Laiki

Última atualização: 04/06/2026

Acordo de tratamento de dados

Este Acordo de Tratamento de Dados ("DPA") integra os termos aplicáveis ao uso da plataforma Laiki e regula o tratamento de dados pessoais realizado pela Laiki em nome do cliente.

1. Definições

Neste DPA:

  • Cliente significa a pessoa jurídica ou organização que contrata ou utiliza a plataforma Laiki.
  • Laiki significa a Laiki Tecnologia, fornecedora da plataforma.
  • Dados Pessoais do Cliente significa dados pessoais tratados pela Laiki em nome do Cliente por meio dos serviços.
  • Controlador significa quem toma as decisões sobre as finalidades e meios de tratamento de dados pessoais.
  • Operador ou processador significa quem trata dados pessoais em nome do controlador.
  • Subprocessador significa terceiro contratado pela Laiki para auxiliar na prestação dos serviços e que pode tratar Dados Pessoais do Cliente.
  • Leis de Proteção de Dados significa a LGPD (Lei nº 13.709/2018) e demais normas de privacidade aplicáveis.
  • Incidente de Segurança significa acesso, perda, alteração, divulgação ou destruição não autorizada de Dados Pessoais do Cliente sob responsabilidade da Laiki.

2. Escopo e aplicabilidade

Este DPA se aplica quando a Laiki trata Dados Pessoais do Cliente na prestação da plataforma, incluindo gestão de leads, dashboards, integrações de marketing, credenciais autorizadas pelo cliente, webhooks e workflows.

Em caso de conflito entre este DPA e outros termos contratuais, este DPA prevalecerá apenas sobre matérias diretamente relacionadas ao tratamento de Dados Pessoais do Cliente.

3. Papéis das partes

O Cliente normalmente atua como controlador dos dados de leads, contatos, dados de marketing, dados inseridos em workflows, integrações configuradas e destinos de terceiros escolhidos pelo Cliente.

A Laiki atua como operadora/processadora desses dados, tratando-os conforme as instruções do Cliente para fornecer, proteger, manter, dar suporte e melhorar os serviços contratados.

A Laiki atua como controladora independente para dados próprios de operação, como contas de usuários da plataforma, autenticação, contatos de cobrança, registros internos de suporte, segurança e administração do serviço.

4. Detalhes do tratamento

Objeto

O tratamento envolve a prestação de uma plataforma de análise de marketing, gestão de leads, segmentação, dashboards, integrações e automação de workflows B2B.

Duração

O tratamento ocorre durante a vigência da conta, assinatura ou configuração do Cliente. Logs de execução de workflows são retidos por até 14 dias. Caches de widgets podem ser retidos por até 4 horas. Convites pendentes expiram em 7 dias. Quando aplicável, a exclusão de organização dispara remoção permanente após período operacional de 48 horas, salvo retenções legais ou de backup.

Natureza e finalidade

  • armazenar, segmentar e analisar leads e contatos;
  • sincronizar métricas agregadas de marketing e anúncios;
  • gerar dashboards, relatórios, widgets e visualizações;
  • executar webhooks, workflows, nós HTTP e transformações;
  • armazenar credenciais de integrações autorizadas pelo Cliente;
  • prestar suporte, segurança, auditoria e resposta a incidentes.

Categorias de dados pessoais

  • usuários da plataforma: nome, e-mail, papel e associação à organização;
  • leads e contatos: nome, e-mail, telefone e campos personalizados;
  • dados de marketing: métricas de campanha e dados agregados;
  • integrações: contas/propriedades conectadas e credenciais OAuth/API;
  • workflows: payloads, saídas de nós, metadados e logs configurados pelo Cliente;
  • cobrança: nome, e-mail, CPF/CNPJ quando aplicável e metadados financeiros.

Categorias de titulares

  • usuários e membros da equipe do Cliente;
  • leads, contatos e consumidores finais do Cliente;
  • contatos comerciais e operacionais do Cliente;
  • contatos de cobrança e representantes autorizados.

5. Obrigações do cliente

O Cliente deve:

  • manter base legal válida para o tratamento de seus dados pessoais;
  • fornecer avisos de privacidade adequados aos titulares;
  • configurar integrações, webhooks e workflows de forma lícita e proporcional;
  • evitar o envio de dados pessoais desnecessários ou sensíveis sem base legal e contrato adequados;
  • validar terceiros e destinos HTTP escolhidos em workflows configurados pelo Cliente;
  • tratar URLs de webhook, credenciais e segredos como informações restritas;
  • manter usuários, permissões e administradores da organização atualizados;
  • responder a solicitações de titulares quando atuar como controlador.

6. Obrigações da Laiki

A Laiki deve:

  • tratar Dados Pessoais do Cliente conforme instruções documentadas do Cliente;
  • manter confidencialidade sobre Dados Pessoais do Cliente;
  • limitar o acesso a pessoas autorizadas e com necessidade operacional;
  • manter medidas técnicas e organizacionais razoáveis de segurança;
  • auxiliar o Cliente, de forma razoável, em solicitações de titulares, exclusão, segurança e conformidade;
  • usar subprocessadores com obrigações compatíveis com este DPA;
  • notificar o Cliente se identificar instrução manifestamente incompatível com as Leis de Proteção de Dados.

7. Medidas de segurança

A Laiki mantém medidas técnicas e organizacionais proporcionais ao risco do tratamento, incluindo:

  • TLS/HTTPS para dados em trânsito;
  • criptografia em repouso fornecida pela infraestrutura Supabase/AWS;
  • isolamento lógico multi-tenant por Row Level Security;
  • controle de acesso por organização, papel e autenticação de usuários;
  • autenticação passwordless por OTP enviado por e-mail;
  • criptografia AES-256-GCM na camada de aplicação para credenciais OAuth/API;
  • gestão de segredos por cofres e provedores gerenciados, com acesso restrito;
  • política interna contra persistência de arquivos locais com segredos;
  • logs estruturados, redaction de segredos e limitação de payloads;
  • backups independentes e processo de resposta a incidentes.

8. Subprocessadores

O Cliente autoriza a Laiki a utilizar subprocessadores necessários para prestação, segurança, suporte e operação dos serviços. A lista abaixo resume subprocessadores atuais ou aplicáveis conforme a configuração do Cliente.

SubprocessadorFinalidadeLocalização / transferência
Supabase / AWSBanco de dados, autenticação e armazenamentoSão Paulo, Brasil, com possíveis operações de suporte/controle internacionais do provedor
VercelHospedagem da aplicação e entrega da interface webInfraestrutura global
AWS SESEnvio de e-mails transacionais, como OTP e convitesEstados Unidos
Cloudflare R2Backups independentes do banco de dadosInfraestrutura Cloudflare
Cloudflare WorkersEntrada de webhooks e execução de workflowsInfraestrutura global Cloudflare
Trigger.devExecução e logs de webhooks/workflows legados durante migração para workflows próprios hospedados em Cloudflare WorkersEstados Unidos
AsaasProcessamento de pagamentos e assinaturaBrasil
GoogleIntegrações com Google Ads e Google Analytics quando configuradas pelo clienteInfraestrutura internacional do provedor
MetaIntegração com Meta Ads quando configurada pelo clienteInfraestrutura internacional do provedor
LinkedInIntegração com LinkedIn Ads quando configurada pelo clienteInfraestrutura internacional do provedor
RD StationIntegração de CRM/automação de marketing quando configurada pelo clienteInfraestrutura do provedor
Conta AzulIntegração empresarial/contábil quando configurada pelo clienteInfraestrutura do provedor
PipedriveIntegração CRM quando configurada pelo clienteInfraestrutura do provedor

A Laiki pode atualizar subprocessadores conforme evolução do serviço, desde que mantenha obrigações compatíveis com este DPA e medidas razoáveis de proteção. Integrações opcionais somente se aplicam quando configuradas ou autorizadas pelo Cliente.

9. Integrações e workflows configurados pelo cliente

O Cliente pode configurar webhooks, workflows, nós HTTP, nós de código, agendamentos e credenciais de provedores. O Cliente controla quais dados entram no workflow, quais transformações são executadas e quais terceiros recebem dados.

Destinos HTTP arbitrários escolhidos pelo Cliente não são subprocessadores da Laiki, salvo quando se tratar de provedor expressamente suportado pela Laiki. O Cliente é responsável por base legal, seleção do destinatário, segurança do destino e obrigações contratuais ou legais aplicáveis a esses terceiros.

A Laiki aplica controles de plataforma, incluindo HTTPS para fluxos externos de produção, armazenamento criptografado de credenciais, redaction de segredos, isolamento por organização e retenção limitada de logs de execução por até 14 dias.

URLs públicas de webhook podem conter segredo de alta entropia em query string por compatibilidade com provedores que não aceitam cabeçalhos customizados. O Cliente deve tratar essas URLs como segredos e rotacioná-las em caso de exposição suspeita.

10. Direitos dos titulares

Solicitações de titulares podem ser enviadas para dpo@laiki.co. A Laiki busca responder solicitações verificadas em até 15 dias, conforme aplicável pela LGPD.

Quando a Laiki atuar como controladora, a solicitação será analisada e respondida diretamente pela Laiki. Quando a solicitação envolver dados de leads, contatos, workflows ou integrações em que o Cliente é controlador, a Laiki poderá encaminhar a solicitação ao Cliente ou prestar assistência técnica razoável para localização, exportação, correção, restrição ou exclusão dos dados conforme instrução do Cliente.

11. Notificação de incidente de segurança

A Laiki mantém processo de resposta a incidentes para identificar, conter, avaliar, remediar e documentar incidentes de segurança.

Quando um Incidente de Segurança afetar Dados Pessoais do Cliente, a Laiki notificará o Cliente sem demora injustificada após confirmação de impacto relevante, considerando a natureza do incidente, dados afetados, medidas tomadas e obrigações legais aplicáveis.

Quando a LGPD ou outra lei exigir comunicação à ANPD ou aos titulares de dados, a Laiki prestará assistência razoável ao Cliente e realizará comunicações que sejam de sua responsabilidade legal.

12. Transferências internacionais

A base principal de dados da plataforma é mantida em infraestrutura Supabase/AWS em São Paulo, Brasil, quando assim configurada. Alguns subprocessadores e provedores utilizados pela plataforma podem tratar dados em infraestrutura internacional, incluindo hospedagem, e-mails, edge, integrações e serviços de suporte.

Workflows e integrações configurados pelo Cliente podem gerar transferências internacionais para destinos escolhidos pelo próprio Cliente. Nesses casos, o Cliente é responsável por avaliar a base legal, adequação do destino e mecanismos contratuais aplicáveis.

A Laiki adota mecanismos contratuais e salvaguardas razoáveis com provedores quando disponíveis e aplicáveis ao tratamento.

13. Auditorias e conformidade

O Cliente pode solicitar informações razoáveis sobre segurança, privacidade e conformidade relacionadas ao tratamento de Dados Pessoais do Cliente. A Laiki poderá fornecer documentação pública, respostas a questionários, resumos de controles ou evidências proporcionais ao risco e à confidencialidade envolvida.

Qualquer auditoria deve ser previamente acordada, ocorrer em horário comercial, não interferir materialmente na operação dos serviços e não expor dados, segredos, infraestrutura ou informações de outros clientes.

14. Retenção, exclusão e devolução de dados

O Cliente pode excluir dados conforme funcionalidades disponíveis na plataforma ou solicitar assistência razoável à Laiki. Quando a conta ou organização é encerrada, a Laiki excluirá ou devolverá Dados Pessoais do Cliente conforme o contrato, instruções aplicáveis e obrigações legais.

  • logs de execução de workflows são retidos por até 14 dias;
  • caches de widgets podem ser retidos por até 4 horas;
  • convites pendentes expiram em 7 dias;
  • registros financeiros podem ser retidos pelo prazo exigido por lei;
  • dados excluídos podem permanecer em backups até a expiração do ciclo de backup.

Backups não são usados para tratamento ordinário e existem para recuperação, continuidade do negócio, segurança e investigação de incidentes.

15. Prazo e encerramento

Este DPA permanece vigente enquanto a Laiki tratar Dados Pessoais do Cliente. Obrigações de confidencialidade, segurança, retenção legal e cooperação razoável sobrevivem ao encerramento na medida necessária para cumprir a lei, preservar direitos e concluir a exclusão ou devolução dos dados.

16. Contato

Para solicitações relacionadas a privacidade, proteção de dados, execução de DPA, subprocessadores ou direitos dos titulares, entre em contato com o Encarregado de Proteção de Dados da Laiki pelo e-mail dpo@laiki.co.