Voltar
L
LexNotify

Política de privacidade — LexNotify

Última atualização: 15 de abril de 2026 Versão: 2.1

1. Introdução

A MHX Digital (MH TECNOLOGIA E ATIVOS DIGITAIS LTDA, CNPJ 57.435.644/0001-20, com sede na Rua Salvador, 458 — Adrianopolis, Manaus/AM — CEP 69057-040) opera a plataforma LexNotify (https://lexnotify.com). Esta politica descreve como tratamos os dados pessoais dos nossos usuarios, conforme a Lei Geral de Protecao de Dados Pessoais (Lei 13.709/2018 — LGPD) e demais normas aplicaveis.

O LexNotify e uma plataforma unificada de inteligencia juridica que combina document intelligence, busca semantica, orquestracao multi-LLM, automacao de workflows e gestao processual completa para escritorios de advocacia e departamentos juridicos brasileiros. Aqui voce encontra quais dados coletamos, como os usamos, com quem os compartilhamos e quais sao os seus direitos como titular.

2. Dados coletados

2.1 Dados de conta e perfil

Dados fornecidos pelo usuário no cadastro e durante o uso:

DadoFinalidadeObrigatório
Nome completoIdentificação do usuárioSim
E-mailAutenticação, comunicaçõesSim
Senha (hash)AutenticaçãoSim
Tipo de conta (advogado/escritório)Configuração do ambienteSim
Nome do escritórioIdentificação organizacionalSomente para escritórios
Foto de perfil (avatar)PersonalizaçãoNão
Fuso horárioExibição de datasNão

2.2 Dados jurídicos e processuais

Dados inseridos pelo usuário ou obtidos por integração com tribunais:

DadoOrigem
Número do processoCadastro pelo usuário
Partes (autor, réu)Cadastro ou enriquecimento automático
Audiências (data, hora, local, tipo)Cadastro ou enriquecimento automático
Movimentações processuaisAPI DataJud / ProjuDi / portais públicos
Classificação processual (tipo, fase, risco)Gerado por IA a partir das movimentações
Alertas processuaisGerado automaticamente
Documentos processuaisUpload pelo usuário

2.3 Dados de comunicação

Dados gerados pelo uso das funcionalidades de notificação:

DadoContexto
Número de WhatsApp do destinatárioCadastrado pelo usuário para envio de notificações
WhatsApp Business Account ID (WABA ID)Conexão via Meta Embedded Signup
Phone Number ID (Meta)Identificador do número conectado
Nome comercial do WhatsApp BusinessObtido via Meta API
Token de acesso (Meta)Autenticação com a API da Meta (armazenado de forma segura)
Conteúdo das mensagens enviadasComposto pelo sistema para notificações
Status de entrega (enviado, entregue, lido, falha)Recebido via webhook da Meta
Chat ID do TelegramVinculação via código de link
Endereço de e-mail do destinatárioCadastrado pelo usuário
Assunto e corpo do e-mailComposto pelo sistema
Status de entrega do e-mailRecebido via provedor Resend

2.4 Dados financeiros

DadoFinalidade
Plano contratadoControle de acesso e limites
Data de início e fim do planoGestão de assinatura
Histórico de pagamentos (PIX)Comprovação de pagamento
Créditos de IA (consumidos e disponíveis)Controle de uso
Tokens consumidos por provedorRastreabilidade de custo

O LexNotify não coleta nem armazena dados de cartão de crédito, conta bancária ou chave PIX. Pagamentos são processados diretamente pelo sistema PIX.

2.5 Dados técnicos e de uso

DadoFinalidade
Endereço IPSegurança e auditoria
Logs de sistema (nível, serviço, evento)Diagnóstico e monitoramento
Correlation ID (identificador de requisição)Rastreabilidade de operações
Timestamps de acessoAuditoria
User-Agent do navegadorCompatibilidade
Métricas de desempenho (latência, taxa de entrega)Monitoramento de SLO
Logs de execução de cron jobsAuditoria operacional

3. Como os dados são coletados

3.1 Fornecimento direto pelo usuário

  • Preenchimento de formulários de cadastro e configuração
  • Upload de documentos processuais
  • Cadastro de processos, audiências e contatos
  • Conexão de conta WhatsApp Business via Meta Embedded Signup
  • Autorização OAuth para Google Calendar

3.2 Coleta automatizada via APIs externas

  • DataJud (CNJ) — movimentações processuais sincronizadas a cada 6 horas para processos cadastrados
  • ProjuDi — dados processuais complementares
  • Portais de tribunais — extração de dados públicos (partes, advogados, juiz) por consulta automatizada

3.3 Webhooks e callbacks

  • Meta (WhatsApp) — status de entrega e mensagens de resposta recebidos via webhook com verificação de assinatura HMAC-SHA256
  • Resend (e-mail) — eventos de entrega, abertura e rejeição

3.4 Processamento interno

  • Inteligência artificial — classificação, scoring de risco, predição e geração de resumos a partir dos dados já armazenados
  • Machine learning — clusterização de processos, regressão para predição de resultados
  • Geração de embeddings — representação vetorial de documentos para busca semântica

4. Finalidade do uso dos dados

4.1 Prestação do serviço

  • Autenticação e gerenciamento de sessões
  • Gestão de processos, audiências e prazos
  • Envio de notificações nos canais configurados pelo usuário
  • Enriquecimento processual e sincronização com tribunais
  • Processamento de documentos e análises via IA

4.2 Comunicação operacional

  • Notificações sobre o funcionamento do serviço
  • Alertas de movimentações processuais
  • Lembretes de audiências e prazos
  • Avisos sobre alterações nos Termos ou nesta Política

4.3 Segurança e integridade

  • Prevenção de fraudes e acessos não autorizados
  • Detecção de anomalias e comportamentos suspeitos
  • Auditoria de operações sensíveis
  • Rate limiting e circuit breaker para proteção do sistema

4.4 Melhoria do serviço

  • Análise agregada e anonimizada de padrões de uso
  • Otimização de desempenho e latência
  • Monitoramento de SLOs (Service Level Objectives)

4.5 Loop de auto-melhoria (aprendizado por organização)

A plataforma opera um ciclo contínuo de observação, detecção, geração de hipóteses, teste A/B em produção, validação estatística e promoção/descarte de regras. Esse loop é executado por organização:

  • Padrões de comportamento observados no uso real do escritório (correções de classificação, tempos de resposta, engajamento do destinatário) são processados para calibrar regras de notificação, thresholds de classificador e heurísticas de atribuição
  • O classificador treinado com as correções de uma organização não é compartilhado com outras organizações — cada escritório constrói seu próprio "data moat"
  • Nenhum conteúdo de documento, mensagem ou dado pessoal de cliente do escritório é usado para treinar modelos que sirvam terceiros
  • Métricas agregadas e anonimizadas (latências, taxas de entrega, acurácia de classificador) podem ser usadas para melhoria geral do produto, sempre sem identificar titular ou organização

5. Compartilhamento de dados com terceiros

O LexNotify compartilha dados pessoais com terceiros na medida necessária para prestar o serviço:

5.1 Meta Platforms, Inc. (WhatsApp)

  • Dados compartilhados: número do destinatário, conteúdo da mensagem, templates de mensagem
  • Finalidade: envio de notificações via WhatsApp Business Platform
  • Base legal: execução de contrato + consentimento do usuário ao conectar WhatsApp Business
  • Localização: Estados Unidos (transferência internacional — ver Seção 10)

5.2 Telegram FZ-LLC

  • Dados compartilhados: identificador de chat, conteúdo da mensagem
  • Finalidade: envio de notificações via Telegram
  • Base legal: execução de contrato
  • Localização: Emirados Árabes Unidos / servidores distribuídos

5.3 Resend, Inc. (e-mail)

  • Dados compartilhados: endereço de e-mail do destinatário, assunto, corpo da mensagem
  • Finalidade: envio de notificações e comunicações por e-mail
  • Base legal: execução de contrato
  • Localização: Estados Unidos

5.4 Provedores de inteligência artificial

Dados de processos e documentos são enviados para processamento por IA quando o usuário utiliza funcionalidades que dependem de modelos de linguagem:

ProvedorModeloDados enviadosLocalização
OpenAIGPT-4oOrquestração, composição, consultas do chat, embeddingsEUA
Google (Gemini)Gemini 2.5 FlashConteúdo de documentos longos (contratos, petições)EUA
GroqLLaMA 3.3 70BClassificação rápida, triagem, detecção de intençãoEUA
Together AIMixtral 8x7BTarefas complementares, fallback, embeddings secundáriosEUA
AnthropicClaude Sonnet 4Análise jurídica, relatórios, triangulaçãoEUA
Fallback automáticoSe um provedor fica indisponível, o orquestrador redireciona para outro

Todos os provedores de IA possuem políticas que proíbem o uso de dados enviados via API para treinamento de modelos. Os dados são processados sob demanda e não ficam retidos nos provedores além do necessário para gerar a resposta.

5.5 DataJud — Conselho Nacional de Justiça

  • Dados compartilhados: número do processo
  • Dados recebidos: movimentações processuais de natureza pública
  • Finalidade: enriquecimento processual
  • Base legal: interesse legítimo (dados públicos)

5.6 Google (Calendar)

  • Dados compartilhados: título, data, hora e descrição de eventos (audiências e prazos)
  • Finalidade: sincronização de agenda
  • Base legal: consentimento (autorização OAuth explícita)
  • Localização: Estados Unidos

5.7 Supabase, Inc. (infraestrutura)

  • Dados compartilhados: todos os dados armazenados na plataforma
  • Finalidade: armazenamento e processamento (banco de dados, autenticação, storage)
  • Base legal: execução de contrato (subprocessador)
  • Localização: Estados Unidos (AWS)

O LexNotify não vende, aluga ou comercializa dados pessoais dos seus usuários.

6. Base legal para o tratamento (LGPD)

O tratamento de dados pessoais se fundamenta nas seguintes bases legais previstas no artigo 7º da LGPD:

6.1 Execução de contrato (Art. 7º, V)

  • Autenticação e gestão de conta
  • Funcionalidades contratadas (gestão processual, notificações, IA)
  • Processamento de pagamentos e gestão de assinaturas
  • Enriquecimento processual

6.2 Consentimento (Art. 7º, I)

  • Conexão da conta WhatsApp Business via Meta Embedded Signup
  • Autorização OAuth para Google Calendar
  • Aceite dos Termos de Uso e desta Política no cadastro

6.3 Interesse legítimo (Art. 7º, IX)

  • Logs de segurança e auditoria
  • Monitoramento de desempenho e disponibilidade
  • Análise agregada e anonimizada para melhoria do serviço
  • Prevenção de fraudes e abusos

6.4 Obrigação legal (Art. 7º, II)

  • Retenção de registros de acesso conforme o Marco Civil da Internet (Lei 12.965/2014 — 6 meses)
  • Atendimento a requisições judiciais ou de autoridades competentes
  • Preservação de registros para fins fiscais, quando aplicável

7. Retenção de dados

O LexNotify aplica políticas de retenção centralizadas. A remoção automática de dados é executada diariamente por processo automatizado (cron de retenção).

7.1 Períodos de retenção

Tipo de dadoPeríodo de retençãoAção após o período
Dados de conta e perfilEnquanto a conta estiver ativaExclusão após cancelamento + 30 dias
Processos e audiênciasEnquanto a conta estiver ativaExclusão com a conta
Mensagens WhatsApp (logs de evento)180 diasExclusão automática definitiva
Eventos de e-mail (entrega, status)180 diasExclusão automática definitiva
Logs de notificação (job logs)90 diasExclusão automática definitiva
Logs de sistema (operacionais)90 diasExclusão automática definitiva
Logs de execução de cron60 diasExclusão automática definitiva
Registros de execução (idempotência)60 diasExclusão automática definitiva
Locks de notificação30 diasExclusão automática definitiva
Fila de dead-letter WhatsApp (resolvidos)30 diasExclusão automática definitiva
Status pendente de entrega WhatsApp14 diasExclusão automática definitiva
Solicitações LGPD concluídas365 diasExclusão automática definitiva
Documentos processuaisEnquanto a conta estiver ativaExclusão com a conta

7.2 Exceções

Dados podem ser retidos além dos períodos acima quando:

  • Houver obrigação legal (ex.: registros de acesso — 6 meses, conforme Marco Civil da Internet)
  • Existir litígio ou procedimento administrativo pendente
  • For necessário para exercício regular de direitos em processo judicial

8. Direitos do titular dos dados

Conforme os artigos 17 a 22 da LGPD, o titular pode exercer os seguintes direitos:

8.1 Acesso e portabilidade

O titular pode solicitar a exportação de todos os seus dados pessoais armazenados na plataforma.

Como exercer: pela funcionalidade de exportação na plataforma ou por e-mail para privacidade@lexnotify.com.

O endpoint GET /api/privacy/export retorna, em JSON, todos os dados do titular — perfil, processos, notificações, mensagens, documentos, regras de notificação, eventos de e-mail e participações em organizações.

8.2 Exclusão

O titular pode solicitar a exclusão dos seus dados pessoais.

Como exercer: pela funcionalidade de exclusão de conta na plataforma ou por e-mail para privacidade@lexnotify.com.

O processo de exclusão executa:

  • Remoção imediata de notificações, regras, mensagens, documentos e notificações do usuário
  • Marcação de processos como excluídos
  • Anonimização do perfil (nome substituído por "[DELETED]")
  • Remoção de logs de sistema associados ao usuário
  • Registro da solicitação para auditoria

8.3 Anonimização

O titular pode solicitar a anonimização dos seus dados, preservando a estrutura relacional para integridade do sistema.

Como exercer: por e-mail para privacidade@lexnotify.com.

O processo de anonimização executa:

  • Substituição de dados identificáveis por hashes anônimos
  • Substituição do conteúdo de mensagens por "[ANONYMIZED]"
  • Remoção de metadados de logs
  • Anonimização do e-mail e dados de autenticação
  • Preservação das relações entre tabelas (integridade referencial mantida)

8.4 Outros direitos

O titular também pode:

  • Confirmar a existência de tratamento de dados
  • Corrigir dados incompletos, inexatos ou desatualizados (via edição de perfil)
  • Revogar o consentimento para integrações específicas (desconectar WhatsApp Business, revogar acesso ao Google Calendar)
  • Opor-se ao tratamento com base em interesse legítimo, com fundamentação
  • Solicitar informações sobre as entidades com quem seus dados são compartilhados

8.5 Prazo de atendimento

Solicitações serão atendidas em até 15 dias úteis a partir do recebimento, conforme artigo 19 da LGPD. Em casos de complexidade excepcional, o prazo pode ser estendido com justificativa.

8.6 Canal de exercício

Todas as solicitações devem ser enviadas para privacidade@lexnotify.com, com identificação do titular para verificação de identidade.

9. Segurança dos dados

O LexNotify adota medidas técnicas e organizacionais para proteger dados pessoais contra acesso não autorizado, destruição, perda, alteração ou vazamento.

9.1 Controle de acesso

  • Row Level Security (RLS) — políticas de segurança em nível de linha no banco de dados — cada usuário acessa apenas seus próprios dados
  • Multitenancy — isolamento de dados por organização, com controle de papéis (roles) por membro
  • Autenticação por sessão — gerenciada pelo Supabase Auth com tokens JWT

9.2 Criptografia

  • Em trânsito — todas as comunicações usam TLS/HTTPS
  • Em repouso — dados armazenados com criptografia AES-256
  • Tokens de acesso — tokens OAuth e chaves de API armazenados de forma segura no servidor

9.3 Proteção de webhooks

  • Validação de assinatura HMAC-SHA256 em todos os webhooks da Meta (WhatsApp)
  • Rejeição de payloads com assinatura inválida
  • Dead-letter queue para eventos com falha no processamento

9.4 Proteção contra abusos

  • Rate limiting — controle de taxa de requisições por usuário e por organização
  • Circuit breaker — interrupção automática de chamadas a serviços externos degradados
  • Idempotência — deduplicação que impede execuções duplicadas de operações sensíveis
  • Distributed locks — travas distribuídas que previnem processamento concorrente indevido

9.5 Monitoramento e auditoria

  • Logging estruturado com correlation ID para rastreabilidade
  • Trilha de auditoria imutável para eventos WhatsApp (event log)
  • Monitoramento de SLOs (taxa de entrega, latência P95, profundidade de filas)
  • Alertas automáticos para a equipe de operações em caso de erros críticos

9.6 Backups

  • Backups automatizados com retenção controlada
  • Recuperação testada periodicamente

10. Transferência internacional de dados

Alguns serviços de infraestrutura e provedores de IA são sediados no exterior. Por isso, dados pessoais podem ser transferidos para fora do Brasil:

DestinoServiçoFinalidade
Estados UnidosSupabase (AWS)Armazenamento e processamento
Estados UnidosMeta (WhatsApp)Envio de mensagens
Estados UnidosOpenAI, Anthropic, Google, Groq, Together AIProcessamento de IA
Estados UnidosResendEnvio de e-mails
Estados UnidosGoogle CalendarSincronização de agenda
DistribuídoTelegramEnvio de notificações

Essas transferências têm base no artigo 33, II, da LGPD (cláusulas contratuais específicas com os prestadores) e no artigo 33, IX (garantias de cumprimento dos princípios da LGPD pelo controlador). Todos os provedores adotam medidas de segurança compatíveis com os padrões da legislação brasileira.

11. Cookies e tecnologias de rastreamento

O LexNotify usa apenas cookies necessários para o funcionamento do serviço:

CookieFinalidadeTipo
Sessão SupabaseAutenticação do usuárioEssencial
Preferências de interfaceIdioma, tema, fuso horárioFuncional

O LexNotify não usa cookies de rastreamento, analytics de terceiros ou fingerprinting para fins publicitários.

12. Tratamento de dados de menores

O LexNotify é destinado a profissionais do Direito maiores de 18 anos. A plataforma não coleta intencionalmente dados de menores de idade. Se identificarmos que dados de um menor foram coletados por engano, faremos a exclusão imediata.

13. Incidentes de segurança

Em caso de incidente de segurança envolvendo dados pessoais, o LexNotify irá:

  • Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) no prazo legal
  • Notificar os titulares afetados por e-mail, descrevendo o incidente, os dados afetados e as medidas adotadas
  • Registrar o incidente para auditoria

14. Alterações nesta política

Esta Política pode ser atualizada para refletir mudanças no serviço, na legislação ou nas práticas de tratamento de dados.

Alterações relevantes serão comunicadas com antecedência mínima de 15 dias por e-mail ou notificação no sistema. O uso continuado da plataforma após a entrada em vigor das alterações implica ciência e concordância com a versão atualizada.

O histórico de versões fica disponível mediante solicitação.

15. Contato

Para dúvidas, exercício de direitos ou comunicações sobre privacidade:

Para reclamações não resolvidas, o titular pode contatar a Autoridade Nacional de Proteção de Dados (ANPD): https://www.gov.br/anpd

MHX Digital (MH TECNOLOGIA E ATIVOS DIGITAIS LTDA) CNPJ: 57.435.644/0001-20 privacidade@lexnotify.com https://lexnotify.com