Política de Privacidade
Última atualização: 7 de junho de 2026
A AdvWell está comprometida com a proteção da privacidade e dos dados pessoais de seus usuários, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD). Esta política descreve de forma transparente como coletamos, utilizamos, armazenamos, compartilhamos e protegemos seus dados.
1. Controlador e Operador de Dados
1.1. A AdvWell como Operadora
Para os dados de clientes dos escritórios de advocacia (dados que transitam pelo Portal do Cliente, documentos compartilhados, mensagens), a AdvWell atua como Operadora de dados, e o escritório contratante é o Controlador, nos termos do Art. 5º, VI e VII da LGPD.
1.2. A AdvWell como Controladora
Para os dados dos próprios contratantes (dados de cadastro do escritório, informações de cobrança, dados de uso da plataforma), a AdvWell atua como Controladora de dados.
1.3. Encarregado de Dados (DPO)
O Encarregado de Proteção de Dados pode ser contatado pelo e-mail: privacidade@advwell.pro
2. Dados Coletados
2.1. Dados fornecidos diretamente pelo Contratante
- Dados cadastrais: nome, e-mail, telefone/WhatsApp, número OAB
- Dados do escritório: razão social, CNPJ, endereço, logotipo
- Dados de clientes do escritório: nome, CPF/CNPJ, contatos, informações processuais
- Dados de processos judiciais e não judiciais: número CNJ, partes, andamentos, valores
- Dados financeiros do escritório: receitas, despesas, contas a pagar, honorários
- Documentos jurídicos: petições, contratos, procurações, pareceres
- Dados de agenda: compromissos, audiências, prazos, tarefas
- Dados previdenciários: informações de CNIS quando utilizadas nas calculadoras
2.2. Dados coletados automaticamente
- Dados de acesso: endereço IP, navegador, sistema operacional, páginas visitadas, duração da sessão
- Dados de uso: funcionalidades utilizadas, frequência de acesso, padrões de navegação
- Dados de dispositivo: tipo de dispositivo, resolução de tela, idioma
2.3. Dados obtidos via integrações autorizadas
| Integração | Dados Acessados | Finalidade |
|---|---|---|
| Google Calendar | Eventos de calendários selecionados, e-mail da conta | Sincronização bidirecional de agenda |
| Gmail (Email Ingest) | Emails de remetentes judiciais (.jus.br, recortedigital) — somente leitura | Captura automática de movimentações processuais |
| Outlook (Email Ingest) | Emails de remetentes judiciais (.jus.br, recortedigital) — somente leitura | Captura automática de movimentações processuais |
| DataJud (CNJ) | Andamentos processuais públicos | Atualização automática de processos |
| ADVAPI | Publicações jurídicas vinculadas à OAB | Monitoramento de publicações e importação de processos |
| Stripe | Dados de cobrança (token de cartão — nunca o número completo) | Processamento de pagamentos |
| Meta/WhatsApp | Número de telefone do destinatário, conteúdo da mensagem | Envio de notificações e campanhas autorizadas |
3. Email Ingest — Leitura Automatizada de Emails
Transparência sobre Acesso a Emails
Este é o detalhamento mais importante desta política. O módulo de Email Ingest acessa a caixa de entrada do usuário para capturar notificações judiciais automaticamente. Abaixo explicamos exatamente o que é lido, como e por quê.
3.1. Base Legal (Art. 7º, V da LGPD)
O tratamento é fundamentado na execução de contrato do qual o titular é parte. O serviço de monitoramento de movimentações processuais é funcionalidade nuclear contratada pelo escritório.
3.2. Três Canais de Entrada
- Canal 1 — Cloudflare Email Routing: O usuário configura um endereço dedicado (proc-{token}@advwell.pro) e encaminha manualmente emails de tribunais para este endereço
- Canal 2 — Gmail OAuth: O sistema conecta-se à conta Gmail via OAuth2 (permissão
gmail.readonly) e monitora emails recebidos a cada 5 minutos - Canal 3 — Outlook OAuth: O sistema conecta-se à conta Microsoft via OAuth2 (permissão
Mail.Read) e monitora emails recebidos a cada 5 minutos
3.3. Minimização de Dados (Art. 6º, III da LGPD)
O sistema implementa um filtro LGPD rigoroso:
- Apenas emails de remetentes com domínio
.jus.brourecortedigitalsão considerados - Emails pessoais, comerciais ou de qualquer outro remetente são descartados antes de qualquer leitura do corpo da mensagem
- Para o Gmail via history.list, o filtro é aplicado nos metadados (cabeçalho "From") sem acessar o conteúdo
- Nenhum email pessoal é armazenado, processado ou registrado em log
3.4. Importação Retroativa
Na primeira conexão, o sistema importa automaticamente os últimos 180 (cento e oitenta) dias de emails jurídicos, respeitando os mesmos filtros. Esta importação permite ao escritório capturar movimentações de tribunais que não eram monitorados anteriormente.
3.5. Dados Extraídos dos Emails Jurídicos
- Número do processo (formato CNJ de 20 dígitos)
- Tipo de movimentação (citação, intimação, publicação, despacho)
- Data da movimentação
- Tribunal e vara de origem
- Texto resumido da movimentação
O corpo completo do email não é armazenado permanentemente. Após a extração das informações relevantes, apenas os dados estruturados são mantidos.
3.6. Revogação
O usuário pode desconectar Gmail ou Outlook a qualquer momento nas configurações da plataforma. Após a desconexão:
- Os tokens de acesso são imediatamente revogados e excluídos
- O monitoramento cessa instantaneamente
- As movimentações já importadas permanecem no sistema (são dados do processo, não do email)
- Você também pode revogar o acesso diretamente nas configurações da sua conta Google/Microsoft
4. Finalidades do Tratamento
| Finalidade | Base Legal (LGPD) |
|---|---|
| Prestação do serviço contratado (gestão jurídica) | Art. 7º, V — Execução de contrato |
| Monitoramento de movimentações via Email Ingest | Art. 7º, V — Execução de contrato |
| Processamento de pagamentos | Art. 7º, V — Execução de contrato |
| Envio de notificações sobre o serviço (prazos, lembretes) | Art. 7º, V — Execução de contrato |
| Comunicações de marketing (campanhas, novidades) | Art. 7º, I — Consentimento |
| Melhoria do serviço e analytics | Art. 7º, IX — Interesse legítimo |
| Cumprimento de obrigações legais | Art. 7º, II — Obrigação legal |
| Backup e recuperação de desastres | Art. 7º, V — Execução de contrato |
5. Compartilhamento de Dados
A AdvWell não vende, aluga ou comercializa dados pessoais. O compartilhamento ocorre apenas nas seguintes hipóteses:
| Destinatário | Finalidade | Dados Compartilhados |
|---|---|---|
| Stripe, Inc. | Processamento de pagamentos | Nome, e-mail, dados de cobrança |
| Amazon Web Services (AWS) | Armazenamento de documentos e backups | Arquivos enviados pelo usuário (criptografados) |
| Provedores de IA (Anthropic/OpenAI) | Processamento de módulos Adv IA | Textos fornecidos pelo usuário para análise |
| Meta Platforms (WhatsApp) | Envio de mensagens | Número do destinatário e conteúdo da mensagem |
| Cloudflare | CDN, segurança, email routing | Dados de tráfego, emails roteados |
| Google LLC | Calendar sync, Gmail Ingest | Eventos, emails jurídicos filtrados |
| Microsoft Corp. | Outlook Ingest | Emails jurídicos filtrados |
Todos os parceiros listados possuem políticas de privacidade próprias e operam em conformidade com padrões internacionais de proteção de dados.
6. Transferência Internacional de Dados
Alguns dados podem ser processados ou armazenados em servidores localizados fora do Brasil, especificamente:
- AWS (us-east-1): Armazenamento de documentos (com replicação em sa-east-1 — São Paulo)
- Stripe: Processamento de pagamentos (EUA)
- Provedores de IA: Processamento de textos para módulos de IA (EUA)
Estas transferências são realizadas com base no Art. 33, II da LGPD (cláusulas-padrão contratuais) e Art. 33, III (cooperação jurídica internacional). Todos os provedores mantêm certificações adequadas de segurança (SOC 2, ISO 27001 ou equivalentes).
7. Segurança dos Dados
Implementamos medidas técnicas e organizacionais robustas, incluindo:
- Criptografia em trânsito: TLS 1.3 obrigatório em todas as conexões (HTTPS)
- Criptografia em repouso: AES-256 para backups, SSE-S3 para documentos, tokens OAuth criptografados com chave dedicada
- Isolamento de dados: Arquitetura multitenant com isolamento por empresa (row-level security)
- Autenticação: Senhas com hash bcrypt, suporte a 2FA/TOTP, tokens JWT com expiração
- Infraestrutura: Firewall (UFW), fail2ban, SSH com 2FA, monitoramento 24/7, alertas automáticos
- Backups: Diários, criptografados (AES-256), com retenção de 30 dias e armazenamento redundante em S3
- Monitoramento: Prometheus, Grafana, alertas Telegram em tempo real para anomalias
- Proteção contra ataques: Rate limiting, proteção CSRF, validação de entrada, Cloudflare WAF
8. Retenção de Dados
| Tipo de Dado | Período de Retenção |
|---|---|
| Dados da conta ativa | Enquanto a conta estiver ativa |
| Dados após cancelamento | 30 dias (período para exportação) |
| Backups | 30 dias (rotação automática) |
| Logs de email ingest | 90 dias (limpeza semanal automática) |
| Logs de acesso | 6 meses |
| Dados de cobrança | 5 anos (obrigação fiscal — Art. 174, CTN) |
9. Direitos do Titular (Art. 18 da LGPD)
Você tem direito a:
- Confirmação e acesso: Confirmar a existência de tratamento e acessar seus dados
- Correção: Solicitar a correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação: Solicitar tratamento de dados desnecessários ou excessivos
- Portabilidade: Exportar seus dados em formato estruturado (CSV)
- Eliminação: Solicitar a exclusão de dados tratados com base em consentimento
- Informação sobre compartilhamento: Saber com quais entidades seus dados são compartilhados
- Revogação de consentimento: Revogar autorizações concedidas (ex: desconectar Gmail/Outlook, revogar Google Calendar)
- Oposição: Opor-se a tratamento realizado com base em interesse legítimo, caso discorde
Para exercer seus direitos, entre em contato pelo e-mail privacidade@advwell.pro. Responderemos em até 15 (quinze) dias úteis, conforme Art. 18, §5º da LGPD.
10. Uso de Dados do Google (Google API Services)
Declaração de Conformidade — Google API Services User Data Policy
O uso e a transferência de informações recebidas de APIs do Google pelo AdvWell adere à Google API Services User Data Policy, incluindo os requisitos de Limited Use.
- O AdvWell acessa apenas os dados estritamente necessários para as funcionalidades solicitadas pelo usuário (Calendar sync e Email Ingest)
- Os dados do Google não são utilizados para fins publicitários, marketing, mineração de dados ou qualquer propósito não relacionado à funcionalidade principal
- Os dados do Google não são vendidos ou transferidos a terceiros, exceto quando necessário para fornecer o serviço, conforme exigido por lei, ou com consentimento explícito
- Nenhum humano lê o conteúdo dos emails — o processamento é inteiramente automatizado por algoritmos determinísticos de parsing
- Tokens de acesso OAuth são armazenados de forma criptografada e podem ser revogados a qualquer momento pelo usuário
11. Tecnologias de Rastreamento (Cookies)
11.1. Meta Pixel (Facebook/Instagram)
Nosso site institucional (advwell.pro) utiliza o Meta Pixel para mensurar a eficácia de campanhas publicitárias. Este rastreamento:
- Só é ativado após consentimento explícito do visitante (banner de cookies)
- Coleta dados anônimos de navegação (páginas visitadas, cliques, conversões)
- Não está presente na plataforma de gestão (app.advwell.pro)
- Pode ser rejeitado sem qualquer impacto no uso do serviço
11.2. Cookies Essenciais
A plataforma utiliza cookies estritamente necessários para autenticação (JWT), preferências de sessão e segurança (CSRF). Estes não requerem consentimento por serem indispensáveis ao funcionamento do serviço (Art. 10, II da LGPD — interesse legítimo).
12. Dados de Menores
O AdvWell não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos tal coleta, os dados serão prontamente eliminados.
13. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a AdvWell comunicará:
- A Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme Art. 48 da LGPD
- Os titulares afetados, descrevendo a natureza dos dados, as medidas adotadas e as recomendações
14. Alterações nesta Política
Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas ou na legislação. Alterações substanciais serão comunicadas com antecedência de 30 (trinta) dias via e-mail e/ou notificação no sistema.
15. Legislação Aplicável
Esta política é regida pela Lei nº 13.709/2018 (LGPD), pelo Marco Civil da Internet (Lei nº 12.965/2014), pelo Código de Defesa do Consumidor (Lei nº 8.078/1990) quando aplicável, e demais normas brasileiras de proteção de dados.
16. Contato
Para questões sobre privacidade e proteção de dados:
Encarregado de Dados (DPO): privacidade@advwell.pro
Suporte geral: contato@advwell.pro
Para reclamações não resolvidas, o titular pode dirigir-se à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.