Legal
Política de Privacidade
Como coletamos, usamos e protegemos seus dados pessoais — com cobertura GDPR, CCPA e LGPD.
1. Resumo rápido
Se você não quer ler 5.000 palavras de jurídico, este é o resumo honesto:
- O que coletamos: seus dados de conta, dados do seu negócio e dados dos seus clientes que agendam (processados em seu nome).
- Por que usamos: operar o serviço (agendamentos, lembretes, microsite), mantê-lo seguro, faturar e cumprir obrigações legais.
- Com quem compartilhamos: operadores que precisamos para operar (Twilio, Cloudflare, Railway, Resend, Meta via Twilio). Lista completa abaixo.
- Nunca vendemos seus dados. Ponto.
- Seus direitos: acesso, correção, eliminação, portabilidade, oposição, revogação de consentimento. Escreva para privacy@marcly.app.
2. Quem é responsável pelos seus dados
Marcly, com endereço em 75 avenida norte, local 3, San Salvador, El Salvador, é o controlador (data controller sob GDPR / controlador sob LGPD) dos dados coletados diretamente através do site público e das contas dos titulares.
Para os dados dos seus clientes finais (os que agendam), o Marcly atua como operador (processor) e você como controlador. Isso é regido pelo contrato implícito nos nossos Termos; se precisar de um DPA formal por exigência regulatória, escreva para legal@marcly.app.
Contato de privacidade: privacy@marcly.app
3. Quais dados coletamos
Coletamos apenas os dados necessários para operar o serviço:
| Categoria | Exemplos | Base legal (LGPD) |
|---|---|---|
| Dados do titular da conta | nome, e-mail, senha hasheada, telefone, idioma preferido | Execução de contrato (LGPD Art. 7(V)) |
| Dados do negócio | nome comercial, slug, logo, endereço, horários, serviços e preços | Execução de contrato (LGPD Art. 7(V)) |
| Dados de clientes finais (processados em nome do titular) | nome, número de WhatsApp, e-mail opcional, histórico de agendamentos | Execução de contrato e/ou interesse legítimo do titular (LGPD Art. 7(V)/(IX)) |
| Mensagens WhatsApp e metadados | conteúdo da mensagem, timestamp, identificador Twilio | Execução de contrato (LGPD Art. 7(V)) |
| Dados técnicos | endereço IP (hash com sal), navegador, sistema operacional, eventos de login | Interesse legítimo: segurança e prevenção a fraude (LGPD Art. 7(IX)) |
| Dados de pagamento | últimos 4 dígitos do cartão, plano, data de renovação. NÃO armazenamos o cartão completo — o processador de pagamentos o faz. | Execução de contrato (LGPD Art. 7(V)) |
Não coletamos categorias especiais de dados (origem racial, saúde, religião, orientação sexual, etc.). Se seu negócio precisa processar este tipo de dados, entre em contato antes — requer salvaguardas adicionais.
4. Como e por que usamos os dados
- Prestar o serviço: agendar, enviar confirmações e lembretes via WhatsApp/email, exibir o microsite público.
- Segurança: detectar abuso, prevenir fraude, registrar tentativas de acesso (com IPs hasheadas).
- Melhoria do produto: métricas agregadas e anonimizadas para entender uso. Nunca em nível individual.
- Comunicações: e-mails operacionais (verificação, mudanças de plano, alertas de segurança). Newsletter de produto apenas com opt-in explícito.
- Cumprimento legal: faturamento, contabilidade, resposta a requerimentos judiciais válidos.
Decisões automatizadas: não usamos algoritmos para tomar decisões com efeitos jurídicos ou significativos sobre você ou seus clientes. O bot de WhatsApp é assistência conversacional, não autoriza nem rejeita solicitações com efeitos jurídicos.
5. Com quem compartilhamos os dados
Para operar o serviço confiamos nestes operadores. Cada um está obrigado por contrato a processar seus dados apenas conforme nossas instruções e com medidas técnicas e organizacionais adequadas:
| Operador | Finalidade | Localização | Política |
|---|---|---|---|
| Railway Corp. | Hospedagem da aplicação e banco de dados PostgreSQL | Estados Unidos | Ver política |
| Cloudflare, Inc. | Armazenamento de arquivos (R2), CDN, DNS, Turnstile (anti-bot) | Global / Estados Unidos | Ver política |
| Twilio, Inc. | Envio e recebimento de mensagens WhatsApp Business | Estados Unidos | Ver política |
| Meta Platforms, Inc. | Plataforma WhatsApp Business API (via Twilio) | Estados Unidos / Irlanda | Ver política |
| Resend, Inc. | Envio de e-mails transacionais (verificação, lembretes) | Estados Unidos | Ver política |
Se adicionarmos ou trocarmos um operador com impacto material para você, avisaremos por e-mail com pelo menos 30 dias de antecedência.
Não vendemos dados a terceiros. Também não compartilhamos dados com redes publicitárias (não usamos Google Ads, Facebook Pixel, etc. no app).
6. Transferências internacionais de dados
O Marcly opera principalmente a partir de infraestrutura nos Estados Unidos (Railway, Cloudflare, Twilio, Resend). Se você está na União Europeia, Reino Unido, Brasil ou outra jurisdição com restrições a transferências internacionais, seus dados podem ser transferidos para fora do seu país.
Estas transferências amparam-se em:
- Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia quando aplicável (GDPR).
- Adesão dos operadores ao EU-US Data Privacy Framework onde corresponde.
- Para LGPD: execução de contrato e consentimento do titular.
7. Por quanto tempo guardamos os dados
| Tipo de dado | Período |
|---|---|
| Dados de conta | Até solicitação de exclusão ou 30 dias após fechamento da conta |
| Agendamentos | 2 anos para contabilidade e resolução de disputas |
| Mensagens WhatsApp | 12 meses, depois anonimizados |
| Tentativas de login | 30 dias para detecção de abuso |
| Eventos de segurança | 90 dias para investigação de incidentes |
| Faturas | 5 anos conforme legislação fiscal salvadorenha |
Quando você solicita eliminação, anonimizamos os dados em até 30 dias (exceto os que devemos reter por obrigação legal — ex. faturas).
8. Seus direitos sobre seus dados
Conforme sua jurisdição, você tem alguns ou todos estes direitos:
- Acesso: obter cópia dos dados que temos sobre você.
- Correção: corrigir dados inexatos ou incompletos.
- Eliminação / esquecimento: pedir que apaguemos seus dados (sujeito a obrigações legais).
- Portabilidade: receber seus dados em formato estruturado e legível por máquina (JSON).
- Oposição: opor-se a tratamentos baseados em interesse legítimo.
- Restrição: limitar o tratamento enquanto se resolve uma disputa.
- Revogação de consentimento: quando o tratamento se baseia em consentimento.
- Não discriminação: exercer direitos não afetará a qualidade do serviço.
Para exercer escreva para privacy@marcly.app a partir do e-mail da sua conta. Respondemos no prazo legal aplicável (30 dias GDPR, 45 dias CCPA, 15 dias LGPD).
Se você não estiver satisfeito com nossa resposta, pode apresentar reclamação à autoridade de proteção de dados competente.
10. Dados de menores
O Marcly não é direcionado a menores de 16 anos e não coletamos conscientemente dados de menores dessa idade. Em jurisdições com limites mais altos (alguns estados dos EUA sob COPPA: 13 anos; alguns países UE: 16 anos), aplicamos o mais estrito.
Se descobrirmos que coletamos dados de um menor sem consentimento parental verificável, eliminaremos imediatamente. Se você é pai/responsável e acredita que temos dados do seu filho/a, escreva para privacy@marcly.app.
11. Aviso para residentes UE / Reino Unido (GDPR / UK GDPR)
Se você reside no Espaço Econômico Europeu, Suíça ou Reino Unido, além dos direitos gerais acima, você tem direito a:
- Apresentar reclamação à sua autoridade de proteção de dados (ex. AEPD na Espanha, CNIL na França, ICO no Reino Unido).
- Conhecer a base legal específica de cada tratamento (ver tabela na seção 3).
- Saber se transferimos seus dados para fora do EEE e sob quais salvaguardas (seção 6).
O Marcly não tem representante na UE no momento (não superamos os limites do Art. 27 GDPR). Para consultas regulatórias, escreva para privacy@marcly.app.
12. Aviso para residentes da Califórnia (CCPA / CPRA)
Se você reside na Califórnia, tem direito a:
- Saber que categorias de informação pessoal coletamos, finalidades, fontes e terceiros com quem compartilhamos.
- Eliminar sua informação pessoal (sujeito a exceções legais).
- Corrigir informação inexata.
- Optar por não vender nem compartilhar sua informação pessoal.
- Limitar o uso de informação pessoal sensível.
- Não discriminação por exercer estes direitos.
Para exercer estes direitos, escreva para privacy@marcly.app a partir do e-mail registrado ou use um agente autorizado com procuração assinada.
13. Aviso para residentes do Brasil (LGPD)
Sob a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018), você tem direito a:
- Confirmação da existência do tratamento.
- Acesso aos dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD.
- Portabilidade a outro fornecedor.
- Eliminação de dados tratados com consentimento.
- Informação sobre com quem compartilhamos os dados.
- Informação sobre as consequências de não fornecer consentimento.
- Revogação de consentimento.
Encarregado de Proteção de Dados (DPO): privacy@marcly.app
Pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).
14. Mudanças nesta política
Podemos atualizar esta política. Se as mudanças afetarem materialmente seus direitos, avisaremos por e-mail com pelo menos 30 dias de antecedência. Versões anteriores estão disponíveis sob solicitação a privacy@marcly.app.
15. Contato
Para qualquer assunto de privacidade:
- Privacidade / DPO: privacy@marcly.app
- Assuntos legais: legal@marcly.app
Marcly · 75 avenida norte, local 3, San Salvador, El Salvador