← Voltar
CorboPro

Política de Privacidade

Versão 1.2 · Última atualização: 16 de junho de 2026

Índice
1. Quem é o Controlador2. Encarregado de Dados (DPO)3. Quais dados pessoais coletamos4. Para que usamos os dados (finalidades e base legal)5. Com quem compartilhamos (operadores)6. Transferência internacional de dados7. Por quanto tempo guardamos (retenção)8. Direitos do titular9. Segurança dos dados10. Cookies e tecnologias de rastreamento11. Dados de Clientes Finais (papel de operador)12. Dados de menores de idade13. Alterações desta Política14. ANPD e reclamações15. Legislação e foro

1. Quem é o Controlador

Esta Política de Privacidade explica como a CorboPro coleta, usa, compartilha e protege os dados pessoais tratados na Plataforma, em conformidade com a Lei Geral de Proteção de Dados — LGPD (Lei 13.709/2018).

  • Controlador: Victor Hugo Corbolan Coca, sob a marca CorboPro.
  • CNPJ: 29.167.332/0001-47
  • Site: https://corbopro.com · Contato: [email protected]

2. Encarregado de Dados (DPO)

Em atenção ao art. 41 da LGPD, indicamos o Encarregado pelo Tratamento de Dados Pessoais (DPO), responsável por receber comunicações de titulares e da ANPD:

  • Encarregado (DPO): Victor Hugo Corbolan Coca
  • E-mail: [email protected] (alternativo: [email protected])
  • Prazo de resposta: até 15 dias corridos (LGPD, art. 19, II).

3. Quais dados pessoais coletamos

3.1 Dados de cadastro

Nome completo, e-mail, telefone/WhatsApp, CPF (no onboarding) e senha — armazenada apenas como hash bcrypt, nunca em texto puro.

3.2 Dados de uso

Endereço IP, navegador, dispositivo, horários de acesso, logs de ações e cookies essenciais.

3.3 Dados de cobrança

Forma de pagamento e histórico de faturas. O processamento do cartão é feito integralmente pela Stripe (operador de pagamentos, certificada PCI-DSS), inclusive nas cobranças recorrentes automáticas de planos e de armazenamento extra. Não armazenamos o número completo do cartão — guardamos apenas referências/tokens fornecidos pela Stripe, necessários para identificar a assinatura e processar as renovações. A base legal é a execução de contrato (LGPD, art. 7º, V). Consulte também a Política de Privacidade da Stripe.

3.4 Dados de autenticação Google

Ao usar “Continuar com Google”, recebemos do seu perfil Google apenas nome, e-mail e foto de perfil, para criar/identificar a sua conta.

3.5 Conteúdo do Usuário

Fotos, contratos, orçamentos, galerias, manuais e leads — de propriedade do Fotógrafo.

3.6 Dados de Clientes Finais

Nome, e-mail, telefone, CPF, endereço e assinatura digital. Quanto a esses dados, a CorboPro é Operadora e o Fotógrafo é o Controlador.

3.7 Dados de assinatura de contrato

No momento da assinatura eletrônica coletamos IP, geolocalização aproximada, dispositivo, data/hora e hash SHA-256 do documento, para fins probatórios.

4. Para que usamos os dados (finalidades e base legal)

FinalidadeDadosBase legal (LGPD)
Criar e manter a contaCadastroExecução de contrato (art. 7º, V)
Processar pagamentosCobrançaExecução de contrato (art. 7º, V)
Operar a Plataforma (galerias, contratos, etc.)Cadastro + uso + conteúdoExecução de contrato (art. 7º, V)
E-mails transacionais (reset de senha, contrato, fatura)E-mailExecução de contrato (art. 7º, V)
E-mails de marketing / novidadesE-mailConsentimento opt-in (art. 7º, I) — revogável
Suporte ao clienteCadastro + usoExecução de contrato + legítimo interesse (art. 7º, IX)
Detecção de fraude e abusoUso + IPLegítimo interesse (art. 7º, IX)
Cumprimento de obrigação legal (fiscal, judicial)Cadastro + cobrançaObrigação legal (art. 7º, II)
Analytics agregadoUso (anonimizado)Legítimo interesse (art. 7º, IX)
Medição de conversões dos nossos anúncios (Meta Pixel + API de Conversões)E-mail, telefone, uso e IP (pseudonimizados por hash)Consentimento (art. 7º, I) / legítimo interesse (art. 7º, IX)

A CorboPro não usa fotos ou conteúdo para treinar inteligência artificial e não vende dados pessoais. Para medir a conversão dos próprios anúncios, compartilha dados pseudonimizados (hash) com a Meta (Pixel + API de Conversões) — nunca os cede para publicidade de terceiros.

5. Com quem compartilhamos (operadores)

Nunca vendemos seus dados
Compartilhamos dados apenas com operadores essenciais (Stripe, Supabase, Cloudflare e outros abaixo) para o serviço funcionar — sob contratos de proteção de dados. Nunca vendemos nem cedemos seus dados para marketing de terceiros.
Como seus dados fluem
1Você
Fornece os dados
2CorboPro
Controlador / operador
3Operadores
Stripe, Supabase, Cloudflare…

Para operar o Serviço, contamos com provedores de infraestrutura que atuam como operadores, sob contratos de tratamento de dados (DPA):

OperadorO que processaPaísBase
SupabaseBanco de dados, autenticação, storage de contingênciaEUADPA + cláusulas contratuais
Cloudflare R2Armazenamento principal de fotosMulti-regiãoDPA Cloudflare (ISO 27001)
StripePagamentos recorrentes (cartão)EUADPA Stripe, PCI-DSS
ResendE-mails transacionaisEUADPA Resend
Google OAuthAutenticação socialEUATermos das Google APIs
Meta PlatformsMedição de conversões dos nossos anúncios (Pixel + API de Conversões), com dados pseudonimizados (hash)EUA / IrlandaDPA Meta + cláusulas contratuais
HetznerHospedagem da aplicação (VPS)Alemanha (UE)DPA Hetzner, GDPR
  • Podemos compartilhar dados por obrigação legal (ordem judicial ou requisição de autoridade competente).
  • Caso venhamos a incluir um novo operador material, daremos aviso prévio de 30 dias.

6. Transferência internacional de dados

  • Em razão dos provedores acima, dados podem ser transferidos para os EUA e a União Europeia (Supabase, Stripe, Cloudflare, Resend, Hetzner), nos termos do art. 33 da LGPD.
  • A transferência se ampara em cláusulas contratuais padrão e nos DPAs dos provedores.
  • Os provedores adotam padrões de segurança reconhecidos (ex.: Stripe — PCI-DSS; Cloudflare — ISO 27001).
  • A Hetzner (Alemanha) opera sob o GDPR, oferecendo nível de proteção equivalente.

7. Por quanto tempo guardamos (retenção)

Tipo de dadoPrazoMotivo
Conta ativaEnquanto a conta existirExecução do contrato
Após exclusão da conta30 diasPeríodo de recuperação
Após exclusão definitivaApagado permanentementeSolicitação do titular
Dados fiscais (faturas, recibos)5 anosObrigação legal (CTN, art. 173)
Logs de acesso6 mesesMarco Civil da Internet (art. 15)
Assinaturas de contrato5 anos após a expiraçãoValidade probatória
Dados de Clientes FinaisEnquanto o Fotógrafo mantiverInstrução do controlador
Marketing (opt-in)Até a revogaçãoConsentimento

8. Direitos do titular

Seus dados são seus — e você no controle
Você pode acessar, corrigir, exportar e excluir seus dados a qualquer momento. Basta solicitar pelo painel ou pelo e-mail [email protected].

Nos termos dos arts. 17 a 22 da LGPD, você tem direito a:

  1. Confirmação da existência de tratamento;
  2. Acesso aos seus dados pessoais;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
  5. Portabilidade dos dados a outro fornecedor;
  6. Eliminação dos dados tratados com base no consentimento;
  7. Informação sobre as entidades com as quais compartilhamos dados;
  8. Informação sobre a possibilidade de não consentir e as consequências disso;
  9. Revogação do consentimento;
  10. Oposição a tratamento baseado em legítimo interesse;
  11. Revisão de decisões tomadas unicamente com base em tratamento automatizado.
  • Como exercer: envie um pedido para [email protected].
  • Prazo de resposta: 15 dias corridos (art. 19, II).
  • Exclusão de conta: pode ser feita diretamente no painel (processo de 3 etapas) ou por e-mail ao DPO.

9. Segurança dos dados

Adotamos medidas técnicas e administrativas para proteger seus dados (LGPD, art. 46):

  • Senhas armazenadas com hash bcrypt (nunca em texto puro);
  • HTTPS em toda a Plataforma;
  • Dados de pagamento processados pela Stripe (PCI-DSS);
  • Acesso aos dados restrito pelo princípio do menor privilégio;
  • Monitoramento de acessos suspeitos.

Em caso de incidente de segurança relevante, comunicaremos a ANPD e os titulares afetados, nos termos do art. 48 da LGPD.

10. Cookies e tecnologias de rastreamento

  • Cookies essenciais (sessão e autenticação): necessários ao funcionamento, dispensam consentimento;
  • Cookies de preferência (tema, idioma): funcionais;
  • Utilizamos o Meta Pixel e a API de Conversões da Meta exclusivamente para medir a eficácia dos nossos próprios anúncios e otimizar campanhas; os dados pessoais enviados à Meta são pseudonimizados com hash (SHA-256);
  • Para essa medição, cookies como _fbp e _fbc podem ser gravados; você pode recusá-los nas configurações do seu navegador;
  • Não vendemos seus dados nem os cedemos para publicidade de terceiros, e não utilizamos Google Analytics;
  • Você pode gerenciar cookies nas configurações do seu navegador.

11. Dados de Clientes Finais (papel de operador)

  • A CorboPro é Operadora dos dados dos Clientes Finais; o Fotógrafo é o Controlador.
  • Tratamos esses dados conforme as instruções do Fotógrafo e estes documentos.
  • Se um Cliente Final solicitar acesso ou exclusão de dados, encaminharemos o pedido ao Fotógrafo (controlador).
  • A CorboPro não contata Clientes Finais diretamente para marketing.

Responsabilidade compartilhada e limites da CorboPro: a CorboPro adota medidas técnicas e organizacionais adequadas para proteger os dados dos Clientes Finais armazenados em sua infraestrutura. Contudo, a plataforma não tem controle sobre: (a) como o Fotógrafo compartilha ou utiliza os dados fora da plataforma; (b) incidentes decorrentes de perda ou compartilhamento indevido de credenciais de acesso pelo Fotógrafo; (c) atos ou omissões do Fotógrafo enquanto Controlador. Nesses casos, a responsabilidade perante o Cliente Final é exclusiva do Fotógrafo. Em caso de incidente originado nos servidores da CorboPro, a plataforma notificará o Fotógrafo e, quando aplicável, a ANPD, conforme exigido pela LGPD.

12. Dados de menores de idade

  • A Plataforma não é direcionada a menores de 18 anos e não trata dados de menores conscientemente como usuários.
  • Caso o Fotógrafo fotografe menores, a responsabilidade pela autorização dos responsáveis legais é exclusivamente sua, conforme o ECA e o art. 14 da LGPD (melhor interesse da criança e do adolescente).

13. Alterações desta Política

  • Podemos atualizar esta Política a qualquer momento.
  • Mudanças relevantes serão comunicadas com aviso prévio de 30 dias, por e-mail e notificação na Plataforma.
  • A versão anterior fica disponível mediante solicitação.

14. ANPD e reclamações

Você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):

  • Site: https://www.gov.br/anpd
  • E-mail: [email protected]

15. Legislação e foro

Esta Política observa a LGPD (Lei 13.709/2018), o Marco Civil da Internet (Lei 12.965/2014), o CDC (Lei 8.078/1990) e o Código Civil (Lei 10.406/2002).

Fica eleito o foro da Comarca de Porto Real/RJ, sem prejuízo do foro do domicílio do consumidor (art. 101, I, CDC).

Dúvidas sobre privacidade? Fale com o nosso Encarregado: [email protected].

CorboPro · corbopro.com · DPO: [email protected]
Veja também os nossos Termos de Uso.