Política de Privacidade | Surfaii

1. Identificação do Controlador

O controlador responsável pelo tratamento dos dados pessoais coletados na plataforma Surfaii é a empresa operadora da plataforma, com sede em Florianópolis — SC, Brasil.

Canal de contato e encarregado (DPO): contato@surfaii.com.br

2. Dados Pessoais Coletados

Dados de Cadastro (Alunos e Prestadores)

Nome completo, endereço de e-mail, telefone
Endereço (logradouro, cidade, estado, CEP)
Data de nascimento (quando aplicável)
Foto de perfil (opcional)
CPF ou CNPJ (para prestadores — criação de subconta financeira)

Dados de Uso da Plataforma

Histórico de agendamentos e compras
Avaliações e comentários
Preferências de serviços e praias
Logs de acesso (endereço IP, user-agent, data e hora)

Dados de Aceite Legal

Data, horário e versão dos Termos de Uso aceitos
Endereço IP e informações do dispositivo no momento do aceite
Contexto da transação (serviço, valor, método de pagamento)

Dados Financeiros

Dados de pagamento (cartão de crédito, PIX, boleto) são processados exclusivamente pela plataforma Stripe e não são armazenados nos servidores da Surfaii.
Registramos apenas o método de pagamento, valor e status da transação.

3. Finalidades do Tratamento

Prestação do serviço: criação e gestão de contas, agendamentos, emissão de créditos e pacotes.
Intermediação financeira: processamento de pagamentos, repasses a prestadores, controle de reembolsos.
Segurança e auditoria: prevenção a fraudes, contestação de chargebacks, evidências de aceite legal.
Comunicação: confirmações de agendamento, alertas de cancelamento, notificações da plataforma.
Melhoria do serviço: análise de uso agregado (sem identificação individual) para desenvolvimento da plataforma.
Cumprimento de obrigação legal: retenção de dados conforme prazos legais (ex: fiscal, LGPD).

4. Bases Legais (LGPD, art. 7º)

Execução de contrato — tratamento necessário para viabilizar o serviço contratado pelo usuário.
Obrigação legal — retenção de dados para cumprimento de obrigações fiscais, tributárias e de auditoria.
Legítimo interesse — prevenção a fraudes, segurança da plataforma, contestação de chargebacks.
Consentimento — comunicações de marketing e uso de cookies não essenciais (com opt-out disponível).

5. Compartilhamento de Dados

A Surfaii compartilha dados pessoais apenas com parceiros essenciais à operação:

Stripe, Inc. — processamento de pagamentos e criação de contas conectadas para prestadores (Stripe Connect Express). Dados fiscais são transmitidos de forma segura via API criptografada (PCI-DSS).
Supabase Inc. — infraestrutura de banco de dados e autenticação, com dados armazenados em servidores com padrão SOC 2.

Não vendemos, alugamos ou cedemos dados pessoais a terceiros para fins comerciais ou publicitários.

6. Prazo de Retenção

Dados de cadastro: mantidos durante a vigência da conta e por até 5 anos após o encerramento (prazo prescricional civil — Código Civil, art. 206).
Registros de aceite de termos: mantidos por 5 anos para fins de auditoria e contestação legal.
Histórico financeiro: mantido por 5 anos conforme exigência fiscal.
Logs de acesso: mantidos por 6 meses conforme Marco Civil da Internet (Lei 12.965/2014, art. 15).

7. Direitos do Titular (LGPD, art. 18)

Você tem direito a, a qualquer momento:

Confirmação e acesso — saber quais dados possuímos sobre você e obter cópia.
Correção — solicitar atualização de dados incompletos, inexatos ou desatualizados.
Anonimização ou eliminação — solicitar a eliminação de dados desnecessários ou tratados em desconformidade, observados prazos legais de retenção.
Portabilidade — receber seus dados em formato estruturado e interoperável.
Revogação do consentimento — retirar consentimentos específicos (ex: marketing) sem prejudicar o tratamento baseado em outras bases legais.
Oposição — opor-se a tratamentos realizados com base em legítimo interesse.

Para exercer seus direitos, entre em contato: contato@surfaii.com.br — respondemos em até 15 dias úteis.

8. Cookies e Tecnologias Similares

Utilizamos cookies para:

Cookies essenciais: autenticação de sessão, segurança CSRF. Necessários para o funcionamento da plataforma. Não requerem consentimento.
Cookies de análise (analytics): métricas de uso agregado para melhoria da plataforma. Requerem seu consentimento, podendo ser recusados a qualquer momento.

Você pode gerenciar ou revogar preferências de cookies a qualquer momento pelas configurações do seu navegador ou pelo banner de consentimento da plataforma.

9. Segurança dos Dados

Adotamos medidas técnicas e organizacionais para proteger seus dados pessoais, incluindo:

Criptografia em trânsito (TLS/HTTPS) e em repouso;
Controle de acesso por função (Row Level Security no banco de dados);
Autenticação segura via Supabase Auth;
Dados de pagamento processados exclusivamente por ambiente PCI-DSS (Asaas).

Em caso de incidente de segurança que afete seus dados, você será notificado conforme prazos previstos na LGPD e reportado à ANPD quando aplicável.

10. Transferência Internacional de Dados

Parte da infraestrutura da Surfaii (Supabase) pode armazenar dados em servidores fora do Brasil. Nestes casos, garantimos que as transferências ocorrem com base em cláusulas contratuais adequadas e padrões de segurança equivalentes aos exigidos pela LGPD.

11. Alterações desta Política

Esta Política de Privacidade poderá ser atualizada a qualquer momento. Alterações relevantes serão comunicadas aos usuários na plataforma e, quando necessário, exigirão novo aceite.

12. Contato e DPO

Para dúvidas, solicitações relacionadas a dados pessoais ou para exercer seus direitos como titular, entre em contato com nosso encarregado (DPO):

E-mail: contato@surfaii.com.br

Autoridade Nacional: Você também pode contatar a ANPD (Autoridade Nacional de Proteção de Dados) em www.gov.br/anpd.