Política de Privacidade

O controlador responsável pelo tratamento dos dados pessoais é a Belinv.On LTDA, CNPJ 56.162.791/0001-07, São Paulo — SP, operadora da plataforma Gestrel.

Canal de contato para assuntos de privacidade: contato@gestrel.com

2.1 Dados de cadastro e autenticação:

• Nome completo
• Endereço de e-mail
• Senha (armazenada em hash bcrypt — nunca em texto plano)
• Foto de perfil (quando fornecida via Google OAuth)

2.2 Dados do estabelecimento:

• Nome fantasia e dados da empresa
• Cidade e endereço (para exibição na página pública de agendamento)
• Telefone/WhatsApp do estabelecimento (para contato com clientes)
• Logotipo e imagens (quando enviados)

2.3 Dados operacionais inseridos pelo usuário:

• Dados de clientes finais: nome, telefone, e-mail, CPF (opcional)
• Dados de veículos: placa, modelo, cor, ano
• Histórico de atendimentos, serviços, produtos e valores
• Fotos de checklist e avarias
• Agendamentos e informações de agenda

⚠️ O usuário da Gestrel é o controlador dos dados de seus clientes finais. A Gestrel atua como operadora nesses casos, nos termos do Art. 37 da LGPD. É responsabilidade do usuário obter base legal para tratar esses dados.

2.4 Dados de pagamento:

• Dados de cartão são processados exclusivamente pela Stripe (nunca armazenamos número de cartão)
• Armazenamos apenas: ID do cliente Stripe, ID da assinatura, plano ativo, status e data de vencimento

2.5 Dados de uso e segurança:

• Endereço IP e user-agent (para segurança e prevenção a fraudes)
• Logs de acesso e eventos relevantes
• Cookies de sessão (autenticação NextAuth.js)

Não vendemos, alugamos nem comercializamos dados pessoais. Compartilhamos dados apenas quando necessário com os seguintes fornecedores (operadores):

• Stripe — processamento de pagamentos e gestão de assinaturas
• MongoDB Atlas — armazenamento de dados em nuvem (infraestrutura)
• Vercel — hospedagem e execução da aplicação
• Resend — envio de e-mails transacionais
• Google OAuth — autenticação via conta Google (opcional)

Todos os fornecedores são contratados com cláusulas de proteção de dados e operam em conformidade com suas próprias políticas de privacidade.

Dados também podem ser compartilhados com autoridades públicas quando houver determinação legal, ordem judicial ou necessidade de defesa de direitos.

Mantemos seus dados pelo tempo necessário para cumprir as finalidades descritas nesta Política:

• Dados de conta ativa: durante toda a vigência do contrato
• Após cancelamento: até 90 dias para exportação voluntária
• Dados fiscais e de cobrança: até 5 anos (obrigação legal tributária)
• Logs de segurança: até 6 meses
• Registro de aceite legal: durante toda a relação contratual e por até 5 anos após o encerramento

Após os prazos acima, os dados são excluídos permanentemente ou anonimizados de forma irreversível.

Adotamos as seguintes medidas técnicas e organizacionais:

• Senhas armazenadas exclusivamente em hash bcrypt (fator 12)
• Comunicação criptografada via HTTPS/TLS em todos os acessos
• Autenticação segura via NextAuth.js com tokens JWT
• Infraestrutura gerenciada em provedores com certificações de segurança
• Controle de acesso por perfil (cada usuário acessa apenas o que lhe compete)
• Monitoramento de erros e eventos críticos

Em caso de incidente de segurança que possa afetar dados pessoais, a Gestrel comunicará os titulares afetados e a ANPD dentro dos prazos legais.

Você tem direito a, a qualquer momento:

• Confirmação e acesso: saber se tratamos seus dados e acessar quais são
• Correção: solicitar atualização de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade
• Portabilidade: receber seus dados em formato estruturado para uso em outro serviço
• Informação sobre compartilhamento: saber com quem seus dados foram compartilhados
• Revogação do consentimento: quando o tratamento se basear nessa base legal
• Oposição: ao tratamento realizado com base em legítimo interesse
• Eliminação total: encerramento completo da conta e exclusão dos dados

Para exercer seus direitos, acesse o Portal da Privacidade ou envie e-mail para contato@gestrel.com.

Utilizamos os seguintes tipos de cookies:

• Cookie de sessão (next-auth.session-token): obrigatório para autenticação. Expira ao fechar o navegador ou após período configurado.
• CSRF token: segurança contra ataques de falsificação de requisição.

Não utilizamos cookies de rastreamento publicitário ou analíticos de terceiros.

Alguns de nossos fornecedores (Stripe, Vercel, MongoDB Atlas) processam dados em servidores localizados fora do Brasil. Nessas situações, adotamos as salvaguardas exigidas pela LGPD (Art. 33), incluindo cláusulas contratuais de proteção de dados e verificação de conformidade dos fornecedores.

A plataforma Gestrel é destinada exclusivamente a estabelecimentos comerciais e não é indicada para uso por menores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identificado, os dados serão imediatamente excluídos.

Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por e-mail com antecedência. A versão vigente estará sempre disponível nesta página com a data de atualização.

Para dúvidas, solicitações ou exercício de direitos relacionados à privacidade:

• E-mail: contato@gestrel.com
• Assunto sugerido: “Privacidade — [descreva sua solicitação]”
• Prazo de resposta: até 15 dias corridos (conforme LGPD)