Gorilla Barber
Gorilla Barber

Política de Privacidade

Como a Gorilla Barber coleta, utiliza, compartilha e protege os dados pessoais tratados em sua plataforma, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

Esta Política de Privacidade (“Política”) explica como a Gorilla Barber LTDA, inscrita no CNPJ sob o nº [CNPJ A DEFINIR] (“Gorilla”, “nós”), trata dados pessoais coletados por meio de sua plataforma de gestão de barbearias (“Plataforma”), em conformidade com a Lei nº 13.709/2018 (“LGPD”), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.

Esta Política aplica-se a todos os titulares de dados pessoais cujas informações são tratadas pela Gorilla, incluindo (i) representantes legais e colaboradores dos Clientes contratantes; (ii) Consumidores Finais (clientes das barbearias) cujos dados são inseridos na Plataforma; (iii) visitantes do site institucional; e (iv) leads e prospects.

1. Controlador

Para fins desta Política e da LGPD, a Gorilla Barber LTDA atua como Controladora dos dados pessoais coletados diretamente em seu site, em seus canais de marketing e em sua relação contratual com os Clientes.

Em relação aos dados pessoais de Consumidores Finais inseridos pelos Clientes na Plataforma (cadastros de clientes da barbearia, agendamentos, anamneses, histórico de atendimentos), a Gorilla atua como Operadora (processor), tratando os dados por conta e ordem do Cliente, que figura como Controlador. As condições desse tratamento estão detalhadas no Acordo de Tratamento de Dados (DPA).

Dados do Controlador:

  • Razão social: Gorilla Barber LTDA
  • CNPJ: [a definir]
  • Endereço: [endereço completo a definir]
  • E-mail de privacidade: privacidade@gorillabarber.com.br
  • Encarregado (DPO): [nome a definir] — dpo@gorillabarber.com.br

2. Dados coletados

A Gorilla coleta as seguintes categorias de dados pessoais:

2.1. Dados cadastrais

  • Nome completo, CPF, RG, data de nascimento, gênero;
  • Dados de contato: e-mail, telefone, endereço;
  • Dados profissionais: cargo, unidade, CNPJ vinculado, dados bancários (para colaboradores que recebem comissões via Plataforma);
  • Credenciais de acesso: login, hash de senha, tokens de autenticação.

2.2. Dados transacionais

  • Agendamentos realizados, serviços contratados, profissionais escolhidos;
  • Comandas, itens consumidos, valores pagos, formas de pagamento;
  • Assinaturas de planos, recorrências, status de cobrança (via Vindi/Yapay);
  • Vale-presentes emitidos e resgatados, créditos de fidelidade, pacotes adquiridos.

2.3. Dados comportamentais e de uso

  • Logs de acesso (IP, user agent, data/hora, ações realizadas);
  • Histórico de navegação na Plataforma;
  • Cliques em e-mails e mensagens transacionais;
  • NPS, avaliações, feedbacks;
  • Cookies e identificadores de dispositivo (ver Seção 8).

2.4. Dados sensíveis (quando aplicável)

  • Anamneses contendo informações de saúde (alergias, condições dermatológicas, restrições) — tratados exclusivamente para finalidade de proteção da vida e da incolumidade física do Consumidor Final, com consentimento específico quando exigido pela LGPD;
  • Fotografias de procedimentos (antes/depois), com consentimento expresso e finalidade específica de prontuário.

3. Base legal

O tratamento de dados pessoais pela Gorilla está fundamentado nas seguintes bases legais previstas no Art. 7º e Art. 11 da LGPD:

  • Execução de contrato (Art. 7º, V): para viabilizar a prestação dos serviços contratados, incluindo cadastro de Clientes, processamento de pagamentos, disponibilização da Plataforma e suporte técnico.
  • Cumprimento de obrigação legal ou regulatória (Art. 7º, II): para atender exigências fiscais, trabalhistas, contábeis e regulatórias (ex.: emissão de notas fiscais, retenção de logs pelo Marco Civil).
  • Legítimo interesse (Art. 7º, IX): para melhoria contínua do serviço, prevenção a fraudes, segurança da informação, comunicações operacionais e marketing direto a Clientes existentes, sempre com avaliação de proporcionalidade.
  • Consentimento (Art. 7º, I e Art. 11, I): para envio de comunicações de marketing a Consumidores Finais, cookies não essenciais, tratamento de dados sensíveis (anamnese, saúde) e demais hipóteses em que o consentimento seja a base mais adequada.
  • Proteção da vida (Art. 11, II, “c”): para tratamento de dados sensíveis em anamneses, quando necessário à proteção da saúde do Consumidor Final.
  • Exercício regular de direitos (Art. 7º, VI): em processos administrativos, judiciais ou arbitrais.

4. Finalidades

Os dados pessoais coletados são utilizados para as seguintes finalidades:

  • Permitir o cadastro e autenticação de Usuários e Clientes;
  • Prestar os serviços contratados (agendamento, comandas, financeiro, marketing, fidelidade, vale-presente, anamnese, relatórios);
  • Processar pagamentos e gerenciar assinaturas recorrentes;
  • Enviar comunicações transacionais (confirmações, lembretes, comprovantes) e, com consentimento ou legítimo interesse, comunicações de marketing;
  • Atender solicitações de suporte e relacionamento;
  • Cumprir obrigações legais, regulatórias, fiscais e judiciais;
  • Prevenir fraudes, garantir segurança da informação e investigar violações;
  • Realizar análises estatísticas, métricas de uso, melhorias da Plataforma e desenvolvimento de novos produtos, sempre em formato agregado ou anonimizado quando possível;
  • Defesa em processos administrativos, judiciais ou arbitrais.

5. Compartilhamento

A Gorilla compartilha dados pessoais apenas com terceiros estritamente necessários à prestação dos serviços e à operação da Plataforma, observadas as garantias contratuais de proteção de dados. Os principais compartilhamentos são:

  • Vindi (Locaweb Serviços de Internet S.A.): processamento de assinaturas e cobranças recorrentes (cartão, boleto, Pix). Dados compartilhados: nome, CPF, e-mail, telefone, endereço, dados de pagamento, status financeiro.
  • Yapay (Locaweb): processamento de pagamentos avulsos. Dados similares ao item anterior.
  • Supabase (Supabase Inc., com infraestrutura de banco de dados Postgres): armazenamento de banco de dados relacional, autenticação e armazenamento de arquivos. Dados armazenados incluem todos os dados operacionais da Plataforma, sob isolamento por unidade via Row Level Security (RLS).
  • Provedores de mensageria WhatsApp Business Solutions Providers (BSP) — atualmente Meta Cloud API e/ou Twilio: envio de mensagens transacionais e de marketing autorizadas. Dados compartilhados: nome, telefone, conteúdo da mensagem.
  • Provedores de e-mail transacional (ex.: Resend, SendGrid, Postmark): envio de e-mails operacionais. Dados: nome, e-mail, conteúdo.
  • Provedores de analytics e observabilidade (ex.: Vercel Analytics, Sentry): métricas de uso e monitoramento de erros, sempre que possível em formato agregado/anonimizado.
  • Autoridades públicas: mediante ordem judicial, requisição administrativa legal ou cumprimento de obrigação regulatória.
  • Sucessores: em caso de operação societária (fusão, aquisição, reorganização), mediante garantia de continuidade do nível de proteção.

Quando houver transferência internacional de dados (ex.: servidores Supabase ou provedores fora do Brasil), a Gorilla adota as garantias previstas no Art. 33 da LGPD, incluindo cláusulas contratuais específicas e avaliação de adequação dos países envolvidos.

6. Retenção

Os dados pessoais são retidos pelos seguintes prazos:

  • Dados operacionais (agendamentos, comandas, histórico de atendimento): por até 5 (cinco) anos após o término da relação contratual ou último contato com o titular, para fins de defesa em eventuais demandas consumeristas (CDC).
  • Dados fiscais e contábeis (notas fiscais, comprovantes de pagamento, contratos): por até 7 (sete) anos, conforme legislação tributária aplicável.
  • Logs de acesso a aplicações de internet: por no mínimo 6 (seis) meses, conforme Art. 15 do Marco Civil da Internet.
  • Dados de marketing: enquanto perdurar o consentimento, podendo ser revogado a qualquer tempo.
  • Dados sensíveis (anamnese): pelo prazo mínimo de 20 (vinte) anos quando equiparados a prontuário, conforme entendimento aplicável a serviços que envolvam saúde, ou conforme orientação específica do Cliente Controlador.
  • Backups: ciclos de 90 (noventa) dias, com sobrescrita progressiva.

Após decorridos os prazos, os dados são eliminados ou anonimizados, salvo hipóteses legais de manutenção.

7. Direitos do titular (Art. 18 LGPD)

O titular dos dados pessoais pode exercer, a qualquer tempo e mediante requisição, os seguintes direitos:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade a outro fornecedor de serviço ou produto, mediante requisição expressa;
  • Eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses de retenção legal;
  • Informação sobre as entidades públicas e privadas com as quais a Gorilla compartilha dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Revogação do consentimento, nos termos do Art. 8º, §5º da LGPD;
  • Oposição a tratamento realizado com fundamento em outras bases legais, em caso de descumprimento da LGPD;
  • Revisão de decisões automatizadas, quando aplicável.

Solicitações podem ser enviadas para privacidade@gorillabarber.com.br ou dpo@gorillabarber.com.br. A Gorilla responderá em prazo razoável, observados os prazos legais e regulatórios da ANPD.

Quando a Gorilla atuar como Operadora (dados de Consumidores Finais inseridos pelos Clientes), as solicitações de titulares serão encaminhadas ao Cliente Controlador para tratamento, com o apoio técnico da Gorilla, conforme detalhado no DPA.

8. Cookies e tecnologias similares

A Plataforma utiliza cookies e tecnologias similares (local storage, session storage, pixels) para garantir o funcionamento adequado, autenticação, segurança, métricas de uso e personalização da experiência.

Os cookies utilizados podem ser classificados em:

  • Estritamente necessários: indispensáveis ao funcionamento (autenticação, preferências de tema). Não podem ser desativados.
  • Funcionais: permitem lembrar preferências do Usuário (idioma, tema escuro/claro, layout).
  • Analíticos: coletam informações agregadas sobre como a Plataforma é utilizada, com vista à sua melhoria.
  • Marketing: utilizados para mensurar campanhas e remarketing, somente com consentimento.

O Usuário pode gerenciar suas preferências por meio do navegador ou de banner de consentimento exibido no primeiro acesso. A desativação de cookies essenciais pode comprometer funcionalidades da Plataforma.

9. Segurança

A Gorilla adota medidas técnicas e organizacionais razoáveis para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração ou divulgação indevida, incluindo:

  • Criptografia em trânsito via TLS 1.2+ em todas as comunicações;
  • Criptografia em repouso (at-rest) no banco de dados e em backups, conforme suportado pelo provedor de infraestrutura;
  • Isolamento multi-tenant via Row Level Security (RLS) no Postgres, garantindo que dados de um Cliente não sejam acessíveis por outro;
  • Controle de acesso baseado em papéis (RBAC) e permissões granulares por colaborador;
  • Registros de auditoria (audit logs) de operações sensíveis;
  • Backups periódicos com retenção de 90 dias e testes regulares de restauração;
  • Autenticação forte, com hash de senhas (bcrypt/argon2) e suporte a autenticação multifator;
  • Monitoramento contínuo de segurança e gestão de vulnerabilidades;
  • Treinamento de equipe interna em proteção de dados;
  • Plano de resposta a incidentes com notificação ao Cliente em até 48 (quarenta e oito) horas após a confirmação do incidente, conforme detalhado no DPA.

Apesar das medidas adotadas, nenhuma plataforma é absolutamente imune a falhas de segurança. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Gorilla comunicará a ANPD e os titulares afetados, conforme Art. 48 da LGPD.

10. DPO e contato

A Gorilla designou um Encarregado de Proteção de Dados (DPO), nos termos do Art. 41 da LGPD, responsável por receber comunicações da ANPD, atender solicitações de titulares e orientar internamente a Gorilla sobre proteção de dados.

Encarregado de Proteção de Dados (DPO):

  • Nome: [a definir]
  • E-mail: dpo@gorillabarber.com.br
  • Canal alternativo: privacidade@gorillabarber.com.br
  • Endereço postal: [endereço completo a definir]

Esta Política pode ser atualizada periodicamente. A versão vigente sempre estará disponível em /politica-de-privacidade. Alterações relevantes serão comunicadas com antecedência por meio da Plataforma ou e-mail cadastrado.

v1.0-DRAFT — Última atualização: 2026-05-21

Este documento é um placeholder gerado automaticamente e não substitui aconselhamento jurídico. Antes de disponibilizá-lo em produção, encaminhe para revisão de advogado(a) especializado(a) em direito digital e LGPD.