O Lume CRM respeita sua privacidade e segue rigorosamente a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018). Esta Política explica de forma clara quais dados pessoais coletamos, por que coletamos, como usamos e quais são seus direitos.
1. Quem somos
O Lume CRM é uma plataforma SaaS de gestão de leads voltada a construtoras e corretoras imobiliárias, operada por:
CNPJ: 55.181.169/0001-87
Sede: Setor Sagoca, Quadra 4, Taguatinga Norte, Brasília-DF, CEP 72145-760
Contato: contato@lumecrm.com.br
Somos o Controlador dos dados pessoais tratados em nossa plataforma, conforme art. 5º, VI, da LGPD.
2. Dados que coletamos
2.1 Dados de cadastro (você ou seus usuários)
- Nome completo
- Telefone
- Senha (armazenada com hash criptográfico bcrypt — nunca em texto puro)
- Cargo na empresa (Administrador, Gerente de Stand, Gerente de Equipe, Corretor)
- Empresa, stand e equipe a que pertence
2.2 Dados operacionais (leads gerados pelas suas campanhas)
- Nome, telefone e email do lead
- Respostas a formulários do Facebook Lead Ads (renda, interesse em empreendimento, etc.)
- Origem da campanha (nome da campanha, conjunto de anúncios, anúncio)
- Histórico de interações (status, observações, agendamentos de visita)
- Eventos de conversão enviados ao Meta via API de Conversões (Schedule, Purchase)
- Valor de venda, CEP, cidade e estado (quando o lead vira venda)
2.3 Dados técnicos
- Endereço IP
- Identificador do dispositivo / user agent (versão de navegador, sistema operacional)
- Endpoint de push notification (quando o usuário autoriza notificações)
- Logs de acesso e ações na plataforma (auditoria interna)
3. Finalidades do tratamento
Tratamos seus dados pessoais para:
- Operacionalizar a plataforma — autenticação, gestão de usuários, distribuição de leads entre corretores
- Prestar o serviço contratado — receber leads das suas campanhas no Facebook Lead Ads, organizar pipeline, gerar relatórios
- Otimizar suas campanhas — enviar eventos de conversão (CAPI) ao Meta para que os algoritmos otimizem suas campanhas pagas
- Comunicação operacional — emails de convite, recuperação de senha, resumo diário (quando ativado)
- Suporte ao cliente — atender solicitações enviadas para nossos canais de contato
- Cumprir obrigações legais e regulatórias — armazenar logs e dados conforme exigido por lei
- Segurança e prevenção a fraudes — detectar usos indevidos da plataforma
4. Bases legais (art. 7º da LGPD)
| Tratamento | Base Legal |
|---|---|
| Cadastro e operação da plataforma | Execução de contrato (art. 7º, V) |
| Distribuição de leads e organização de pipeline | Execução de contrato (art. 7º, V) |
| Envio de eventos CAPI ao Meta | Legítimo interesse do cliente (art. 7º, IX) |
| Push notifications no navegador | Consentimento (art. 7º, I) |
| Email de resumo diário | Consentimento (art. 7º, I) |
| Logs de auditoria e segurança | Legítimo interesse (art. 7º, IX) |
| Cumprimento de ordens legais | Cumprimento de obrigação legal (art. 7º, II) |
5. Compartilhamento com terceiros
Compartilhamos dados pessoais apenas com prestadores essenciais à operação do serviço, todos comprometidos com a segurança das informações:
| Parceiro | Finalidade | Localização |
|---|---|---|
| Supabase | Banco de dados, autenticação e hospedagem das Edge Functions | EUA (servidor em São Paulo via AWS) |
| Hostinger | Hospedagem do app web e envio de emails transacionais | Brasil / Lituânia |
| Meta / Facebook | Recebimento de leads do Facebook Lead Ads e envio de eventos CAPI | EUA / Irlanda |
| Kiwify | Processamento de pagamentos e gestão de assinaturas | Brasil |
| Google (FCM) | Entrega de push notifications no navegador Chrome | EUA |
Não vendemos dados pessoais a terceiros e não usamos seus dados para fins de marketing externos à plataforma sem seu consentimento.
6. Seus direitos como titular (art. 18º da LGPD)
A qualquer momento você pode exercer os seguintes direitos:
- Confirmação da existência de tratamento dos seus dados
- Acesso aos dados que mantemos sobre você
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
- Portabilidade dos dados a outro fornecedor
- Eliminação dos dados pessoais tratados com seu consentimento
- Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados
- Revogação do consentimento a qualquer momento
Para exercer qualquer um desses direitos, envie um email para contato@lumecrm.com.br com o assunto "Direito do Titular — LGPD". Responderemos em até 15 dias úteis.
7. Retenção dos dados
- Dados de cadastro e leads ativos: mantidos enquanto sua conta estiver ativa
- Payload bruto do Facebook Lead Ads: automaticamente apagado após 60 dias da chegada do lead (mantemos apenas os campos estruturados nome, telefone, email, respostas)
- Após exclusão da conta: dados eliminados em até 30 dias (exceto o necessário para cumprimento de obrigações legais como notas fiscais e logs de fraude, retidos pelo prazo legal)
- Logs de auditoria: retidos por até 12 meses para fins de segurança
8. Segurança da informação
Adotamos medidas técnicas e organizacionais para proteger seus dados:
- Criptografia em trânsito: todas as comunicações usam HTTPS/TLS
- Criptografia em repouso: dados armazenados no Supabase são criptografados
- Hash de senhas: senhas armazenadas com bcrypt (nunca em texto puro)
- Row Level Security (RLS): isolamento por empresa no banco de dados — cada cliente só acessa os próprios leads
- Autenticação JWT: tokens de sessão com expiração e refresh seguros
- Permissões hierárquicas: ADM, Gerente de Stand, Gerente de Equipe e Corretor têm acessos diferenciados
- Backups automáticos: mantidos pelo Supabase com restore disponível em caso de incidente
Apesar de todos os esforços, nenhum sistema é 100% seguro. Em caso de incidente que possa afetar seus dados, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares conforme exigido pela LGPD.
9. Cookies e tecnologias similares
Utilizamos apenas cookies técnicos essenciais, necessários ao funcionamento da plataforma:
- Cookie de sessão (Supabase Auth) — mantém você logado
- Preferência de tema (LocalStorage) — guarda sua escolha de Sistema/Light/Dark
Não utilizamos cookies de marketing, rastreamento publicitário ou perfilização de terceiros. Por isso, esta plataforma não exibe banner de consentimento de cookies — eles são estritamente necessários (art. 7º, IX, da LGPD, e Resolução ANPD nº 4/2024).
10. Transferência internacional de dados
Alguns dos nossos parceiros (Supabase, Meta, Google) podem armazenar dados em servidores fora do Brasil, principalmente nos EUA. Garantimos que essa transferência segue os requisitos do art. 33º da LGPD por meio de:
- Cláusulas contratuais padrão de proteção de dados
- Avaliação de adequação dos níveis de proteção do país de destino
- Compromisso dos parceiros com padrões equivalentes aos da LGPD (incluindo SOC 2 e ISO 27001 quando aplicável)
11. Crianças e adolescentes
O Lume CRM é destinado exclusivamente a profissionais maiores de 18 anos. Não coletamos intencionalmente dados pessoais de menores de idade. Se você acredita que cadastramos dados de uma pessoa menor de idade, entre em contato em contato@lumecrm.com.br para que possamos eliminá-los.
12. Alterações nesta política
Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças nas nossas práticas, na legislação ou em parceiros. Sempre que houver alteração relevante, notificaremos você por email cadastrado e atualizaremos a data de "Última atualização" no topo desta página.
Recomendamos revisar esta política periodicamente.
13. Contato e Encarregado (DPO)
O Encarregado pelo Tratamento de Dados Pessoais (DPO) do Lume CRM é:
Email: contato@lumecrm.com.br
Endereço: Setor Sagoca, Quadra 4, Taguatinga Norte, Brasília-DF, CEP 72145-760
Para qualquer dúvida, solicitação de exercício de direito do titular ou reclamação relacionada ao tratamento dos seus dados pessoais, entre em contato pelos canais acima. Você também pode contatar a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.
Esta política foi elaborada em conformidade com a LGPD (Lei 13.709/2018) e Marco Civil da Internet (Lei 12.965/2014).