Slotly - plataforma de agendamentos para belezaSlotly

LGPD - Lei Geral de Proteção de Dados

Nosso Compromisso com a LGPD

A Slotly está em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e adota as melhores práticas para proteção de dados pessoais.

2. Como Dados São Coletados - Distinção por Tipo de Usuário

Seguindo princípio de minimização de dados (Art. 6, § 2º):

👤 Clientes (Mínimo de Dados - REGRESSION GUARD)

Formul formulário mínimo sem informações desnecessárias:

  • Nome completo
  • Email (verificado via OTP)
  • Telefone
  • NÃO coletamos: CPF, CNPJ, endereço, CEP

👨‍💼 Funcionários (Dados Necessários)

Dados obrigatórios para vínculo trabalhista e conformidade fiscal:

  • Nome completo
  • Email (verificado via OTP)
  • Telefone
  • CPF/CNPJ (obrigatório - vínculo trabalhista conforme CLT)
  • Endereço (obrigatório - correspondências legais e fiscais)
  • CEP (obrigatório)
  • Vinculação exclusiva: Cada funcionário vincula-se a apenas UMA empresa para controle de jornada (Art. 8º CLT)

3. Minimização de Dados (Princípio LGPD)

Justificativa técnica e legal:

  • Clientes: Dados mínimos necessários apenas para agendar - reduz risco de vazamento e responde Art. 6, § 2º LGPD
  • Funcionários: CPF/CNPJ obrigatório por Lei 8.935/94 (Cartório), CLT e Receita Federal; endereço por exigência de correspondência legal
  • Vínculo único: Funcionário vincula-se a uma empresa por Lei 3.169/41 (jornada de trabalho)

4. Bases Legais para Tratamento (Art. 7º LGPD)

Tratamos seus dados com base em:

  • Execução de contrato (Art. 7º, I): Para fornecer serviços de agendamento e gestão
  • Consentimento (Art. 7º, II): Para comunicações por email (pode ser revogado em "Configurações")
  • Legítimo interesse (Art. 7º, IX): Para melhorar a plataforma e prevenir fraudes
  • Obrigação legal (Art. 7º, II): Para cumprir requisitos fiscais (Lei 8.934/94, CTN)

5. Retenção de Dados Detalhada

Política de retenção por tipo de dado:

Contas Ativas

Dados mantidos indefinidamente enquanto você usar a plataforma.

Após Cancelamento de Conta

  • Dados Transacionais (agendamentos, payments): Deletados IMEDIATAMENTE via CASCADE
  • Dados Fiscais (invoices, contratos): Retidos por 5 anos conforme Lei 8.934/94 e CTN Art. 195
  • OTP Codes: Expiram em 10 minutos automaticamente
  • Logs de Acesso: Conforme política de retenção Supabase

6. Seus Direitos como Titular (Art. 17-22 LGPD)

A LGPD garante os seguintes direitos:

  • Confirmação e acesso: Confirmar e acessar seus dados (solicitação via email)
  • Correção: Corrigir dados incompletos ou incorretos (via "Configurações" ou suporte)
  • Exclusão (Direito ao Esquecimento): Solicitar exclusão permanente (via "Configurações" ou email)
  • Portabilidade: Receber dados em formato JSON estruturado (solicitação manual via email)
  • Informação sobre compartilhamento: Saber com quem compartilhamos dados (Supabase, Stripe, Resend)
  • Revogação de consentimento: Revogar consentimento para emails a qualquer momento
  • Oposição: Opor-se a tratamentos legítimos (análise de caso)

7. Como Exercer seus Direitos

Você pode exercer seus direitos de 3 formas:

1️⃣ Via Dashboard (Self-Service)

Acessar "Configurações" da sua conta para corrigir dados, ajustar preferências de email ou solicitar exclusão.

2️⃣ Email para o DPO

Enviar solicitação formal para lgpd@slotly.pro com detalhes do direito a exercer.

Prazo de resposta: Responderemos em até 15 dias úteis conforme Art. 12, § 3º LGPD.

8. Portabilidade de Dados (Roadmap)

Status atual: Sem ferramenta de exportação automática. Solicitações são processadas manualmente.

Planejado: Implementar self-service de exportação JSON com agendamentos, clientes e configurações.

9. Encarregado de Dados (DPO)

Nosso Encarregado de Proteção de Dados (DPO) pode ser contatado através de:
Email: dpo@slotly.pro
Prazo de resposta: Até 15 dias úteis conforme Art. 12, § 3º LGPD

10. Segurança de Dados

Medidas de segurança implementadas:

  • Criptografia em trânsito (HTTPS) e em repouso (AES)
  • Row Level Security (RLS) em todas as tabelas
  • Autenticação via OTP com expiração de 10 minutos
  • Verificação de assinatura em webhooks (Stripe)
  • Backup automático e Point-in-Time Recovery (PITR) Supabase
  • Testes de vulnerabilidade periódicos (planejado para 2026)

11. Transferência de Dados

Supabase (servidor) e terceiros:

  • Supabase: Banco de dados localizado em São Paulo, Brasil - SEM transferência internacional
  • Stripe: Pagamentos processados internacionalmente com adequacy via DPA (Data Processing Agreement)
  • Resend: Emails enviados por servidor externo com DPA em vigor

12. Incidentes de Segurança

Em caso de incidente de segurança que possa trazer risco aos seus direitos:

  • Notificaremos você por email sem delay desnecessário (Art. 33 LGPD)
  • Notificaremos à ANPD conforme Art. 33, § 1º dentro de 72 horas
  • Descreveremos natureza, extensão e consequências do incidente
  • Sistema de logs será implementado em 2026 para melhor rastreamento

13. Registro de Consentimento

Suas preferências de comunicação estão registradas na tabela `customer_preferences`:

  • email_notifications: Receber notificações de agendamentos (padrão: ativado)
  • reminder_24h_enabled: Receber lembrete 24h antes (padrão: ativado)
  • promotions_enabled: Receber emails promocionais (padrão: desativado - não utilizamos atualmente)

Você pode alterar essas preferências a qualquer momento em "Configurações" da sua conta.

14. Dados da Empresa

Razão Social: TurnBold LLC (matriz) / TurnBold WT (operação Brasil)
CNPJ: 57.761.698/0001-85
Localização: São Paulo, SP - Brasil

15. Roadmap de Conformidade LGPD

Funcionalidades planejadas para melhorar conformidade:

  • ✅ Deletion de conta com CASCADE (implementado)
  • ✅ Preferências de email com controle de consentimento (implementado)
  • ⏳ Exportação de dados automática (Q1 2026)
  • ⏳ Retenção automatizada com limpeza de logs (Q2 2026)
  • ⏳ Sistema centralizado de logging de incidentes (Q2 2026)
  • ⏳ DPO nomeado formalmente certificado LGPD (Q1 2026)

Última atualização: Novembro de 2025