Política de Privacidade

Esta Política de Privacidade descreve como tratamos dados pessoais no âmbito do site da WeStack. Consulte sempre a data de última atualização indicada no topo desta página.

1. Introdução e identificação do Controlador

Esta Política de Privacidade explica como a WeStack ("WeStack", "nós" ou "nosso") coleta, utiliza, compartilha e protege dados pessoais tratados por meio do site https://www.westack.com.br (o "Site"), em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018) e com o Marco Civil da Internet (Lei nº 12.965/2014). O Código de Defesa do Consumidor aplica-se apenas se e quando houver relação de consumo; o mero acesso ao Site institucional e ao blog não cria, por si só, relação de consumo, já que a contratação do produto/serviço da WeStack é objeto de contrato próprio (ver Seção 2.2).

Para os fins desta Política, o Controlador dos dados pessoais é:

• Razão social: WE STACK LTDA
• CNPJ: 53.694.633/0001-03
• Endereço/Sede (meio físico/postal): Rua Thereza Scanavez Lamberti, nº 280, Caixa Postal 109, Sala 148, Parque da Barra I, São Joaquim da Barra/SP, CEP 14.606-366
• Canal de contato geral: [email protected]
• Canal para assuntos de dados pessoais: [email protected]

Os dados de identificação acima integram a identificação do Controlador exigida pelo art. 9º da LGPD.

A WeStack se apresenta publicamente como um "Escritório Virtual de Agentes IA".

2. A quem esta Política se aplica e seu objeto

Esta Política se aplica a qualquer pessoa que acesse ou navegue pelo Site, incluindo a landing page institucional e o blog editorial, e ao tratamento de dados pessoais decorrente desse uso.

2.1. O que esta Política cobre

• O uso do Site institucional e a navegação por suas páginas.
• A leitura de artigos do blog editorial.
• A coleta de dados de analytics próprio (first-party) e o eventual direcionamento ao formulário de contato/agendamento.

2.2. O que esta Política NÃO cobre

O produto/serviço da WeStack — squads de agentes de IA voltados à operação de contas e operações de e-commerce — é objeto de contrato próprio, celebrado de forma separada. O tratamento de dados pessoais relacionado à contratação e prestação desse produto/serviço NÃO é regido por esta Política, mas pelos instrumentos contratuais e demais documentos específicos da relação comercial. Esta Política limita-se ao uso do Site.

Em consequência, no âmbito do Site não há decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente o titular. Os agentes de IA que compõem o produto operam dentro da relação contratual à parte e não atuam sobre quem apenas navega pelo Site ou lê o blog.

3. Quais dados pessoais coletamos

Coletamos as categorias de dados descritas na tabela abaixo. Não coletamos dados pessoais sensíveis (como origem racial ou étnica, convicção religiosa, opinião política, dado de saúde, dado genético ou biométrico) no âmbito do Site.

Categoria	Exemplos	Origem
Dados de navegação e uso	Páginas/rotas visitadas (URL), referrer/origem de acesso, data e hora de acesso	Coletados automaticamente pelo nosso analytics first-party (/track.js → /api/track)
Dados de interação	Eventos de clique, incluindo cliques em CTAs (botões), com identificador do botão acionado	Coletados automaticamente pelo nosso analytics first-party
Dados de campanha	Parâmetros de campanha/UTM	Capturados a partir da URL de acesso ao Site
Classificação de origem/navegador	Canal de origem inferido (ex.: busca, social, IA) e detecção de navegador in-app de redes sociais	Inferidos no seu navegador a partir de referrer/UTM e da assinatura do navegador (user-agent); ver Seção 3.3
Identificador de visitante (pseudonimizado)	Identificador único (ws_vid) e dados de atribuição (ws_attr) mantidos via cookie e/ou armazenamento local (localStorage)	Gerados e armazenados no seu navegador pelo nosso analytics
Dados de contato/agendamento	Nome, e-mail, telefone, empresa e informações sobre o seu negócio	Fornecidos por você ao preencher o formulário externo de "Agendar Demonstração"

3.1. Sobre o formulário de contato/agendamento

Ao acionar "Agendar Demonstração", você é direcionado a um formulário externo hospedado em form.westack.com.br, operado por meio de uma plataforma especializada de formulários e gestão de leads. Nele você pode, de forma voluntária, fornecer dados como nome, e-mail, telefone, empresa e informações sobre o seu negócio.

Esses dados destinam-se ao nosso contato comercial e são tratados sob a responsabilidade da WeStack na qualidade de Controladora, atuando o provedor dessa plataforma como operador (ver Seções 7 e 14). Para correlacionar a sua origem, podemos repassar ao formulário parâmetros de atribuição associados ao seu identificador de visitante (por exemplo, ws_vid, canal de origem e UTM).

3.2. Sobre o conteúdo do blog

Os artigos do blog são lidos a partir do nosso banco de dados. A leitura de artigos não coleta dados adicionais do leitor além do analytics descrito nesta Política — mas note que esse analytics incide igualmente nas páginas do blog. Em outras palavras, navegar pelo blog não é isento de tratamento de dados pessoais: aplicam-se a ele as mesmas práticas de analytics first-party descritas nas Seções 3, 4 e 6.

3.3. Esclarecimento sobre endereço IP e user-agent

Para refletir com fidelidade a nossa implementação técnica:

• A aplicação não armazena o seu endereço IP nem o seu user-agent (string bruta do navegador) em nosso banco de dados de analytics. Os eventos gravados contêm o identificador de visitante, o tipo de evento, a rota acessada, o canal de origem inferido, o referrer, os parâmetros UTM e o eventual artigo do blog.
• O user-agent é lido apenas no seu navegador para inferir se você veio de um navegador in-app de rede social (ex.: Instagram, Facebook, TikTok). Apenas o resultado dessa classificação (o canal de origem) é enviado e armazenado — não a string completa do user-agent.
• O endereço IP trafega no nível do protocolo HTTP e pode ser tratado, de forma transitória, em registros (logs) de infraestrutura do nosso provedor de hospedagem/CDN, para fins de operação, segurança e prevenção a abusos. Ele não é coletado nem persistido pela aplicação de analytics.

4. Como e por que coletamos (finalidades)

Tratamos dados pessoais para finalidades específicas e legítimas:

4.1. Dados de navegação, interação, campanha e classificação de origem

• Operar e manter o Site funcionando de forma adequada e segura.
• Medir audiência e desempenho das páginas e do blog (analytics próprio).
• Entender a jornada do visitante, incluindo quais conteúdos e botões (CTAs) geram mais interesse.
• Avaliar a eficácia de campanhas por meio dos parâmetros UTM e da classificação de origem.
• Prevenir fraudes, abusos e incidentes de segurança, e diagnosticar problemas técnicos.

4.2. Identificador de visitante (pseudonimizado)

• Distinguir sessões e visitantes de forma estatística e correlacionar toques de origem (primeiro e último), para fins de medição e melhoria do Site. Esse identificador não traz, por si só, o seu nome, mas permite singularizá-lo e, por isso, é tratado como dado pessoal (ver Seção 6.1).

4.3. Dados de contato/agendamento (formulário)

• Responder à sua solicitação, agendar demonstrações e estabelecer contato comercial.
• Conduzir procedimentos preliminares relacionados a um possível interesse de contratação.

5. Bases legais do tratamento

Tratamos dados pessoais somente quando amparados por uma das bases legais previstas no art. 7º da LGPD. A tabela abaixo vincula cada categoria de dado (Seção 3) à sua finalidade (Seção 4) e à respectiva base legal:

Categoria de dado	Finalidade principal	Base legal (art. 7º LGPD)
Dados de navegação e uso (rotas, referrer, data/hora)	Operação, medição de audiência, melhoria e segurança do Site	Legítimo interesse (inc. IX)
Dados de interação (cliques, CTAs)	Entender a jornada e o interesse do visitante	Legítimo interesse (inc. IX)
Dados de campanha (UTM)	Avaliar a eficácia de campanhas	Legítimo interesse (inc. IX)
Classificação de origem/navegador	Atribuir corretamente a origem do acesso	Legítimo interesse (inc. IX)
Identificador de visitante (ws_vid, ws_attr)	Distinguir visitantes e correlacionar atribuição	Legítimo interesse (inc. IX)
Endereço IP (apenas em logs de infraestrutura — ver 3.3)	Operação, segurança e prevenção a abusos; guarda de registros	Legítimo interesse (inc. IX) e cumprimento de obrigação legal (inc. II), quanto a registros de acesso
Dados de contato/agendamento	Atender solicitação e viabilizar relacionamento comercial	Execução de contrato / procedimentos preliminares (inc. V)

Observações sobre as bases legais:

• Legítimo interesse (inc. IX): sustenta o analytics first-party, realizado de forma proporcional, restrito a métricas de uso do próprio Site e respeitando as suas expectativas e direitos. Você pode se opor a esse tratamento e gerenciar cookies conforme a Seção 6.
• Execução de contrato ou de procedimentos preliminares (inc. V): sustenta o tratamento dos dados do formulário de contato/agendamento.
• Cumprimento de obrigação legal ou regulatória (inc. II): sustenta a guarda de registros de acesso e o atendimento a determinações de autoridades competentes.
• Consentimento (inc. I): não é utilizado atualmente para o analytics first-party do Site. O consentimento será adotado apenas em cenários futuros que efetivamente o exijam (por exemplo, inscrição em newsletter ou eventual adoção de cookies não estritamente necessários com mecanismo de opt-in), caso e quando implementados.

Reforçamos que não coletamos dados pessoais sensíveis por meio do Site.

6. Cookies e tecnologias de rastreamento

O Site utiliza cookies e tecnologias equivalentes, como armazenamento local (localStorage), principalmente para suportar o nosso analytics próprio (first-party).

6.1. Cookies que utilizamos

Distinguimos os cookies entre estritamente necessários e não estritamente necessários:

Cookie / tecnologia	Categoria	Finalidade	Duração
ws_vid	Não estritamente necessário (analytics)	Identificador de visitante que distingue sessões/visitantes	180 dias
ws_attr	Não estritamente necessário (analytics)	Guarda os dados de atribuição de origem (primeiro e último toque: canal, referrer, UTM, página de entrada)	180 dias

Atualmente não utilizamos cookies estritamente necessários adicionais nem cookies de terceiros para publicidade no Site. O carregamento de fontes na landing page institucional pode gerar requisições a um terceiro provedor (ver Seções 7.1 e 14).

Importante sobre o identificador de visitante. Embora os cookies acima não contenham o seu nome, um identificador persistente (UUID mantido por 180 dias), quando combinado a eventos, referrer, UTM e ao IP visível na infraestrutura, pode permitir singularizá-lo. Por isso, esse identificador é tratado como dado pessoal pseudonimizado — e não como dado anônimo — nos termos da LGPD.

6.2. Para quê

Essas tecnologias servem para medir audiência, entender o uso do Site, avaliar campanhas e melhorar a experiência, conforme descrito na Seção 4. A base legal aplicável é o legítimo interesse (Seção 5).

6.3. Como gerenciar ou recusar

Você pode gerenciar, bloquear ou apagar cookies e dados de armazenamento local diretamente nas configurações do seu navegador. A maioria dos navegadores permite recusar cookies, limpar dados de sites e navegar em modo privativo/anônimo. A recusa ou exclusão de cookies pode afetar a forma como medimos a navegação, mas não impede o acesso ao conteúdo do Site.

6.4. Sobre consentimento de cookies (pendência de implementação)

No momento, o Site não disponibiliza um banner de consentimento de cookies (opt-in), e o analytics first-party é realizado com base no legítimo interesse, não no consentimento. Caso a WeStack venha a implementar um banner ou outras opções de gestão de consentimento, esta Política será atualizada para refletir o mecanismo efetivamente disponibilizado.

7. Compartilhamento de dados e operadores/sub-processadores

Não vendemos dados pessoais e não os utilizamos para publicidade de terceiros. Compartilhamos dados apenas com operadores (sub-processadores) que atuam em nosso nome e sob nossas instruções, e nas hipóteses legais descritas abaixo.

7.1. Operadores

• Hospedagem e CDN: provedor de infraestrutura que serve o Site.
• Banco de dados/armazenamento: provedor onde são armazenados os eventos de analytics e o conteúdo do blog.
• Plataforma de formulário/gestão de leads: provedor que opera o formulário externo de contato/agendamento — operadora dos dados de contato/agendamento, que permanecem sob responsabilidade da WeStack.

Sobre fontes web (Google Fonts). As fontes utilizadas nas páginas do blog são servidas localmente (self-hosted) pela nossa aplicação, sem envio de dados ao Google. Já a landing page institucional pode carregar fontes diretamente da rede de distribuição do Google (Google Fonts); nesse caso, o Google atua como controlador próprio quanto ao endereço IP recebido ao servir as fontes, sob sua própria política de privacidade — não como operador sob instruções da WeStack. Esse cenário é tratado como transferência a terceiro (ver Seção 14).

7.2. Outras hipóteses de compartilhamento

Poderemos compartilhar dados quando necessário para:

• Cumprir obrigação legal ou regulatória ou atender ordem de autoridade competente (judicial ou administrativa).
• Exercer direitos em processos judiciais, administrativos ou arbitrais.
• Proteger a segurança do Site, de nossos usuários e de terceiros.

8. Transferência internacional de dados

Alguns dos operadores citados na Seção 7 processam dados em servidores localizados fora do Brasil (por exemplo, nos Estados Unidos). Nessas situações, ocorre transferência internacional de dados pessoais, nos termos do art. 33 da LGPD.

Buscamos assegurar que tais transferências ocorram com salvaguardas adequadas, mediante a adoção de cláusulas contratuais padrão / garantias contratuais adequadas, nos termos da regulamentação da ANPD sobre transferência internacional de dados (Resolução CD/ANPD nº 19/2024), ou com base em outro mecanismo legalmente admitido (como tratamento em país que proporcione grau de proteção adequado), de modo a manter um nível de proteção compatível com a legislação brasileira aplicável.

9. Retenção e descarte

Mantemos os dados pessoais somente pelo período necessário ao cumprimento das finalidades para as quais foram coletados, com revisão periódica e critérios determináveis, observando o seguinte:

• Dados de analytics e navegação: mantidos enquanto úteis às finalidades de medição, melhoria e segurança do Site, com revisão periódica e eliminação ou anonimização de dados antigos/inativos (como referência, eliminamos ou anonimizamos eventos após período de inatividade compatível com a finalidade estatística, observado que os cookies ws_vid e ws_attr têm vida útil de 180 dias — ver Seção 6).
• Dados de contato/agendamento: mantidos enquanto durar o relacionamento ou o interesse comercial e, encerrado o interesse, eliminados após período razoável de inatividade, ou até que você solicite a exclusão, salvo necessidade de guarda por outra base legal.
• Registros de acesso a aplicações: quando a WeStack atuar como provedora de aplicação obrigada à guarda, esses registros são mantidos pelo prazo mínimo legal de 6 (seis) meses previsto no art. 15 do Marco Civil da Internet. Trata-se de prazo mínimo de guarda (e não de teto): os registros são guardados por ao menos esse período, podendo ser mantidos por mais tempo quando houver fundamento legal, sem que isso signifique que os demais dados sejam apagados ao fim de 6 meses.

Encerradas as finalidades — e ressalvada a obrigação legal de guarda ou o exercício regular de direitos — os dados são eliminados ou anonimizados.

10. Segurança da informação

Adotamos medidas técnicas e organizacionais razoáveis para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Apesar dos nossos esforços, nenhum sistema é totalmente imune a falhas, e não é possível garantir segurança absoluta.

Caso ocorra um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos o fato à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados em prazo razoável, nos termos do art. 48 da LGPD e da regulamentação da ANPD aplicável (Resolução CD/ANPD nº 15/2024), adotando ainda as medidas cabíveis para mitigar os efeitos e prevenir novas ocorrências.

11. Direitos do titular

Nos termos do art. 18 da LGPD, você, como titular dos dados, tem direito a:

• Confirmação da existência de tratamento.
• Acesso aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa.
• Eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses de guarda previstas em lei.
• Informação sobre as entidades públicas e privadas com as quais realizamos uso compartilhado de dados.
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
• Revogação do consentimento, quando o tratamento se basear nessa hipótese.
• Oposição a tratamento realizado com base em hipótese de dispensa de consentimento (como o legítimo interesse do analytics), em caso de descumprimento da LGPD.
• Petição em relação aos seus dados contra o Controlador perante a ANPD e reclamação à ANPD (art. 18, §1º).
• Revisão de decisões automatizadas tomadas unicamente com base em tratamento automatizado que afetem seus interesses. No âmbito do Site, não realizamos esse tipo de decisão automatizada (ver Seção 2.2); este direito é informado para completude e abrange eventuais cenários futuros.

12. Como exercer seus direitos e canal de privacidade (Encarregado/DPO)

Para exercer qualquer dos direitos da Seção 11, ou esclarecer dúvidas sobre o tratamento de dados, utilize o nosso canal de privacidade:

• E-mail: [email protected]

Sobre o Encarregado pelo Tratamento de Dados Pessoais (DPO). A WeStack mantém o canal de privacidade acima para receber comunicações e atender aos titulares e à ANPD. A indicação nominal de um Encarregado é informada quando aplicável — considerando que, para agentes de tratamento de pequeno porte (como startups e empresas de pequeno porte), a regulamentação da ANPD flexibiliza a obrigatoriedade da indicação nominal, bastando a disponibilização de um canal de atendimento ao titular (art. 41, §3º, da LGPD e Resolução CD/ANPD nº 2/2022). Quando houver Encarregado nomeado, sua identidade será informada nesta Política.

Responderemos às solicitações em prazo razoável, observados os requisitos da LGPD. Poderemos solicitar informações adicionais para confirmar a sua identidade e a legitimidade do pedido, como medida de segurança.

Você também tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), caso entenda que o tratamento de seus dados não está em conformidade com a legislação.

13. Tratamento de dados de crianças e adolescentes

O Site não é direcionado a menores de 18 anos e não coletamos intencionalmente dados pessoais de crianças e adolescentes. Caso identifiquemos que coletamos esses dados de forma inadvertida, adotaremos providências para eliminá-los. Se você é responsável legal e acredita que um menor nos forneceu dados, entre em contato pelo e-mail [email protected].

14. Links e serviços de terceiros

O Site e o blog podem conter links para sites, serviços ou recursos de terceiros. Esses ambientes possuem políticas de privacidade próprias, e não nos responsabilizamos pelas práticas de privacidade ou pelo conteúdo de terceiros genuinamente independentes. Recomendamos a leitura das políticas aplicáveis antes de fornecer dados a esses serviços.

Esclarecemos, contudo, duas situações específicas:

• Formulário de agendamento (form.westack.com.br). Este formulário não é um "site de terceiro alheio à WeStack": os dados ali fornecidos destinam-se ao nosso contato comercial e são tratados sob a responsabilidade da WeStack como Controladora, atuando o provedor da plataforma de formulário como operador. A WeStack não se exime de responsabilidade pelo tratamento desses dados.
• Fontes web na landing institucional (Google Fonts). Conforme a Seção 7.1, o carregamento de fontes na landing pode resultar em requisição ao Google, que recebe o seu endereço IP como controlador próprio, sob a política de privacidade do Google. As fontes do blog são self-hosted e não geram esse compartilhamento.

15. Alterações desta Política

Podemos atualizar esta Política periodicamente para refletir mudanças legais, técnicas ou em nossas práticas. Quando isso ocorrer, alteraremos a data de última atualização indicada no topo desta página. Alterações relevantes poderão ser comunicadas por meios adicionais, quando apropriado. Recomendamos a consulta periódica a este documento.

16. Contato

Em caso de dúvidas sobre esta Política de Privacidade ou sobre o tratamento dos seus dados pessoais, fale conosco:

• Assuntos gerais: [email protected]
• Privacidade e dados pessoais: [email protected]
• Controlador: WE STACK LTDA — CNPJ 53.694.633/0001-03 — Rua Thereza Scanavez Lamberti, nº 280, Caixa Postal 109, Sala 148, Parque da Barra I, São Joaquim da Barra/SP, CEP 14.606-366