Política de Privacidad

esta es una traducción de cortesía. en caso de cualquier conflicto, prevalece la versión en portugués como texto legalmente vinculante bajo la ley brasileña.

1. Quiénes somos

Madalena es un marketplace que conecta a turistas que visitan Rio de Janeiro con videomakers y fotógrafos locales, con propuesta editorial de registro autoral hecho por moradores de la ciudad.

Esta Política de Privacidad describe cómo tratamos los datos personales recolectados en los formularios y en la navegación del sitio, en conformidad con la Ley General de Protección de Datos (Lei nº 13.709/2018, "LGPD").

Controlador de los datos (responsable legal por el tratamiento, conforme al art. 5º, VI de la LGPD):

  • Razón social: MADALENA PRODUÇÕES CRIATIVAS LTDA
  • CNPJ: 66.676.716/0001-11
  • Dirección: R. Cardeal Dom Sebastião Leme, 93, Apt 302, Santa Teresa, Rio de Janeiro/RJ, CEP 20.240-012
  • Canal para titulares: contato@somosmadalena.com.br

2. Qué datos recolectamos

2.1 Cuando llenas el formulario "aprovechar" (lead form de la home)

Recolectamos los datos que nos informas voluntariamente:

  • Nombre.
  • Email.
  • Teléfono, con código de país.
  • Continente, país y estado de origen.
  • Fecha y horario pretendidos del viaje.
  • Forma de contacto preferida (email, WhatsApp o Telegram).

Adicionalmente, recolectamos automáticamente en el momento del envío:

  • Parámetros de campaña de marketing presentes en la URL de entrada (utm_source, utm_medium, utm_campaign, utm_term, utm_content, gclid, fbclid) y el referrer (sitio de origen del clic).
  • Dirección IP truncada a /24 para IPv4 y /48 para IPv6, retenida en los logs del servidor para fines de auditoría temporal y detección de incidentes. La truncación agrega tu dirección en una subred y no permite identificación individual.

2.2 Cuando te registras como parceiro (página /ser-parceiro)

Recolectamos:

  • Nombre completo, email, número de WhatsApp, perfil de Instagram, dirección.
  • Actuación principal, escolaridad, link de portfolio, equipamiento de trabajo, otras ocupaciones.
  • Textos de motivación, valores practicados e identificación con la marca.

2.3 Recolección automática para prevención de abuso

En el momento del envío de cualquier formulario, la dirección IP completa de tu conexión es consultada en cache temporario (rate limiting) por hasta 1 minuto, para verificar si el número de envíos consecutivos excede límites técnicos definidos. Después de ese período, el registro expira automáticamente del cache y no es recuperable. Esta medida protege los formularios contra abuso automatizado, spam y ataques de denegación de servicio.

2.4 Lo que no recolectamos

  • No usamos cookies de terceros para fines de marketing direccionado, retargeting o enriquecimiento de perfil de usuario.
  • No vendemos, alquilamos o intercambiamos datos personales con terceros, en ninguna circunstancia.
  • No realizamos profiling automatizado para tomar decisiones con efecto jurídico o que afecten materialmente al titular.
  • No recolectamos datos personales sensibles (origen racial o étnico, convicción religiosa, opinión política, filiación a sindicato, datos de salud, vida sexual, datos genéticos o biométricos), en los términos del art. 5º, II de la LGPD, en ninguno de los formularios del sitio.

3. Por qué recolectamos, finalidad y base legal

Cada categoría de dato es tratada con finalidad específica y base legal declarada, conforme al art. 7º de la LGPD:

CategoríaFinalidadBase legal LGPD
Lead form (turista)Establecer contacto comercial para cerrar servicio de fotografía o videografíaArt. 7º, V, ejecución de procedimientos preliminares relacionados a contrato
Registro de parceiroEvaluar candidatura y formalizar relación contractual con el parceiro seleccionadoArt. 7º, V, ejecución de procedimientos preliminares relacionados a contrato
Parámetros UTM, gclid, fbclid y referrerMedir efectividad agregada de las campañas de marketingArt. 7º, IX, legítimo interés, con tratamiento en base agregada y sin identificación individual
Dirección IP truncada en los logsAuditoría temporal de las peticiones y detección de incidentes de seguridadArt. 7º, IX, legítimo interés, con finalidad exclusiva de seguridad de la información
Dirección IP completa en el rate limiting (TTL 1 minuto)Prevención de abuso, spam y ataques automatizadosArt. 7º, IX, legítimo interés, con finalidad exclusiva de seguridad de la información
Cookies analíticas (Google Analytics 4)Medir tráfico agregado y patrones de navegación para mejorar el contenido del sitioArt. 7º, I, consentimiento, recolectado vía banner de cookies antes del cargamento de los cookies

La evaluación de impacto sobre los tratamientos basados en legítimo interés consideró: (a) la finalidad legítima y específica de cada tratamiento, (b) la necesidad del tratamiento para alcanzar la finalidad, (c) el impacto mínimo sobre el titular, y (d) la ausencia de medio menos invasivo para el mismo objetivo. Los tratamientos respetan las legítimas expectativas del titular y los principios del art. 6º de la LGPD.

4. Con quién compartimos, operadores

Para operar el sitio y los formularios, contratamos proveedores de infraestructura (operadores, conforme al art. 5º, VII de la LGPD) que reciben datos en la medida estrictamente necesaria para la prestación del servicio.

OperadorFinalidadLocalización del procesamientoBase contractual
Vercel Inc.Hospedaje del sitio y de los endpoints de la APIEstados UnidosCláusulas contractuales aplicables conforme a los Términos de Uso de Vercel, incluyendo el Data Processing Addendum publicado por el proveedor
Supabase Inc.Banco de datos PostgreSQL donde los formularios son almacenadosSão Paulo, Brasil (región sa-east-1)Cláusulas contractuales aplicables conforme a los Términos de Uso de Supabase, incluyendo el Data Processing Addendum publicado por el proveedor
Resend Inc.Envío de emails de notificación a los socios sobre nuevos registros recibidosEstados UnidosCláusulas contractuales aplicables conforme a los Términos de Uso de Resend, incluyendo el Data Processing Addendum publicado por el proveedor
Upstash Inc.Cache temporario de direcciones IP (TTL de 1 minuto) para prevención de abuso vía rate limitingSão Paulo, Brasil (región sa-east-1)Cláusulas contractuales aplicables conforme a los Términos de Uso de Upstash, incluyendo el Data Processing Addendum publicado por el proveedor
Google LLCRecolección de métricas de tráfico agregadas vía Google Analytics 4, exclusivamente después de tu consentimiento explícito en el banner de cookiesEstados UnidosCláusulas contractuales aplicables conforme a los Términos de Uso de Google Analytics, incluyendo los Data Processing Terms publicados por el proveedor

Ninguno de estos operadores está autorizado a tratar los datos para finalidades propias más allá de las estrictamente necesarias para la ejecución del servicio contratado por Madalena. No compartimos tus datos con anunciantes, redes sociales (exceptuadas métricas agregadas anónimas), data brokers o cualquier tercero que no esté listado arriba.

5. Por cuánto tiempo retenemos tus datos

Cada categoría de dato tiene plazo de retención definido con base en la finalidad del tratamiento y en los plazos legales aplicables:

CategoríaPlazo de retención
Lead no convertido (turista que no cerró servicio)24 meses a contar de la fecha del envío del formulario
Cliente con contrato cerrado5 años después del término del servicio, conforme al plazo prescripcional civil
Registro de parceiro no aprobado12 meses a contar de la fecha del envío del formulario
Parceiro activoMientras dure la relación contractual, más 5 años después del término
Dirección IP completa en el cache de rate limiting1 minuto (TTL automático en el proveedor Upstash)
Logs de aplicación, sin datos personales identificables y con IP truncadaConforme a la política de retención del proveedor de hospedaje (Vercel, en el plan contratado, retiene logs por aproximadamente 1 hora)
Cookie de consentimiento propio (madalena.consent)12 meses a contar de la elección; después de ese período, el banner es exhibido nuevamente para nueva manifestación
Cookies del Google Analytics 4 (_ga, _ga_*)2 años a contar de la última visita, conforme a la política de Google

Después del decurso del plazo de retención, los datos son eliminados o anonimizados, excepto cuando hubiere obligación legal de mantenimiento en plazo superior, como registros fiscales y contables exigidos por la legislación aplicable.

6. Tus derechos como titular

Como titular de los datos personales, tienes los derechos previstos en el art. 18 de la LGPD:

  • Confirmación de la existencia de tratamiento de tus datos personales.
  • Acceso a los datos que mantenemos sobre ti.
  • Corrección de datos incompletos, inexactos o desactualizados.
  • Anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en disconformidad con la LGPD.
  • Portabilidad de tus datos a otro proveedor de servicio, en formato estructurado e interoperable.
  • Eliminación de los datos personales tratados con base en consentimiento.
  • Información sobre las entidades públicas y privadas con las cuales compartimos tus datos.
  • Información sobre la posibilidad de no proveer consentimiento y sus consecuencias.
  • Revocación del consentimiento en cualquier momento, mediante manifestación expresa.
  • Revisión de decisiones tomadas únicamente con base en tratamiento automatizado de datos que afecten tus intereses, cuando aplicable (no realizamos ese tipo de tratamiento, conforme al ítem 2.4 de esta Política).

Adicionalmente, puedes presentar reclamación ante la Autoridad Nacional de Protección de Datos (ANPD), órgano fiscalizador de la LGPD, por los canales oficiales publicados por la autoridad.

Cómo ejercer tus derechos: envía tu solicitud para contato@somosmadalena.com.br. Atendemos en hasta 15 (quince) días, conforme al art. 19, §1º de la LGPD. Si fuere necesaria comprobación adicional de identidad para evitar fraude o acceso indebido por tercero, solicitaremos los elementos mínimos pertinentes.

7. Cookies y tecnologías similares

Utilizamos cookies en dos categorías, conforme detallado en el banner de consentimiento exhibido en tu primera visita al sitio. Tu elección puede ser alterada en cualquier momento vía link "Preferencias de cookies" en el pie de página del sitio.

7.1 Cookies esenciales (siempre activos)

Necesarios para el funcionamiento del sitio. No exigen consentimiento previo, conforme al entendimiento consolidado de protección de datos.

CookieFinalidadProveedorDuración
madalena.consentAlmacenar tu elección sobre cookies analíticos, evitando que el banner reaparezca a cada visitaMadalena (cookie propio, grabado client-side)12 meses

7.2 Cookies analíticos (solamente después de tu consentimiento explícito)

Cargados solamente después de que optes por aceptarlos en el banner de consentimiento. Antes de tu elección, esos cookies no son grabados y ningún dato es enviado a Google.

CookieFinalidadProveedorDuración
_gaDistinguir usuarios únicos para medición de tráfico agregadoGoogle Analytics 42 años
_ga_4BJQRQZP99Persistir el estado de la sesión del usuario en el Google Analytics 4 (vinculado al Measurement ID G-4BJQRQZP99)Google Analytics 42 años

La configuración del Google Analytics 4 utiliza el Consent Mode v2 con analytics_storage definido como denied por defecto hasta que el consentimiento sea concedido. La dirección IP es anonimizada por Google antes de cualquier procesamiento, conforme a la política de producto declarada por el proveedor.

8. Cómo protegemos tus datos

Adoptamos medidas técnicas y administrativas en cinco capas para proteger tus datos:

  1. Capa de aplicación: validación rigurosa de entrada con schemas tipados y límites de tamaño en todos los campos, mecanismo honeypot anti-bot, rate limiting vía Upstash, logs estructurados sin datos personales identificables, dirección IP truncada en los registros persistidos.
  2. Capa de transporte: comunicación obligatoria sobre HTTPS/TLS, con Strict-Transport-Security activo. El navegador es instruido a siempre usar conexión criptografada con el sitio, incluso en primera visita después del opt-in.
  3. Capa de banco de datos: Row-Level Security activada por defecto en el Supabase en todas las tablas con datos personales, separación entre llaves de lectura/escritura del servidor (service_role) y llaves públicas con acceso restricto (anon), criptografía en reposo provista por el proveedor.
  4. Capa de credenciales y secretos: todas las llaves de API y credenciales almacenadas en variables de ambiente, fuera del control de versión. Rotación periódica de llaves. Autenticación de dos factores en todas las cuentas administrativas (GitHub, Vercel, Supabase, Resend, Upstash, Registro.br, Google).
  5. Capa de operación: monitoreo continuo de logs estructurados, revisión periódica de accesos administrativos y procedimiento documentado de respuesta a incidentes.

En caso de incidente de seguridad que afecte tus datos personales, comunicaremos a la ANPD y a los titulares afectados en plazo razonable, conforme al art. 48 de la LGPD, con indicación clara del alcance, de la naturaleza de los datos involucrados, de las medidas adoptadas para mitigar el impacto y de las recomendaciones de autoprotección a los afectados.

9. Transferencia internacional de datos

Algunos operadores listados en el ítem 4 están localizados fuera de Brasil:

  • Vercel (Estados Unidos), responsable por el hospedaje del sitio.
  • Resend (Estados Unidos), responsable por el envío de las notificaciones por email a los socios.
  • Google (Estados Unidos), responsable por los cookies analíticos, con tratamiento condicionado a tu consentimiento explícito.

Esas transferencias cumplen el art. 33 de la LGPD por medio de:

  • Cláusulas contractuales aplicables conforme a los Términos de Uso de cada proveedor, incluyendo los Data Processing Addenda publicados por los operadores.
  • Evaluación de adecuación de los países de destino, considerando los mecanismos de protección contractuales y las certificaciones de seguridad publicadas por los proveedores.
  • Principio de minimización aplicado tanto a la cantidad como a la sensibilidad de los datos transferidos.

Los operadores Supabase y Upstash, que almacenan los datos personales propiamente dichos (formularios y cache de rate limiting), operan en servidores localizados en São Paulo, Brasil (región sa-east-1). No hay transferencia internacional de los datos almacenados en esa infraestructura.

10. Encargado por el tratamiento de datos

Madalena se enmarca como Microempresa (ME) en los términos de la Lei Complementar nº 123/2006 y está sujeta al régimen simplificado de la Resolución CD/ANPD nº 2/2022, que dispone sobre la aplicación de la LGPD a agentes de tratamiento de pequeño porte.

Conforme a esa Resolución, agentes de tratamiento de pequeño porte están dispensados de la obligación de indicar formalmente Encargado por el Tratamiento de Datos Personales, siempre que sea mantenido canal abierto y eficiente de comunicación con los titulares y con la Autoridad Nacional de Protección de Datos.

Como medida adicional de transparencia, designamos voluntariamente un responsable por el canal de comunicación:

Jonathan da Silva Sousa, socio fundador de Madalena.

Canal de comunicación: contato@somosmadalena.com.br

Solicitudes relacionadas a derechos del titular, dudas sobre el tratamiento de datos personales o cualquier comunicación relativa a esta Política deben ser direccionadas exclusivamente a este canal, garantizando trilla auditable escrita de las interacciones.

Madalena no cuenta con departamento jurídico interno en ejercicio. Demandas legales específicas, cuando necesarias, son encaminadas a consultoría jurídica externa contratada para ese fin.

11. Actualizaciones de esta Política

Esta Política puede ser actualizada periódicamente para reflejar cambios en los servicios ofrecidos, en la legislación aplicable o en las prácticas de protección de datos.

Actualizaciones materiales, entendidas como aquellas que alteran sustancialmente las bases legales declaradas, las finalidades del tratamiento, los plazos de retención, los derechos del titular o las transferencias internacionales, serán comunicadas con antecedencia mínima de 30 días por:

  • Email, a los titulares cuyo contacto mantenemos.
  • Aviso destacado en el sitio, durante toda la ventana de antecedencia.

La versión vigente está siempre disponible en la página /privacidade, con indicación de la fecha de la última revisión.

Última actualización: 8 de mayo de 2026

12. Cómo hablar con nosotros

Para cualquier duda, solicitud o comunicación relacionada a esta Política de Privacidad o al tratamiento de datos personales por Madalena:

Email: contato@somosmadalena.com.br

Mantenemos ese canal como única vía formal para el ejercicio de derechos por el titular, garantizando trilla auditable escrita de todas las interacciones. La atención ocurre en hasta 15 (quince) días de la fecha de recibimiento, conforme al art. 19, §1º de la LGPD.

preferencias de cookies

tú decides qué activar. cookies esenciales quedan siempre activos, pues sin ellos el sitio no funciona.

política de privacidad, versión resumida

política completa en desarrollo, será publicada en breve. mientras tanto, los puntos esenciales bajo la LGPD:

controlador
Madalena (razón social en emisión).
finalidad
medir el uso agregado del sitio, sin identificarte individualmente.
base legal
consentimiento (art. 7º, I, Lei nº 13.709/2018, LGPD).
canal de ejercicio de derechos
contato@somosmadalena.com.br
cómo revocar
clic en "preferencias de cookies" en el pie de página del sitio.