Política de Privacidade
1 Controlador de Dados
O tratamento dos dados pessoais descritos nesta Política é realizado por:
| Empresa | OndBay |
| Produto | Agendbay |
| Contato de Privacidade | contato@agendbay.com |
2 Dados Coletados
Coletamos as categorias de dados descritas abaixo, variando conforme o tipo de usuário e a forma de interação com a plataforma:
2.1 Dados fornecidos pelo Usuário Profissional (conta cadastrada)
- Nome completo, nome de exibição e nome comercial
- Endereço de e-mail e senha (armazenada como hash bcrypt)
- Telefone e código DDI do país
- Tipo de pessoa (física ou jurídica), tipo de estabelecimento
- Endereço e localização (CEP, cidade, estado, país)
- Foto de perfil e imagem de capa (opcionais)
- Horários de atendimento, serviços ofertados e preços
- Dados de conta Google (em caso de login via OAuth: nome, e-mail e foto)
- Informações de assinatura e dados de cobrança via Stripe
2.2 Dados de Clientes Finais (visitantes e quem agenda)
- Nome completo e e-mail (informados no agendamento)
- Telefone (opcional)
- Data e horário do agendamento, serviço escolhido
- Endereço IP e User-Agent do navegador (coleta automática para segurança)
- Token de cancelamento (para permitir cancelamento sem login)
2.3 Dados Técnicos e de Uso (coletados automaticamente)
- Endereço IP de origem das requisições
- Tipo e versão do navegador e sistema operacional
- Datas e horários de acesso e modificações
- Logs de eventos de segurança (tentativas de login, erros, ações críticas)
- Preferências de idioma e tema (cookie local)
Não coletamos dados de categorias sensíveis (origem racial, religiosa, saúde, biometria, etc.) salvo se o profissional incluir voluntariamente em campos de observações.
3 Finalidades e Bases Legais (LGPD)
Nos termos do art. 7º da LGPD, o tratamento de dados pessoais somente ocorre quando há base legal adequada. Abaixo detalhamos cada finalidade e a respectiva base:
| Finalidade | Base Legal (LGPD) |
|---|---|
| Criação e gerenciamento de conta | Execução de contrato (art. 7º, V) |
| Realização de agendamentos online | Execução de contrato (art. 7º, V) |
| Envio de lembretes e confirmações por e-mail | Execução de contrato (art. 7º, V) / Legítimo interesse (art. 7º, IX) |
| Processamento de pagamentos via Stripe | Execução de contrato (art. 7º, V) / Obrigação legal (art. 7º, II) |
| Prevenção de fraudes e segurança da plataforma | Legítimo interesse (art. 7º, IX) / Exercício regular de direitos (art. 7º, VI) |
| Cumprimento de obrigações fiscais e legais | Obrigação legal (art. 7º, II) |
| Melhoria dos serviços e análise de uso (analytics) | Legítimo interesse (art. 7º, IX) |
| Comunicações de produto e atualizações relevantes | Legítimo interesse (art. 7º, IX) / Consentimento (art. 7º, I) quando aplicável |
| Relatório semanal de desempenho para profissional | Execução de contrato (art. 7º, V) |
4 Como os Dados são Usados
- Autenticar o acesso ao painel e às páginas públicas dos profissionais
- Criar, registrar e gerenciar agendamentos entre clientes e profissionais
- Enviar e-mails transacionais: confirmação de agendamento, lembrete de 24h e 2h antes, confirmação de cancelamento
- Processar e registrar pagamentos de assinatura via Stripe
- Enviar o relatório semanal de atendimentos ao usuário profissional
- Detectar e bloquear comportamentos fraudulentos ou abusivos
- Melhorar funcionalidades e corrigir falhas da plataforma
- Responder solicitações de suporte técnico e de exercício de direitos
- Cumprir exigências regulatórias, fiscais e ordens judiciais
Importante: A Agendbay não vende, aluga ou cede dados pessoais a terceiros para fins de marketing ou publicidade.
5 Compartilhamento de Dados
Seus dados podem ser compartilhados nas seguintes situações, sempre de forma controlada e com finalidade definida:
5.1 Profissional responsável pelo atendimento
Quando você realiza um agendamento, seus dados (nome, e-mail, telefone, data/hora e serviço) são compartilhados com o profissional em cuja agenda o agendamento foi realizado. Esse profissional atua como controlador autônomo em relação aos dados dos seus próprios clientes, devendo observar a LGPD nas comunicações, armazenamento e uso que fizer fora do escopo estritamente operacional da plataforma.
Em situações de litígio envolvendo o tratamento indevido de dados pelo profissional (por exemplo, vazamento, spam abusivo ou uso para finalidade não informada), o titular poderá envolver tanto o profissional quanto o Agendbay, conforme o caso concreto e a análise da autoridade competente. Por isso, os Termos de Uso estabelecem obrigações específicas do profissional e cláusula de indenização em favor do Agendbay por danos causados por conduta ilícita ou negligente do profissional no uso da plataforma.
5.2 Stripe (processador de pagamentos)
Para processar assinaturas e cobranças de marketplace, utilizamos o Stripe Inc. (incluindo Stripe Connect para repasses), que processa dados de pagamento em conformidade com PCI-DSS. O Agendbay não armazena dados completos de cartão de crédito. Consulte a Política de Privacidade do Stripe.
5.3 Mercado Pago (processador PIX e carteira)
Para pagamentos PIX e conexões OAuth de contas recebedoras, podemos compartilhar dados estritamente necessários com o Mercado Pago. Esse compartilhamento ocorre para autenticação da conta conectada, emissão de cobrança, confirmação de pagamento e conformidade antifraude. Consulte a Política de Privacidade do Mercado Pago.
5.4 Google (login social)
Caso opte pelo login com Google, recebemos nome, e-mail e foto de perfil conforme autorizado por você durante a autenticação OAuth. Consulte a Política de Privacidade do Google.
5.5 Provedores de infraestrutura
Hospedagem, banco de dados e envio de e-mails são operados por provedores contratados que atuam exclusivamente como operadores sob nossas instruções e não podem utilizar seus dados para outros fins.
5.6 Autoridades e obrigações legais
Podemos divulgar dados quando legalmente obrigados por ordem judicial, autoridade administrativa competente (ANPD, Receita Federal, etc.) ou para defesa de direitos em processos judiciais, administrativos ou arbitrais.
6 Segurança e Armazenamento
Adotamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição:
- Senhas armazenadas com hash bcrypt (custo elevado, não reversível)
- Comunicações protegidas por TLS/HTTPS em toda a plataforma
- Tokens CSRF em todos os formulários e requisições de estado
- Controle de acesso por sessão autenticada com expiração automática
- Logs de auditoria de eventos críticos (login, alteração de dados, pagamentos)
- Proteção contra ataques de força bruta e enumeração de contas
- Dados de pagamento processados exclusivamente via Stripe (PCI-DSS Level 1)
- Acesso ao banco de dados restrito a componentes internos da aplicação
Nenhum sistema é 100% inviolável. Em caso de incidente de segurança que gere risco relevante, notificaremos os titulares afetados e a ANPD nos termos do art. 48 da LGPD.
7 Retenção de Dados
| Categoria de Dados | Prazo de Retenção |
|---|---|
| Dados da conta ativa | Enquanto a conta estiver ativa |
| Dados após exclusão de conta | Até 90 dias (período de recuperação), depois anonimizados ou excluídos |
| Registros de agendamentos | 5 anos (prazo prescricional civil — art. 206 CC) |
| Dados financeiros / pagamentos | 10 anos (obrigação fiscal — art. 174 CTN) |
| Logs de acesso (Marco Civil) | 6 meses (art. 15 da Lei nº 12.965/2014) |
| Logs de segurança internos | 12 meses |
| Aceite de termos e consentimentos | 5 anos após o fim da relação |
| Cookies de sessão | Sessão do navegador (expiram ao fechar) |
| Cookie de preferência de idioma/tema | 12 meses |
Após os prazos acima, os dados são deletados permanentemente ou anonimizados de forma irreversível, salvo obrigação legal que exija retenção adicional.
8 Cookies e Tecnologias Similares
Utilizamos cookies e armazenamento local de forma mínima e necessária:
| Cookie / Storage | Finalidade | Duração |
|---|---|---|
| session_id | Autenticação da sessão do usuário | Sessão |
| app_lang | Preferência de idioma | 12 meses |
| theme (localStorage) | Preferência de tema (claro/escuro) | Persistente (local) |
| csrf_token | Proteção contra ataques CSRF | Sessão |
Não utilizamos cookies de rastreamento de terceiros nem ferramentas de publicidade comportamental.
9 Transferência Internacional de Dados
Alguns provedores de infraestrutura e o processador de pagamentos Stripe podem armazenar ou processar dados fora do Brasil. Quando isso ocorre, adotamos salvaguardas compatíveis com o art. 33 da LGPD e com orientações da ANPD, incluindo cláusulas contratuais padrão, certificações reconhecidas e exigência de nível de proteção adequado ao risco.
O Stripe opera sob padrões internacionais de segurança (PCI-DSS) e mecanismos de transferência reconhecidos (como o EU-U.S. Data Privacy Framework, conforme aplicável). O Google OAuth segue as políticas públicas do Google para dados de conta.
Transparência e atualização: Sempre que incluirmos novos subprocessadores relevantes ou alterarmos país de processamento de dados pessoais de forma material, atualizaremos esta Política e, quando couber, notificaremos os usuários cadastrados. Recomendamos revisar esta página periodicamente.
10 Dados de Menores de Idade
A plataforma Agendbay não é destinada a pessoas menores de 18 anos para fins de criação de conta profissional. Não coletamos conscientemente dados de crianças e adolescentes sem base legal adequada.
Agendamento público: Quando a data de nascimento informada no fluxo de agendamento indica titular menor de 18 anos, a interface exige confirmação explícita de que o solicitante é o responsável legal e autoriza o tratamento dos dados do menor para aquela solicitação, em linha com o art. 14 da LGPD. Esse aceite é registrado em log de conformidade junto ao agendamento.
O profissional continua responsável por exigir documentação ou confirmações adicionais no estabelecimento, quando a natureza do serviço assim exigir (saúde, esportes infantis, etc.).
Se tomarmos conhecimento de coleta irregular de dados de menores, adotaremos medidas corretivas, podendo incluir exclusão de registros e bloqueio de contas, conforme o caso.
11 Seus Direitos como Titular (LGPD Art. 18)
Você possui os seguintes direitos sobre seus dados pessoais, exercíveis gratuitamente a qualquer momento:
Confirmação e Acesso
Confirmar se tratamos seus dados e obter cópia dos que possuímos.
Correção
Solicitar a atualização de dados incompletos, inexatos ou desatualizados.
Eliminação
Pedir a exclusão de dados desnecessários ou tratados em desconformidade.
Revogação do Consentimento
Retirar consentimento quando o tratamento se basear nele.
Bloqueio / Anonimização
Solicitar bloqueio ou anonimização de dados excessivos.
Portabilidade
Receber seus dados em formato estruturado para transferência a outro serviço.
Informação sobre Compartilhamento
Saber com quais entidades seus dados foram compartilhados.
Oposição
Opor-se a tratamentos realizados por legítimo interesse que causem dano.
Para exercer qualquer direito, envie uma solicitação para contato@agendbay.com. O prazo de resposta é de até 15 (quinze) dias úteis a contar do recebimento. Quando o pedido for complexo ou houver volume relevante de solicitações, esse prazo poderá ser prorrogado por período adicional mediante comunicação prévia e motivada ao titular, em linha com a LGPD e as orientações da ANPD.
Dica para agilizar: use no assunto do e-mail as expressões "LGPD" ou "Exercício de direito do titular" e identifique o serviço (Agendbay) e o e-mail da sua conta, se houver. Isso reduz risco de mensagens perdidas em filtros de spam.
12 Canal de Privacidade e Encarregado (DPO)
Para qualquer questão relacionada a dados pessoais, privacidade ou exercício de direitos, utilize:
E-mail de privacidade
contato@agendbay.comO mesmo prazo de resposta do item 11 aplica-se aqui (15 dias, prorrogável por mais 15 com justificativa). Para questões urgentes, indique no assunto: "LGPD — URGENTE".
Caso sua solicitação não seja atendida satisfatoriamente, você pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.
13 Atualizações desta Política
Esta Política pode ser atualizada periodicamente para refletir alterações nos serviços, novas exigências legais ou melhorias nas práticas de privacidade. Quando as mudanças forem materiais, notificaremos os usuários cadastrados por e-mail com antecedência mínima de 10 dias úteis antes da entrada em vigor.
A versão vigente sempre estará disponível nesta página com a data de atualização destacada no cabeçalho. O uso continuado da plataforma após a entrada em vigor das alterações implica aceitação da nova versão.
14 Lei Aplicável e Foro
Esta Política é regida pelas leis da República Federativa do Brasil, em especial:
- Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018)
- Marco Civil da Internet (Lei nº 12.965/2014)
- Código de Defesa do Consumidor — CDC (Lei nº 8.078/1990)
- Código Civil Brasileiro (Lei nº 10.406/2002)
Fica eleito o foro da Comarca de São Paulo/SP como competente para dirimir quaisquer controvérsias decorrentes desta Política, ressalvado o disposto no art. 101 do CDC em benefício do consumidor.
Agendbay — Versão 1.3 — 08 de abril de 2026
Ver Termos de Uso