9.1 Isolamento
Cada empresa só vê os próprios dados; cada parceiro só vê a própria carteira. A separação é garantida no banco, não só na tela.
9.2 Retenção (executada automaticamente, todo dia)
- Eventos técnicos temporários: 90 dias.
- Dados que identificam a pessoa (telefone, nome do remetente): anonimizados em 30 dias.
- Telemetria técnica de clique (prefixo de IP, navegador): anonimizada em 180 dias.
- Histórico de fusões de leads: 365 dias.
- Dados de negócio (leads, vendas, agregados): não expiram por tempo — só saem por eliminação sob demanda (§9.3) ou remoção da conta.
Anonimizar a telemetria não muda seus números — funil e placar não dependem das colunas anonimizadas.
9.3 Eliminar dados a pedido do titular
O titular pode pedir exclusão; o admin executa pela ação “Eliminar dados do titular” no detalhe do lead (§4.7) — não confunda com “Excluir”, que só tira da lista e mantém o dado. A eliminação anonimiza o dado pessoal de forma irreversível, preserva os valores anônimos e fica auditada.
9.4 Consentimento versionado
Os termos sensíveis são versionados: quando o texto muda, o aceite anterior cai e o sistema pede reconsentimento, com data registrada.
9.5 Credenciais cifradas e auditoria
As credenciais de integração (tokens do Meta/Google, conexão de WhatsApp) são cifradas e nunca aparecem em logs. O acesso de parceiro via “Entrar como” é auditado.