Legal
Política de Privacidade
Última atualização: maio de 2026
O GlamSpot é uma plataforma de descoberta e gestão para salões de beleza no Brasil. Esta política descreve como tratamos dados pessoais conforme a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018).
1. Encarregado (DPO)
Lucas Fontes Gasparetto
E-mail: lucasfontesgasparetodev@gmail.com
Demandas relativas a direitos do titular também podem ser enviadas pelo formulário em /contato (assunto já é pré-preenchido com "LGPD").
2. Que dados tratamos
Visitantes: dados de navegação agregados via Google Analytics (apenas com consentimento — ver seção Cookies), endereço IP em logs operacionais e segurança.
Donos de salão (autenticados): e-mail, nome, telefone (opcional), senha em hash, foto de perfil, identificadores de sessão, registro de aceite dos Termos de Uso.
Perfis de salão: nome, endereço, biografia, horários, serviços e fotos. Para salões ainda não reivindicados, dados obtidos a partir do perfil público do Instagram.
Clientes do salão: nome e telefone informados ao agendar; histórico de agendamentos no salão.
Pagamentos: nome, identificador fiscal (quando exigido pelo meio de pagamento) e histórico de cobranças PIX. O dado de cartão nunca trafega pelo GlamSpot.
3. Base legal e finalidade
- Execução de contrato: manter conta, permitir o cadastro do salão, processar agendamentos e cobranças.
- Cumprimento de obrigação legal: guarda de registros fiscais e contábeis.
- Legítimo interesse: segurança da plataforma (rate limit, prevenção a fraude), exibição de perfis comerciais públicos do Instagram.
- Consentimento: medição de uso via Google Analytics (cookie banner) e envio de notificações push.
4. Retenção
| Categoria | Período |
|---|---|
| Conta de dono de salão (email, nome, senha hash) | Enquanto a conta estiver ativa. Após exclusão da conta, em até 30 dias. |
| Perfil do salão (nome, endereço, horários, fotos) | Enquanto o salão estiver listado. Após remoção, em até 30 dias. |
| Clientes do salão (nome, telefone) | Enquanto o salão for cliente da plataforma. Anonimização após 3 anos de inatividade do cliente. |
| Agendamentos | 5 anos após a data do atendimento (necessidade contratual e fiscal). Dados pessoais são anonimizados quando o cliente é removido. |
| Mensagens de contato (formulário /contato) | 2 anos após a última interação. |
| Subscriptions de push | Até o cancelamento pelo usuário ou inativas há mais de 6 meses. |
| Logs operacionais (IPs, rate limit, erros) | Até 90 dias. |
| Histórico de pagamentos / assinaturas | 5 anos após o término do plano (obrigação fiscal). Dados do titular podem ser mantidos por exigência legal. |
5. Compartilhamento e sub-operadores
Para operar a plataforma utilizamos serviços de terceiros (operadores). Cada um trata apenas os dados necessários à sua função:
| Serviço | Finalidade | Localização |
|---|---|---|
| Supabase | Autenticação e banco de dados | EUA / global |
| Oracle Cloud Infrastructure (OCI) | Armazenamento de fotos de salão | Brasil (São Paulo) |
| Vercel | Hospedagem da aplicação web | EUA / global |
| Google Analytics | Métricas agregadas de uso (apenas com consentimento) | EUA / global |
| Google Maps Platform | Autocomplete de endereço e geocoding | EUA / global |
| AbacatePay | Processamento de pagamentos via PIX (plano Pro) | Brasil |
| Upstash (Redis) | Rate limit e cache operacional | EUA / global |
| Apify | Coleta de dados públicos do Instagram | EUA / global |
| Discord | Webhooks de notificação interna (sem PII de visitantes) | EUA / global |
| Expo Push / Web Push (VAPID) | Envio de notificações ao dispositivo do usuário | EUA / global |
Transferências internacionais ocorrem com base nas hipóteses do art. 33 da LGPD.
6. Cookies
Essenciais: autenticação (Supabase) e estado de UI. Sempre ativos.
Analíticos: Google Analytics, para entender o uso da plataforma de forma agregada e anônima. Carregam apenas com seu consentimento.
Não usamos cookies de publicidade ou de rastreamento entre sites.
7. Direitos do titular
A LGPD garante os direitos abaixo. Para exercê-los, contate o encarregado (seção 1).
- Confirmação e acesso: Saber se tratamos seus dados e obter cópia.
- Correção: Corrigir dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação: Para dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade: Receber seus dados em formato estruturado e interoperável.
- Eliminação: Apagar dados tratados com base no consentimento.
- Informação sobre compartilhamento: Saber com quais entidades públicas e privadas compartilhamos seus dados.
- Revogação do consentimento: Retirar o consentimento a qualquer momento.
- Reclamação à ANPD: Apresentar reclamação à Autoridade Nacional.
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão competente: gov.br/anpd.
8. Segurança
Aplicamos medidas técnicas e administrativas razoáveis (criptografia em trânsito via HTTPS, hashing de senhas, RLS no banco, rate limit, logs de acesso). Em caso de incidente que possa gerar risco aos titulares, comunicaremos os afetados e a ANPD nos prazos legais.
9. Alterações
Esta política pode ser atualizada. A data de última atualização é exibida no topo da página. Alterações relevantes serão comunicadas aos usuários autenticados.