Olá Espanhol

Política de Privacidade

Última atualização: junho de 2026 · LGPD (Lei 13.709/2018)

1. Quais dados coletamos

  • Cadastro: nome, e-mail, senha (criptografada com BCrypt cost 12), fuso horário, idioma preferido, nível de espanhol, objetivos.
  • Plano: plano contratado, minutos semanais, datas, pagamentos (montante, status, data; nunca dados de cartão).
  • Aulas: histórico de aulas agendadas, canceladas, realizadas; saldo semanal consumido; link do Google Meet.
  • Técnicos: seu IP é usado de forma efêmera, em memória, apenas para limitar requisições e prevenir abuso. Não guardamos um histórico próprio de IPs.
  • Telemetria: dados de erro e performance do frontend via Sentry (sem PII; IP e headers sensíveis são removidos na origem).
  • Analytics de produto: eventos agregados de uso (páginas visitadas, ações como agendar aula, completar cadastro) via PostHog. Inputs sensíveis (senha, e-mail, dados PIX, CPF) nunca são enviados; aplicamos máscara na origem antes do envio.

2. Para que usamos e base legal (LGPD Art. 7)

  • Prestar o serviço contratado (agendar aulas, gerar saldo, emitir Meet). Base legal: execução de contrato (Art. 7, V).
  • Cobrança via Mercado Pago. Base legal: execução de contrato.
  • Comunicação transacional (confirmação de pagamento, lembretes, recuperação de senha). Base legal: execução de contrato.
  • Cumprimento de obrigações legais (contábeis, fiscais, ordem judicial). Base legal: obrigação legal (Art. 7, II).
  • Segurança e prevenção a fraude (logs técnicos, rate limiting). Base legal: interesse legítimo (Art. 7, IX).
  • Observabilidade da aplicação (Sentry). Base legal: interesse legítimo; anonimizamos PII antes do envio.
  • Analytics de produto agregadas (PostHog), para entender uso e melhorar. Base legal: interesse legítimo; sem inputs sensíveis, sem decisões individuais.

3. Com quem compartilhamos

  • Mercado Pago Brasil (Brasil), processamento de pagamento: enviamos e-mail e nome. O CPF e os dados do cartão são coletados pelo próprio Mercado Pago no checkout; nós não os recebemos nem armazenamos.
  • Google Workspace / Meet (EUA), criação do evento de videochamada: e-mail, nome, horário. Transferência internacional, veja §4.
  • Resend (EUA), entrega de e-mail transacional: e-mail, nome, conteúdo do e-mail. Transferência internacional.
  • Sentry.io (EUA), observabilidade de erros e performance: user-agent, URL, stacktrace. Transferência internacional.
  • PostHog (EUA), analytics de produto agregadas: eventos de uso, distinct_id (UUID anônimo), URL, user-agent. Inputs sensíveis mascarados antes do envio. Transferência internacional.
  • Fly.io (São Paulo-BR, hospedagem do backend), processamento em trânsito.
  • Neon (São Paulo-BR, banco de dados gerenciado), armazenamento.
  • Vercel (CDN global), entrega do frontend estático; não processa dados pessoais.

Não vendemos seus dados. Não compartilhamos com terceiros para marketing.

4. Transferência internacional (LGPD Art. 33)

Alguns operadores (Google, Resend, Sentry, PostHog) mantêm infraestrutura nos Estados Unidos. Essas transferências são amparadas por: (a) cláusulas contratuais padrão com o operador, (b) o país destinatário ser considerado com garantia de proteção adequada pela ANPD para fins do tratamento, ou (c) consentimento específico quando aplicável. A nossa base de cadastro e o banco de dados primário permanecem no Brasil (São Paulo).

5. Seus direitos (LGPD Art. 18)

Você pode a qualquer momento:

  • Acessar / baixar: Baixar meus dados em JSON.
  • Corrigir: editar perfil no painel.
  • Excluir: Excluir minha conta (anonimização imediata).
  • Portabilidade: o JSON de export é interoperável.
  • Revogar consentimento: excluir a conta revoga todos os consentimentos.

6. Prazos de retenção

  • Cadastro ativo: enquanto a conta existir.
  • Cadastro anonimizado (após exclusão): nome, e-mail e credenciais são removidos imediatamente; permanecem apenas referências anonimizadas para integridade de pagamentos e aulas históricas.
  • Dados contábeis / fiscais (pagamentos, notas fiscais): 5 anos após a transação, por obrigação legal (Art. 173 CTN e legislação fiscal aplicável).
  • Logs técnicos: o IP é usado apenas em memória para limitar requisições; não mantemos histórico próprio.
  • Eventos de erro no Sentry: 90 dias (plano free; configurável).
  • Eventos de produto no PostHog: 365 dias (plano free; configurável).

7. Decisões automatizadas

Não tomamos decisões exclusivamente automatizadas que afetem você de forma significativa. A aprovação de professores, suspensão de conta por abuso e arbitragem de disputas de aula são sempre revisadas por uma pessoa da equipe.

8. Segurança

  • Senhas armazenadas com BCrypt cost 12.
  • Comunicação sempre sobre HTTPS.
  • Tokens de recuperação de senha expiram em 30 minutos e são single-use.
  • Webhooks de pagamento validados por assinatura HMAC-SHA256.

9. Cookies e armazenamento local

Ao entrar você vê um aviso de cookies. As ferramentas de análise só são ativadas com o seu consentimento. Você pode rever sua escolha a qualquer momento em "Configurar cookies", no rodapé do site.

  • Essenciais (sempre ativos, não precisam de consentimento): cookie de sessão ola_sesion (httpOnly, mantém você conectado), preferência de idioma e a sua própria escolha de cookies, guardadas no armazenamento local. Proteção anti-robô (Cloudflare Turnstile) nas telas de acesso.
  • Estatísticas de uso (opcional, só com seu consentimento): páginas e ações, de forma agregada, para entender o uso e melhorar (PostHog).
  • Melhoria da experiência (opcional, só com seu consentimento): gravação da sua navegação para diagnóstico, com senha, e-mail, CPF e dados de pagamento sempre mascarados (PostHog e Sentry).

O monitoramento de erros, sem gravação de tela, funciona sempre por interesse legítimo, para manter a plataforma estável e segura. Você também pode bloquear cookies nas configurações do seu navegador.

10. Menores de idade

O serviço é dirigido a maiores de 18 anos. Alunos entre 12 e 18 anos devem obter autorização dos pais ou responsáveis para usar a plataforma; nesse caso, o consentimento deve ser dado pelo responsável legal via e-mail para o Encarregado (§11).

11. Encarregado (DPO) e ANPD

Para exercer qualquer direito da LGPD, reclamar, solicitar esclarecimentos ou obter mais informações sobre o tratamento dos seus dados, escreva para contato@ola-espanhol.com.br. Comprometemo-nos a responder em até 15 dias úteis.

Você também pode apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

12. Alterações desta política

Se atualizarmos esta política, avisaremos por e-mail com antecedência mínima de 15 dias. Versões anteriores ficam arquivadas e podem ser solicitadas ao Encarregado.