Conformidade LGPD
Política de Privacidade
e Proteção de Dados
Em conformidade com a Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 (LGPD). Aqui você entende como tratamos seus dados com total transparência.
01
Apresentação e Compromisso com a Privacidade
A Levora (Levora Tecnologia e Implementações Ltda & EleveAds Marketing e Vendas Ltda) é uma consultoria especializada na implementação de soluções Salesforce — Sales Cloud, Service Cloud, Marketing Cloud, Data Cloud, Agentforce e Experience Cloud — com sede em São Paulo/SP.
No exercício de suas atividades, a Levora pode ter acesso a dados pessoais de colaboradores, clientes finais, leads e usuários dos sistemas que implementa. Reconhecemos que privacidade é um direito fundamental e tratamos o cumprimento da LGPD (Lei nº 13.709/2018) como compromisso estratégico e inegociável.
Esta Política se aplica a todos os projetos, produtos e serviços prestados pela Levora, bem como ao tratamento de dados de seus próprios colaboradores, prestadores PJ, clientes e contatos comerciais.
02
Papel da Levora no Tratamento de Dados
A Levora atua em diferentes papéis conforme o contexto do tratamento, nos termos do art. 5º da LGPD:
| Papel | Quando ocorre |
| Operadora | Tratamento de dados de clientes finais, leads e usuários dos sistemas Salesforce dos contratantes — age por instrução do Controlador |
| Controladora | Dados de colaboradores CLT/PJ, candidatos, histórico comercial e contatos de prospecção da própria Levora |
| Co-controladora | Eventual co-responsabilidade em projetos de dados compartilhados, definida contratualmente |
03
Categorias de Dados Pessoais Tratados
Como Operadora (em nome dos clientes)
- Dados cadastrais: nome completo, CPF, RG, data de nascimento, gênero
- Dados de contato: e-mail, telefone, endereço residencial ou comercial
- Dados de relacionamento: histórico de interações, jornada do cliente, status de lead/oportunidade
- Dados de marketing: comportamento em e-mails, taxa de abertura, cliques (Marketing Cloud)
- Dados educacionais: matrícula, notas, frequência (projetos com clientes do setor educacional)
- Dados financeiros: histórico de compras, adimplência, scoring (integrado ao ERP do cliente)
- Dados sensíveis: somente quando necessário, com consentimento explícito do titular
Como Controladora (próprios da Levora)
- Colaboradores e prestadores PJ: nome, CPF, dados bancários, endereço, contrato, desempenho
- Candidatos: currículo, dados de contato, histórico de processo seletivo
- Clientes e prospects: nome, cargo, e-mail corporativo, histórico de negociações
04
Finalidade do Tratamento e Base Legal
| Finalidade | Base legal (LGPD) |
| Execução de projetos Salesforce | Execução de contrato (art. 7º, V) / Legítimo interesse (art. 7º, IX) |
| Gestão de colaboradores e PJs | Execução de contrato (art. 7º, V) / Obrigação legal (art. 7º, II) |
| Prospecção comercial e CRM interno | Legítimo interesse (art. 7º, IX) |
| Comunicações de marketing (opt-in) | Consentimento (art. 7º, I) |
| Cumprimento de obrigações fiscais | Obrigação legal (art. 7º, II) |
| Dados sensíveis (quando necessário) | Consentimento específico e destacado (art. 11, I) |
05
Programa de Governança e DPO
Encarregado pelo Tratamento (DPO)
| Nome | Antonio Wagner Mathias Junior |
| Cargo | Fundador & CEO — Levora |
| Contato | privacidade@levora.com.br |
| Responsabilidades | Atendimento de titulares, interface com a ANPD, supervisão do programa de privacidade, gestão de incidentes |
Treinamentos e Cultura de Privacidade
- Fundamentos da LGPD e conceitos de dados pessoais e sensíveis
- Boas práticas no manuseio de dados de clientes em ambientes Salesforce
- Procedimentos de resposta a incidentes e notificação
- Princípios de Privacy by Design e Privacy by Default
- Controles de acesso e uso adequado de credenciais de sistemas
Os treinamentos são documentados com lista de presença, com periodicidade mínima anual.
06
Compartilhamento e Suboperadores
| Suboperador | Finalidade |
| Salesforce, Inc. | Plataforma principal de CRM e automação (Sales, Service, Marketing, Data Cloud) |
| Amazon Web Services (AWS) | Infraestrutura de cloud do Salesforce e ambientes de desenvolvimento |
| MuleSoft / APIs de integração | Middleware entre Salesforce e sistemas ERP/legados do cliente |
| Ferramentas de gestão interna | Comunicação e gestão de projetos — dados limitados ao mínimo necessário |
| Escritórios contábeis e jurídicos | Somente dados de colaboradores e obrigações legais |
Importante: a Levora não comercializa, aluga ou cede dados pessoais de titulares para fins de marketing de terceiros.
07
Transferência Internacional de Dados
Em razão da utilização da plataforma Salesforce — cuja infraestrutura inclui datacenters nos Estados Unidos e em outros países — a Levora realiza transferência internacional de dados pessoais nos projetos em que atua como Operadora.
| Destinatário principal | Salesforce, Inc. (EUA) |
| Base jurídica | Cláusulas contratuais padrão (SCCs) e Data Processing Addendum (DPA) do Salesforce — art. 33, V da LGPD |
| Outros destinatários | AWS (EUA/Europa), conforme necessário para o serviço |
| Salvaguardas | DPA Salesforce, acordos de confidencialidade, RBAC dentro da org Salesforce |
08
Direitos dos Titulares de Dados
Asseguramos o exercício de todos os direitos previstos no art. 18 da LGPD:
Confirmação e Acesso
Confirmar a existência e obter cópia dos dados tratados
Correção
Corrigir dados incompletos, inexatos ou desatualizados
Eliminação
Solicitar exclusão quando o tratamento for desnecessário
Portabilidade
Transferir dados a outro fornecedor, quando viável
Revogação
Revogar o consentimento a qualquer momento, sem ônus
Informação
Saber com quais entidades seus dados são compartilhados
Oposição
Opor-se ao tratamento por legítimo interesse
Revisão Automatizada
Solicitar revisão de decisões tomadas por algoritmos
Exercite seus direitos
Prazo de resposta: até 15 dias corridos. Verificação de identidade pode ser solicitada.
09
Retenção e Eliminação de Dados
| Categoria | Prazo |
| Dados de projetos de clientes | Período contratual + 5 anos (art. 206, §5º, CC) |
| Dados de colaboradores CLT/PJ | 5 anos após encerramento do vínculo |
| Dados fiscais e contábeis | 5 a 10 anos (CTN, Lei 9.430/96) |
| Dados de prospecção e leads | 2 anos após último contato, salvo opt-out anterior |
| Dados por consentimento | Até revogação pelo titular |
| Registros de incidentes | Mínimo de 5 anos para auditoria |
Descarte Seguro
- Dados digitais: exclusão com sobrescrita segura ou destruição criptográfica de chaves
- Cloud (Salesforce/AWS): exclusão via APIs certificadas com confirmação de purge nos backups
- Documentos físicos: trituração ou incineração certificada
- Logs de acesso: anonimização após período de retenção mínima
10
Medidas de Segurança da Informação
Controles Técnicos
- Autenticação multifator (MFA) obrigatória para todos os ambientes Salesforce e ferramentas internas
- Controle de acesso baseado em perfil (RBAC) — princípio do menor privilégio
- Criptografia em trânsito (TLS 1.2+) e em repouso nos ambientes Salesforce e AWS
- Ambientes de sandbox separados para desenvolvimento, homologação e produção
- Revisão periódica de permissões em orgs Salesforce
- Registro de logs e auditoria (Salesforce Shield / Event Monitoring)
Controles Administrativos
- Política de senhas seguras e proibição de compartilhamento de credenciais
- Cláusulas de confidencialidade em todos os contratos com colaboradores e prestadores
- NDA assinado antes do acesso a qualquer dado de cliente
- Plano de Resposta a Incidentes com notificação à ANPD e titulares em até 72h
11
Integrações e Armazenamento
- Integrações documentadas em DRP e aprovadas pelo cliente contratante
- Princípio da minimização: somente o mínimo de dados necessários é transmitido
- Endpoints protegidos por autenticação OAuth 2.0 ou mecanismo equivalente
- A Levora não armazena dados de clientes finais em infraestrutura própria — dados residem no ambiente Salesforce (cloud) do cliente
- Ambientes temporários de desenvolvimento são higienizados ao final de cada fase
12
Gestão de Incidentes de Segurança
- Identificação e contenção imediata do incidente
- Avaliação do impacto e dos dados afetados em até 24 horas
- Notificação ao cliente contratante (Controlador) em até 48 horas
- Notificação à ANPD em até 72 horas — art. 48 da LGPD
- Comunicação aos titulares quando o incidente puder causar dano significativo
- Registro do incidente e medidas adotadas para auditoria e prevenção futura
13
Atualizações desta Política
Esta Política será revisada anualmente ou sempre que houver alterações relevantes. Revisões substanciais serão comunicadas com antecedência mínima de 30 dias.
| Versão | Data | Alterações |
| 1.0 | Jun/2026 | Versão inicial — publicação |
14
Legislação Aplicável e Foro
Esta Política é regida pela Lei nº 13.709/2018 (LGPD) e demais normas da ANPD. Fica eleito o foro da Comarca de São Paulo – SP para dirimir quaisquer controvérsias.
Dúvidas ou exercício de direitos: privacidade@levora.com.br — resposta em até 15 dias corridos.