Política de Privacidade
Última atualização: 04 de junho de 2026 — versão v2-2026-06
1. Quem somos
A CobraAí é uma plataforma tecnológica de apoio à comunicação extrajudicial de pendências monetárias, regularização de mora, recebimento de manifestações e viabilização de pagamentos. Esta política descreve como tratamos os dados pessoais de Clientes Credores (usuários da Plataforma) e de Devedores ou Notificados (destinatários das notificações), em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 — LGPD) e com a cláusula 17 dos Termos de Uso.
A CobraAí é operada por Razão Digital Serviços de Marketing Ltda. (B2 Legal Studio) (CNPJ 47.047.889/0001-26, com sede em Jardim Ampliação - Morumbi, São Paulo - SP, Brasil).
2. Papéis de tratamento (controlador, operador, controlador independente)
Em regra, o Cliente Credor é o controlador dos dados relativos à origem do Crédito, aos critérios de cobrança, à decisão de recuperação e às informações do Devedor fornecidas à Plataforma. É o credor quem decide cobrar, quais dados inserir e com que finalidade.
A CobraAí atua como operadora quando trata esses dados em nome do Cliente Credor e segundo suas instruções (por exemplo, ao enviar uma notificação cadastrada pelo credor ou ao registrar uma manifestação do devedor para a decisão do credor).
A CobraAí atua como controladora independente em relação a finalidades próprias, tais como segurança da informação, prevenção a fraudes, manutenção de logs e evidências, melhoria da Plataforma, cumprimento de obrigações legais ou regulatórias e exercício regular e defesa de direitos.
3. Dados que tratamos
3.1 Cliente Credor (usuário da Plataforma)
- E-mail (autenticação via magic link).
- Dados cadastrais e de qualificação da subconta de pagamento, incluindo CPF/CNPJ, enviados ao processo de KYC do parceiro de pagamento (Asaas) na verificação de identidade.
- Dados de cobrança que você submete: identificação do devedor, valor, descrição, parâmetros de cálculo (correção, juros, multa, abatimentos) e comprovantes anexados.
- Atestado de legitimidade do crédito (declaração registrada com data, versão e IP por cobrança).
- Metadados de uso: timestamps de login, IP, user-agent.
3.2 Devedor ou Notificado (destinatário da notificação)
- Nome, CPF (quando informado), número de WhatsApp e e-mail informados pelo credor.
- Eventos de entrega e interação: enviado, visualizado, pago, contestado.
- Manifestações/contestações e documentos de suporte enviados pelo próprio devedor.
4. Bases legais (LGPD art. 7º)
- Execução de contrato — para prestar o serviço ao Cliente Credor.
- Legítimo interesse — para notificar o devedor sobre dívida em aberto, dentro dos limites legais (ver /regras), e para a segurança, prevenção a fraudes e melhoria da Plataforma.
- Cumprimento de obrigação legal ou regulatória — quando determinado por lei, regulação ou ordem judicial.
- Exercício regular de direitos — em processo judicial, administrativo ou arbitral.
O Cliente Credor declara possuir base legal adequada para compartilhar os dados do Devedor com a CobraAí e para utilizar a Plataforma para comunicação, cobrança, regularização, pagamento e registro de interações.
5. Sub-operadores / sub-processadores
Operamos sobre os seguintes prestadores, cada um para a finalidade indicada. Todos estão sujeitos a exigências de tratamento adequado:
- Asaas — gateway de pagamento (cobrança da taxa da plataforma e quitação do débito pelo devedor).
- Asaas — KYC da subconta do credor e gateway de pagamento.
- Meta (WhatsApp Cloud API) — mensageria (envio das notificações via WhatsApp).
- ZeptoMail (Zoho) — envio transacional de e-mails (notificações ao devedor e magic links ao credor).
- Amazon Web Services (S3) — armazenamento de documentos (PDFs gerados e comprovantes enviados).
- Sentry — monitoramento de erros operacionais.
6. Retenção
Dados de cobranças são retidos enquanto a conta do Cliente Credor estiver ativa e por mais 5 anos após o encerramento, para suporte a contestações e conformidade com prazos prescricionais do CDC (art. 27 e 42). Cobranças abandonadas (taxa nunca paga) têm os dados pessoais do devedor eliminados automaticamente após o período de retenção configurado (LGPD art. 16), mantendo-se apenas o registro mínimo para auditoria.
7. Direitos do Cliente Credor (LGPD art. 18)
Como titular, o Cliente Credor pode, a qualquer momento, solicitar:
- Confirmação da existência de tratamento.
- Acesso aos dados que mantemos sobre você.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade dos dados para outro fornecedor.
- Eliminação dos dados tratados com o seu consentimento.
- Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
- Revogação do consentimento.
8. Direitos do Devedor (LGPD art. 18)
O Devedor também é titular de direitos sobre seus dados pessoais. Como, em regra, o Cliente Credor é o controlador da origem do crédito e dos dados do devedor, o recurso primário do Devedor é dirigido ao credor que originou a cobrança. A CobraAí, na qualidade de operadora, recebe e encaminha ao credor os pedidos do devedor, e atende diretamente aquilo que estiver no âmbito do seu próprio tratamento (segurança, logs, prevenção a fraude). São direitos do Devedor:
- Confirmação da existência de tratamento.
- Acesso aos dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade dos dados.
- Informação sobre o compartilhamento dos dados.
- Revogação do consentimento, quando o tratamento se basear nele.
O Devedor pode, ainda, utilizar o canal de contestação disponibilizado na própria notificação para apresentar divergência de valor, alegação de pagamento, erro cadastral ou fraude — o que pausa a régua de comunicação até a decisão do credor.
9. Segurança
Aplicamos criptografia em trânsito (TLS), cookies de sessão com flags Secure e HttpOnly, rate limiting nas rotas sensíveis, controles de autenticação e logs de acesso, e armazenamento dos comprovantes no S3.
10. Contato e exercício de direitos
Para exercer qualquer dos direitos acima, ou para tratar de qualquer assunto relativo a dados pessoais, escreva para contato@b2legalstudio.com.br. O Cliente Credor deve escrever a partir do e-mail cadastrado na sua conta. Responderemos nos prazos previstos na LGPD.
11. Atualizações
Mudanças relevantes nesta política serão comunicadas pelos canais disponíveis. O histórico de versões e a data da última atualização ficam registrados no topo desta página.