Documento Legal

Política de Privacidade

Última atualização: 17 de junho de 2026. Vigência: a partir da mesma data.

Resumo em linguagem simples: A TripFlow coleta dados para prestar o serviço de catálogo digital e CRM para agências de turismo. Seus dados são armazenados com segurança, não são vendidos a terceiros e você pode solicitar acesso, correção ou exclusão a qualquer momento pelo e-mail contato@iwcompany.com.br.

1. Quem é o Controlador de Dados

A IW Company ("IW Company", "nós", "nosso"), desenvolvedora e operadora da plataforma TripFlow, é a controladora dos dados pessoais coletados diretamente dos usuários da plataforma (agências e membros de equipe), nos termos do art. 5º, VI, da Lei nº 13.709/2018 — Lei Geral de Proteção de Dados ("LGPD").

Para os dados de leads e clientes finais capturados por meio dos catálogos públicos das agências cadastradas, a agência de turismo respectiva atua como controladora dos dados, e a IW Company atua como operadora (art. 5º, VII, LGPD), processando esses dados exclusivamente sob instrução da agência.

Dados do Controlador (IW Company):
E-mail de contato: contato@iwcompany.com.br
Plataforma: TripFlowtripflow.com.br

2. Quais Dados Coletamos e Por Quê

2.1 Usuários da Plataforma (Proprietários e Membros de Agências)

São os titulares que criam conta e utilizam o painel administrativo do TripFlow.

DadoFinalidadeBase Legal (LGPD)
Nome completoIdentificação da conta e comunicaçõesExecução de contrato (art. 7º, V)
Endereço de e-mailAutenticação, notificações e recuperação de senhaExecução de contrato (art. 7º, V)
Senha (hash criptografado)Autenticação segura — nunca armazenamos em texto claroExecução de contrato (art. 7º, V)
Dados da agência (nome, logo, cores, WhatsApp, Instagram, site, endereço)Personalização do catálogo público e proposta para os clientesExecução de contrato (art. 7º, V)
Dados de assinatura (plano, período de trial, status)Gestão de acesso às funcionalidades conforme o plano contratadoExecução de contrato (art. 7º, V)
Histórico de atividades no painelSegurança, auditoria e suporte técnicoLegítimo interesse (art. 7º, IX)

2.2 Leads e Clientes Finais das Agências

São os visitantes que preenchem o formulário de orçamento no catálogo público de uma agência cadastrada no TripFlow.

DadoFinalidadeBase Legal (LGPD)
NomeIdentificação do lead para a agência de turismoExecução de contrato ou consentimento (art. 7º, I e V)
WhatsAppContato pela agência para envio de propostaExecução de contrato ou consentimento (art. 7º, I e V)
E-mail (opcional)Contato complementar pela agênciaConsentimento (art. 7º, I)
Preferências de viagem (destino, mês, nº de pessoas)Composição da proposta de orçamentoExecução de contrato (art. 7º, V)
Passeios selecionadosGeração da proposta personalizada para o leadExecução de contrato (art. 7º, V)

Nota importante: Esses dados pertencem ao relacionamento entre o lead e a agência de turismo. A IW Company os processa como operadora, exclusivamente para prestar o serviço de CRM à agência. Caso deseje solicitar acesso, correção ou exclusão desses dados, contate diretamente a agência responsável pelo orçamento.

2.3 Dados Técnicos Coletados Automaticamente

DadoFinalidadeBase Legal (LGPD)
Endereço IPSegurança, prevenção a abusos e rate limitingLegítimo interesse (art. 7º, IX)
Logs de acesso e requisiçõesDiagnóstico de erros, segurança e suporte técnicoLegítimo interesse (art. 7º, IX)
Dados de sessão (cookies)Manutenção da sessão autenticada no painelExecução de contrato (art. 7º, V)

3. Cookies e Armazenamento Local

Utilizamos os seguintes mecanismos de armazenamento no navegador:

Cookies de sessão (Supabase Auth)Essencial

Mantêm a sessão do usuário autenticado no painel administrativo. São cookies de sessão que expiram ao fechar o navegador ou após o período definido pela autenticação.

localStorage — chave tourflow-quoteFuncional

Armazena temporariamente no navegador do visitante as escolhas de passeios durante a montagem de um orçamento (nome, destino, itens selecionados). Os dados são salvos somente no dispositivo do visitante e enviados ao servidor apenas ao finalizar o orçamento.

Não utilizamos cookies de rastreamento, publicidade ou analytics de terceiros. Você pode limpar cookies e dados de localStorage a qualquer momento pelas configurações do seu navegador.

4. Com Quem Compartilhamos Seus Dados

Não vendemos, alugamos ou comercializamos dados pessoais. O compartilhamento ocorre apenas com fornecedores de infraestrutura estritamente necessários para a prestação do serviço:

SupabaseEUA

Banco de dados, autenticação e armazenamento de arquivos (imagens de passeios e logos)

Base legal: Cláusulas contratuais padrão (transferência internacional — art. 33, II, LGPD)

StripeEUA

Processamento de pagamentos e gestão de assinaturas. Dados de cartão de crédito são tratados diretamente pela Stripe; a TripFlow não armazena dados de pagamento.

Base legal: Execução de contrato; cláusulas contratuais padrão

ResendEUA

Envio de e-mails transacionais (convites de equipe, notificações)

Base legal: Legítimo interesse; cláusulas contratuais padrão

VercelEUA

Hospedagem da aplicação e gerenciamento de domínios personalizados das agências

Base legal: Execução de contrato; cláusulas contratuais padrão

5. Transferências Internacionais de Dados

Todos os fornecedores listados na seção anterior estão sediados nos Estados Unidos. As transferências internacionais são realizadas com base em cláusulas contratuais padrão que garantem nível adequado de proteção, conforme o art. 33 da LGPD. Ao utilizar o TripFlow, o usuário está ciente de que seus dados poderão ser processados fora do Brasil, porém sempre com salvaguardas contratuais adequadas.

6. Por Quanto Tempo Mantemos Seus Dados

Dados de conta e agência
Enquanto a conta estiver ativa. Após cancelamento ou exclusão de conta, os dados são removidos em até 30 dias, exceto os obrigatórios por lei.
Dados de leads/propostas
Enquanto a conta da agência estiver ativa. A agência pode excluir leads individualmente a qualquer momento pelo painel.
Dados de pagamento e assinatura
Mantidos por 5 anos para fins de obrigação fiscal e legal (art. 37 da Lei 4.320/64 e legislação tributária aplicável).
Logs técnicos e de segurança
Até 90 dias, salvo investigação de incidente de segurança em andamento.
Backups de banco de dados
Até 30 dias após a exclusão dos dados originais.

7. Segurança dos Dados

Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:

  • Comunicação criptografada via TLS/HTTPS em todas as conexões
  • Senhas armazenadas com hash seguro (bcrypt via Supabase Auth — nunca em texto claro)
  • Controle de acesso por Row-Level Security (RLS) no banco de dados — cada agência acessa somente seus próprios dados
  • Rate limiting nas APIs públicas para prevenir abusos e coleta indevida de dados
  • Acesso ao banco de dados restrito a funções autorizadas via chave de serviço (nunca exposta ao cliente)
  • Uploads de imagens validados (tipo e tamanho) e gravados exclusivamente pelo servidor autorizado, organizados por agência. As imagens de catálogo são de natureza pública, pois exibidas no site da agência.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados nos prazos previstos na LGPD e na regulamentação da ANPD.

8. Seus Direitos como Titular de Dados

Nos termos do art. 18 da LGPD, você tem os seguintes direitos sobre seus dados pessoais:

Confirmação e Acesso

Confirmar se tratamos seus dados e obter cópia dos dados que mantemos sobre você.

Correção

Solicitar a correção de dados incompletos, inexatos ou desatualizados.

Anonimização, Bloqueio ou Eliminação

Solicitar a anonimização, bloqueio ou exclusão de dados desnecessários ou tratados em desconformidade com a LGPD.

Portabilidade

Solicitar a portabilidade dos seus dados a outro fornecedor de serviço, quando regulamentado pela ANPD.

Revogação do Consentimento

Revogar consentimentos dados, sem prejuízo da licitude do tratamento realizado anteriormente.

Informação sobre Compartilhamento

Saber com quais entidades públicas ou privadas seus dados são compartilhados.

Eliminação dos Dados

Solicitar a eliminação dos dados pessoais tratados com base no consentimento, exceto nos casos de guarda obrigatória por lei.

Revisão de Decisões Automatizadas

Solicitar revisão de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses.

Como exercer seus direitos:Envie um e-mail para contato@iwcompany.com.br com o assunto "Direitos LGPD", informando seu nome, e-mail cadastrado e a solicitação. Responderemos em até 15 dias úteis, conforme prevê a LGPD.

9. Dados de Menores de Idade

O TripFlow é uma plataforma destinada exclusivamente a agências de turismo e profissionais do setor, maiores de 18 anos. Não coletamos intencionalmente dados pessoais de menores de 13 anos. Caso identifiquemos tal coleta, os dados serão imediatamente excluídos.

Para leads e clientes finais das agências que possam ser menores, a agência de turismo respectiva (controladora desses dados) é responsável por obter o consentimento dos responsáveis legais conforme exigido pelo art. 14 da LGPD.

10. Alterações nesta Política

Podemos atualizar esta Política periodicamente para refletir mudanças no serviço, na legislação ou nas nossas práticas. Notificaremos usuários cadastrados por e-mail sobre alterações materiais com pelo menos 15 dias de antecedência. A data de vigência no topo deste documento será sempre atualizada. O uso continuado do serviço após a vigência das alterações implica aceitação da nova Política.

11. Contato e Encarregado de Dados (DPO)

Para exercer seus direitos, esclarecer dúvidas sobre esta Política ou comunicar qualquer incidente relacionado aos seus dados, entre em contato:

IW Company — TripFlowcontato@iwcompany.com.br

Prazo de resposta: até 15 dias úteis. Você também poderá apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.

Termos de Uso →Voltar ao início