Política de Privacidade

1. Introdução e Controlador de Dados

A WKO Hub ("nós", "nosso" ou "Plataforma") está comprometida em proteger a privacidade de seus usuários. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e compartilhamos suas informações pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e demais legislações aplicáveis.

Esta política se aplica a todos os usuários da Plataforma, incluindo:

• Estabelecimentos: empresas que contratam nossos serviços
• Gestores: proprietários e administradores dos estabelecimentos
• Clientes finais: consumidores que acessam os sites dos estabelecimentos

2. Dados Pessoais Coletados

Coletamos diferentes tipos de dados pessoais dependendo do seu relacionamento com a Plataforma:

2.1. Dados de Estabelecimentos (Tenants)

• Dados cadastrais: nome do estabelecimento, e-mail, telefone (WhatsApp), endereço completo
• Dados de configuração: logo, cores do tema, tipo de negócio, plano contratado
• Dados de usuários gestores: nome completo, e-mail, função (proprietário, administrador, funcionário)
• Dados de produtos/serviços: nomes, descrições, preços, imagens, categorias
• Dados de profissionais: nome, foto, disponibilidade
• Dados de clientes: cadastrados pelo estabelecimento incluindo nome, telefone, e-mail, endereço, notas
• Dados de customização: configurações de seções do site, textos personalizados, avaliações

2.2. Dados de Clientes Finais (Consumidores)

• Dados de identificação: nome completo, telefone (WhatsApp)
• Dados de entrega: CEP, rua, número, complemento, bairro, cidade, estado (apenas para pedidos com entrega)
• Dados de transação: histórico de pedidos (produtos, quantidades, valores), histórico de agendamentos (serviços, profissional, data/hora)
• Dados de preferências: observações e notas em pedidos

2.3. Dados Técnicos de Navegação

• Dados de dispositivo: endereço IP, tipo de navegador, sistema operacional, resolução de tela
• Dados de interação: páginas visitadas, tempo de permanência, cliques, origem de acesso
• Dados de sessão: cookies de autenticação, cookies de preferências, identificadores de sessão

2.4. Dados de Imagens e Arquivos

• Imagens de produtos e serviços: enviadas pelos estabelecimentos
• Fotos de profissionais: avatares dos prestadores de serviço
• Logos e ícones: identidade visual do estabelecimento
• Imagens de seções: fotos personalizadas para o site (sobre nós, localização)

3. Finalidade do Tratamento de Dados

Utilizamos seus dados pessoais exclusivamente para as seguintes finalidades legítimas:

3.1. Prestação de Serviços

• Criar e gerenciar contas de estabelecimentos e usuários
• Processar e gerenciar pedidos de produtos
• Processar e gerenciar agendamentos de serviços
• Realizar entregas nos endereços informados (quando aplicável)
• Facilitar comunicação entre estabelecimentos e clientes via WhatsApp
• Exibir catálogos personalizados de produtos e serviços
• Gerar QR Codes para divulgação do site do estabelecimento

3.2. Operação e Manutenção da Plataforma

• Autenticar usuários e gerenciar sessões de acesso
• Processar upload e armazenamento de imagens
• Aplicar temas e personalizações visuais
• Garantir o funcionamento do sistema multi-tenant (isolamento de dados entre estabelecimentos)
• Realizar backups e recuperação de dados
• Monitorar performance, disponibilidade e erros técnicos

3.3. Análises e Melhorias

• Gerar relatórios e análises de vendas (Analytics)
• Calcular métricas de negócio (taxa de conversão, recorrência de clientes, no-shows)
• Identificar padrões de uso e comportamento para melhorias na plataforma
• Realizar testes A/B e otimizações de UX

3.4. Segurança e Conformidade

• Prevenir fraudes, abusos e atividades maliciosas
• Aplicar rate limiting contra ataques de força bruta
• Cumprir obrigações legais, regulatórias e fiscais
• Responder a solicitações de autoridades competentes
• Investigar violações dos Termos de Uso

3.5. Comunicação e Suporte

• Enviar confirmações de pedidos e agendamentos
• Enviar atualizações sobre status de pedidos/agendamentos
• Responder a solicitações de suporte técnico
• Notificar sobre alterações importantes na Plataforma
• Enviar comunicações de cobrança e faturas (apenas para estabelecimentos)

4. Base Legal para o Tratamento de Dados

O tratamento de seus dados pessoais é realizado em estrita conformidade com as hipóteses legais previstas no Art. 7º da LGPD (Lei nº 13.709/2018):

• Consentimento (Art. 7º, I): Para cookies não essenciais, comunicações de marketing e compartilhamento de dados com terceiros não necessários à prestação do serviço. Você pode revogar seu consentimento a qualquer momento.
• Execução de contrato (Art. 7º, V): Para processar pedidos, agendamentos, entregas e demais serviços contratados. O fornecimento desses dados é necessário para a execução do contrato.
• Exercício regular de direitos (Art. 7º, VI): Para exercício de direitos em processos judiciais, administrativos ou arbitrais, incluindo defesa em litígios.
• Legítimo interesse (Art. 7º, IX): Para melhorias na plataforma, prevenção de fraudes, segurança da informação, análises de uso, otimização de performance e desenvolvimento de novos recursos. Sempre respeitando seus direitos e liberdades fundamentais.
• Cumprimento de obrigação legal ou regulatória (Art. 7º, II): Para atender exigências fiscais (emissão de notas fiscais), contábeis, trabalhistas e demais obrigações previstas em lei.
• Proteção do crédito (Art. 7º, X): Para análise de crédito e cobrança de valores devidos (aplicável apenas a estabelecimentos contratantes).

5. Compartilhamento e Transferência de Dados

Seus dados pessoais podem ser compartilhados com terceiros nas seguintes situações:

5.1. Provedores de Infraestrutura e Serviços

• Supabase (BaaS - Backend as a Service): Armazenamento de banco de dados PostgreSQL, autenticação de usuários, storage de arquivos. Dados armazenados em servidores seguros com criptografia em repouso e em trânsito.
• Vercel (Hospedagem): Hospedagem da aplicação web com Edge Network global. Dados de navegação e logs de acesso.
• Google Cloud Platform: Serviço de gerenciamento de chaves criptográficas (Cloud KMS) para envelope encryption. As chaves mestras são gerenciadas com segurança máxima.
• Cloudflare: Gerenciamento de DNS, proteção contra ataques DDoS e otimização de entrega de conteúdo.

5.2. Serviços de Comunicação

• WhatsApp/Meta: Envio de mensagens de confirmação de pedidos e agendamentos, atendimento ao cliente. Compartilhamos apenas o número de telefone e o conteúdo da mensagem necessário para a comunicação.

5.3. APIs de Terceiros

• ViaCEP: Consulta de endereços por CEP para autocompletar formulários de entrega. Compartilhamos apenas o CEP informado.

5.4. Estabelecimentos Parceiros

• Dados de pedidos e agendamentos: Nome, telefone, endereço de entrega (quando aplicável) e detalhes do pedido/agendamento são compartilhados com o estabelecimento responsável pela prestação do serviço ou entrega do produto. Este compartilhamento é essencial para a execução do contrato.

5.5. Autoridades Públicas e Obrigações Legais

• Ordem judicial ou administrativa: Quando exigido por lei, decisão judicial, ordem de autoridade competente ou processo legal.
• Proteção de direitos: Para proteger direitos, propriedade ou segurança da WKO Hub, usuários ou terceiros.
• Investigações: Para investigar, prevenir ou tomar medidas em relação a atividades ilegais, suspeita de fraude ou violações dos Termos de Uso.

5.6. Mudanças Corporativas

Em caso de fusão, aquisição, venda de ativos ou falha de negócios, seus dados pessoais podem ser transferidos para a entidade sucessora, mantendo-se as mesmas obrigações de proteção previstas nesta Política.

Não vendemos, alugamos ou comercializamos seus dados pessoais com terceiros para fins de marketing ou publicidade.

6. Seus Direitos como Titular de Dados (Art. 18 da LGPD)

Você tem os seguintes direitos garantidos pela LGPD em relação aos seus dados pessoais:

• Confirmação e acesso (Art. 18, I e II): Confirmar se tratamos seus dados e acessar uma cópia completa deles de forma gratuita.
• Correção (Art. 18, III): Solicitar a correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação (Art. 18, IV): Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade (Art. 18, V): Receber seus dados em formato estruturado e interoperável (JSON, CSV) para transferência a outro fornecedor de serviço.
• Eliminação após consentimento (Art. 18, VI): Solicitar a eliminação dos dados tratados com base no seu consentimento, ressalvadas as hipóteses de retenção legal.
• Informação sobre compartilhamento (Art. 18, VII): Saber com quais entidades públicas e privadas compartilhamos seus dados.
• Informação sobre não consentimento (Art. 18, VIII): Ser informado sobre a possibilidade e consequências de não fornecer consentimento.
• Revogação do consentimento (Art. 18, IX): Retirar seu consentimento a qualquer momento, sem afetar a legalidade do tratamento anterior.
• Oposição (Art. 18, § 2º): Opor-se ao tratamento realizado com base em legítimo interesse, apresentando seus motivos.
• Revisão de decisões automatizadas (Art. 20): Solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.

Como Exercer Seus Direitos

Para exercer qualquer um desses direitos, entre em contato através dos canais indicados na seção 10 desta Política. Responderemos sua solicitação em até 15 (quinze) dias úteis, conforme previsto na LGPD.

Para proteger sua privacidade e segurança, podemos solicitar informações adicionais para confirmar sua identidade antes de processar sua solicitação.

7. Retenção e Exclusão de Dados

Mantemos seus dados pessoais apenas pelo período necessário para cumprir as finalidades descritas nesta Política, respeitando os prazos legais e regulatórios aplicáveis:

Prazos de Retenção

• Dados de transações financeiras: 5 (cinco) anos a partir da data da transação, conforme exigência do Código Civil (Art. 205) e legislação tributária.
• Dados de pedidos e agendamentos: 5 (cinco) anos para fins de cumprimento de obrigações legais, contratuais e resolução de disputas.
• Dados de estabelecimentos: Durante o período de contratação ativa e 5 (cinco) anos após o cancelamento, conforme legislação comercial e tributária.
• Dados de clientes finais: Enquanto houver relacionamento ativo com o estabelecimento e 5 (cinco) anos após a última interação.
• Logs de acesso e segurança: 6 (seis) meses, conforme Art. 15 do Marco Civil da Internet (Lei nº 12.965/2014).
• Dados baseados em consentimento: Até a revogação do consentimento, ressalvados os prazos de retenção obrigatória por lei.
• Imagens (produtos, serviços, logos): Durante o período de contratação ativa. Podem ser mantidas em backups por até 90 (noventa) dias após exclusão.

Exclusão e Anonimização

Ao final dos prazos de retenção, seus dados pessoais são:

• Excluídos de forma segura e irrecuperável: Utilizamos processos de exclusão permanente que impedem a recuperação dos dados.
• Anonimizados de forma irreversível: Quando necessário manter dados para fins estatísticos, históricos ou de pesquisa, realizamos anonimização completa que impede a identificação do titular.

Direito ao esquecimento: Você pode solicitar a exclusão antecipada de seus dados a qualquer momento, ressalvadas as hipóteses de retenção obrigatória por lei.

8. Segurança dos Dados e Medidas de Proteção

Implementamos medidas técnicas, administrativas e organizacionais rigorosas para proteger seus dados pessoais contra acesso não autorizado, alteração, divulgação, perda ou destruição indevida:

8.1. Medidas Técnicas

• Criptografia AES-256-GCM: Todos os dados sensíveis (nomes, telefones, endereços, WhatsApp) são criptografados em repouso no banco de dados usando algoritmo AES-256-GCM, considerado padrão militar.
• Envelope Encryption (Google Cloud KMS): Utilizamos envelope encryption com chaves mestras gerenciadas pelo Google Cloud Key Management Service, garantindo rotação segura de chaves e separação de responsabilidades.
• TLS/HTTPS: Todas as comunicações entre seu navegador e nossos servidores são criptografadas usando TLS 1.3, garantindo que dados em trânsito não possam ser interceptados.
• Autenticação segura: Senhas são criptografadas com bcrypt (hash + salt) antes do armazenamento. Não armazenamos senhas em texto plano.
• Row-Level Security (RLS): Isolamento total de dados entre estabelecimentos (multi-tenancy) garantido no nível do banco de dados, impedindo acesso cruzado.
• Rate Limiting: Proteção contra ataques de força bruta, limitando tentativas de login e requisições excessivas.
• Validação rigorosa: Todas as entradas de dados são validadas com Zod Schema Validation para prevenir injeção de código e ataques XSS/CSRF.

8.2. Medidas Organizacionais

• Controle de acesso: Acesso aos dados é concedido pelo princípio do menor privilégio (least privilege), apenas para colaboradores que necessitam para desempenhar suas funções.
• Logs de auditoria: Monitoramento e registro de todas as operações críticas no banco de dados e sistemas.
• Políticas de segurança: Manutenção de políticas internas de segurança da informação e treinamento contínuo da equipe.
• Backups criptografados: Backups regulares com criptografia e armazenamento seguro, permitindo recuperação em caso de desastre.
• Monitoramento proativo: Detecção e resposta a incidentes de segurança em tempo real.

8.3. Infraestrutura Segura

• Supabase: Infraestrutura certificada com ISO 27001, SOC 2 Type II
• Vercel: Hosting com Edge Network, DDoS protection incluso
• Google Cloud: Conformidade com padrões internacionais de segurança
• Cloudflare: Proteção contra ataques DDoS e CDN global

Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, comunicaremos à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados em prazo razoável, conforme Art. 48 da LGPD, descrevendo:

• Natureza dos dados afetados
• Informações sobre os titulares envolvidos
• Medidas técnicas e de segurança adotadas para proteção
• Riscos relacionados ao incidente
• Motivos da demora (se houver)
• Medidas corretivas implementadas

9. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias similares para melhorar sua experiência na Plataforma, conforme Art. 7º, VII da LGPD e Art. 11 da Lei nº 12.965/2014 (Marco Civil da Internet).

9.1. Tipos de Cookies Utilizados

Cookies Essenciais (Não requerem consentimento)

• Autenticação: Mantêm você conectado de forma segura ao dashboard. Sem esses cookies, você precisaria fazer login a cada página acessada.
• Sessão: Permitem o funcionamento correto da Plataforma, como manutenção do carrinho de compras e fluxo de agendamento.
• Segurança: Protegem contra ataques CSRF e outras ameaças.
• Preferências: Armazenam configurações como idioma e tema escolhido.

Cookies Não Essenciais (Requerem consentimento)

• Análise e Performance: Ajudam a entender como você usa a Plataforma, quais páginas são mais visitadas e onde ocorrem erros. Usados para melhorias contínuas.
• Marketing (futuro): Atualmente não utilizamos, mas caso implementado, serão usados para exibir conteúdo relevante e personalizado.

9.2. Gerenciamento de Cookies

Você pode gerenciar suas preferências de cookies a qualquer momento:

• Banner de consentimento: Ao acessar a Plataforma pela primeira vez, você pode escolher entre "Aceitar todos" ou "Apenas necessários".
• Configurações do navegador: Você pode bloquear ou excluir cookies diretamente nas configurações do seu navegador. Note que isso pode afetar o funcionamento de algumas funcionalidades.

9.3. Armazenamento Local (LocalStorage)

Utilizamos LocalStorage do navegador para armazenar temporariamente:

• Estado do carrinho de compras (apenas no dispositivo, não enviado para servidores)
• Preferência de consentimento de cookies
• Preferências de customização do site do estabelecimento

Esses dados não são transmitidos automaticamente para nossos servidores e permanecem localmente no seu dispositivo.

10. Crianças e Adolescentes

A Plataforma não é destinada a menores de 18 (dezoito) anos. Caso você seja menor de idade, somente utilize a Plataforma com autorização e supervisão de seus pais ou responsáveis legais.

Em conformidade com o Art. 14 da LGPD, o tratamento de dados de crianças (menores de 12 anos) deve ser realizado com o consentimento específico e destacado de pelo menos um dos pais ou responsável legal. Para adolescentes (entre 12 e 18 anos), recomendamos a participação dos responsáveis no uso da Plataforma.

Caso tomemos conhecimento de que coletamos dados pessoais de crianças sem o devido consentimento dos pais ou responsáveis, tomaremos medidas para excluir essas informações o mais rápido possível.

11. Contato e Encarregado de Proteção de Dados (DPO)

Para exercer seus direitos, esclarecer dúvidas sobre esta Política, solicitar informações sobre o tratamento de seus dados ou relatar incidentes de segurança, entre em contato com nosso Encarregado de Proteção de Dados (Data Protection Officer):

12. Alterações nesta Política de Privacidade

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas, tecnologias, requisitos legais ou outros fatores operacionais.

Notificaremos sobre alterações significativas das seguintes formas:

• Notificação destacada na Plataforma: Exibição de aviso ao fazer login ou acessar o site.
• E-mail: Envio de notificação para o endereço de e-mail cadastrado (estabelecimentos e gestores).
• Data de atualização: A data da última atualização sempre constará no início deste documento.

O uso continuado da Plataforma após a notificação de alterações significa que você aceita as modificações. Caso não concorde com as novas condições, você deve cessar o uso da Plataforma e exercer seus direitos de exclusão de dados, se aplicável.

Recomendamos que você revise esta Política regularmente para estar sempre informado sobre como protegemos seus dados pessoais.

13. Disposições Finais

Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil, especialmente pela Lei nº 13.709/2018 (LGPD), Lei nº 12.965/2014 (Marco Civil da Internet) e Lei nº 8.078/1990 (Código de Defesa do Consumidor).

Caso qualquer disposição desta Política seja considerada inválida ou inexequível, as demais disposições permanecerão em pleno vigor e efeito.

Esta Política complementa os nossos Termos de Uso e deve ser lida em conjunto com eles.