Política de Privacidade
Última atualização: 08 de junho de 2026
1. Quem somos
O Owner Pro Studio é uma plataforma SaaS de gestão para estúdios de tatuagem desenvolvida e operada por Xeom (“nós”, “nosso”), controladora dos dados pessoais tratados nesta plataforma nos termos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD).
Dúvidas sobre esta política podem ser enviadas para contato@xeomtattoo.com.br.
2. Dados que coletamos
2.1 Dados do proprietário/gestor do estúdio
Ao criar uma conta coletamos: nome, endereço de e-mail e nome do estúdio. A autenticação é realizada pelo serviço Clerk (ver seção 6). Dados adicionais de perfil (foto de perfil, número de telefone) podem ser fornecidos opcionalmente pelo usuário diretamente na plataforma Clerk.
2.2 Dados dos clientes dos estúdios
Os estúdios cadastram dados de seus próprios clientes na plataforma. Esses dados podem incluir: nome, telefone, e-mail, CPF (opcional), data de nascimento, endereço completo, gênero, perfil de redes sociais (Instagram), como o cliente encontrou o estúdio, tipo de pele, alergias, medicações em uso, contraindicações, observações gerais e preferência de recebimento de comunicações por e-mail (dados de saúde são considerados dados sensíveis nos termos do art. 11 da LGPD e tratados com restrição adicional).
Também são armazenadas fotografias de referência para tatuagens e fotos de antes/depois enviadas pelo próprio estúdio.
2.3 Fichas digitais de consentimento
Quando o estúdio envia uma ficha digital ao cliente, o cliente preenche respostas a perguntas customizadas e fornece sua assinatura digital eletrônica. Essa assinatura é armazenada como prova do consentimento para o procedimento e tem valor probatório.
2.4 Dados dos profissionais
Dados dos colaboradores cadastrados pelo estúdio: nome, telefone, e-mail, CPF (opcional), data de nascimento, data de admissão, cargo, especialidades, horários de trabalho, taxa de comissão, salário fixo mensal (quando configurado) e assinatura digital (quando utilizado o módulo de assinatura de profissional).
2.5 Dados financeiros
Registros de transações financeiras: valores, datas, métodos de pagamento (dinheiro, PIX, cartão, transferência), status e vínculos com agendamentos e profissionais. Dados de cartão de crédito nunca são armazenados em nossos servidores — quando o módulo de pagamento estiver ativo, o processamento será realizado pelo Stripe, certificado PCI DSS nível 1.
2.6 Dados técnicos
Para fins de segurança e prevenção de abusos, coletamos temporariamente o endereço IP das requisições. Esses dados são armazenados em cache por tempo limitado (máximo de 60 segundos) e utilizados exclusivamente para controle de taxa de acesso (rate limiting). Não rastreamos User-Agent nem criamos perfis comportamentais a partir dessas informações.
3. Para que usamos seus dados
- →Prestação do serviço: Operar a plataforma, processar agendamentos, gerar relatórios financeiros e emitir documentos como fichas digitais e relatórios de rescisão.
- →Comunicações operacionais: Envio de notificações de agendamento via WhatsApp quando o estúdio habilitar essa função.
- →Segurança: Detectar e bloquear acessos abusivos ou automatizados à plataforma.
- →Suporte: Responder solicitações de suporte e resolver problemas técnicos.
- →Cobrança: Gerenciar a assinatura do plano contratado, incluindo controle de período de teste e renovações (quando o módulo de pagamento estiver ativo).
- →Melhoria do produto: Dados agregados e anonimizados podem ser usados para entender padrões de uso e melhorar funcionalidades.
4. Base legal (LGPD)
Art. 7º, II — Execução de contrato
Tratamento dos dados do proprietário/gestor necessário para prestar o serviço contratado.
Art. 7º, IX — Legítimo interesse
Segurança da plataforma, prevenção de fraudes e controle de abuso de acesso (rate limiting por IP).
Art. 11, I — Consentimento (dados sensíveis)
Dados de saúde (alergias, medicações, contraindicações) e assinatura digital coletados via ficha digital somente mediante consentimento explícito do cliente do estúdio.
Importante: o Owner Pro Studio atua como operador em relação aos dados dos clientes e profissionais dos estúdios — o próprio estúdio é o controlador desses dados e é responsável por obter as bases legais adequadas junto às pessoas cujos dados cadastra.
5. Período de retenção
| Dado | Retenção |
|---|---|
| Dados de conta (usuário/estúdio) | Enquanto a conta estiver ativa + 90 dias após cancelamento |
| Dados de clientes e agendamentos | Enquanto o estúdio mantiver conta ativa |
| Fichas digitais de consentimento | Mínimo de 5 anos (obrigação legal de guarda de documentos de saúde) |
| Dados de profissionais | Enquanto o profissional estiver ativo + prazo legal trabalhista (5 anos) |
| Relatórios de rescisão | 30 dias após geração (disponível para download nesse período) |
| Endereço IP (rate limiting) | Máximo de 60 segundos em cache temporário |
| Registros financeiros | Mínimo de 5 anos (obrigação fiscal) |
6. Compartilhamento com terceiros
Não vendemos dados pessoais. Compartilhamos somente o necessário com os prestadores de serviço abaixo, todos contratados com cláusulas de proteção de dados:
Função: Autenticação e gerenciamento de identidade
Dados: Nome, e-mail, identificador de usuário
Função: Banco de dados e armazenamento de arquivos
Dados: Todos os dados da plataforma (criptografados em repouso)
Função: Hospedagem e entrega da aplicação
Dados: Logs de acesso (IP, timestamps) — retidos conforme política da Vercel
Função: Cache para controle de taxa de acesso
Dados: Endereço IP (temporário, máx. 60 segundos)
Função: Envio de notificações de agendamento
Dados: Nome e telefone do cliente, data/hora e serviço agendado
Função: Processamento de pagamentos (módulo em ativação)
Dados: Dados de cobrança da assinatura — cartões nunca passam por nossos servidores
7. Transferência internacional
Alguns de nossos prestadores (Clerk, Vercel, Upstash, Stripe) operam servidores nos Estados Unidos e/ou União Europeia. Quando há transferência internacional de dados, adotamos as salvaguardas previstas no art. 33 da LGPD, incluindo cláusulas contratuais padrão e escolha de fornecedores com certificações de segurança reconhecidas (ISO 27001, SOC 2).
O Supabase permite configurar a região dos dados — utilizamos servidores na América do Sul sempre que disponível.
8. Seus direitos como titular (LGPD)
Nos termos do art. 18 da LGPD, você tem direito a:
- →Acesso: Saber quais dados seus processamos.
- →Retificação: Corrigir dados incompletos, inexatos ou desatualizados.
- →Eliminação: Solicitar a exclusão dos dados tratados com base em consentimento.
- →Portabilidade: Receber seus dados em formato estruturado e legível por máquina.
- →Informação sobre compartilhamento: Saber com quais terceiros compartilhamos seus dados.
- →Revogação de consentimento: Retirar o consentimento dado a qualquer momento, sem prejuízo ao tratamento já realizado.
- →Oposição: Opor-se a tratamento realizado com base em legítimo interesse.
Para exercer qualquer direito, envie um e-mail para contato@xeomtattoo.com.br com o assunto “LGPD — [seu direito]”. Respondemos em até 15 dias úteis.
9. Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo: criptografia em trânsito (TLS 1.2+) e em repouso, controle de acesso baseado em funções, autenticação multifator disponível para usuários, rate limiting para prevenção de ataques automatizados, headers de segurança (CSP, HSTS, X-Frame-Options) e isolamento de dados por estúdio (nenhum estúdio acessa dados de outro).
Em caso de incidente de segurança que possa afetar seus dados, notificaremos a ANPD e os titulares afetados no prazo previsto na LGPD.
10. Cookies
Utilizamos apenas cookies essenciais para o funcionamento da plataforma (sessão de autenticação via Clerk). Não utilizamos cookies de rastreamento publicitário ou de terceiros para fins de marketing.
11. Alterações nesta política
Podemos atualizar esta política periodicamente. Quando houver alterações relevantes, notificaremos via e-mail cadastrado com antecedência mínima de 30 dias. A data de última atualização no topo desta página estará sempre atualizada. O uso continuado da plataforma após a vigência das alterações implica aceitação da nova versão.
12. Contato e encarregado (DPO)
Para dúvidas, solicitações ou comunicações relativas a esta política, entre em contato:
Xeom — Owner Pro Studio
E-mail: contato@xeomtattoo.com.br