: envio e recebimento de mensagens via WhatsApp, conforme políticas do WhatsApp Business Platform;
• Resend — Estados Unidos: envio de e-mails transacionais (códigos de verificação, avisos operacionais);
• Sentry — Estados Unidos: monitoramento de erros e telemetria de aplicação (carregamento condicionado ao consentimento de cookies analíticos);
• OpenAI, L.L.C. — Estados Unidos: modelos de linguagem para geração de respostas e transcrição de áudio (Whisper);
• DeepSeek — República Popular da China: modelos de linguagem alternativos para geração de respostas (ver seção 8 e seção 14 abaixo);
• Autoridades competentes: por ordem judicial, requisição de autoridade ou cumprimento de obrigação legal;
• Em operações societárias: em caso de fusão, aquisição, reorganização societária ou venda de ativos, os dados poderão ser transferidos ao adquirente, mantida a observância desta Política;
• Com o consentimento do titular, em casos não previstos acima.

8. Transferência internacional

Parte dos operadores listados na seção 7 está sediada ou processa dados fora do Brasil. Realizamos transferências internacionais com base no art. 33 da LGPD, predominantemente na hipótese do inciso V (necessidade para execução do contrato com o Cliente) e, quando aplicável, no inciso II (cooperação internacional entre órgãos de inteligência) ou IX (consentimento específico). Adotamos cláusulas contratuais padrão e, quando disponíveis, certificações de conformidade dos fornecedores.

Estados Unidos. AWS, Stripe, Meta/WhatsApp, Resend, Sentry e OpenAI processam dados em servidores nos Estados Unidos. Mantemos contratos com cláusulas de proteção de dados (DPA) com esses fornecedores e, quando aplicável, cláusulas que vedam o uso dos dados para treinamento de modelos.

República Popular da China. Atualmente parte do tráfego de mensagens pode ser processado pelo provedor de IA DeepSeek, sediado na China, com a finalidade exclusiva de gerar respostas automáticas no fluxo de atendimento. A transferência tem como base o art. 33, V da LGPD (execução do contrato), e a Mcmont avalia continuamente cláusulas contratuais aplicáveis com esse fornecedor. Em versão futura da Plataforma, o Cliente poderá optar entre provedores de IA (incluindo escolher exclusivamente OpenAI/EUA); até lá, o Cliente que prefira não ter dados processados na China deve solicitar essa configuração via [email protected].

9. Armazenamento e retenção

Os dados são armazenados pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observando-se os princípios da necessidade e da minimização (LGPD, art. 6º, III). Aplicamos os seguintes prazos:

• Dados cadastrais do Cliente (nome, e-mail, telefone, CPF/CNPJ, dados do estabelecimento): durante toda a vigência do contrato e pelos prazos prescricionais civis, fiscais e processuais aplicáveis após o encerramento;
• Histórico de mensagens com hóspedes (chat_messages): até 90 (noventa) dias após a troca, sendo então automaticamente apagadas. O Cliente e o titular podem solicitar exclusão imediata a qualquer momento pelos canais descritos na seção 11;
• Logs de acesso à aplicação: 6 (seis) meses, conforme art. 15 do Marco Civil da Internet;
• Registros de auditoria de exclusões e consentimentos: até 5 (cinco) anos após o evento, para defesa em eventual fiscalização da ANPD;
• Documentos fiscais e contábeis: pelos prazos legais aplicáveis (mínimo 5 anos).

Após o término dos prazos de retenção, os dados serão eliminados ou anonimizados, salvo se houver dever legal de conservação.

10. Segurança da informação

Adotamos medidas técnicas e administrativas razoáveis para proteger os dados pessoais contra acesso não autorizado, perda, alteração, destruição ou qualquer forma de tratamento inadequado, incluindo:

• Criptografia em trânsito (TLS) e em repouso, quando aplicável;
• Hashing de senhas (bcrypt com 12 rounds);
• Controles de acesso baseados em função (RBAC);
• Monitoramento e logs de auditoria de ações administrativas;
• Backups periódicos;
• Práticas de desenvolvimento seguro e revisão de código.

Princípio da não-discriminação. Em observância ao art. 6º, IX da LGPD, garantimos que os dados pessoais não serão utilizados para fins discriminatórios, ilícitos ou abusivos. Não realizamos perfilamento (profiling) que produza efeitos jurídicos ou afete significativamente os interesses dos titulares.

Resposta a incidentes. Apesar de nossos esforços, nenhum sistema é totalmente impenetrável. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, adotaremos o seguinte procedimento, em conformidade com o art. 48 da LGPD e com a Resolução CD/ANPD nº 15/2024:

• Notificação à ANPD em prazo razoável a partir do conhecimento do incidente, contendo: descrição da natureza, categorias e número aproximado de dados/titulares afetados, medidas adotadas e em andamento, riscos relacionados e contato do Encarregado;
• Comunicação aos titulares afetados sem demora indevida, em linguagem clara e acessível, sempre que houver risco relevante;
• Canal de reportes: incidentes podem ser comunicados à Mcmont por [email protected].

11. Direitos do titular

Nos termos do art. 18 da LGPD, o titular dos dados pessoais tem direito a obter:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade a outro fornecedor, observados os segredos comercial e industrial;
• Eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses legais de retenção;
• Informação sobre compartilhamento;
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
• Revogação do consentimento.

Você também tem direito de se opor a tratamentos fundados em legítimo interesse, nos termos do art. 18, §2º c/c art. 7º, IX da LGPD, salvo quando houver base legal preponderante (cumprimento de obrigação legal, execução de contrato ou exercício regular de direitos).

As requisições devem ser enviadas para [email protected]. Poderemos solicitar informações adicionais para confirmar a identidade do solicitante. Quando atuarmos como Operadora (dados de hóspedes), encaminharemos a requisição ao Cliente Controlador correspondente.

Canal direto para Clientes. Clientes com conta ativa contam com a área Painel › Meus dados para exercer todos esses direitos de forma facilitada: exportar uma cópia estruturada dos próprios dados, corrigir informações cadastrais, gerenciar consentimentos granulares (marketing e telemetria), consultar o histórico de consentimentos e registrar solicitações de exclusão de dados de hóspedes específicos recebidas diretamente pelo Cliente.

12. Cookies e tecnologias similares

A Plataforma utiliza cookies, localStorage, sessionStorage e SDKs de terceiros, organizados em quatro categorias: essenciais (autenticação, sessão e segurança — necessários e não desativáveis), funcionais (preferências de navegação), analíticos (telemetria de erros via Sentry, carregada apenas com consentimento) e marketing (atualmente não utilizados).

O detalhamento de cada cookie/armazenamento (nome, provedor, finalidade, duração e categoria) está descrito na Política de Cookies. O consentimento é coletado no primeiro acesso por meio de banner com opções de aceitar todos, aceitar apenas essenciais ou personalizar por categoria, e pode ser revisto a qualquer momento clicando em "Gerenciar preferências de cookies" no rodapé do site.

13. Crianças e adolescentes

A área de Cliente da Plataforma (cadastro, dashboard e painel) não é destinada a menores de 18 anos. Não coletamos intencionalmente dados de Clientes menores de idade. Caso identifiquemos esse cenário, a conta será encerrada e os dados eliminados.

Hóspedes finais menores de idade. Como Operadora, recebemos eventualmente dados de hóspedes que podem ser crianças ou adolescentes, a depender do tipo de estabelecimento atendido pelo Cliente. Nos termos do art. 14 da LGPD, o tratamento de dados de menores de 12 anos depende do consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, e o tratamento de dados de adolescentes entre 12 e 18 anos exige consentimento informado adequado à condição de adolescente. Essa obrigação recai sobre o Cliente (Controlador dos dados dos hóspedes), que é responsável por verificar a idade, obter o consentimento parental quando necessário e prestar informações claras ao titular e a seus responsáveis.

Pais, responsáveis ou o próprio adolescente podem solicitar, a qualquer momento, exclusão, retificação ou esclarecimentos sobre dados de menor de idade tratados pela Plataforma escrevendo para [email protected]. Encaminharemos a requisição ao Cliente Controlador correspondente quando aplicável.

14. Inteligência Artificial

O Serviço utiliza modelos de IA generativa para processar mensagens dos hóspedes e gerar respostas automáticas. O conteúdo das mensagens é enviado para os seguintes provedores, exclusivamente para essa finalidade:

• OpenAI, L.L.C. (Estados Unidos) — modelos de linguagem (geração de resposta) e Whisper (transcrição de áudio). Vedação contratual de uso dos dados para treinamento de modelos: confirmada nos termos do plano de API contratado;
• DeepSeek (República Popular da China) — modelos de linguagem alternativos. Vedação contratual de uso dos dados para treinamento: em avaliação. Mantemos transparência sobre esse ponto e o Cliente que prefira não utilizar esse provedor pode solicitar configuração específica via [email protected] (ver seção 8).

As respostas geradas pela IA são probabilísticas e podem conter erros, imprecisões ou conteúdo inadequado. O Cliente é o responsável por monitorar o funcionamento do Robô e por toda decisão tomada com base em suas respostas.

15. Limitações de responsabilidade

Não nos responsabilizamos por quaisquer danos decorrentes (i) do uso inadequado, irregular ou ilícito do Serviço pelo Cliente; (ii) de decisões tomadas pelo Cliente, seus prepostos ou hóspedes com base em conteúdo gerado pela IA; (iii) de incidentes causados por terceiros (incluindo Meta/WhatsApp, provedores de IA, processadores de pagamento e provedores de nuvem); ou (iv) de descumprimento, pelo Cliente, das obrigações de proteção de dados que lhe cabem como Controlador.

Aplicam-se subsidiariamente todas as cláusulas de limitação de responsabilidade previstas nos Termos e Condições de Uso.

16. Alterações desta Política

Esta Política poderá ser alterada a qualquer tempo, a critério da Empresa, para refletir mudanças legais, regulatórias, tecnológicas ou operacionais. Alterações materiais serão comunicadas pelo painel da Plataforma ou por e-mail. O uso continuado do Serviço após a vigência da nova versão implica aceitação automática e integral.

17. Encarregado e contato

Para qualquer dúvida, requisição ou exercício de direitos referentes a esta Política e ao tratamento de dados pessoais, entre em contato com nosso Encarregado pelo Tratamento de Dados (DPO):