Agentto

Legal

Política de Privacidade

Última atualização: 18 de março de 2026

1. Identificação do Controlador

Esta Política de Privacidade é aplicada pela empresa responsável pela plataforma Agentto ("nós", "nosso" ou "Agentto"), controladora dos dados pessoais tratados no âmbito deste serviço, com endereço na Rua Visconde de Pirajá, 414, Ipanema, Rio de Janeiro — RJ, CEP 22410-003, e contato pelo e-mail contato@agentto.com.br.

Este documento foi elaborado em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e descreve, de forma clara e acessível (conforme exige o art. 9º, § 1º da LGPD), como coletamos, usamos, armazenamos, compartilhamos e protegemos os seus dados pessoais ao utilizar a plataforma Agentto, disponível em app.agentto.com.br.

2. Dados Coletados, Finalidades e Bases Legais

Coletamos apenas os dados estritamente necessários para a prestação do serviço. A seguir, detalhamos cada categoria de dado, a finalidade do tratamento e a base legal correspondente, conforme o art. 7º da LGPD.

2.1 Dados de Cadastro e Autenticação

  • Dados: nome completo e endereço de e-mail.
  • Finalidade: criar e gerenciar sua conta; enviar e-mails transacionais (confirmação de cadastro, recuperação de senha); identificar o usuário na plataforma.
  • Base legal: execução de contrato (art. 7º, V, LGPD) — o tratamento é indispensável para fornecer o serviço solicitado pelo usuário.

Sua senha nunca é armazenada em texto simples. O gerenciamento de senhas é feito pelo Supabase Auth, que aplica hash seguro (bcrypt) antes de qualquer armazenamento.

2.2 Dados de Perfil Profissional

  • Dados: telefone, endereço completo (logradouro, número, complemento, bairro, cidade, estado, CEP) e foto de perfil.
  • Finalidade: personalizar o perfil do profissional na plataforma e facilitar o preenchimento automático de formulários via ViaCEP.
  • Base legal: execução de contrato (art. 7º, V) e legítimo interesse do controlador em oferecer funcionalidades úteis ao usuário (art. 7º, IX). O fornecimento desses dados é opcional — a ausência não impede o uso das funcionalidades principais.

A foto de perfil é armazenada no Supabase Storage (região São Paulo). São aceitos apenas arquivos nos formatos JPG, PNG e WEBP, com tamanho máximo de 5 MB.

2.3 Dados de Eventos e Clientes do Profissional

  • Dados: nome do cliente do profissional, telefone do cliente, endereço do evento (incluindo CEP), data e horário, tipo de serviço, valor contratado, observações e registro de adiantamentos.
  • Finalidade: possibilitar que o profissional gerencie sua agenda e seus compromissos de forma organizada.
  • Base legal: execução de contrato (art. 7º, V) entre o Agentto e o profissional usuário.

Importante: os dados dos clientes do profissional (nome, telefone, endereço do evento) são inseridos pelo próprio profissional. Nessa relação, o profissional é o controlador dos dados dos seus clientes, e o Agentto atua como operador, processando esses dados exclusivamente para viabilizar o serviço contratado. O profissional é responsável por ter base legal adequada para tratar os dados dos seus próprios clientes.

2.4 Dados Financeiros

  • Dados: valores de serviço, sinal pago, adiantamentos e totais recebidos por evento, conforme registrado pelo próprio profissional.
  • Finalidade: fornecer controle financeiro e indicadores de desempenho no dashboard do profissional.
  • Base legal: execução de contrato (art. 7º, V).

O Agentto não processa pagamentos e não armazena dados de cartão de crédito. Os valores registrados na plataforma são informações inseridas manualmente pelo próprio profissional.

2.5 Dados de Uso e Navegação

  • Dados: informações agregadas e anonimizadas sobre navegação e interações com a plataforma (via Vercel Analytics e Speed Insights).
  • Finalidade: analisar o uso da plataforma, identificar problemas de performance e melhorar a experiência do usuário.
  • Base legal: consentimento (art. 7º, I) — esses recursos só são ativados após o usuário aceitar cookies de analytics no banner exibido na primeira visita ao site.

2.6 Dados de Log e Segurança

  • Dados: endereço IP e timestamps de requisições, utilizados exclusivamente para controle de taxa de acesso (rate limiting) e monitoramento de segurança.
  • Finalidade: prevenir abusos, ataques de força bruta e garantir a disponibilidade da plataforma.
  • Base legal: legítimo interesse do controlador em proteger a segurança da plataforma e de seus usuários (art. 7º, IX).

Os endereços IP usados para rate limiting são processados temporariamente pelo Upstash Redis (janelas de 1 a 5 minutos) e não são armazenados de forma permanente.

2.7 Dados de Monitoramento de Erros

  • Dados: stack traces, mensagens de erro e informações de contexto técnico (sem dados pessoais identificáveis) enviados ao Sentry.
  • Finalidade: identificar e corrigir bugs na plataforma para garantir estabilidade e qualidade do serviço.
  • Base legal: legítimo interesse do controlador em manter a qualidade e a segurança do serviço (art. 7º, IX).

3. Compartilhamento de Dados com Terceiros

Não vendemos, alugamos nem compartilhamos seus dados pessoais com terceiros para fins de marketing ou publicidade. Os dados são compartilhados apenas com os fornecedores de infraestrutura listados abaixo, que são contratualmente obrigados a tratar os dados com segurança e apenas para as finalidades estabelecidas:

Supabase Inc. (EUA)

Dados compartilhados: todos os dados da conta, perfil, eventos e fotos de perfil.

Finalidade: banco de dados PostgreSQL, autenticação de usuários (Supabase Auth) e armazenamento de arquivos (Supabase Storage).

Localização dos dados: os servidores de banco de dados e storage estão configurados na região São Paulo (sa-east-1), dentro do território nacional.

Base legal para compartilhamento: execução de contrato (art. 7º, V). Salvaguarda para transferência internacional: cláusulas contratuais padrão conforme art. 33, II da LGPD e Standard Contractual Clauses (SCCs) da União Europeia adotadas pelo Supabase.

Política de Privacidade do Supabase

Vercel Inc. (EUA)

Dados compartilhados: dados de navegação anonimizados (Analytics e Speed Insights), somente após consentimento; requisições HTTP processadas pela infraestrutura de CDN e edge.

Finalidade: hospedagem da aplicação, entrega de conteúdo via CDN global e análise de desempenho.

Localização dos dados: servidores nos EUA e pontos de presença globais (CDN). Trata-se de transferência internacional de dados.

Base legal para compartilhamento e transferência internacional: execução de contrato (art. 7º, V) para infraestrutura; consentimento (art. 7º, I) para analytics. Salvaguarda: Data Processing Addendum (DPA) da Vercel com SCCs.

Política de Privacidade da Vercel

Functional Software Inc. — Sentry (EUA)

Dados compartilhados: informações técnicas de erros (stack traces, URL da requisição, tipo de navegador). Não incluem dados pessoais identificáveis intencionalmente.

Finalidade: monitoramento de erros e estabilidade da plataforma.

Base legal para compartilhamento: legítimo interesse (art. 7º, IX). Salvaguarda para transferência internacional: DPA com SCCs.

Política de Privacidade do Sentry

Upstash Inc. (EUA)

Dados compartilhados: endereço IP do usuário, processado temporariamente para controle de taxa de requisições.

Finalidade: rate limiting distribuído para proteção contra abusos e ataques.

Localização: instância configurada na região São Paulo. Os dados são transitórios (janelas de minutos) e não são armazenados de forma permanente.

Base legal para compartilhamento: legítimo interesse (art. 7º, IX).

Política de Privacidade do Upstash

VIPRO Tecnologia Ltda. — ViaCEP (Brasil)

Dados compartilhados: apenas o CEP digitado pelo usuário, para preenchimento automático do endereço.

Finalidade: facilitar o preenchimento de formulários de endereço.

Base legal: legítimo interesse (art. 7º, IX). Dados processados no Brasil.

Cloudflare Inc. (EUA)

Dados compartilhados: requisições DNS e tráfego de rede (endereços IP), processados pela infraestrutura de DNS e proteção contra DDoS.

Finalidade: resolução de DNS, proteção contra ataques e distribuição de conteúdo.

Base legal: legítimo interesse (art. 7º, IX). Salvaguarda: DPA com SCCs.

Política de Privacidade da Cloudflare

4. Transferência Internacional de Dados

Alguns de nossos fornecedores de infraestrutura têm sede nos Estados Unidos (Vercel, Sentry, Upstash, Cloudflare, Supabase), o que implica transferência internacional de dados pessoais. Essas transferências são realizadas com as seguintes salvaguardas, conforme o art. 33 da LGPD:

  • Cláusulas contratuais padrão (Standard Contractual Clauses — SCCs) reconhecidas por autoridades de proteção de dados;
  • Acordos de processamento de dados (Data Processing Addenda — DPAs) firmados com cada fornecedor;
  • Compromisso dos fornecedores com normas equivalentes ou superiores de proteção de dados.

Os dados de banco de dados e armazenamento de arquivos são mantidos no Brasil (região São Paulo da Supabase), minimizando as transferências internacionais de dados de conteúdo.

5. Cookies e Tecnologias de Rastreamento

5.1 Cookies Essenciais (sempre ativos)

Utilizamos cookies httpOnly de sessão gerenciados pelo Supabase Auth para manter você autenticado na plataforma. Esses cookies são estritamente necessários para o funcionamento do serviço e não podem ser desativados sem prejudicar a experiência de uso.

  • Nome: cookies de sessão Supabase (sb-*)
  • Finalidade: autenticação e manutenção de sessão
  • Duração: sessão (expiram ao fechar o navegador ou após o logout)
  • Base legal: execução de contrato (art. 7º, V)

5.2 Cookies de Analytics (mediante consentimento)

Somente após o seu consentimento expresso via banner de cookies, ativamos os seguintes recursos de análise:

  • Vercel Analytics: coleta dados anonimizados de pageviews e origens de tráfego.
  • Vercel Speed Insights: coleta métricas de performance (Core Web Vitals) de forma anonimizada.

Sua preferência de consentimento é armazenada no localStorage do seu navegador sob a chave agentto_cookie_consent. Você pode alterar ou revogar seu consentimento a qualquer momento limpando os dados de site no seu navegador ou entrando em contato conosco.

5.3 Como gerenciar cookies

Você pode configurar seu navegador para bloquear ou alertar sobre cookies. Note que bloquear cookies essenciais impedirá o funcionamento correto da autenticação na plataforma.

6. Segurança dos Dados

Adotamos medidas técnicas e organizacionais adequadas ao risco para proteger seus dados pessoais contra acesso não autorizado, perda, alteração ou divulgação indevida, incluindo:

  • Criptografia em trânsito: toda comunicação entre o seu navegador e nossos servidores usa HTTPS/TLS.
  • Criptografia em repouso: dados armazenados no banco de dados e storage são criptografados pela Supabase.
  • Isolamento de dados (multi-tenant): Row Level Security (RLS) ativo em todas as tabelas do Supabase — cada usuário acessa apenas seus próprios dados.
  • Cookies httpOnly: os tokens de sessão são armazenados em cookies httpOnly, inacessíveis via JavaScript do navegador, reduzindo o risco de ataques XSS.
  • Rate limiting: controle de taxa de requisições para prevenir ataques de força bruta e abuso da API.
  • Headers de segurança HTTP: Content Security Policy (CSP) e demais headers de segurança configurados na aplicação.
  • Backups automáticos: realizados pela Supabase conforme o plano contratado.
  • Monitoramento de erros: via Sentry para identificação e resposta rápida a falhas.
  • Controle de acesso administrativo: acesso ao painel administrativo restrito a usuários com papel ADMIN, verificado em todas as requisições.

Apesar dessas medidas, nenhum sistema é 100% seguro. Em caso de incidente de segurança que possa afetar seus dados, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados conforme os prazos e procedimentos previstos na LGPD.

7. Prazo de Retenção dos Dados

Mantemos seus dados pessoais pelo período necessário para as finalidades descritas nesta política ou conforme exigido por lei:

  • Dados de conta e perfil: mantidos enquanto a conta estiver ativa. Após a exclusão da conta, removidos em até 30 dias dos nossos sistemas, ressalvados os casos abaixo.
  • Dados de eventos e financeiros: mantidos enquanto a conta estiver ativa. Removidos junto com a conta.
  • Foto de perfil: removida do Supabase Storage em até 30 dias após a exclusão da conta ou da foto.
  • Logs de segurança (IPs para rate limiting): retidos por no máximo 5 minutos no Upstash Redis (janelas temporárias).
  • Dados de monitoramento de erros (Sentry): retidos por 90 dias conforme política padrão do Sentry.
  • Dados de analytics (Vercel): retidos por 30 dias conforme política da Vercel Analytics.
  • Obrigações legais: quando a retenção por prazo maior for exigida por lei (ex.: obrigações fiscais, ordens judiciais), os dados serão mantidos pelo período legalmente exigido.

8. Seus Direitos como Titular dos Dados (LGPD, Art. 18)

A LGPD garante a você, como titular dos dados pessoais, os seguintes direitos, que podem ser exercidos a qualquer momento:

  • Confirmação e acesso (art. 18, I e II): confirmar se tratamos dados seus e obter cópia dos dados que mantemos sobre você.
  • Correção (art. 18, III): solicitar a correção de dados incompletos, inexatos ou desatualizados. Muitos dados podem ser corrigidos diretamente na seção "Configurações" da plataforma.
  • Anonimização, bloqueio ou eliminação (art. 18, IV): solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade (art. 18, V): solicitar a transferência dos seus dados a outro fornecedor de serviço, em formato estruturado e de leitura automatizada, observados os segredos comerciais e industriais.
  • Eliminação dos dados tratados com consentimento (art. 18, VI): solicitar a exclusão dos dados pessoais tratados com base no seu consentimento, como dados de analytics.
  • Informação sobre compartilhamento (art. 18, VII): obter informações sobre com quais entidades públicas e privadas compartilhamos seus dados.
  • Informação sobre a possibilidade de não consentir (art. 18, VIII): ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogação do consentimento (art. 18, IX): retirar o consentimento dado para tratamentos baseados nessa base legal (ex.: cookies de analytics), sem prejuízo da licitude dos tratamentos realizados antes da revogação.
  • Oposição (art. 18, § 2º): opor-se a tratamentos realizados com base em legítimo interesse, quando esses tratamentos violem seus direitos.
  • Petição à ANPD: apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) se entender que seus direitos foram violados.

Como exercer seus direitos

Para exercer qualquer dos direitos acima, entre em contato pelo e-mail contato@agentto.com.br com o assunto "Direitos LGPD" e descreva sua solicitação. Responderemos em até 15 dias úteis, conforme prazo razoável estabelecido pela LGPD. Podemos solicitar confirmação de identidade antes de processar a solicitação.

9. Dados de Menores de Idade

O Agentto é destinado exclusivamente a profissionais maiores de 18 anos. Não coletamos intencionalmente dados pessoais de menores de idade. Caso tome conhecimento de que coletamos dados de menores sem o consentimento adequado, removeremos esses dados imediatamente. Se você acredita que isso ocorreu, entre em contato pelo e-mail contato@agentto.com.br.

10. Alterações a esta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, novas funcionalidades ou alterações na legislação. Quando realizarmos mudanças significativas, notificaremos você por e-mail (no endereço cadastrado) ou através de aviso destacado na plataforma, com pelo menos 15 dias de antecedência. A data da última atualização é sempre indicada no topo deste documento.

O uso continuado da plataforma após a vigência das alterações implica aceitação da versão atualizada. Se você não concordar com as mudanças, poderá encerrar sua conta conforme descrito nos Termos de Uso.

11. Encarregado de Dados (DPO)

Nos termos do art. 41 da LGPD, o Agentto designa como encarregado pelo tratamento de dados pessoais o responsável pelo canal de contato abaixo, que é o ponto de comunicação entre o Agentto, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

  • E-mail: contato@agentto.com.br
  • Endereço postal: Rua Visconde de Pirajá, 414, Ipanema, Rio de Janeiro — RJ, CEP 22410-003

12. Lei Aplicável

Esta Política de Privacidade é regida pela legislação brasileira, especialmente pela Lei nº 13.709/2018 (LGPD) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990). Quaisquer disputas relacionadas ao tratamento de dados serão submetidas ao foro da Comarca do Rio de Janeiro/RJ, sem prejuízo do direito do titular de apresentar reclamação diretamente à ANPD.

Esta Política de Privacidade entra em vigor na data de sua publicação: 18 de março de 2026.