Política de Privacidade

Última atualização: 22 de abril de 2026

Esta Política de Privacidade descreve como a Horatta coleta, usa, armazena e compartilha dados pessoais dos seus usuários, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

1. Quem somos

[COMPLETAR: razão social / CNPJ ou CPF do responsável], com sede em [COMPLETAR: endereço completo], é o controlador dos dados tratados através da Horatta.

2. Quais dados coletamos

Coletamos apenas o mínimo necessário pra operar o serviço.

Do titular da conta (dono ou funcionário do estabelecimento)

• Nome, e-mail, senha (armazenada com hash irreversível — bcrypt).
• Papel atribuído (dono / administrador / atendente).
• Data de último login.

Do estabelecimento

• Nome fantasia, telefone, e-mail de contato, endereço.
• CPF ou CNPJ (quando a assinatura paga é contratada, via Asaas).
• Configurações operacionais (horário, serviços, funcionários).

Dos clientes finais do estabelecimento

• Nome, telefone (WhatsApp), e-mail, data de aniversário (opcional).
• Histórico de agendamentos, observações, tags.
• Mensagens trocadas com o bot do WhatsApp, quando ativo.

O dono do estabelecimento é o controlador desses dados dos clientes finais. A Horatta atua como operador (art. 5º, VII da LGPD) — trata os dados em nome e por instrução do estabelecimento.

3. Por que coletamos (base legal)

• Execução de contrato (art. 7º, V): dados necessários pra prestar o serviço que o usuário contratou.
• Cumprimento de obrigação legal (art. 7º, II): dados fiscais como CPF/CNPJ quando há cobrança.
• Legítimo interesse (art. 7º, IX): logs de acesso e diagnóstico de erros, pra manter o serviço seguro e corrigir falhas.
• Consentimento (art. 7º, I): aceito no momento do cadastro, registrado com timestamp. O consentimento pode ser retirado a qualquer momento.

4. Com quem compartilhamos

Não vendemos dados a ninguém. Compartilhamos apenas com operadores contratados para fornecer partes do serviço:

• Asaas (gestão de cobrança): recebe CPF/CNPJ, nome, e-mail e telefone do tenant assinante, pra emitir cobrança.
• Resend (envio de e-mails transacionais): recebe e-mail e conteúdo da mensagem no momento do disparo.
• Evolution API (WhatsApp auto-hospedado): processa mensagens de WhatsApp quando o estabelecimento ativa o bot.
• Sentry (monitoramento de erros): recebe stack traces e contexto do erro para diagnóstico. Não enviamos dados pessoais intencionalmente; a ferramenta está configurada com sendDefaultPii: false.
• [COMPLETAR: provedor de hospedagem]: mantém os servidores e o banco de dados.

Não transferimos dados pra fora do Brasil além do necessário para esses serviços. Alguns provedores (como o Sentry) podem processar dados em servidores nos EUA — nesse caso, a transferência acontece sob cláusulas contratuais padrão previstas no art. 33 da LGPD.

5. Seus direitos (art. 18 da LGPD)

Como titular de dados, você pode a qualquer momento:

• Confirmar se tratamos seus dados e pedir acesso completo.
• Corrigir dados incompletos ou incorretos.
• Exportar seus dados em formato estruturado. Pro dono do estabelecimento, há um botão em Configurações > Meus dados > Baixar JSON.
• Apagar sua conta e todos os dados do estabelecimento. Pro dono, o botão está em Configurações > Meus dados > Apagar conta. Ação irreversível.
• Revogar o consentimento. Pra clientes finais do estabelecimento, falar diretamente com o estabelecimento.

6. Retenção

Mantemos seus dados pelo tempo necessário para prestar o serviço. Quando a conta é apagada, os dados são removidos do banco imediatamente. Backups automáticos são rotacionados a cada [COMPLETAR: ex.: 30 dias]; após esse período, os dados deixam de estar acessíveis também em backup.

7. Segurança

Aplicamos medidas técnicas e administrativas pra proteger os dados: senhas armazenadas com bcrypt, comunicação via HTTPS, tokens de autenticação assinados, acesso ao banco apenas por canais autenticados, logs de acesso administrativo. Mesmo assim, nenhum sistema é 100% imune a incidentes. Em caso de vazamento que represente risco aos titulares, notificaremos os afetados e a ANPD em até 72 horas, como manda o art. 48 da LGPD.

8. Cookies

Usamos apenas cookies estritamente necessários pro funcionamento do serviço: autenticação, sessão e proteção contra CSRF. Esses cookies não requerem consentimento porque são indispensáveis pra prestar o serviço que você contratou. Não usamos cookies de publicidade, analytics de terceiros, tracking cross-site ou session replay.

9. Encarregado de dados (DPO)

Para exercer qualquer direito acima, tirar dúvidas sobre tratamento de dados ou comunicar incidentes, fale com:

[COMPLETAR: nome do DPO]
E-mail: [COMPLETAR: privacidade@seudominio.com.br]

10. Mudanças nesta política

Podemos atualizar essa política pra refletir mudanças no serviço ou na legislação. Alterações materiais serão comunicadas por e-mail com pelo menos 15 dias de antecedência, e os usuários precisarão aceitar a nova versão na próxima sessão.

Aceitou esta política em: veja o timestamp no seu perfil.