Política de Privacidade
1. Introdução e identificação do controlador
A One Eye (nome comercial da Del Grande Experiências LTDA), produtora do software Closby, respeita a sua privacidade e está comprometida com a proteção dos seus dados pessoais. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e compartilhamos suas informações quando você utiliza nossa plataforma de CRM disponível em closby.com.br.
Esta política está em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), as resoluções aplicáveis da ANPD e demais legislações aplicáveis.
Controlador dos dados pessoais
Razão social: Del Grande Experiências LTDA
Nome comercial: One Eye
CNPJ: 49.748.690/0001-50
Endereço: Rua Cônego José Norberto, 179, Sala 141, Vila Brasílio Machado, São Paulo — SP, CEP 04.288-080
E-mail: suporte@closby.com.br
2. Dados coletados
2.1 Dados fornecidos por você
- Nome completo e e-mail (cadastro e autenticação)
- Senha (armazenada com hash bcrypt — nunca em texto puro)
- CNPJ, razão social e telefone (perfil da empresa)
- Cargo e foto de perfil (opcionais)
- Dados de clientes e negociações que você cadastra na plataforma
- Documentos enviados (briefings, propostas) via upload
- Informações de pagamento (processadas diretamente pelo Stripe — não armazenamos dados de cartão de crédito)
2.2 Dados coletados automaticamente
- Endereço IP e informações do dispositivo (para segurança e prevenção de fraudes)
- Logs de acesso com timestamp (obrigatório pelo Art. 15 do Marco Civil da Internet)
- Dados de uso e navegação (páginas visitadas, tempo de sessão) via Vercel Analytics e Google Analytics 4 — coletados de forma agregada e anônima, apenas com seu consentimento. IP anonimizado antes do envio.
- Cookies de sessão e de preferências (detalhes na Política de Cookies)
2.3 Dados que não coletamos
- Dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, dado de saúde, biometria, dado genético, orientação sexual — art. 5º, II, LGPD)
- Dados de menores de 18 anos (veja seção 9)
- Número de cartão de crédito, CVV ou dados bancários
Papel sobre os dados que você cadastra: em relação aos dados de seus clientes e negociações inseridos por você na plataforma, a One Eye atua como operadora — processando-os sob suas instruções — e você é o controlador, responsável por garantir a base legal adequada (art. 7º da LGPD). Detalhes na página da LGPD e nos Termos de Uso.
3. Finalidade e base legal do tratamento
Tratamos seus dados com base nas hipóteses legais previstas no Art. 7º da LGPD:
- Execução do contrato (Art. 7º, V) — criação e manutenção da sua conta, prestação dos serviços contratados, cobrança e gestão de assinatura via Stripe.
- Legítimo interesse (Art. 7º, IX) — segurança da plataforma, prevenção de fraudes, logs de acesso obrigatórios por lei, melhorias no produto, prevenção de abuso.
- Consentimento (Art. 7º, I) — envio de e-mails de marketing e comunicados promocionais (você pode revogar a qualquer momento, sem custo).
- Obrigação legal (Art. 7º, II) — cumprimento de obrigações fiscais e tributárias, atendimento a ordens judiciais e requisições de autoridades competentes (Receita Federal, ANPD, Poder Judiciário).
4. Compartilhamento de dados
Não vendemos seus dados pessoais. Compartilhamos informações apenas com prestadores de serviço que atuam como operadores sob nossas instruções e mediante Acordo de Processamento de Dados (DPA):
- Supabase — banco de dados e armazenamento de arquivos. Infraestrutura com opção de servidores no Brasil.
- Stripe — processamento de pagamentos. Certificado PCI DSS Nível 1.
- Resend — envio de e-mails transacionais (confirmações, notificações de sistema).
- Vercel — hospedagem, edge computing e analytics anônimo de desempenho.
- Sentry — monitoramento de erros. Dados de stack trace processados de forma anonimizada.
- Upstash — cache Redis para controle de rate limiting. Não armazena dados pessoais.
- Google LLC — analytics de tráfego e comportamento de navegação de forma agregada e anônima, via Google Analytics 4, apenas com seu consentimento. Endereço IP anonimizado antes do envio. EUA — DPA assinado + Cláusulas Contratuais Padrão compatíveis com a LGPD (Art. 33).
Integração com o Google Calendar (opcional): se você conectar sua conta Google, o Closby usa a permissão de criar eventos(Google Calendar API, escopo "calendar.events") para criar lembretes de follow-up na sua agenda. Enviamos ao Google apenas os dados do evento (cliente, tipo, valor e o link do negócio). Não lemos sua agenda nem acessamos outros dados. Você concede essa permissão explicitamente no login do Google e pode revogá-la a qualquer momento em Configurações → Integrações — os tokens são apagados na hora.
Também podemos compartilhar dados quando exigido por lei, ordem judicial ou regulatória. Em caso de fusão, aquisição ou venda de ativos da One Eye, seus dados poderão ser transferidos ao adquirente; você será notificado com antecedência mínima de 30 dias.
5. Retenção de dados
- Dados de conta: mantidos enquanto a conta estiver ativa
- Exclusão da conta: seus dados pessoais são anonimizados imediatamente, sem janela de recuperação — a exclusão não pode ser desfeita
- Logs de acesso: 6 meses (obrigação legal — Art. 15 do Marco Civil da Internet)
- Dados fiscais e de pagamento: 5 anos (obrigação tributária — CTN e legislação correlata)
- Registros de consentimento (LGPD): 5 anos a partir da revogação
Você pode excluir sua conta a qualquer momento em Configurações → Conta e Dados. A anonimização dos dados pessoais é imediata, ressalvadas as hipóteses de retenção obrigatória por lei (logs de acesso, dados fiscais e registros de consentimento, acima).
6. Segurança dos dados
Adotamos medidas técnicas e organizacionais proporcionais ao risco, nos termos do Art. 46 da LGPD:
- Transmissão via HTTPS/TLS 1.2+ em todas as conexões
- Senhas armazenadas com hash bcrypt (fator 12)
- Sessão autenticada via token JWT assinado, com expiração definida e revalidação periódica das permissões do usuário
- Cookies de sessão com atributos httpOnly, Secure e SameSite=Lax
- Criptografia AES-256-GCM para campos sensíveis em repouso (CNPJ, telefone)
- Isolamento lógico multi-tenant aplicado na camada de aplicação — cada workspace acessa exclusivamente seus próprios dados
- Rate limiting por IP em todas as rotas de autenticação
- Headers de segurança HTTP: CSP, HSTS, X-Frame-Options, X-Content-Type-Options
- Monitoramento contínuo de erros e incidentes via Sentry
Em caso de incidente de segurança que resulte em risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados no prazo estabelecido pela LGPD e pela regulamentação aplicável da ANPD, com as informações previstas no Art. 48.
7. Direitos do titular
Nos termos do Art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:
- Confirmação e acesso (I e II) — confirmar se tratamos seus dados e obter cópia completa deles
- Correção (III) — corrigir dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação (IV) — para dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade (V) — receber seus dados em formato estruturado e interoperável para transferência a outro serviço
- Revogação do consentimento (IX) — retirar consentimento para tratamentos baseados nele (ex.: marketing), de forma gratuita e facilitada
- Informação sobre compartilhamento (VII) — obter informações sobre com quem compartilhamos seus dados
- Petição à ANPD (§ 1º) — registrar reclamação junto à Autoridade Nacional de Proteção de Dados
Para exercer seus direitos, acesse Configurações → Conta → Meus Dados no painel do Closby, ou envie e-mail para lgpd@closby.com.br. Respondemos em até 15 dias, conforme o Art. 18, § 5º da LGPD. Podemos solicitar confirmação de identidade para proteger sua conta contra pedidos não autorizados.
9. Menores de idade
O Closby é destinado exclusivamente a pessoas com 18 anos ou mais. Não coletamos intencionalmente dados pessoais de menores. Se identificarmos que coletamos dados de menor de idade sem o consentimento dos pais ou responsável legal, excluiremos esses dados imediatamente e notificaremos o responsável, conforme Art. 14 da LGPD.
10. Transferência internacional de dados
Alguns fornecedores de infraestrutura estão sediados fora do Brasil. Nos termos do Art. 33 da LGPD, essas transferências são realizadas com as seguintes salvaguardas:
- Vercel, Inc. (EUA) — Data Processing Agreement (DPA) com cláusulas contratuais padrão compatíveis com a LGPD.
- Stripe, Inc. (EUA) — PCI DSS Nível 1, DPA e cláusulas contratuais padrão.
- Resend, Inc. (EUA) — DPA com cláusulas contratuais padrão.
- Supabase (infraestrutura BR/EUA) — servidores localizados no Brasil quando disponível; DPA com cláusulas compatíveis com a LGPD para dados processados no exterior.
11. Alterações desta política
Podemos atualizar esta política periodicamente para refletir mudanças em nossas práticas, nos serviços oferecidos ou na legislação aplicável. Alterações significativas serão comunicadas por e-mail ou notificação no painel com antecedência mínima de 15 dias. O uso continuado após a vigência da nova versão constitui aceite das alterações.
O histórico de versões desta política está disponível mediante solicitação em suporte@closby.com.br.
12. Contato e Encarregado de Dados (DPO)
Encarregado de Dados (DPO) — Art. 41 da LGPD
Empresa: Del Grande Experiências LTDA (One Eye)
CNPJ: 49.748.690/0001-50
E-mail DPO: lgpd@closby.com.br
E-mail suporte: suporte@closby.com.br
Endereço: Rua Cônego José Norberto, 179, Sala 141, Vila Brasílio Machado, São Paulo — SP, CEP 04.288-080
Telefone: (11) 99394-1611
Para reclamações não resolvidas diretamente conosco, você pode contatar a ANPD (Autoridade Nacional de Proteção de Dados) em gov.br/anpd.