Na Trama Inc. (doravante "Trama", "nós" ou "nosso") levamos a privacidade e a proteção de dados pessoais a sério. Esta Política de Privacidade explica quais informações coletamos, como as utilizamos, com quem as compartilhamos, como as protegemos e quais direitos você tem sobre seus dados.
Esta política se aplica a todas as pessoas que interagem com nossos serviços: clientes que contratam a Trama para seus negócios, usuários autorizados que acessam a Plataforma em nome de um cliente, usuários finais que interagem com um agente de IA operado por um cliente da Trama, e visitantes do nosso site trama.so.
Ao utilizar nossos serviços ou visitar nosso site, você aceita as práticas descritas nesta política. Recomendamos lê-la junto com nossos Termos e Condições, disponíveis em trama.so/tc.
1. Quem somos
A Trama Inc. é uma empresa sediada em Córdoba, Argentina, que desenvolve e fornece agentes de inteligência artificial para empresas de serviços, com foco inicial na indústria do turismo. Nossos agentes operam em canais de comunicação como WhatsApp, Instagram, e-mail e outros, auxiliando as empresas em seus processos comerciais e operacionais.
Contato para assuntos de privacidade: E-mail: privacidade@trama.so E-mail geral: ola@trama.so Site: trama.so Localização: Córdoba, Argentina
2. Nossos princípios de privacidade
O tratamento de dados na Trama é regido pelos seguintes princípios, que aplicamos desde o design de nossos produtos e em todas as nossas operações:
Privacidade por design e por padrão. Incorporamos a proteção de dados desde a etapa de design de cada funcionalidade e produto. Por padrão, nossos sistemas coletam e processam apenas os dados mínimos necessários para cada finalidade.
Minimização de dados. Coletamos apenas os dados pessoais estritamente necessários para a finalidade específica do tratamento. Não pedimos mais informações do que precisamos nem as conservamos por mais tempo do que o necessário.
Limitação de finalidade. Utilizamos os dados pessoais exclusivamente para as finalidades informadas nesta política. Não os reutilizamos para fins incompatíveis sem informá-lo e, quando aplicável, sem obter seu consentimento.
Exatidão. Fazemos esforços razoáveis para manter os dados pessoais exatos e atualizados. Facilitamos aos titulares a correção de dados inexatos.
Transparência. Informamos de forma clara, acessível e em linguagem compreensível sobre nossas práticas de tratamento de dados.
Segurança e integridade. Protegemos os dados pessoais com medidas técnicas e organizacionais apropriadas ao risco do tratamento.
Responsabilidade demonstrável. Documentamos nossas decisões e práticas de proteção de dados e podemos demonstrar nosso cumprimento perante as autoridades competentes.
3. Papéis no tratamento de dados
É importante entender os diferentes papéis no tratamento de dados por meio de nosso serviço:
Trama como controlador de dados. Quando coletamos dados diretamente de nossos clientes, visitantes do site e usuários da Plataforma (dados de registro, faturamento, navegação, cookies, comunicações de suporte), a Trama age como controlador de dados e decide as finalidades e os meios do processamento.
Trama como operador de dados. Quando processamos dados dos usuários finais de nossos clientes (pessoas que escrevem para o agente de IA pelo WhatsApp ou outros canais), a Trama age como operador de dados, processando esses dados em nome e sob as instruções documentadas do cliente. Nesse caso, o cliente é o controlador de dados e é quem deve ter a base legal para coletar e tratar esses dados pessoais.
O cliente como controlador. Cada cliente que utiliza a Trama é responsável por cumprir a legislação de proteção de dados aplicável em sua jurisdição em relação aos dados pessoais de seus usuários finais. Isso inclui obter os consentimentos necessários, informar seus usuários finais sobre o tratamento de seus dados (incluindo o uso de inteligência artificial), garantir que o uso do agente esteja em conformidade com as normas aplicáveis e atender as solicitações de exercício de direitos de seus usuários finais.
Acordo de Processamento de Dados (DPA). Para clientes que o requeiram (especialmente aqueles sujeitos ao RGPD, LGPD ou outras regulamentações que exijam um acordo formal de processamento), a Trama oferece a assinatura de um Data Processing Agreement (DPA) que formaliza as obrigações da Trama como operador de dados, incluindo: as instruções documentadas do cliente, as medidas de segurança aplicáveis, as obrigações em relação a suboperadores, a cooperação no exercício dos direitos dos titulares, a notificação de violações de segurança e a eliminação ou devolução de dados ao término da relação. Os clientes podem solicitar o DPA em privacidade@trama.so.
4. Quais informações coletamos
Coletamos diferentes tipos de informações dependendo de como você interage com nossos serviços:
4.1 Informações que você fornece diretamente
Dados de registro e conta. Quando um cliente se registra na Trama, coletamos: nome completo ou razão social, endereço de e-mail, número de telefone, nome do negócio, endereço comercial, país e jurisdição, CNPJ ou identificação fiscal equivalente (para faturamento), cargo na organização (para o usuário que faz o registro) e qualquer outra informação que o cliente forneça durante o registro ou a configuração de sua conta.
Dados de faturamento e pagamentos. Para processar pagamentos, coletamos: informações sobre a forma de pagamento escolhida (tipo de cartão, últimos 4 dígitos, data de vencimento), endereço de cobrança, dados fiscais e situação perante o IVA, e histórico de transações e faturas. Os dados completos do cartão de crédito ou débito são processados e armazenados diretamente por nossos processadores de pagamento (como Stripe ou Mercado Pago). A Trama não armazena números completos de cartão, CVVs ou dados equivalentes em seus próprios servidores.
Conteúdo do cliente. Os clientes carregam informações sobre seus negócios na Plataforma para configurar e operar o agente: catálogos de produtos e serviços, listas de preços e tarifas, políticas comerciais (cancelamento, reembolsos, condições), informações de destinos, roteiros e pacotes, regras de negócio e fluxos de atendimento, horários de funcionamento, dados de contato da equipe (para transferências), material promocional e imagens, e credenciais de acesso a sistemas externos (quando aplicável a integrações, armazenadas de forma criptografada).
Comunicações diretas. Quando você nos contata por e-mail, suporte, formulários web, chat ou qualquer outro meio, coletamos: o conteúdo dessas comunicações, os dados de contato associados, a data e hora da interação e qualquer arquivo que você compartilhe.
4.2 Dados de conversa (usuários finais)
Quando um usuário final interage com o agente de IA de um cliente da Trama, são gerados dados de conversa que podem incluir:
Dados fornecidos pelo canal. Nome de perfil do usuário final (como aparece no WhatsApp ou outro canal), número de telefone ou identificador do usuário no canal, e foto de perfil (se o canal a fornecer; a Trama geralmente não a armazena).
Conteúdo da conversa. Mensagens de texto enviadas e recebidas, respostas geradas pelo agente de IA, anexos compartilhados (imagens, documentos, áudios, vídeos) e figurinhas, reações ou outros elementos interativos.
Informações compartilhadas voluntariamente. Os usuários finais podem compartilhar informações adicionais durante a conversa, como: destinos de viagem, datas e duração, número de passageiros e composição do grupo, orçamento e preferências, dados de contato adicionais (e-mail, outro telefone), documentos de identidade ou passaporte (se compartilhados para uma reserva) e dados de pagamento (se compartilhados na conversa; a Trama recomenda a seus clientes não coletar dados de pagamento por este meio).
Metadados. Data, hora e duração de cada interação, canal utilizado, status da conversa (ativa, transferida, encerrada), resultado da qualificação do contato e idioma detectado.
Importante: A Trama processa esses dados como operador de dados em nome do cliente. Não utilizamos os dados identificáveis de usuários finais de um cliente para benefício de outros clientes nem para fins próprios distintos da prestação do serviço.
4.3 Dados de uso e navegação
Quando você visita nosso site ou utiliza a Plataforma, coletamos automaticamente:
Dados técnicos. Endereço IP (pode ser anonimizado dependendo da configuração), tipo e versão do navegador, sistema operacional e versão, tipo de dispositivo (desktop, mobile, tablet), resolução de tela e fuso horário e configuração de idioma.
Dados de interação. Páginas visitadas e ordem de navegação, tempo de permanência em cada página, elementos com os quais você interage (botões, formulários, links), URL de referência (de onde você veio), termos de busca que trouxeram você ao site (se disponíveis) e data, hora e frequência das visitas.
Identificadores. Identificadores de sessão, cookies (veja a seção 13) e tokens de autenticação (para usuários logados).
4.4 Dados de integrações
Quando um cliente conecta a Trama com sistemas externos (GDS como Amadeus, ERPs, CRMs, sistemas de inventário, APIs de atacadistas ou outros), a Trama pode acessar dados desses sistemas exclusivamente na medida necessária para a operação do agente, conforme as instruções do cliente e as permissões concedidas. Os dados acessados dependem de cada integração e são definidos durante a configuração do projeto. A Trama não acessa mais dados do que os necessários para a funcionalidade contratada.
5. Como utilizamos as informações
A seguir, detalhamos cada finalidade de tratamento e a base legal que a sustenta:
5.1 Prestação do serviço
O que fazemos: Operar, manter e melhorar nossos agentes de IA e a Plataforma. Isso inclui processar conversas, gerar respostas, qualificar contatos, produzir cotações, buscar disponibilidade em sistemas integrados e executar as funções contratadas pelo cliente. Base legal: Execução do contrato com o cliente. Interesse legítimo do cliente (para dados de usuários finais processados como operador).
5.2 Administração da conta
O que fazemos: Gerenciar o registro, a autenticação, a configuração do serviço, o faturamento, a cobrança, a emissão de documentos fiscais, o suporte técnico e as comunicações operacionais relacionadas ao serviço. Base legal: Execução do contrato. Cumprimento de obrigações legais (faturamento e registros fiscais).
5.3 Melhoria do serviço
O que fazemos: Analisar padrões de uso da Plataforma, desempenho dos agentes, taxas de resolução, tempos de resposta, métricas de qualidade e feedback para melhorar nossos produtos e serviços. Base legal: Interesse legítimo da Trama em melhorar seus produtos.
5.4 Dados anonimizados para pesquisa e desenvolvimento
O que fazemos: Utilizamos dados que foram anonimizados de forma irreversível para: treinar e avaliar modelos de inteligência artificial próprios, gerar estatísticas agregadas e benchmarks do setor, desenvolver novas funcionalidades e produtos e realizar pesquisas sobre padrões de interação comercial na indústria. Base legal: Interesse legítimo da Trama. Os dados anonimizados não constituem dados pessoais conforme a legislação aplicável. Processo de anonimização: Nosso processo de anonimização inclui: eliminação de todos os identificadores diretos (nomes, telefones, e-mails, documentos de identidade), eliminação ou generalização de identificadores indiretos (localizações específicas, datas exatas, valores exatos), agregação de dados de múltiplas conversas e clientes, verificação de que os dados resultantes não permitem a reidentificação por meio de técnicas razoáveis e separação irreversível entre os dados anonimizados e os dados originais. Uma vez anonimizados, os dados não podem ser vinculados a nenhuma pessoa ou empresa específica e não são conservadas chaves de reversão.
5.5 Comunicações
O que fazemos: Enviar informações relevantes sobre sua conta e o serviço (notificações operacionais, alertas de segurança, mudanças no serviço, atualizações de políticas). Com sua autorização, enviar comunicações de marketing, novidades do produto, conteúdo educativo e ofertas. Base legal: Execução do contrato (comunicações operacionais). Consentimento (comunicações de marketing). Você pode optar por não receber comunicações de marketing a qualquer momento clicando em "cancelar inscrição" em qualquer e-mail ou entrando em contato pelo ola@trama.so.
5.6 Cumprimento legal e prevenção de fraudes
O que fazemos: Cumprir obrigações legais, fiscais e regulatórias. Responder a solicitações de autoridades competentes. Proteger nossos direitos legais. Prevenir, detectar e investigar fraudes, abusos ou atividades ilegais. Fazer cumprir nossos Termos e Condições. Base legal: Cumprimento de obrigação legal. Interesse legítimo da Trama em proteger seus direitos e prevenir abusos.
5.7 Segurança
O que fazemos: Proteger a segurança e integridade de nossos sistemas, redes e infraestrutura. Detectar e prevenir acessos não autorizados, ataques cibernéticos e atividades maliciosas. Monitorar a disponibilidade e o desempenho do serviço. Manter registros de auditoria para rastreabilidade. Base legal: Interesse legítimo da Trama na segurança de seus sistemas e na proteção de seus clientes.
6. Inteligência artificial e processamento de dados
Como nosso serviço é baseado em inteligência artificial, é importante que você entenda como processamos os dados nesse contexto:
Processamento por modelos de IA. As conversas dos usuários finais com o agente são processadas por modelos de inteligência artificial para gerar respostas. Esse processamento implica que o conteúdo das mensagens é enviado aos servidores dos provedores de modelos de IA que a Trama utiliza. A Trama seleciona provedores que oferecem garantias de segurança e privacidade e contrata seus serviços sob acordos que restringem o uso dos dados de nossos clientes. Em particular, os dados de conversa enviados ao provedor de modelos não são utilizados para treinar ou melhorar os modelos gerais do provedor.
Não treinamos modelos gerais com seus dados. A Trama não utiliza dados de conversa identificáveis de um cliente para treinar modelos de IA de propósito geral que sejam compartilhados com outros clientes ou terceiros. Quando utilizamos dados para melhoria do serviço, estes são previamente anonimizados de forma irreversível conforme o processo descrito na seção 5.4.
Memória conversacional. O agente pode manter memória do contexto de uma conversa ativa e, dependendo da configuração, do histórico de interações anteriores com o mesmo usuário final, para oferecer uma experiência coerente e personalizada. Essa memória é específica de cada cliente e está logicamente isolada. Não é compartilhada entre clientes. O cliente pode configurar a duração e o escopo da memória conversacional.
Decisões automatizadas e perfilamento. O agente pode realizar as seguintes atividades de tratamento automatizado: qualificação de contatos (determinar se um contato é um lead qualificado, uma consulta informativa, spam, etc.), atribuição de prioridade (determinar a urgência ou o valor potencial de uma consulta), geração de cotações (calcular preços e montar orçamentos com base nas regras do cliente), transferência para humanos (decidir quando uma conversa requer intervenção humana) e sugestões de produtos ou serviços (recomendar opções com base nas preferências expressas).
Essas decisões são baseadas nas regras de negócio configuradas pelo cliente e na análise do contexto da conversa. Não produzem efeitos jurídicos por si mesmas (não celebram contratos, não assumem compromissos vinculantes, não negam serviços). O cliente é responsável por supervisionar essas decisões, configurar os limites de transferência humana e verificar que as cotações e recomendações geradas estão corretas antes de formalizar uma transação.
Se você é usuário final e acredita que uma decisão automatizada o afetou negativamente, pode solicitar a revisão humana dessa decisão entrando em contato diretamente com o negócio com o qual interagiu (o cliente da Trama).
Transparência sobre o uso de IA. A Trama recomenda e facilita que seus clientes informem seus usuários finais que estão interagindo com um agente de inteligência artificial. O agente inclui, por padrão, uma identificação como assistente de IA nas primeiras interações, salvo que o cliente configure de forma diferente. Em jurisdições onde a legislação exige (como a União Europeia sob o AI Act da UE, artigo 50), essa divulgação é obrigatória e o cliente é responsável por cumpri-la.
7. WhatsApp e Meta
A Trama acessa as conversas do WhatsApp por meio da WhatsApp Cloud API da Meta Platforms, Inc. Esta seção detalha como esse acesso funciona:
Acesso via API oficial. A Trama utiliza a API oficial do WhatsApp Business (Cloud API), que é o mecanismo aprovado pela Meta para que provedores de tecnologia processem mensagens em nome de empresas. Não acessamos o WhatsApp de forma não autorizada nem utilizamos aplicativos pessoais ou o aplicativo WhatsApp Business padrão para o processamento de dados.
Dados que recebemos do WhatsApp. Por meio da API, recebemos: o conteúdo das mensagens enviadas e recebidas (texto, imagens, documentos, áudios, vídeos, figurinhas, localizações compartilhadas), o nome de perfil e número de telefone do usuário final, metadados da mensagem (timestamp, tipo de mensagem, status de entrega e leitura) e informações do contexto da conversa (se é uma resposta a um template, uma mensagem em um fluxo, etc.).
Dados que NÃO acessamos. A Trama não acessa: a lista de contatos do telefone do cliente nem do usuário final, conversas privadas do cliente ou do usuário final fora do canal do agente, dados de localização em tempo real do usuário final (salvo que ele compartilhe explicitamente uma localização na conversa), histórico de conversas do WhatsApp anteriores à ativação do agente Trama, status do WhatsApp (stories) do cliente ou do usuário final, informações de grupos do WhatsApp que não estejam vinculados ao agente, nem dados da conta Meta/Facebook/Instagram do usuário final.
Criptografia. As mensagens em trânsito entre o usuário final e os servidores do WhatsApp são protegidas pelo protocolo de criptografia do WhatsApp. Uma vez que a mensagem chega aos servidores da Meta por meio da Cloud API e é encaminhada à Trama via webhook, a Trama protege os dados usando criptografia em trânsito (TLS) e criptografia em repouso em seus próprios sistemas.
Políticas da Meta. O uso da WhatsApp Cloud API está sujeito às políticas da Meta, incluindo a Política de Dados da Plataforma WhatsApp Business, a Política de Mensagens Empresariais, a Política de Comércio do WhatsApp e os Termos da Plataforma. A Meta pode acessar certos metadados das conversas conforme suas próprias políticas de privacidade. A Trama não tem controle sobre as práticas de tratamento de dados da Meta. Recomendamos que clientes e usuários finais revisem a política de privacidade do WhatsApp em whatsapp.com/legal/privacy-policy.
Provedor de serviços WhatsApp (BSP). A Trama pode utilizar um Business Solution Provider (BSP) autorizado pela Meta para gerenciar a conexão com a API do WhatsApp. Nesse caso, o BSP atua como suboperador e está sujeito a obrigações contratuais de confidencialidade e proteção de dados equivalentes às da Trama.
Política de IA do WhatsApp 2026. A Trama opera em conformidade com a política vigente da Meta em relação ao uso de inteligência artificial no WhatsApp Business. Nossos agentes são projetados como ferramentas de propósito específico (atendimento comercial, qualificação de contatos, cotações) e não como assistentes conversacionais de propósito geral, conforme as diretrizes da Meta.
8. Dados dos usuários finais da sua agência
Se você é cliente da Trama, esta seção explica como tratamos os dados das pessoas que entram em contato com seu agente (seus viajantes, clientes potenciais, fornecedores, contatos):
Propriedade. Os dados de seus usuários finais pertencem a você como cliente. A Trama os processa exclusivamente como operador de dados, para prestar-lhe o serviço contratado.
Isolamento. Os dados de seus usuários finais estão logicamente isolados e segregados dos dados de outros clientes da Trama. Cada cliente opera em seu próprio espaço de dados (tenant), com controles de acesso dedicados. Nenhum outro cliente pode acessar seus dados, e você não pode acessar os dados de outros clientes.
Sem uso para fins próprios. A Trama não utiliza os dados identificáveis de seus usuários finais para: marketing da Trama, contatar diretamente seus usuários finais em nome da Trama, vender ou compartilhar com terceiros, alimentar os agentes de outros clientes, nem realizar perfilamento em benefício da Trama. A exceção é o uso de dados anonimizados de forma irreversível, conforme o processo descrito na seção 5.4.
Sem venda de dados. A Trama não vende, aluga, licencia nem comercializa dados pessoais de qualquer tipo, em nenhuma circunstância. Isso se aplica a dados de clientes, usuários finais e visitantes.
Exportação de dados. Você pode solicitar a exportação dos dados de seus usuários finais a qualquer momento durante a vigência de sua assinatura e durante os 30 dias corridos posteriores ao cancelamento. Os dados serão entregues em um formato estruturado, de uso comum e legível por máquina (JSON ou CSV).
Sua responsabilidade. Como cliente, você é responsável por: informar seus usuários finais que podem estar interagindo com um agente de IA e que seus dados serão processados conforme sua própria política de privacidade, ter a base legal adequada para coletar e tratar seus dados pessoais (consentimento, relação contratual, interesse legítimo ou outra base válida em sua jurisdição), publicar sua própria política de privacidade descrevendo como você trata os dados de seus clientes, incluindo o uso da Trama como operador de dados, cumprir a legislação de proteção de dados aplicável em sua jurisdição, atender as solicitações de exercício de direitos que seus usuários finais lhe direcionem e não coletar dados sensíveis ou categorias especiais de dados por meio do agente, salvo que você tenha base legal reforçada para isso. A Trama o auxiliará razoavelmente no cumprimento dessas obrigações conforme os termos do DPA, se assinado.
9. Com quem compartilhamos informações
A Trama não vende, aluga nem comercializa dados pessoais. Compartilhamos informações apenas nos seguintes casos e com as seguintes categorias de destinatários:
Provedores de infraestrutura em nuvem. Para armazenamento, processamento e hospedagem de dados. Esses provedores operam sob acordos rigorosos de confidencialidade e proteção de dados e processam os dados exclusivamente conforme nossas instruções.
Provedores de modelos de inteligência artificial. Para o processamento de conversas e a geração de respostas pelo agente. Os dados de conversa são enviados ao provedor de modelos para processamento em tempo real. A Trama contrata provedores que não utilizam esses dados para treinar modelos gerais.
Processadores de pagamento. Para gerenciar cobranças, assinaturas e faturamento. Os processadores de pagamento recebem apenas os dados estritamente necessários para processar a transação e estão sujeitos às normas de segurança da indústria de pagamentos (PCI DSS).
Provedores de serviços WhatsApp (BSP). Para a conexão com a API do WhatsApp Business e o gerenciamento de mensagens.
Provedores de e-mail e comunicações. Para o envio de notificações operacionais, e-mails transacionais e, quando o cliente autorizar, comunicações de marketing.
Provedores de analytics e monitoramento. Para medir o desempenho do site, da Plataforma e do serviço, detectar erros e melhorar a experiência. Os dados enviados a essas ferramentas podem incluir dados de navegação anonimizados ou pseudonimizados.
Gestão de suboperadores. A Trama mantém um registro interno de seus principais suboperadores. Os clientes que solicitarem podem obter a lista atualizada de suboperadores entrando em contato com privacidade@trama.so. Antes de incorporar um novo suboperador que processe dados de clientes, a Trama avaliará as garantias de segurança e privacidade do provedor. A Trama notificará os clientes que assinaram um DPA sobre mudanças significativas na lista de suboperadores, com pelo menos 15 dias de antecedência, dando ao cliente a possibilidade de se opor conforme os termos do DPA.
Exigências legais. Podemos divulgar informações quando necessário para cumprir uma obrigação legal, responder a uma ordem judicial, intimação ou solicitação de autoridade administrativa competente, proteger os direitos, propriedade ou segurança da Trama, nossos clientes ou terceiros, ou investigar e prevenir fraudes, abusos ou atividades ilegais. Quando legalmente possível, notificaremos o cliente antes de divulgar seus dados em resposta a uma exigência legal.
Transferência corporativa. Em caso de fusão, aquisição, reorganização societária, venda de ativos, financiamento ou mudança de controle da Trama, os dados pessoais poderão ser transferidos como parte da transação. Nesse caso, o adquirente estará sujeito às obrigações desta política. Notificaremos os afetados antes de seus dados ficarem sujeitos a uma política de privacidade substancialmente diferente.
Com seu consentimento. Em qualquer outro caso, só compartilharemos seus dados com seu consentimento prévio, específico e informado.
10. Transferências internacionais de dados
Os dados pessoais coletados por meio de nossos serviços podem ser transferidos e processados em países diferentes do país onde foram coletados.
Local de processamento. Nossos provedores de infraestrutura e modelos de IA podem processar dados nos Estados Unidos, na Europa e em outras regiões onde mantêm data centers. A Trama não tem controle direto sobre a localização específica dos servidores de seus provedores, mas seleciona provedores que oferecem garantias adequadas.
Salvaguardas para transferências. Quando transferimos dados pessoais para fora da jurisdição do titular, adotamos uma ou mais das seguintes salvaguardas: verificação de que o país de destino oferece um nível adequado de proteção reconhecido pela autoridade competente do país de origem, implementação de cláusulas contratuais padrão aprovadas por autoridades de proteção de dados, inclusão de obrigações contratuais de confidencialidade, segurança e limitação de uso equivalentes às desta política e aplicação de medidas técnicas complementares (criptografia, pseudonimização, controles de acesso) para reforçar a proteção dos dados transferidos.
Para clientes no Brasil. As transferências internacionais são realizadas conforme os mecanismos previstos no artigo 33 da LGPD, incluindo países com nível adequado de proteção, cláusulas contratuais padrão ou outros mecanismos reconhecidos pela ANPD.
Para clientes na Argentina. As transferências internacionais são realizadas conforme o disposto nos artigos 12 e correlatos da Lei 25.326 e seu Decreto Regulamentador 1558/2001, que permitem a transferência a países com nível adequado de proteção ou quando o titular tiver dado seu consentimento, entre outros casos.
Para clientes na União Europeia / EEE. As transferências fora do EEE são realizadas conforme os mecanismos previstos no Capítulo V do RGPD (artigos 44 a 49), incluindo decisões de adequação da Comissão Europeia, cláusulas contratuais padrão (SCCs) aprovadas pela Comissão ou outros mecanismos válidos. Quando SCCs forem utilizadas, a Trama implementa as medidas suplementares necessárias conforme as recomendações do EDPB.
11. Retenção e exclusão de dados
Retemos os dados pessoais apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados. A seguir, os prazos de retenção por tipo de dado:
Dados de conta e registro. Conservados enquanto a conta do cliente estiver ativa. Após o cancelamento, conservados por 30 dias corridos para permitir a reativação ou exportação e, em seguida, excluídos dos sistemas ativos. Certos dados básicos (nome, e-mail, histórico de faturamento) podem ser conservados por prazos legais.
Dados de faturamento e fiscais. Conservados pelo prazo exigido pela legislação fiscal aplicável. No Brasil, os documentos fiscais devem ser conservados por 5 anos conforme o Código Tributário Nacional. Em outras jurisdições, aplica-se o prazo legal local.
Dados de conversa (usuários finais). Conservados enquanto a assinatura do cliente estiver ativa. Após o cancelamento, conservados por 30 dias corridos para exportação. Em seguida, excluídos dos sistemas ativos. Os dados podem persistir em cópias de segurança criptografadas por um período adicional de até 90 dias conforme o ciclo de rotação de backups.
Conteúdo do cliente (catálogos, regras de negócio). Conservado enquanto a assinatura estiver ativa e durante os 30 dias corridos posteriores ao cancelamento.
Dados de navegação e analytics. Conservados por um período máximo de 26 meses a partir da coleta, salvo que sejam anonimizados antes.
Cookies. Dependendo do tipo: cookies de sessão são excluídos ao fechar o navegador, cookies persistentes são conservados conforme os prazos indicados na seção 13.
Dados anonimizados. Conservados indefinidamente, pois não constituem dados pessoais.
Registros de segurança e auditoria. Conservados por um período de 12 meses para fins de segurança, rastreabilidade e investigação de incidentes.
Comunicações de suporte. Conservadas por um período de 24 meses a partir da última interação, salvo que façam parte de uma disputa ativa.
Solicitação de exclusão antecipada. Você pode solicitar a exclusão de seus dados pessoais a qualquer momento entrando em contato com privacidade@trama.so. Atenderemos sua solicitação conforme a legislação aplicável. Observe que certos dados podem exigir conservação por obrigações legais e que a exclusão de dados pode implicar a impossibilidade de continuar prestando o serviço a você.
12. Segurança dos dados
Implementamos medidas técnicas e organizacionais apropriadas ao risco do tratamento para proteger os dados pessoais:
Medidas técnicas
Criptografia. Dados em trânsito protegidos por TLS 1.2 ou superior (HTTPS). Dados em repouso criptografados em nossos bancos de dados e sistemas de armazenamento. Cópias de segurança criptografadas.
Controle de acesso. Controles de acesso baseados em funções (RBAC) com princípio de menor privilégio. Autenticação segura para acesso a sistemas internos. Revisão periódica das permissões de acesso. Segregação de ambientes (desenvolvimento, staging, produção).
Isolamento. Multi-tenancy com isolamento lógico estrito entre clientes. Cada cliente opera em um espaço de dados segregado. As consultas e operações estão limitadas ao escopo do cliente autenticado.
Monitoramento. Monitoramento contínuo de atividade e detecção de anomalias. Registros de auditoria (logs) para rastreabilidade de acessos e operações. Alertas automatizados para eventos de segurança.
Resiliência. Cópias de segurança regulares com procedimentos documentados de recuperação. Infraestrutura distribuída para alta disponibilidade.
Medidas organizacionais
Pessoal. Obrigações contratuais de confidencialidade para todos os funcionários com acesso a dados. Acesso a dados de clientes limitado ao mínimo de pessoal necessário.
Fornecedores. Avaliação de segurança de fornecedores antes da contratação. Obrigações contratuais de segurança e confidencialidade em todos os acordos com fornecedores.
Processos. Políticas internas de segurança da informação documentadas. Procedimentos de resposta a incidentes de segurança. Revisões periódicas de segurança.
Notificação de violações de segurança
Em caso de uma violação de segurança que afete dados pessoais:
Notificação ao cliente. A Trama notificará os clientes afetados sem demora indevida e, em qualquer caso, dentro de 72 horas de ter tomado conhecimento do incidente. A notificação incluirá: descrição da natureza do incidente, categorias e volume aproximado de dados e titulares afetados, descrição das consequências prováveis do incidente, medidas adotadas e previstas para remediar o incidente e mitigar seus efeitos, dados de contato para obter mais informações e recomendações para que o cliente proteja seus usuários finais.
Notificação às autoridades. Quando a violação representar um risco para os direitos e liberdades das pessoas, a Trama notificará a autoridade de proteção de dados competente conforme os prazos e requisitos da legislação aplicável (72 horas para o RGPD; prazos da ANPD para o Brasil).
Registro de incidentes. A Trama mantém um registro interno de todos os incidentes de segurança, incluindo os que não foram notificados externamente por não atingirem os limites de notificação.
Limitação. Apesar de nossos esforços, nenhum sistema de armazenamento ou transmissão de dados é completamente invulnerável. Não podemos garantir a segurança absoluta dos dados, mas nos comprometemos a agir com diligência, a melhorar continuamente nossas práticas de segurança e a responder de forma transparente e oportuna a qualquer incidente.
13. Cookies e tecnologias de rastreamento
Nosso site (trama.so) e a Plataforma utilizam cookies e tecnologias similares (local storage, pixels, beacons).
Cookies estritamente necessários. Essenciais para o funcionamento do site e da Plataforma. Incluem cookies de sessão, autenticação, segurança (CSRF) e preferências críticas. Não podem ser desativados sem afetar a funcionalidade básica. Duração: sessão ou até 12 meses dependendo do cookie.
Cookies de desempenho e analytics. Permitem entender como os visitantes utilizam nosso site. A Trama utiliza ferramentas de analytics (como PostHog ou outras) que podem definir cookies para coletar dados de uso de forma agregada ou pseudonimizada. Duração: até 26 meses.
Cookies de funcionalidade. Permitem lembrar preferências do usuário (idioma, fuso horário, configuração da Plataforma) para oferecer uma experiência personalizada. Duração: até 12 meses.
Cookies de marketing. No momento da publicação desta política, a Trama não utiliza cookies de publicidade, remarketing nem rastreamento publicitário de terceiros. Se no futuro implementarmos esse tipo de cookies, atualizaremos esta política e solicitaremos seu consentimento prévio antes de ativá-los, conforme a legislação aplicável.
Sinais Do Not Track (DNT). Atualmente, não existe um padrão uniforme para interpretar os sinais "Do Not Track" dos navegadores. A Trama não modifica seu comportamento em resposta a sinais DNT. Se no futuro um padrão for estabelecido, avaliaremos sua implementação.
Gerenciamento de cookies. Você pode configurar seu navegador para rejeitar todos ou determinados cookies, para que ele avise antes de aceitá-los ou para excluir os cookies existentes. Observe que desativar certos cookies pode afetar a funcionalidade do site ou da Plataforma. A maioria dos navegadores oferece essas opções em sua seção de configurações de privacidade.
14. Direitos dos titulares de dados
Dependendo da legislação aplicável em sua jurisdição, você pode ter os seguintes direitos em relação a seus dados pessoais:
Direito de acesso. Solicitar informações sobre quais dados pessoais temos sobre você, as finalidades do tratamento, as categorias de dados tratados, os destinatários ou categorias de destinatários, os prazos de conservação e a fonte dos dados (se não foram coletados diretamente de você).
Direito de retificação. Solicitar a correção de dados pessoais que sejam inexatos, incompletos ou desatualizados.
Direito de exclusão (eliminação). Solicitar a exclusão de seus dados pessoais quando: não forem mais necessários para as finalidades para as quais foram coletados, você retirar o consentimento e não houver outra base legal, você se opuser ao tratamento e não prevalecerem motivos legítimos, os dados tiverem sido tratados ilicitamente ou a exclusão for exigida pela legislação aplicável. Este direito pode estar sujeito a exceções legítimas: obrigações legais de conservação, exercício ou defesa de direitos legais, ou fins de arquivo no interesse público.
Direito de oposição. Opor-se ao tratamento de seus dados pessoais quando: o tratamento se basear em interesse legítimo (incluindo perfilamento baseado em interesse legítimo), os dados forem tratados para fins de marketing direto ou em qualquer outro caso previsto pela legislação aplicável.
Direito à limitação do tratamento. Solicitar que limitemos o tratamento de seus dados pessoais enquanto: verificamos a exatidão dos dados após uma solicitação de retificação, avaliamos uma solicitação de oposição, o tratamento for ilícito mas você preferir a limitação à exclusão ou os dados não forem mais necessários mas você precisar deles para o exercício de direitos legais.
Direito à portabilidade. Solicitar receber seus dados pessoais em um formato estruturado, de uso comum e legível por máquina (JSON ou CSV) e transmiti-los a outro controlador sem que a Trama o impeça. Este direito se aplica aos dados que você nos forneceu diretamente e que foram processados de forma automatizada com base no consentimento ou na execução de um contrato.
Direito de não ser submetido a decisões automatizadas. Solicitar que uma decisão que o afete significativamente não seja baseada exclusivamente no tratamento automatizado, incluindo a elaboração de perfis, e obter intervenção humana, expressar seu ponto de vista e contestar a decisão. Se você for usuário final de um agente Trama, este direito deve ser exercido perante o cliente que opera o agente, que é o controlador de dados.
Direito de retirar o consentimento. Retirar seu consentimento a qualquer momento, quando o tratamento se basear nele, sem que isso afete a licitude do tratamento anterior à retirada.
Como exercer seus direitos
Se você for cliente ou usuário da Plataforma: Entre em contato conosco em privacidade@trama.so com o assunto "Exercício de direitos", indicando: seu nome completo, e-mail da conta, o direito específico que deseja exercer e uma descrição de sua solicitação. Responderemos dentro dos prazos legais aplicáveis:
- Brasil (LGPD): 15 dias.
- Argentina (Lei 25.326): 10 dias corridos para acesso, 5 dias úteis para retificação/exclusão/oposição.
- União Europeia (RGPD): 30 dias, prorrogáveis por 60 dias adicionais em casos de complexidade.
- Outras jurisdições: conforme o prazo legal aplicável.
Se você for usuário final de um agente Trama: Sua relação direta é com o cliente da Trama que opera o agente (a agência de viagens, o operador turístico ou outra empresa). Você deve direcionar sua solicitação diretamente a essa empresa, que é o controlador dos seus dados. Se não obtiver resposta do controlador dentro dos prazos legais, pode entrar em contato conosco em privacidade@trama.so e faremos esforços razoáveis para facilitar o atendimento de sua solicitação, informando o cliente e colaborando na medida que nos compete como operadores de dados.
Verificação de identidade. Para proteger seus dados contra acessos não autorizados, podemos pedir que você verifique sua identidade antes de processar sua solicitação. Isso pode incluir a confirmação de dados de sua conta ou a apresentação de documentação de identidade.
Sem custo. O exercício desses direitos é gratuito. Em caso de solicitações manifestamente infundadas ou excessivas (por seu caráter repetitivo), a Trama pode cobrar uma taxa administrativa razoável ou recusar a solicitação, informando os motivos, conforme a legislação aplicável.
Direito de reclamar. Se você acreditar que seus direitos foram violados, pode apresentar uma reclamação perante a autoridade de proteção de dados competente:
- Brasil: Autoridade Nacional de Proteção de Dados (ANPD), www.gov.br/anpd.
- Argentina: Agencia de Acceso a la Información Pública (AAIP), www.argentina.gob.ar/aaip.
- União Europeia: autoridade de controle do Estado-membro de sua residência habitual, local de trabalho ou local da suposta infração.
15. Direitos de auditoria do cliente
Os clientes que assinaram um DPA com a Trama têm o direito de verificar o cumprimento das obrigações da Trama como operador de dados, conforme os termos do DPA.
Modalidade. As auditorias podem ser realizadas por meio de: questionários de segurança e conformidade que a Trama preencherá em um prazo razoável, revisão de certificações, relatórios de auditoria de terceiros ou avaliações de segurança que a Trama disponibilizar, e auditorias presenciais ou remotas realizadas pelo cliente ou por um auditor independente designado pelo cliente, sujeitas a acordo prévio sobre data, escopo e condições de confidencialidade.
Frequência. As auditorias presenciais ou remotas são limitadas a uma vez por ano, salvo que uma violação de segurança ou incidente relevante justifique uma auditoria adicional.
Custos. O cliente assume os custos da auditoria. A Trama cooperará de boa-fé e disponibilizará as informações e o acesso razoavelmente necessários, na medida em que não comprometa a segurança de outros clientes nem revele informações confidenciais de terceiros.
16. Disposições específicas por jurisdição
16.1 Brasil (LGPD)
Para clientes ou usuários finais no Brasil, o tratamento de dados pessoais é realizado em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018). As bases legais aplicáveis incluem: execução de contrato, consentimento, interesse legítimo e cumprimento de obrigação legal. Os titulares no Brasil têm direito a solicitar a confirmação da existência de tratamento, o acesso aos dados, a correção, a anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos, a portabilidade, a eliminação de dados tratados com consentimento, informações sobre entidades com as quais os dados foram compartilhados e informações sobre a possibilidade de não fornecer consentimento e as consequências. Autoridade de controle: Autoridade Nacional de Proteção de Dados (ANPD), www.gov.br/anpd.
16.2 Argentina (Lei 25.326)
Registro de bases de dados. A Trama cumpre as obrigações de registro perante o Registro Nacional de Bases de Dados da Agencia de Acceso a la Información Pública (AAIP), conforme estabelecido na Lei 25.326, seu Decreto Regulamentador 1558/2001 e a Disposição 11/2006, quando aplicável.
Dados sensíveis. A Trama não coleta intencionalmente dados sensíveis (origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, participação sindical, dados de saúde, orientação sexual, antecedentes criminais) por meio de seus serviços. Se um usuário final compartilhar espontaneamente informações dessa natureza em uma conversa com o agente, esses dados são tratados com as medidas de segurança reforçadas exigidas pela legislação, não utilizados para fins distintos da prestação do serviço e excluídos quando não forem mais necessários para esse fim.
Autoridade de controle. Agencia de Acceso a la Información Pública (AAIP), www.argentina.gob.ar/aaip.
16.3 União Europeia e Espaço Econômico Europeu (RGPD)
Bases legais do tratamento. As bases legais para cada atividade de tratamento estão detalhadas na seção 5 desta política.
Representante na UE. Se a Trama atingir os limites que exigem a designação de um representante na UE conforme o artigo 27 do RGPD, publicaremos os dados de contato do representante nesta política.
Encarregado de Proteção de Dados (DPO). No momento desta publicação, a Trama não designou formalmente um DPO conforme o artigo 37 do RGPD. As consultas sobre proteção de dados podem ser direcionadas a privacidade@trama.so.
16.4 Outras jurisdições
Se você estiver em uma jurisdição não coberta especificamente nesta seção, a Trama se compromete a tratar seus dados pessoais com os padrões de proteção descritos nesta política, alinhados com as melhores práticas internacionais. Se a legislação de sua jurisdição conceder direitos adicionais aos descritos aqui, esses direitos também se aplicam a você e você pode exercê-los entrando em contato com privacidade@trama.so.
17. Privacidade de menores
Nossos serviços não são direcionados a menores de 18 anos (ou a idade de maioridade na jurisdição aplicável). A Trama não coleta intencionalmente dados pessoais de menores.
Se um usuário final menor de idade interagir com um agente Trama, a responsabilidade pela verificação da idade, implementação de controles de acesso e obtenção do consentimento dos pais ou responsáveis, quando exigido pela legislação aplicável, recai sobre o cliente que opera o agente.
Se tomarmos conhecimento de que coletamos dados pessoais de um menor sem o consentimento adequado, tomaremos medidas razoáveis para excluir essas informações de nossos sistemas em tempo hábil. Se você acreditar que um menor forneceu dados pessoais por meio de nosso serviço, entre em contato conosco em privacidade@trama.so.
18. Links para sites e serviços de terceiros
Nosso site, a Plataforma ou o agente de IA podem conter links para sites, serviços, aplicativos ou plataformas de terceiros. Esta Política de Privacidade se aplica exclusivamente aos serviços da Trama e não se estende a sites ou serviços de terceiros.
Recomendamos revisar as políticas de privacidade de cada site ou serviço de terceiros que você utilizar ou visitar. A Trama não é responsável pelas práticas de privacidade, o conteúdo ou a segurança de sites ou serviços de terceiros, incluindo os da Meta/WhatsApp, provedores de modelos de IA, processadores de pagamento e qualquer outro terceiro mencionado nesta política.
19. Alterações a esta política
A Trama pode atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas de tratamento de dados, na legislação aplicável, em nossos serviços ou em nossa estrutura corporativa.
Alterações substanciais. As alterações substanciais serão notificadas com pelo menos 30 dias corridos de antecedência por meio de: e-mail para o endereço registrado na conta do cliente, aviso em destaque em nosso site (banner ou notificação visível) e notificação dentro da Plataforma. São consideradas alterações substanciais aquelas que: modificam as finalidades do tratamento, ampliam as categorias de dados coletados, incorporam novas categorias de destinatários, modificam os direitos dos titulares ou alteram substancialmente as medidas de segurança.
Alterações menores. As alterações menores (correções de formato, atualizações de dados de contato, esclarecimentos que não modificam o sentido) podem ser feitas sem aviso prévio e serão refletidas na data de "Última atualização".
Data de atualização. A data de "Última atualização" no início desta política indica quando foi realizada a revisão mais recente.
Aceitação. O uso continuado de nossos serviços após a entrada em vigor das alterações constitui aceitação da política atualizada. Se você não concordar com as alterações substanciais, pode cancelar sua conta antes que entrem em vigor, sem penalidade, conforme os Termos e Condições.
Versões anteriores. Manteremos um arquivo das versões anteriores desta política. Você pode solicitar acesso a versões anteriores entrando em contato com privacidade@trama.so.
20. Contato
Se você tiver perguntas, comentários ou solicitações relacionadas a esta Política de Privacidade ou ao tratamento de seus dados pessoais:
Para consultas de privacidade e exercício de direitos: E-mail: privacidade@trama.so
Para consultas gerais: E-mail: ola@trama.so
Para reportar incidentes de segurança: E-mail: seguranca@trama.so
Endereço: Córdoba, Argentina
Site: trama.so
Comprometemo-nos a responder a todas as consultas dentro dos prazos legais aplicáveis e, em qualquer caso, em um prazo não superior a 30 dias corridos a partir do recebimento.
A Trama Inc. se compromete a proteger sua privacidade e a tratar seus dados pessoais com responsabilidade, transparência e respeito pelos seus direitos.