Documento Legal
Política de Privacidade
Última atualização: 1 de março de 2026
1. Controlador dos Dados
O controlador dos dados pessoais coletados por esta plataforma é o Trobbi. Nomeamos um Encarregado de Proteção de Dados (DPO) que pode ser contatado em dpo@trobbi.com.
2. Dados Pessoais Coletados
Coletamos e tratamos os seguintes dados pessoais:
| Dado | Finalidade | Base Legal |
|---|---|---|
| Nome completo | Identificação, comunicação | Contrato (LGPD Art. 7, II) |
| Autenticação, notificações | Contrato (LGPD Art. 7, II) | |
| Telefone | Notificações SMS/WhatsApp | Consentimento (LGPD Art. 7, I) |
| Senha (hash bcrypt) | Autenticação segura | Contrato (LGPD Art. 7, II) |
| Foto de perfil | Personalização da conta | Consentimento (LGPD Art. 7, I) |
| Histórico de agendamentos | Gestão do serviço | Contrato (LGPD Art. 7, II) |
| Dados de pagamento (Stripe) | Processamento de cobranças | Contrato (LGPD Art. 7, II) |
| Ano de nascimento | Verificação de idade mínima | Obrigação legal (LGPD Art. 7, II) |
| Aceite dos termos (data) | Comprovação de consentimento | Obrigação legal (LGPD Art. 7, II) |
Não coletamos: dados de cartão de crédito (processados diretamente pelo Stripe), dados de saúde, dados biométricos ou qualquer dado sensível além dos listados acima.
3. Como Usamos Seus Dados
- Criar e gerenciar sua conta na plataforma
- Processar agendamentos e pagamentos
- Enviar confirmações e lembretes de agendamentos por email
- Enviar notificações por SMS e WhatsApp (somente se número fornecido e consentido)
- Gerar relatórios financeiros e de desempenho
- Melhorar a plataforma e resolver problemas técnicos
- Cumprir obrigações legais e regulatórias
4. Compartilhamento com Terceiros
Compartilhamos dados pessoais apenas com os seguintes parceiros, todos com contratos de proteção de dados vigentes:
Função: Processador de pagamentos
Dados: Nome, email, dados de pagamento
País: EUA (coberto por Cláusulas Contratuais Padrão)
Função: Serviço de email transacional
Dados: Nome, email, detalhes do agendamento
País: EUA (coberto por DPA)
Função: SMS e WhatsApp (opcional)
Dados: Nome, telefone, detalhes do agendamento
País: EUA (coberto por DPA)
Não vendemos, alugamos ou comercializamos seus dados pessoais com terceiros para fins de marketing.
5. Retenção de Dados
- Contas ativas: dados mantidos enquanto a conta estiver ativa
- Após exclusão de conta: dados pessoais anonimizados em até 30 dias
- Registros financeiros: mantidos por 5 anos (obrigação fiscal — Lei nº 9.430/1996)
- Contas inativas: dados anonimizados após 24 meses de inatividade
- Logs de sistema: retidos por até 90 dias
6. Seus Direitos
Você possui os seguintes direitos sobre seus dados pessoais, exercíveis a qualquer momento:
Acesso
Confirmar se tratamos seus dados e obter uma cópia
Correção
Corrigir dados incompletos ou desatualizados
Exclusão
Solicitar a exclusão dos seus dados (disponível nas Configurações)
Portabilidade
Receber seus dados em formato estruturado (JSON/CSV)
Oposição
Opor-se ao tratamento com base em interesse legítimo
Revogação
Revogar consentimento a qualquer momento
Informação
Ser informado sobre com quem compartilhamos seus dados
Não Discriminação
Não ser discriminado por exercer seus direitos (CCPA)
Para exercer qualquer direito, acesse Configurações → Privacidade ou envie solicitação para dpo@trobbi.com. Respondemos em até 15 dias úteis (LGPD) / 30 dias (GDPR/CCPA).
7. Segurança dos Dados
- Senhas armazenadas com hash bcrypt (12 rounds) — nunca em texto claro
- Comunicação criptografada via HTTPS/TLS em todas as conexões
- Sessões com expiração automática após 30 minutos de inatividade
- Isolamento de dados entre barbearias (cada cliente acessa apenas seus próprios dados)
- Acesso restrito a dados de produção (princípio do menor privilégio)
Em caso de incidente de segurança envolvendo dados pessoais, notificaremos os usuários afetados e a ANPD (Brasil) em até 72 horas, conforme exigido pela LGPD.
8. Cookies
Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma:
| Cookie | Finalidade | Duração |
|---|---|---|
| next-auth.session-token | Autenticação segura (HttpOnly) | 30 minutos |
| trobbi-locale | Preferência de idioma | 1 ano |
| trobbi-cookies-accepted | Registro de preferência de cookies | 1 ano |
Não utilizamos cookies de rastreamento, analytics ou marketing de terceiros.
9. Transferências Internacionais de Dados
Alguns de nossos parceiros (Stripe, Resend, Twilio) operam nos Estados Unidos. As transferências de dados pessoais de cidadãos da União Europeia para os EUA são cobertas por Cláusulas Contratuais Padrão (SCCs)aprovadas pela Comissão Europeia, conforme exigido pelo GDPR Art. 46.
Para usuários brasileiros, as transferências seguem o Art. 33 da LGPD, com garantias adequadas de proteção.
10. Proteção de Menores
A plataforma não é destinada a menores de 13 anos. Não coletamos intencionalmente dados de crianças menores de 13 anos. Se tomarmos conhecimento de que coletamos tais dados, os excluiremos imediatamente.
Usuários entre 13 e 18 anos precisam de consentimento do responsável legal, conforme Art. 14 da LGPD.
11. Direitos Específicos por Jurisdição
🇧🇷 Brasil (LGPD)
Você pode exercer seus direitos junto à ANPD (Autoridade Nacional de Proteção de Dados) em www.gov.br/anpd. Base legal aplicável: LGPD — Lei nº 13.709/2018.
🇪🇺 União Europeia (GDPR)
Residentes da UE têm direito de apresentar reclamação junto à autoridade supervisora de proteção de dados do seu país membro. O tratamento é baseado no Art. 6(1)(b) do GDPR (execução de contrato) e Art. 6(1)(a) (consentimento).
🇺🇸 Califórnia, EUA (CCPA)
Residentes da Califórnia têm direito de: (1) saber quais dados coletamos, (2) solicitar exclusão, (3) optar por não vender dados. Não vendemos dados pessoais.Para exercer seus direitos CCPA, envie email para legal@trobbi.com com o assunto "CCPA Request".
12. Contato e DPO
Para exercer seus direitos ou tirar dúvidas sobre esta política:
- Email geral: legal@trobbi.com
- Encarregado de Dados (DPO): dpo@trobbi.com
Respondemos a solicitações de titulares de dados em até 15 dias úteis (LGPD) ou 30 dias corridos (GDPR/CCPA).