Política de Privacidade
Como tratamos seus dados
Última atualização: 21 de maio de 2026
1. Quem somos
Esta plataforma ("Hymaki") é operada por [RAZÃO SOCIAL], inscrita no CNPJ sob nº [CNPJ], com sede em [ENDEREÇO COMPLETO]. Para fins desta política, atuamos como controlador dos dados de gestores cadastrados (clientes) e como operador dos dados de hóspedes (titulares finais) coletados em nome dos gestores.
2. Quais dados coletamos
2.1 De gestores (clientes do SaaS)
- Nome completo, e-mail, senha (armazenada com hash bcrypt via Supabase Auth).
- Dados dos imóveis cadastrados (nome, endereço, observações).
- Endereços de e-mail de condomínios/administradores.
- Configurações de automação.
- Logs de execução de automações (90 dias de retenção).
2.2 De hóspedes (titulares finais)
- Nome completo de cada hóspede da reserva.
- CPF (apenas se solicitado pelo gestor — campo configurável).
- Foto/PDF de documento de identidade (apenas se solicitado pelo gestor — armazenado em Supabase Storage, bucket privado).
- E-mail, telefone, datas de check-in/check-out, dados do veículo.
- Campos customizados definidos por cada gestor.
3. Base legal (Art. 7º LGPD)
O tratamento de dados ocorre sob as seguintes bases legais:
- Execução de contrato (Art. 7º, V) — para entregar o serviço contratado pelo gestor (gestão de imóveis e coleta de dados de hóspedes).
- Consentimento (Art. 7º, I) — para os dados de hóspedes coletados via formulário público
/f/[token]. O consentimento é obtido explicitamente no momento do envio (checkbox obrigatório). - Cumprimento de obrigação legal (Art. 7º, II) — quando o gestor utiliza os dados para cumprir exigências do condomínio ou normas cadastrais (FNRH, p.ex.).
- Legítimo interesse (Art. 7º, IX) — para logs de segurança e auditoria operacional.
4. Finalidade
Usamos seus dados exclusivamente para:
- Operar a plataforma de gestão (login, cadastro de imóveis, calendário).
- Sincronizar reservas com feeds iCal de Airbnb/Booking (apenas leitura).
- Coletar e armazenar dados de hóspedes conforme configurado pelo gestor.
- Notificar administradores/condomínios via e-mail.
- Diagnosticar e corrigir erros (logs com PII removida automaticamente).
- Cumprir obrigações legais e responder a autoridades quando exigido.
Não vendemos seus dados a terceiros. Não usamos para perfilamento publicitário.
5. Compartilhamento com sub-operadores
Utilizamos os seguintes sub-operadores (Art. 39 LGPD), todos com cláusulas contratuais adequadas de proteção de dados:
- Vercel Inc. (EUA) — hospedagem da aplicação.
- Supabase Inc. (EUA) — banco de dados, autenticação e armazenamento de arquivos.
- Resend Inc. (EUA) — envio de e-mails transacionais.
- Cloudflare Inc. (EUA) — proteção contra spam/bot (Turnstile).
- Upstash Inc. (EUA) — rate limiting via Redis.
- Sentry / Functional Software Inc. (EUA) — monitoramento de erros com filtro automático de PII antes do envio.
A transferência internacional para os EUA ocorre com base no Art. 33, I LGPD (cláusulas-padrão contratuais equivalentes às adotadas pela ANPD).
6. Retenção
- Dados de gestor: mantidos enquanto a conta estiver ativa. Após exclusão da conta, hard delete em 30 dias.
- Dados de hóspedes: mantidos por até 12 meses após o check-out (configurável por gestor). Após esse período, excluídos automaticamente.
- Documentos de identidade: excluídos do Storage em 60 dias após o check-out, exceto quando exigido por lei ou ordem judicial.
- Logs de automação: 90 dias (cleanup via cron diário).
7. Seus direitos (Art. 18 LGPD)
Como titular, você pode a qualquer momento solicitar:
- Confirmação da existência de tratamento.
- Acesso aos seus dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
- Portabilidade dos dados a outro fornecedor (disponível em
/api/lgpd/exportvia solicitação ao DPO). - Eliminação dos dados tratados com base em consentimento.
- Informação sobre compartilhamento com terceiros.
- Revogação do consentimento.
Para exercer qualquer um destes direitos, contate nosso DPO: [EMAIL DPO].
8. Segurança
- Conexões HTTPS obrigatórias (HSTS habilitado).
- Row Level Security (RLS) em todas as tabelas privadas — isolamento multi-tenant.
- Senhas armazenadas com hash bcrypt via Supabase Auth (nunca em claro).
- Bucket de documentos privado com URLs assinadas de 10 minutos para acesso.
- Rate limiting e CAPTCHA no formulário público.
- Filtro automático de PII (CPF, e-mail, telefone) antes de logs externos.
- Auditoria de acessos pelo gestor (em desenvolvimento).
9. Cookies
Utilizamos apenas cookies estritamente necessários ao funcionamento da plataforma: cookies de sessão da autenticação Supabase. Não usamos cookies de tracking publicitário ou analytics de terceiros.
10. Encarregado (DPO)
Nome: [NOME DO DPO]
E-mail: [EMAIL DPO]
Telefone: [TELEFONE]
11. Alterações
Esta política pode ser atualizada periodicamente. Mudanças materiais serão comunicadas por e-mail aos gestores ativos com no mínimo 30 dias de antecedência. A versão vigente está sempre disponível em /privacy.