Política de Privacidade
1. Quem somos
A Madalena é um marketplace que conecta turistas em visita ao Rio de Janeiro a videomakers e fotógrafos locais, com proposta editorial de registro autoral feito por moradores da cidade.
Esta Política de Privacidade descreve como tratamos os dados pessoais coletados nos formulários e na navegação do site, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018, "LGPD").
Controlador dos dados (responsável legal pelo tratamento, conforme art. 5º, VI da LGPD):
- Razão social: MADALENA PRODUÇÕES CRIATIVAS LTDA
- CNPJ: 66.676.716/0001-11
- Endereço: R. Cardeal Dom Sebastião Leme, 93, Apt 302, Santa Teresa, Rio de Janeiro/RJ, CEP 20.240-012
- Canal para titulares: contato@somosmadalena.com.br
2. Quais dados coletamos
2.1 Quando você preenche o formulário "aproveitar" (lead form da home)
Coletamos os dados que você nos informa voluntariamente:
- Nome.
- E-mail.
- Telefone, com código do país.
- Continente, país e estado de origem.
- Data e horário pretendidos da viagem.
- Forma de contato preferida (e-mail, WhatsApp ou Telegram).
Adicionalmente, coletamos automaticamente no momento do envio:
- Parâmetros de campanha de marketing presentes na URL de entrada (utm_source, utm_medium, utm_campaign, utm_term, utm_content, gclid, fbclid) e o referrer (site de origem do clique).
- Endereço IP truncado a /24 para IPv4 e /48 para IPv6, retido nos logs do servidor para fins de auditoria temporal e detecção de incidentes. A truncagem agrega seu endereço em uma sub-rede e não permite identificação individual.
2.2 Quando você se cadastra como parceiro (página /ser-parceiro)
Coletamos:
- Nome completo, e-mail, número de WhatsApp, perfil do Instagram, endereço.
- Atuação principal, escolaridade, link de portfólio, equipamento de trabalho, outras ocupações.
- Textos de motivação, valores praticados e identificação com a marca.
2.3 Coleta automática para prevenção de abuso
No momento do envio de qualquer formulário, o endereço IP completo da sua conexão é consultado em cache temporário (rate limiting) por até 1 minuto, para verificar se o número de envios consecutivos excede limites técnicos definidos. Após esse período, o registro expira automaticamente do cache e não é recuperável. Esta medida protege os formulários contra abuso automatizado, spam e ataques de negação de serviço.
2.4 O que não coletamos
- Não usamos cookies de terceiros para fins de marketing direcionado, retargeting ou enriquecimento de perfil de usuário.
- Não vendemos, alugamos ou trocamos dados pessoais com terceiros, em nenhuma circunstância.
- Não realizamos profiling automatizado para tomar decisões com efeito jurídico ou que afetem materialmente o titular.
- Não coletamos dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados de saúde, vida sexual, dados genéticos ou biométricos), nos termos do art. 5º, II da LGPD, em nenhum dos formulários do site.
3. Por que coletamos, finalidade e base legal
Cada categoria de dado é tratada com finalidade específica e base legal declarada, conforme o art. 7º da LGPD:
| Categoria | Finalidade | Base legal LGPD |
|---|---|---|
| Lead form (turista) | Estabelecer contato comercial para fechar serviço de fotografia ou videografia | Art. 7º, V, execução de procedimentos preliminares relacionados a contrato |
| Cadastro de parceiro | Avaliar candidatura e formalizar relação contratual com o parceiro selecionado | Art. 7º, V, execução de procedimentos preliminares relacionados a contrato |
| Parâmetros UTM, gclid, fbclid e referrer | Medir efetividade agregada das campanhas de marketing | Art. 7º, IX, legítimo interesse, com tratamento em base agregada e sem identificação individual |
| Endereço IP truncado nos logs | Auditoria temporal das requisições e detecção de incidentes de segurança | Art. 7º, IX, legítimo interesse, com finalidade exclusiva de segurança da informação |
| Endereço IP completo no rate limiting (TTL 1 minuto) | Prevenção de abuso, spam e ataques automatizados | Art. 7º, IX, legítimo interesse, com finalidade exclusiva de segurança da informação |
| Cookies analíticos (Google Analytics 4) | Medir tráfego agregado e padrões de navegação para melhorar o conteúdo do site | Art. 7º, I, consentimento, coletado via banner de cookies antes do carregamento dos cookies |
A avaliação de impacto sobre os tratamentos baseados em legítimo interesse considerou: (a) a finalidade legítima e específica de cada tratamento, (b) a necessidade do tratamento para alcançar a finalidade, (c) o impacto mínimo sobre o titular, e (d) a ausência de meio menos invasivo para o mesmo objetivo. Os tratamentos respeitam as legítimas expectativas do titular e os princípios do art. 6º da LGPD.
4. Com quem compartilhamos, operadores
Para operar o site e os formulários, contratamos provedores de infraestrutura (operadores, conforme o art. 5º, VII da LGPD) que recebem dados na medida estritamente necessária à prestação do serviço.
| Operador | Finalidade | Localização do processamento | Base contratual |
|---|---|---|---|
| Vercel Inc. | Hospedagem do site e dos endpoints da API | Estados Unidos | Cláusulas contratuais aplicáveis conforme os Termos de Uso da Vercel, incluindo o Data Processing Addendum publicado pelo provedor |
| Supabase Inc. | Banco de dados PostgreSQL onde os formulários são armazenados | São Paulo, Brasil (região sa-east-1) | Cláusulas contratuais aplicáveis conforme os Termos de Uso da Supabase, incluindo o Data Processing Addendum publicado pelo provedor |
| Resend Inc. | Envio de e-mails de notificação aos sócios sobre novos cadastros recebidos | Estados Unidos | Cláusulas contratuais aplicáveis conforme os Termos de Uso da Resend, incluindo o Data Processing Addendum publicado pelo provedor |
| Upstash Inc. | Cache temporário de endereços IP (TTL de 1 minuto) para prevenção de abuso via rate limiting | São Paulo, Brasil (região sa-east-1) | Cláusulas contratuais aplicáveis conforme os Termos de Uso da Upstash, incluindo o Data Processing Addendum publicado pelo provedor |
| Google LLC | Coleta de métricas de tráfego agregadas via Google Analytics 4, exclusivamente após o seu consentimento explícito no banner de cookies | Estados Unidos | Cláusulas contratuais aplicáveis conforme os Termos de Uso do Google Analytics, incluindo os Data Processing Terms publicados pelo provedor |
Nenhum desses operadores está autorizado a tratar os dados para finalidades próprias além das estritamente necessárias à execução do serviço contratado pela Madalena. Não compartilhamos seus dados com anunciantes, redes sociais (excetuadas métricas agregadas anônimas), data brokers ou qualquer terceiro que não esteja listado acima.
5. Por quanto tempo retemos seus dados
Cada categoria de dado tem prazo de retenção definido com base na finalidade do tratamento e nos prazos legais aplicáveis:
| Categoria | Prazo de retenção |
|---|---|
| Lead não-convertido (turista que não fechou serviço) | 24 meses a contar da data do envio do formulário |
| Cliente com contrato fechado | 5 anos após o término do serviço, conforme prazo prescricional civil |
| Cadastro de parceiro não aprovado | 12 meses a contar da data do envio do formulário |
| Parceiro ativo | Enquanto durar a relação contratual, mais 5 anos após o término |
| Endereço IP completo no cache de rate limiting | 1 minuto (TTL automático no provedor Upstash) |
| Logs de aplicação, sem dados pessoais identificáveis e com IP truncado | Conforme política de retenção do provedor de hospedagem (Vercel, no plano contratado, retém logs por aproximadamente 1 hora) |
| Cookie de consentimento próprio (madalena.consent) | 12 meses a contar da escolha; após esse período, o banner é exibido novamente para nova manifestação |
| Cookies do Google Analytics 4 (_ga, _ga_*) | 2 anos a contar da última visita, conforme política do Google |
Após o decurso do prazo de retenção, os dados são eliminados ou anonimizados, exceto quando houver obrigação legal de manutenção em prazo superior, como registros fiscais e contábeis exigidos pela legislação aplicável.
6. Seus direitos como titular
Como titular dos dados pessoais, você tem os direitos previstos no art. 18 da LGPD:
- Confirmação da existência de tratamento dos seus dados pessoais.
- Acesso aos dados que mantemos sobre você.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade dos seus dados a outro fornecedor de serviço, em formato estruturado e interoperável.
- Eliminação dos dados pessoais tratados com base em consentimento.
- Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
- Revogação do consentimento a qualquer momento, mediante manifestação expressa.
- Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados que afetem seus interesses, quando aplicável (não realizamos esse tipo de tratamento, conforme item 2.4 desta Política).
Adicionalmente, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), órgão fiscalizador da LGPD, pelos canais oficiais publicados pela autoridade.
Como exercer seus direitos: envie sua solicitação para contato@somosmadalena.com.br. Atendemos em até 15 (quinze) dias, conforme o art. 19, §1º da LGPD. Se for necessária comprovação adicional de identidade para evitar fraude ou acesso indevido por terceiro, solicitaremos os elementos mínimos pertinentes.
7. Cookies e tecnologias semelhantes
Utilizamos cookies em duas categorias, conforme detalhado no banner de consentimento exibido na sua primeira visita ao site. Sua escolha pode ser alterada a qualquer momento via link "Preferências de cookies" no rodapé do site.
7.1 Cookies essenciais (sempre ativos)
Necessários ao funcionamento do site. Não exigem consentimento prévio, conforme entendimento consolidado de proteção de dados.
| Cookie | Finalidade | Provedor | Duração |
|---|---|---|---|
| madalena.consent | Armazenar a sua escolha sobre cookies analíticos, evitando que o banner reapareça a cada visita | Madalena (cookie próprio, gravado client-side) | 12 meses |
7.2 Cookies analíticos (somente após o seu consentimento explícito)
Carregados apenas após você optar por aceitá-los no banner de consentimento. Antes da sua escolha, esses cookies não são gravados e nenhum dado é enviado ao Google.
| Cookie | Finalidade | Provedor | Duração |
|---|---|---|---|
| _ga | Distinguir usuários únicos para medição de tráfego agregado | Google Analytics 4 | 2 anos |
| _ga_4BJQRQZP99 | Persistir o estado da sessão do usuário no Google Analytics 4 (vinculado ao Measurement ID G-4BJQRQZP99) | Google Analytics 4 | 2 anos |
A configuração do Google Analytics 4 utiliza o Consent Mode v2 com analytics_storage definido como denied por padrão até o consentimento ser concedido. O endereço IP é anonimizado pelo Google antes de qualquer processamento, conforme a política de produto declarada pelo provedor.
8. Como protegemos seus dados
Adotamos medidas técnicas e administrativas em cinco camadas para proteger seus dados:
- Camada de aplicação: validação rigorosa de entrada com schemas tipados e limites de tamanho em todos os campos, mecanismo honeypot anti-bot, rate limiting via Upstash, logs estruturados sem dados pessoais identificáveis, endereço IP truncado nos registros persistidos.
- Camada de transporte: comunicação obrigatória sobre HTTPS/TLS, com Strict-Transport-Security ativo. O navegador é instruído a sempre usar conexão criptografada com o site, mesmo em primeira visita após o opt-in.
- Camada de banco de dados: Row-Level Security ativada por padrão no Supabase em todas as tabelas com dados pessoais, separação entre chaves de leitura/escrita do servidor (service_role) e chaves públicas com acesso restrito (anon), criptografia em repouso fornecida pelo provedor.
- Camada de credenciais e segredos: todas as chaves de API e credenciais armazenadas em variáveis de ambiente, fora do controle de versão. Rotação periódica de chaves. Autenticação de dois fatores em todas as contas administrativas (GitHub, Vercel, Supabase, Resend, Upstash, Registro.br, Google).
- Camada de operação: monitoramento contínuo de logs estruturados, revisão periódica de acessos administrativos e procedimento documentado de resposta a incidentes.
Em caso de incidente de segurança que afete seus dados pessoais, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme o art. 48 da LGPD, com indicação clara do escopo, da natureza dos dados envolvidos, das medidas adotadas para mitigar o impacto e das recomendações de autoproteção aos afetados.
9. Transferência internacional de dados
Alguns operadores listados no item 4 estão localizados fora do Brasil:
- Vercel (Estados Unidos), responsável pela hospedagem do site.
- Resend (Estados Unidos), responsável pelo envio das notificações por e-mail aos sócios.
- Google (Estados Unidos), responsável pelos cookies analíticos, com tratamento condicionado ao seu consentimento explícito.
Essas transferências cumprem o art. 33 da LGPD por meio de:
- Cláusulas contratuais aplicáveis conforme os Termos de Uso de cada provedor, incluindo os Data Processing Addenda publicados pelos operadores.
- Avaliação de adequação dos países de destino, considerando os mecanismos de proteção contratuais e as certificações de segurança publicadas pelos provedores.
- Princípio de minimização aplicado tanto à quantidade quanto à sensibilidade dos dados transferidos.
Os operadores Supabase e Upstash, que armazenam os dados pessoais propriamente ditos (formulários e cache de rate limiting), operam em servidores localizados em São Paulo, Brasil (região sa-east-1). Não há transferência internacional dos dados armazenados nessas infraestruturas.
10. Encarregado pelo tratamento de dados
A Madalena enquadra-se como Microempresa (ME) nos termos da Lei Complementar nº 123/2006 e está sujeita ao regime simplificado da Resolução CD/ANPD nº 2/2022, que dispõe sobre a aplicação da LGPD a agentes de tratamento de pequeno porte.
Conforme essa Resolução, agentes de tratamento de pequeno porte estão dispensados da obrigação de indicar formalmente Encarregado pelo Tratamento de Dados Pessoais, desde que mantido canal aberto e eficiente de comunicação com os titulares e com a Autoridade Nacional de Proteção de Dados.
Como medida adicional de transparência, designamos voluntariamente um responsável pelo canal de comunicação:
Jonathan da Silva Sousa, sócio fundador da Madalena.
Canal de comunicação: contato@somosmadalena.com.br
Solicitações relacionadas a direitos do titular, dúvidas sobre o tratamento de dados pessoais ou qualquer comunicação relativa a esta Política devem ser direcionadas exclusivamente a este canal, garantindo trilha auditável escrita das interações.
A Madalena não conta com departamento jurídico interno em exercício. Demandas legais específicas, quando necessárias, são encaminhadas a consultoria jurídica externa contratada para esse fim.
11. Atualizações desta Política
Esta Política pode ser atualizada periodicamente para refletir mudanças nos serviços oferecidos, na legislação aplicável ou nas práticas de proteção de dados.
Atualizações materiais, entendidas como aquelas que alterem substancialmente as bases legais declaradas, as finalidades do tratamento, os prazos de retenção, os direitos do titular ou as transferências internacionais, serão comunicadas com antecedência mínima de 30 dias por:
- E-mail, aos titulares cujo contato mantemos.
- Aviso destacado no site, durante toda a janela de antecedência.
A versão vigente está sempre disponível na página /privacidade, com indicação da data da última revisão.
Última atualização: 8 de maio de 2026
12. Como falar com a gente
Para qualquer dúvida, solicitação ou comunicação relacionada a esta Política de Privacidade ou ao tratamento de dados pessoais pela Madalena:
E-mail: contato@somosmadalena.com.br
Mantemos esse canal como única via formal para o exercício de direitos pelo titular, garantindo trilha auditável escrita de todas as interações. O atendimento ocorre em até 15 (quinze) dias da data do recebimento, conforme o art. 19, §1º da LGPD.