Voltar
PrivacidadeTermos

Política de Privacidade

Como tratamos seus dados

Última atualização: 21 de maio de 2026

1. Quem somos

Esta plataforma ("Hymaki") é operada por [RAZÃO SOCIAL], inscrita no CNPJ sob nº [CNPJ], com sede em [ENDEREÇO COMPLETO]. Para fins desta política, atuamos como controlador dos dados de gestores cadastrados (clientes) e como operador dos dados de hóspedes (titulares finais) coletados em nome dos gestores.

2. Quais dados coletamos

2.1 De gestores (clientes do SaaS)

  • Nome completo, e-mail, senha (armazenada com hash bcrypt via Supabase Auth).
  • Dados dos imóveis cadastrados (nome, endereço, observações).
  • Endereços de e-mail de condomínios/administradores.
  • Configurações de automação.
  • Logs de execução de automações (90 dias de retenção).

2.2 De hóspedes (titulares finais)

  • Nome completo de cada hóspede da reserva.
  • CPF (apenas se solicitado pelo gestor — campo configurável).
  • Foto/PDF de documento de identidade (apenas se solicitado pelo gestor — armazenado em Supabase Storage, bucket privado).
  • E-mail, telefone, datas de check-in/check-out, dados do veículo.
  • Campos customizados definidos por cada gestor.

3. Base legal (Art. 7º LGPD)

O tratamento de dados ocorre sob as seguintes bases legais:

  • Execução de contrato (Art. 7º, V) — para entregar o serviço contratado pelo gestor (gestão de imóveis e coleta de dados de hóspedes).
  • Consentimento (Art. 7º, I) — para os dados de hóspedes coletados via formulário público /f/[token]. O consentimento é obtido explicitamente no momento do envio (checkbox obrigatório).
  • Cumprimento de obrigação legal (Art. 7º, II) — quando o gestor utiliza os dados para cumprir exigências do condomínio ou normas cadastrais (FNRH, p.ex.).
  • Legítimo interesse (Art. 7º, IX) — para logs de segurança e auditoria operacional.

4. Finalidade

Usamos seus dados exclusivamente para:

  • Operar a plataforma de gestão (login, cadastro de imóveis, calendário).
  • Sincronizar reservas com feeds iCal de Airbnb/Booking (apenas leitura).
  • Coletar e armazenar dados de hóspedes conforme configurado pelo gestor.
  • Notificar administradores/condomínios via e-mail.
  • Diagnosticar e corrigir erros (logs com PII removida automaticamente).
  • Cumprir obrigações legais e responder a autoridades quando exigido.

Não vendemos seus dados a terceiros. Não usamos para perfilamento publicitário.

5. Compartilhamento com sub-operadores

Utilizamos os seguintes sub-operadores (Art. 39 LGPD), todos com cláusulas contratuais adequadas de proteção de dados:

  • Vercel Inc. (EUA) — hospedagem da aplicação.
  • Supabase Inc. (EUA) — banco de dados, autenticação e armazenamento de arquivos.
  • Resend Inc. (EUA) — envio de e-mails transacionais.
  • Cloudflare Inc. (EUA) — proteção contra spam/bot (Turnstile).
  • Upstash Inc. (EUA) — rate limiting via Redis.
  • Sentry / Functional Software Inc. (EUA) — monitoramento de erros com filtro automático de PII antes do envio.

A transferência internacional para os EUA ocorre com base no Art. 33, I LGPD (cláusulas-padrão contratuais equivalentes às adotadas pela ANPD).

6. Retenção

  • Dados de gestor: mantidos enquanto a conta estiver ativa. Após exclusão da conta, hard delete em 30 dias.
  • Dados de hóspedes: mantidos por até 12 meses após o check-out (configurável por gestor). Após esse período, excluídos automaticamente.
  • Documentos de identidade: excluídos do Storage em 60 dias após o check-out, exceto quando exigido por lei ou ordem judicial.
  • Logs de automação: 90 dias (cleanup via cron diário).

7. Seus direitos (Art. 18 LGPD)

Como titular, você pode a qualquer momento solicitar:

  • Confirmação da existência de tratamento.
  • Acesso aos seus dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
  • Portabilidade dos dados a outro fornecedor (disponível em /api/lgpd/export via solicitação ao DPO).
  • Eliminação dos dados tratados com base em consentimento.
  • Informação sobre compartilhamento com terceiros.
  • Revogação do consentimento.

Para exercer qualquer um destes direitos, contate nosso DPO: [EMAIL DPO].

8. Segurança

  • Conexões HTTPS obrigatórias (HSTS habilitado).
  • Row Level Security (RLS) em todas as tabelas privadas — isolamento multi-tenant.
  • Senhas armazenadas com hash bcrypt via Supabase Auth (nunca em claro).
  • Bucket de documentos privado com URLs assinadas de 10 minutos para acesso.
  • Rate limiting e CAPTCHA no formulário público.
  • Filtro automático de PII (CPF, e-mail, telefone) antes de logs externos.
  • Auditoria de acessos pelo gestor (em desenvolvimento).

9. Cookies

Utilizamos apenas cookies estritamente necessários ao funcionamento da plataforma: cookies de sessão da autenticação Supabase. Não usamos cookies de tracking publicitário ou analytics de terceiros.

10. Encarregado (DPO)

Nome: [NOME DO DPO]
E-mail: [EMAIL DPO]
Telefone: [TELEFONE]

11. Alterações

Esta política pode ser atualizada periodicamente. Mudanças materiais serão comunicadas por e-mail aos gestores ativos com no mínimo 30 dias de antecedência. A versão vigente está sempre disponível em /privacy.

Em caso de dúvidas, escreva para nosso DPO em [EMAIL DPO]. Você também pode reportar violações à ANPD (Autoridade Nacional de Proteção de Dados) em gov.br/anpd.