Política de Privacidade

Versão 2.0 — Última atualização: 08 de junho de 2026

1. Quem somos e como nos enquadramos na LGPD

A Marka Aki Tecnologia Ltda. ("Marka Aki", "nós" ou "nosso") é a controladora dos dados pessoais de usuários que se cadastram diretamente em nossa plataforma (donos de estabelecimento, profissionais e consumidores finais que criam conta por conta própria).

Quando um estabelecimento (Provider) insere ou gerencia dados de seus próprios clientes dentro da plataforma, o estabelecimento atua como controlador desses dados e a Marka Aki atua como operadora, processando-os conforme as instruções do estabelecimento. Nesse caso, dúvidas sobre o tratamento devem ser direcionadas primeiramente ao estabelecimento.

Para dúvidas sobre esta política ou para exercer seus direitos, entre em contato com nosso Encarregado de Proteção de Dados (DPO): [email protected]

2. Quais dados coletamos

Coletamos os seguintes tipos de dados, conforme o contexto de uso:

Dados de conta e identidade

  • Identificação básica: nome completo, e-mail, telefone.
  • Documentos: CPF ou CNPJ, quando exigido para emissão de nota fiscal.
  • Credenciais: hash da senha (BCrypt). Nunca armazenamos senhas em texto claro.
  • Autenticação de dois fatores (2FA): segredo TOTP, armazenado criptografado, usado exclusivamente para verificação de acesso.
  • Consentimentos registrados: data e IP de aceitação dos Termos de Uso; data, IP e versão do consentimento de marketing.

Dados de perfil do cliente (por estabelecimento)

  • Dados demográficos: data de nascimento e foto de perfil (avatar), quando fornecidos.
  • Endereço: logradouro, cidade, estado e CEP, quando informados.
  • Notas do estabelecimento (CRM): o estabelecimento pode registrar observações internas sobre o perfil de atendimento. Você pode solicitar acesso a essas notas pelo canal do DPO.
  • Preferências de comunicação: preferências de notificação por e-mail ou SMS.

Dados de uso da plataforma

  • Dados de agendamento: datas, serviços escolhidos, profissionais, histórico de visitas.
  • Avaliações: notas e comentários deixados sobre serviços ou profissionais.
  • Fidelização: pontos acumulados, resgates e histórico do programa de fidelidade.
  • Dados do negócio (Providers): nome do estabelecimento, serviços oferecidos, dados de profissionais e horários de funcionamento.

Dados financeiros

  • Transações: valores, método de pagamento e data. Não armazenamos dados completos de cartão de crédito — esses dados trafegam diretamente pelo processador de pagamento.
  • Assinatura: plano contratado, status e histórico de cobrança.

Dados técnicos e de segurança

  • Endereço IP: registrado em cada autenticação para detecção de acessos suspeitos. Retido pelo tempo da sessão (até 30 dias).
  • Tokens de sessão: refresh tokens com hash SHA-256, válidos por até 30 dias.
  • Auditoria de ações sensíveis: registro de operações de alto impacto para fins de segurança e rastreabilidade.
  • Dados de navegação (analytics): páginas visitadas, cliques e interações na plataforma, coletados via PostHog (ver seção 8).

3. Como usamos seus dados

Utilizamos seus dados para:

  • Prestar e melhorar os serviços da plataforma;
  • Enviar confirmações de agendamento e lembretes por e-mail;
  • Processar pagamentos e emitir faturas;
  • Oferecer suporte técnico e atendimento ao cliente;
  • Gerenciar programas de fidelidade e recompensas;
  • Enviar campanhas de marketing segmentadas (somente com consentimento explícito);
  • Analisar uso e desempenho da plataforma para melhoria contínua;
  • Detectar e prevenir fraudes e acessos não autorizados;
  • Cumprir obrigações legais e regulatórias.

4. Base legal para o tratamento

Tratamos seus dados com base nas seguintes hipóteses legais previstas na LGPD (Lei 13.709/2018):

  • Execução de contrato (Art. 7º, V): prestação dos serviços contratados (agendamentos, faturamento, notificações operacionais, programa de fidelidade).
  • Consentimento (Art. 7º, I): envio de e-mails de marketing e comunicações promocionais. Você pode revogar a qualquer momento.
  • Legítimo interesse (Art. 7º, IX): análise de uso para melhoria do produto, prevenção de fraudes, segurança da plataforma e analytics agregados. O interesse legítimo é balanceado e não prevalece sobre seus direitos fundamentais.
  • Obrigação legal (Art. 7º, II): cumprimento de obrigações fiscais, contábeis e regulatórias.

5. Compartilhamento de dados

Não vendemos seus dados pessoais. Podemos compartilhá-los com os seguintes operadores e terceiros, sempre sob contrato e com garantias de proteção de dados:

  • Infraestrutura e hospedagem: provedores de nuvem que armazenam e processam dados em nossa infraestrutura.
  • Processador de pagamento: parceiro certificado PCI-DSS que processa transações financeiras. Não recebemos nem armazenamos dados completos de cartão.
  • Analytics (PostHog): ferramenta de análise de comportamento de usuário. Dados de navegação e interação são enviados para servidores localizados nos Estados Unidos (PostHog Cloud US). Veja a seção 8 para detalhes.
  • Serviços de e-mail transacional: para envio de confirmações e notificações operacionais.
  • Autoridades públicas: quando exigido por lei, ordem judicial ou requisição de autoridade competente.

Todos os fornecedores passam por avaliação de conformidade com a LGPD e, quando aplicável, formalizamos Acordos de Processamento de Dados (DPA) antes da contratação.

6. Transferência internacional de dados

A ferramenta de analytics PostHog, utilizada na plataforma, pode transferir dados de navegação para servidores nos Estados Unidos. Essa transferência ocorre com base no legítimo interesse e com medidas contratuais adequadas (Standard Contractual Clauses — SCCs) que garantem nível de proteção equivalente ao exigido pela LGPD (Art. 33).

Não realizamos outras transferências internacionais de dados pessoais fora do Brasil além das indicadas acima.

7. Retenção de dados

Mantemos seus dados pelos seguintes prazos:

  • Dados de conta ativa: enquanto a conta estiver ativa e o contrato em vigor.
  • Após encerramento da conta: dados anonimizados ou excluídos em até 90 dias, salvo obrigações legais que exijam prazo maior.
  • Dados fiscais e financeiros: retidos pelo prazo legal exigido pela legislação tributária brasileira (5 anos).
  • Tokens de sessão: expiram automaticamente em até 30 dias.
  • Registros de auditoria de segurança: retidos por até 12 meses.
  • Dados de analytics (PostHog): retidos conforme a política de retenção configurada na plataforma (padrão: 1 ano).

8. Cookies e tecnologias de rastreamento

Utilizamos os seguintes tipos de cookies e tecnologias similares:

  • Cookies essenciais: necessários para autenticação e funcionamento da plataforma. Não podem ser desativados sem comprometer o serviço.
  • Cookies de sessão: identificam sessões autenticadas. Expiram ao fechar o navegador ou em até 30 dias.
  • Analytics (PostHog): coletamos dados de comportamento de navegação incluindo páginas visitadas, cliques, interações com a interface e saída de página (autocapture ativo). Os dados são pseudoanonimizados e usados exclusivamente para melhoria da plataforma. A coleta está condicionada ao consentimento (onde aplicável).

Você pode gerenciar cookies nas configurações do seu navegador. Desativar cookies analíticos não afeta o funcionamento da plataforma.

9. Seus direitos (LGPD — Art. 18)

Você tem os seguintes direitos em relação aos seus dados pessoais:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
  • Portabilidade dos dados a outro fornecedor;
  • Eliminação dos dados tratados com base em consentimento;
  • Informação sobre com quem compartilhamos seus dados;
  • Informação sobre a possibilidade de não fornecer consentimento e as consequências;
  • Revogação do consentimento a qualquer momento.

Para exercer qualquer direito, envie sua solicitação para [email protected] com um documento de identificação. Responderemos em até 15 dias úteis.

Se seus dados forem tratados por um estabelecimento cadastrado na plataforma (Provider), você deve dirigir sua solicitação diretamente a esse estabelecimento. A Marka Aki, atuando como operadora, apoiará o atendimento conforme solicitado pelo controlador.

10. Segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:

  • Criptografia em trânsito via TLS/HTTPS em todas as comunicações;
  • Hash de senhas com BCrypt (fator de custo adaptativo);
  • Hash de tokens de sessão com SHA-256;
  • Autenticação de dois fatores (TOTP/2FA) disponível para todas as contas;
  • Controle de acesso por função (RBAC) — cada usuário acessa apenas o que seu papel permite;
  • Bloqueio de conta após tentativas de login malsucedidas;
  • Registro e monitoramento de eventos de autenticação e ações sensíveis.

Em caso de incidente de segurança que possa afetar seus dados, notificaremos a ANPD e os titulares afetados dentro dos prazos previstos na LGPD.

11. Alterações nesta política

Podemos atualizar esta política periodicamente. Notificaremos mudanças significativas por e-mail ou aviso destacado na plataforma com, no mínimo, 15 dias de antecedência. O histórico de versões anteriores está disponível mediante solicitação ao DPO.