Tema
Bases Legais para Tratamento de Dados
Cada operação de tratamento de dados deve ter uma base legal prevista no art. 7º da LGPD. Este documento mapeia as operações do CRM às suas bases legais.
Bases legais utilizadas
Art. 7º, II — Consentimento
Utilizado para:
- Envio de campanhas de marketing (WhatsApp, email, SMS)
- Opt-out revoga o consentimento → campos
whatsappOptOut,emailOptOut,smsOptOut - Link de descadastro em toda comunicação
Como registrado: Customer.whatsappOptOut = true + whatsappOptOutAt = DateTime.
Art. 7º, V — Execução de contrato
Utilizado para:
- Armazenamento de dados necessários para o atendimento ao cliente
- Histórico de compras (necessário para garantias, trocas, relacionamento)
- Contato para atendimento pós-venda
Art. 7º, IX — Legítimo interesse
Utilizado para:
- Análise RFM e segmentação para melhoria do relacionamento
- Auditoria interna de acessos (
AccessLog) - Log de erros e monitoramento de sistema
Nota: Legítimo interesse requer teste de proporcionalidade — os dados usados para RFM são compras anteriores do próprio cliente, minimizando impacto.
Art. 7º, VI — Exercício regular de direitos
Utilizado para:
- Retenção de logs de auditoria para fins jurídicos
- Histórico de opt-outs (prova de descadastro)
Mapeamento por operação
| Operação | Base Legal | Artigo |
|---|---|---|
| Sincronizar dados do ERP | Contrato | 7º, V |
| Armazenar histórico de compras | Contrato | 7º, V |
| Calcular RFM e segmentos | Legítimo interesse | 7º, IX |
| Enviar campanha WhatsApp | Consentimento | 7º, I |
| Enviar campanha email | Consentimento | 7º, I |
| Enviar pesquisa pós-venda | Legítimo interesse | 7º, IX |
| Registrar opt-out | Consentimento (revogação) | 8º, §5º |
| Armazenar conversa WhatsApp | Contrato + Legítimo interesse | 7º, V e IX |
| Log de auditoria interna | Exercício regular de direitos | 7º, VI |
| Mascarar CPF para display | Minimização (princípio) | 6º, III |
Finalidade declarada
O tratamento de dados no CRM Galdix tem como finalidade:
- Gestão do relacionamento com cliente — identificar, contatar e atender clientes das lojas.
- Marketing direto personalizado — enviar campanhas segmentadas com consentimento.
- Análise de comportamento de compra — segmentação RFM para melhoria da experiência.
- Atendimento pós-venda — pesquisas de satisfação (CSAT/NPS).
- Auditoria e conformidade — rastrear acessos e ações para fins de segurança.
Dados sensíveis (art. 11)
O sistema não trata dados sensíveis conforme definição do art. 11 (raça, religião, saúde, opinião política, etc.). O CPF, embora seja dado pessoal, não é classificado como dado sensível pela LGPD.
Transferência internacional
Clerk (Cloudflare/AWS): dados de autenticação (email, nome) ficam nos servidores do Clerk nos EUA.
Justificativa: Art. 33, VIII — transferência com garantias adequadas (Clerk é certificado SOC 2 Type II).
Meta (WhatsApp): mensagens trafegam pela infraestrutura da Meta.
Justificativa: Consentimento do titular ao usar WhatsApp + necessidade contratual.