Documento Legal
Política de Privacidade
Como a Sonar Labs® e a plataforma Sonarview® tratam dados pessoais, com transparência e em conformidade com a LGPD, o Marco Civil da Internet e o CDC.
Última atualização: 7 de junho de 2026. Esta versão vigora a partir da data de publicação e substitui as anteriores.
1. Quem somos e os papéis de Controlador e Operador
Esta Política de Privacidade descreve como tratamos dados pessoais no âmbito da plataforma Sonarview® e dos seus Sistemas (Sonarview Flow, Sonarview CRM+, Sonarview Sign, Sonarview Boards, Sonarview Care, Sonarview Monitor e Sonarview People), do site institucional e dos canais de atendimento, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — “LGPD”), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990), no que aplicável.
O Controlador dos dados é Sonar Labs Ltda, inscrita no CNPJ sob o nº 12.456.145/0001-80, com sede em Curitiba/PR, que atua sob as marcas Sonar Labs® (empresa) e Sonarview® (plataforma).
Distinção essencial de papéis (LGPD, Art. 5º, VI e VII). A Sonar Labs atua em DOIS papéis distintos, conforme o dado: (a) é CONTROLADORA dos dados de cadastro e de uso dos seus próprios usuários — Parceiros/Consultores e leads —, decidindo sobre as finalidades e os meios desse tratamento; e (b) é OPERADORA dos dados que o Parceiro/Consultor insere na Plataforma sobre os próprios clientes dele (Clientes Finais) e sobre terceiros, hipótese em que o Parceiro/Consultor é o Controlador e a Sonar Labs trata esses dados em nome dele e segundo as suas instruções.
Quando atuamos como Operadora, o Parceiro/Consultor é responsável por estabelecer a base legal, prestar as informações aos titulares e atender às requisições destes em relação aos dados que ele insere. A Sonar Labs apoia o Parceiro/Consultor nessa atividade por meio dos recursos da Plataforma e dos termos do contrato de prestação de serviços.
2. Encarregado pela Proteção de Dados (DPO)
Em atenção ao Art. 41 da LGPD, indicamos como Encarregado pela Proteção de Dados Pessoais (DPO):
- Nome: Sonar Labs Ltda
- E-mail: dpo@sonarlabs.com.br
O Encarregado é o canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). Para o exercício de direitos e dúvidas sobre privacidade, utilize também o canal do titular indicado na seção 12.
3. A quem esta Política se aplica e definições
Esta Política aplica-se a todos os titulares de dados pessoais tratados em razão da Plataforma e do Site, incluindo visitantes do Site, leads, Parceiros/Consultores, usuários convidados e, na medida em que figurem em dados inseridos pelos Parceiros/Consultores, Clientes Finais e terceiros (por exemplo, contatos e signatários).
Para fins desta Política, adotamos as seguintes definições:
| Termo | Significado |
|---|---|
| Plataforma | O ambiente Sonarview® e seus Sistemas: Sonarview Flow (planejamento estratégico), Sonarview CRM+ (relacionamento e vendas), Sonarview Sign (assinatura eletrônica), Sonarview Boards (gestão de conselhos e comitês), Sonarview Care (suporte e atendimento), Sonarview Monitor (inteligência de mercado) e Sonarview People (gestão de pessoas e clima). |
| Site | As páginas institucionais e públicas operadas pela Sonar Labs, incluindo formulários, materiais e a vitrine pública (biblioteca). |
| Usuário | Pessoa natural que acessa a Plataforma com uma conta, autenticada via Sonar SSO. |
| Parceiro/Consultor | Usuário que contrata a Plataforma para prestar serviços de consultoria; assina documentos como Parceiro Credenciado. Em relação aos dados que insere sobre os seus clientes, é o Controlador. |
| Cliente Final | Empresa (e seus representantes/contatos) atendida pelo Parceiro/Consultor, cujos dados são inseridos por este na Plataforma. |
| Titular | Pessoa natural a quem se referem os dados pessoais tratados (Art. 5º, V, LGPD). |
| Controlador | Quem decide sobre o tratamento de dados pessoais (Art. 5º, VI, LGPD). |
| Operador | Quem realiza o tratamento em nome do Controlador (Art. 5º, VII, LGPD). |
| Suboperador | Terceiro contratado pelo Operador para auxiliar no tratamento (infraestrutura, e-mail, IA etc.). |
4. Dados que coletamos, por categoria e origem
Coletamos as categorias de dados abaixo, conforme a origem. A coluna “Papel da Sonar Labs” indica se, naquele dado, atuamos como Controladora ou como Operadora (vide seção 1).
| Categoria / origem | Exemplos de dados | Papel da Sonar Labs |
|---|---|---|
| Leads e formulários do Site | Nome, e-mail, telefone, empresa, mensagem; parâmetros de origem (UTM), referenciador, endereço IP. Na vitrine pública, identificação por LinkedIn, Google ou e-mail mediante consentimento. | Controladora |
| Conta e identidade do Usuário | Nome, e-mail (identificador único), identificadores de autenticação (Sonar SSO/SSO ID), papel/permissões (ex.: administrador, membro). | Controladora |
| Perfil e contato do próprio Usuário | Empresa, cargo, telefone, WhatsApp de notificação, website. | Controladora |
| Uso da Plataforma e logs | Endereço IP, identificador de navegador (User-Agent), data e hora de eventos, registros de acesso e de aplicação. Em registros de marketing e visualização de propostas, IP pode ser armazenado de forma reduzida (hash) com o User-Agent. | Controladora |
| Suporte (Sonarview Care) | Identificação do Usuário e conteúdo das conversas de atendimento, processadas em sistema de help desk (Chatwoot). | Controladora |
| Dados que o Parceiro/Consultor insere sobre Clientes Finais e terceiros | Dados de contatos (nome, e-mail, telefone, CPF quando informado), dados de empresas (CNPJ, endereço, faturamento, nº de funcionários), notas, atividades, oportunidades e valores comerciais, conteúdo de comunicações (WhatsApp, e-mail) e documentos anexados. | Operadora |
| Assinatura eletrônica (Sonarview Sign) | No ato de assinar: CPF do signatário, endereço IP, geolocalização do navegador (mediante solicitação ao signatário), User-Agent e carimbo de data e hora. Documentos a assinar e o documento final assinado, com o respectivo hash. | Operadora |
| Inputs estratégicos e financeiros (Sonarview Flow) | Texto livre de entrevistas e diagnósticos, hipóteses, mapeamento de partes interessadas (stakeholders), indicadores e valores informados (ex.: receita, churn, margem), documentos do cliente indexados para consulta. | Operadora |
Observação sobre documentos enviados: arquivos carregados na Plataforma podem conter dados pessoais de terceiros (por exemplo, em propostas, contratos e relatórios). O Parceiro/Consultor é responsável por garantir base legal e adequação ao inserir tais documentos.
Sobre gravação de reuniões. Quando o recurso de gravação de reuniões estiver disponível, a captura ocorrerá no ambiente da própria empresa do cliente e apenas dados anonimizados serão enviados à IA para apoiar a geração de pauta, ata e plano de ação. Esta Política será atualizada com os detalhes na ativação do recurso.
5. Finalidades e bases legais
Tratamos dados pessoais apenas para finalidades específicas e legítimas, sempre amparados em uma base legal da LGPD (Art. 7º e, quando aplicável, Art. 11). O quadro abaixo relaciona finalidade e base legal predominante. Quando atuamos como Operadora, a definição da base legal cabe ao Parceiro/Consultor, na qualidade de Controlador.
| Finalidade | Base legal (LGPD) |
|---|---|
| Responder a contatos, solicitações de demonstração e relacionamento comercial com leads | Procedimentos preliminares relacionados a contrato a pedido do titular (Art. 7º, V) e/ou consentimento (Art. 7º, I) |
| Criar e administrar a conta do Usuário, autenticar acessos e gerir permissões | Execução de contrato (Art. 7º, V) |
| Prestar, operar e dar suporte à Plataforma e aos seus recursos | Execução de contrato (Art. 7º, V) |
| Registrar logs de acesso e de aplicação, prevenir fraudes e garantir segurança | Cumprimento de obrigação legal/regulatória (Art. 7º, II — Marco Civil) e legítimo interesse (Art. 7º, IX) |
| Produzir evidências de assinatura eletrônica (CPF, IP, geolocalização, dispositivo, data e hora) | Cumprimento de obrigação legal/regulatória e execução de contrato (Art. 7º, II e V), em linha com a Lei nº 14.063/2020 e o Decreto nº 10.278/2020 |
| Enviar comunicações transacionais (notificações da conta, ciclo de vida, avisos de assinatura) | Execução de contrato (Art. 7º, V) e legítimo interesse (Art. 7º, IX) |
| Enviar comunicações de marketing | Consentimento (Art. 7º, I), com opção de descadastramento a qualquer momento |
| Prestar atendimento e suporte (Sonarview Care) | Execução de contrato (Art. 7º, V) e legítimo interesse (Art. 7º, IX) |
| Cumprir obrigações legais, fiscais e responder a autoridades | Cumprimento de obrigação legal/regulatória (Art. 7º, II) |
| Exercer ou defender direitos em processo judicial, administrativo ou arbitral | Exercício regular de direitos (Art. 7º, VI) |
| Tratar dados de Clientes Finais e terceiros inseridos pelo Parceiro/Consultor | Definida pelo Parceiro/Consultor (Controlador); a Sonar Labs trata como Operadora, conforme instruções e contrato |
O CPF de signatários é tratado por ser elemento indispensável à vinculação do certificado digital ICP-Brasil ao titular na assinatura qualificada e à formação de evidência na assinatura avançada. O fornecimento do CPF, nesses fluxos, é necessário para que a assinatura tenha a validade jurídica pretendida.
6. Uso de inteligência artificial e decisões automatizadas
A Plataforma utiliza recursos de inteligência artificial (IA) para apoiar o trabalho do Parceiro/Consultor — por exemplo, na organização de informações, na geração de hipóteses estratégicas, na classificação de mensagens e na consulta a documentos indexados. A IA é fornecida pelo Google, por meio da API de desenvolvedor do Google Gemini.
A IA apoia; o consultor decide (LGPD, Art. 20). As saídas geradas por IA têm caráter de apoio e sugestão. A decisão final sobre estratégias, propostas, comunicações e quaisquer atos é sempre humana, tomada pelo Parceiro/Consultor. A Plataforma não toma decisões automatizadas com efeitos jurídicos ou que afetem significativamente o titular sem intervenção humana. Caso o titular entenda que foi afetado por tratamento automatizado, poderá solicitar revisão e informações sobre os critérios utilizados, na medida do segredo comercial e industrial (Art. 20).
Para a operação da IA, o conteúdo necessário ao processamento — que pode incluir texto de documentos do cliente e inputs estratégicos — é enviado ao provedor de IA, com servidores nos Estados Unidos (vide seções 7 e 8 sobre compartilhamento e transferência internacional).
Política de não treinamento — natureza do compromisso. É nossa política não utilizar os dados, estratégias e documentos do cliente para treinar modelos de IA. Esclarecemos, com transparência, que essa diretriz é um COMPROMISSO contratual e operacional da Sonar Labs, e não um controle técnico de retenção zero (Zero Data Retention) configurado por padrão na chamada à API de IA. Trabalhamos para reforçar garantias contratuais e técnicas junto ao provedor.
Minimização antes da IA. Em fluxos específicos — especificamente no mapeamento de partes interessadas (stakeholders) — aplicamos, antes do envio à IA, a substituição de nomes de pessoas e empresas por codinomes, com verificação que bloqueia o envio caso um nome real escape. Trata-se de medida de minimização escopada a esse fluxo: ela NÃO mascara valores financeiros e NÃO cobre todos os fluxos de IA da Plataforma.
7. Compartilhamento de dados e suboperadores
Não vendemos dados pessoais. Compartilhamos dados apenas quando necessário às finalidades desta Política, com prestadores de serviço (suboperadores) que atuam sob instruções e obrigações de confidencialidade e segurança, e com autoridades quando exigido por lei. A lista nominal abaixo reflete os suboperadores confirmados; ela pode ser atualizada e o inventário completo pode ser solicitado pelo canal do titular.
| Suboperador | Finalidade |
|---|---|
| Contabo | Hospedagem da Plataforma e dos bancos de dados (VPS) |
| Cloudflare (R2) | Armazenamento de objetos e arquivos |
| Google (Gemini) | Processamento de inteligência artificial |
| Apify | Coleta de dados públicos da web (incluindo LinkedIn) |
| Brevo (Sendinblue) | Envio de e-mail transacional |
| Chatwoot | Help desk e atendimento ao Usuário (Sonarview Care) |
| Evolution API | Integração de WhatsApp no Sonarview CRM+ |
Os serviços de validação de assinatura digital (ICP-Brasil/ITI e a fonte de hora legal do Observatório Nacional) figuram como autoridades e serviços de validação, e não como suboperadores que tratam dados pessoais por conta da Sonar Labs. A localização das operações realizadas no exterior é descrita na seção 8.
8. Transferência internacional de dados (Art. 33)
Transparência sobre localização. Há transferência internacional de dados. A Plataforma é hospedada em servidores localizados na Alemanha; o armazenamento de arquivos e o processamento de inteligência artificial são realizados por provedores localizados no exterior, inclusive nos Estados Unidos. Portanto, não afirmamos que os dados permanecem exclusivamente no Brasil.
Essas transferências internacionais observam o Art. 33 da LGPD: ocorrem apenas na medida necessária às finalidades descritas, sob exigências contratuais de confidencialidade e segurança impostas aos suboperadores. Você pode solicitar informações adicionais sobre as salvaguardas pelo canal do titular indicado na seção 12.
9. Cookies e tecnologias de rastreamento
O Site e a Plataforma utilizam cookies e tecnologias semelhantes para autenticação, funcionamento, segurança, medição de uso e, quando consentido, marketing. O detalhamento das categorias de cookies, suas finalidades, prazos e a forma de gerenciar preferências está na nossa Política de Cookies, disponível em https://sonarlabs.com.br/cookies, que integra esta Política por referência.
10. Retenção e eliminação de dados
Conservamos os dados pessoais apenas pelo tempo necessário ao cumprimento das finalidades, ressalvadas as hipóteses legais de guarda obrigatória (por exemplo, registros de acesso a aplicação, nos termos do Marco Civil) e a defesa de direitos. Quando atuamos como Operadora, os prazos seguem as instruções do Parceiro/Consultor e o contrato.
| Item | Prazo / regra de retenção |
|---|---|
| Dados de cadastro e conta | Mantidos enquanto a conta existir; eliminados conforme o ciclo de vida de exclusão, acionado pelo SSO. |
| Pacote do envelope assinado (documentos e arquivo compactado) | Disponível por link de acesso por 30 dias após a conclusão do envelope; após esse período, o acesso ao pacote completo é encerrado. |
| Laudo e manifesto de assinatura | Permanentes (não expiram), por constituírem evidência jurídica verificável da assinatura. |
| Link de assinatura (token) | Expira conforme prazo definido no convite de assinatura. |
| Exportações de dados (arquivo compactado) | Disponíveis por tempo limitado, mediante link de acesso, com data de expiração. |
| Registro de acesso da vitrine pública | Registro minimizado (sem identificação pessoal direta), sujeito a expurgo periódico. |
| Convites da vitrine pública (status “enviado”) | Expurgados após 30 dias. |
| Pedidos de remoção (takedown) da vitrine pública | Retenção mais longa, por se tratar de registro de natureza legal. |
Exclusão a pedido (erase). Ao processar a eliminação de dados de uma conta, mantemos apenas o mínimo necessário para preservar a integridade e a verificabilidade de documentos assinados — por exemplo, o registro da assinatura, o laudo e o manifesto, e o hash do documento — eliminando os demais dados associados, inclusive os arquivos correspondentes no armazenamento de objetos.
11. Segurança da informação
Adotamos medidas técnicas e administrativas para proteger os dados pessoais. Descrevemos abaixo medidas efetivamente implementadas, sem prometer recursos inexistentes.
- Criptografia em trânsito: comunicação protegida por TLS/HTTPS.
- Criptografia de credenciais de integração com AES-256-GCM (por exemplo, tokens de integração e credenciais de e-mail), com chave de criptografia gerida pela plataforma.
- Autenticação unificada (Sonar SSO) com controle de acesso baseado em papéis (RBAC) e diferentes níveis de permissão por usuário.
- Integridade de integrações por assinatura de webhooks (HMAC-SHA256, com comparação resistente a temporização) e rotação de segredos.
- Assinatura eletrônica no padrão ICP-Brasil, validada no validador oficial do ITI, com selo de integridade e laudo/manifesto verificáveis por hash; o certificado A1 do usuário é utilizado de forma transitória e não é armazenado.
- Isolamento de dados por cliente (multi-tenant), em processo contínuo de endurecimento; atualmente, parte da infraestrutura e da biblioteca é compartilhada entre clientes.
- Minimização de dados, incluindo a substituição de nomes por codinomes antes do envio à IA no fluxo de mapeamento de partes interessadas (medida escopada, conforme seção 6).
- Cópias de segurança (backups) do banco de dados e implantação com reversão rápida.
Sobre normas e certificações. A Plataforma é construída seguindo práticas alinhadas à norma ISO/IEC 27001 e orientada pela LGPD e pela GDPR. Esclarecemos que a Sonar Labs NÃO possui, atualmente, certificação ISO/IEC 27001 por organismo acreditado nem relatórios de auditoria do tipo SOC. A obtenção de certificação formal está no nosso roteiro.
Nenhum sistema é totalmente imune a incidentes. Caso ocorra incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados nos prazos e na forma exigidos pela LGPD.
12. Direitos do titular e como exercê-los
Nos termos do Art. 18 da LGPD, o titular pode, a qualquer momento e gratuitamente, solicitar:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- Portabilidade dos dados a outro fornecedor, observados os segredos comercial e industrial;
- Eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses de guarda legal;
- Informação sobre as entidades públicas e privadas com as quais houve uso compartilhado;
- Informação sobre a possibilidade de não consentir e as consequências da negativa;
- Revogação do consentimento;
- Revisão de decisões tomadas unicamente com base em tratamento automatizado (Art. 20).
Para exercer esses direitos, contate o canal do titular pelo e-mail privacidade@sonarlabs.com.br ou o Encarregado indicado na seção 2. Poderemos solicitar informações para confirmar a sua identidade, como medida de segurança. Responderemos no prazo legal aplicável.
Quando o tratamento for de responsabilidade do Parceiro/Consultor (dados de Clientes Finais e terceiros inseridos por ele), a Sonar Labs, na condição de Operadora, encaminhará a requisição ao respectivo Controlador (o Parceiro/Consultor) e o apoiará no atendimento, conforme o contrato.
O titular também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), por meio dos canais oficiais disponíveis em gov.br/anpd.
13. Dados de crianças e adolescentes
A Plataforma e o Site são destinados a uso profissional por empresas e seus representantes, não se dirigindo a crianças e adolescentes. Não coletamos intencionalmente dados de menores de 18 anos. Caso tomemos conhecimento de tratamento inadvertido de dados de criança ou adolescente sem o devido amparo legal (Art. 14 da LGPD), adotaremos medidas para eliminá-los. Se você for responsável legal e identificar tal situação, contate-nos pelo canal do titular.
14. Alterações desta Política
Esta Política pode ser atualizada para refletir mudanças legais, técnicas ou de negócio. A versão vigente é sempre a publicada nesta página, identificada pela data de “Última atualização”. Alterações relevantes poderão ser comunicadas por meios adequados (por exemplo, aviso na Plataforma ou e-mail). O uso continuado da Plataforma e do Site após a publicação implica ciência da versão então vigente.
A versão publicada nesta página controla a partir da sua data de publicação e prevalece sobre quaisquer versões anteriores.
Veja também
Nossos demais documentos legais.