Política de Privacidade
Última atualização: 17 de junho de 2026. Vigência: a partir da mesma data.
1. Quem é o Controlador de Dados
A IW Company ("IW Company", "nós", "nosso"), desenvolvedora e operadora da plataforma TripFlow, é a controladora dos dados pessoais coletados diretamente dos usuários da plataforma (agências e membros de equipe), nos termos do art. 5º, VI, da Lei nº 13.709/2018 — Lei Geral de Proteção de Dados ("LGPD").
Para os dados de leads e clientes finais capturados por meio dos catálogos públicos das agências cadastradas, a agência de turismo respectiva atua como controladora dos dados, e a IW Company atua como operadora (art. 5º, VII, LGPD), processando esses dados exclusivamente sob instrução da agência.
E-mail de contato: contato@iwcompany.com.br
Plataforma: TripFlow — tripflow.com.br
2. Quais Dados Coletamos e Por Quê
2.1 Usuários da Plataforma (Proprietários e Membros de Agências)
São os titulares que criam conta e utilizam o painel administrativo do TripFlow.
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome completo | Identificação da conta e comunicações | Execução de contrato (art. 7º, V) |
| Endereço de e-mail | Autenticação, notificações e recuperação de senha | Execução de contrato (art. 7º, V) |
| Senha (hash criptografado) | Autenticação segura — nunca armazenamos em texto claro | Execução de contrato (art. 7º, V) |
| Dados da agência (nome, logo, cores, WhatsApp, Instagram, site, endereço) | Personalização do catálogo público e proposta para os clientes | Execução de contrato (art. 7º, V) |
| Dados de assinatura (plano, período de trial, status) | Gestão de acesso às funcionalidades conforme o plano contratado | Execução de contrato (art. 7º, V) |
| Histórico de atividades no painel | Segurança, auditoria e suporte técnico | Legítimo interesse (art. 7º, IX) |
2.2 Leads e Clientes Finais das Agências
São os visitantes que preenchem o formulário de orçamento no catálogo público de uma agência cadastrada no TripFlow.
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome | Identificação do lead para a agência de turismo | Execução de contrato ou consentimento (art. 7º, I e V) |
| Contato pela agência para envio de proposta | Execução de contrato ou consentimento (art. 7º, I e V) | |
| E-mail (opcional) | Contato complementar pela agência | Consentimento (art. 7º, I) |
| Preferências de viagem (destino, mês, nº de pessoas) | Composição da proposta de orçamento | Execução de contrato (art. 7º, V) |
| Passeios selecionados | Geração da proposta personalizada para o lead | Execução de contrato (art. 7º, V) |
Nota importante: Esses dados pertencem ao relacionamento entre o lead e a agência de turismo. A IW Company os processa como operadora, exclusivamente para prestar o serviço de CRM à agência. Caso deseje solicitar acesso, correção ou exclusão desses dados, contate diretamente a agência responsável pelo orçamento.
2.3 Dados Técnicos Coletados Automaticamente
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Endereço IP | Segurança, prevenção a abusos e rate limiting | Legítimo interesse (art. 7º, IX) |
| Logs de acesso e requisições | Diagnóstico de erros, segurança e suporte técnico | Legítimo interesse (art. 7º, IX) |
| Dados de sessão (cookies) | Manutenção da sessão autenticada no painel | Execução de contrato (art. 7º, V) |
3. Cookies e Armazenamento Local
Utilizamos os seguintes mecanismos de armazenamento no navegador:
Mantêm a sessão do usuário autenticado no painel administrativo. São cookies de sessão que expiram ao fechar o navegador ou após o período definido pela autenticação.
Armazena temporariamente no navegador do visitante as escolhas de passeios durante a montagem de um orçamento (nome, destino, itens selecionados). Os dados são salvos somente no dispositivo do visitante e enviados ao servidor apenas ao finalizar o orçamento.
Não utilizamos cookies de rastreamento, publicidade ou analytics de terceiros. Você pode limpar cookies e dados de localStorage a qualquer momento pelas configurações do seu navegador.
4. Com Quem Compartilhamos Seus Dados
Não vendemos, alugamos ou comercializamos dados pessoais. O compartilhamento ocorre apenas com fornecedores de infraestrutura estritamente necessários para a prestação do serviço:
Banco de dados, autenticação e armazenamento de arquivos (imagens de passeios e logos)
Base legal: Cláusulas contratuais padrão (transferência internacional — art. 33, II, LGPD)
Processamento de pagamentos e gestão de assinaturas. Dados de cartão de crédito são tratados diretamente pela Stripe; a TripFlow não armazena dados de pagamento.
Base legal: Execução de contrato; cláusulas contratuais padrão
Envio de e-mails transacionais (convites de equipe, notificações)
Base legal: Legítimo interesse; cláusulas contratuais padrão
Hospedagem da aplicação e gerenciamento de domínios personalizados das agências
Base legal: Execução de contrato; cláusulas contratuais padrão
5. Transferências Internacionais de Dados
Todos os fornecedores listados na seção anterior estão sediados nos Estados Unidos. As transferências internacionais são realizadas com base em cláusulas contratuais padrão que garantem nível adequado de proteção, conforme o art. 33 da LGPD. Ao utilizar o TripFlow, o usuário está ciente de que seus dados poderão ser processados fora do Brasil, porém sempre com salvaguardas contratuais adequadas.
6. Por Quanto Tempo Mantemos Seus Dados
7. Segurança dos Dados
Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:
- Comunicação criptografada via TLS/HTTPS em todas as conexões
- Senhas armazenadas com hash seguro (bcrypt via Supabase Auth — nunca em texto claro)
- Controle de acesso por Row-Level Security (RLS) no banco de dados — cada agência acessa somente seus próprios dados
- Rate limiting nas APIs públicas para prevenir abusos e coleta indevida de dados
- Acesso ao banco de dados restrito a funções autorizadas via chave de serviço (nunca exposta ao cliente)
- Uploads de imagens validados (tipo e tamanho) e gravados exclusivamente pelo servidor autorizado, organizados por agência. As imagens de catálogo são de natureza pública, pois exibidas no site da agência.
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados nos prazos previstos na LGPD e na regulamentação da ANPD.
8. Seus Direitos como Titular de Dados
Nos termos do art. 18 da LGPD, você tem os seguintes direitos sobre seus dados pessoais:
Confirmar se tratamos seus dados e obter cópia dos dados que mantemos sobre você.
Solicitar a correção de dados incompletos, inexatos ou desatualizados.
Solicitar a anonimização, bloqueio ou exclusão de dados desnecessários ou tratados em desconformidade com a LGPD.
Solicitar a portabilidade dos seus dados a outro fornecedor de serviço, quando regulamentado pela ANPD.
Revogar consentimentos dados, sem prejuízo da licitude do tratamento realizado anteriormente.
Saber com quais entidades públicas ou privadas seus dados são compartilhados.
Solicitar a eliminação dos dados pessoais tratados com base no consentimento, exceto nos casos de guarda obrigatória por lei.
Solicitar revisão de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses.
9. Dados de Menores de Idade
O TripFlow é uma plataforma destinada exclusivamente a agências de turismo e profissionais do setor, maiores de 18 anos. Não coletamos intencionalmente dados pessoais de menores de 13 anos. Caso identifiquemos tal coleta, os dados serão imediatamente excluídos.
Para leads e clientes finais das agências que possam ser menores, a agência de turismo respectiva (controladora desses dados) é responsável por obter o consentimento dos responsáveis legais conforme exigido pelo art. 14 da LGPD.
10. Alterações nesta Política
Podemos atualizar esta Política periodicamente para refletir mudanças no serviço, na legislação ou nas nossas práticas. Notificaremos usuários cadastrados por e-mail sobre alterações materiais com pelo menos 15 dias de antecedência. A data de vigência no topo deste documento será sempre atualizada. O uso continuado do serviço após a vigência das alterações implica aceitação da nova Política.
11. Contato e Encarregado de Dados (DPO)
Para exercer seus direitos, esclarecer dúvidas sobre esta Política ou comunicar qualquer incidente relacionado aos seus dados, entre em contato:
Prazo de resposta: até 15 dias úteis. Você também poderá apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.