Política de Privacidade
Versão: 2026-04-18
Última atualização: 18 de abril de 2026
Na Mentorio.me levamos sua privacidade a sério. Esta Política de Privacidade explica quais dados pessoais coletamos, com que base legal, como os usamos, com quem os compartilhamos e quais direitos você tem sobre eles.
Esta política aplica-se a todos os usuários da Plataforma (Especialistas e Clientes) e complementa-se com nossos Termos de Serviço e a Política de Cookies.
Responsável pelo tratamento: Mentorio.me, Miami, Flórida, Estados Unidos da América. Contato: privacy@mentorio.me.
1. Dados que coletamos
Coletamos os seguintes dados, conforme o tipo de usuário e a interação:
1.1 Dados de identidade e conta
- Nome completo
- Endereço de email
- Senha (armazenada com hash seguro, nunca em texto claro)
- Foto de perfil (opcional)
- Idioma preferido e fuso horário
- Slug público do Especialista (URL
/@usuario)
1.2 Dados profissionais do Especialista
- Biografia, título profissional, área de especialização
- Preços, durações e formatos de sessão publicados
- Links para redes sociais ou sites próprios que o Especialista escolhe mostrar
- Avaliações recebidas e respostas a avaliações
1.3 Dados de pagamento
Os pagamentos são processados pelo Stripe. Nós não armazenamos dados completos de cartões. Armazenamos:
- Identificadores internos do Stripe do pagamento (Payment Intent ID, Customer ID)
- Últimos 4 dígitos e bandeira do cartão (quando o Stripe nos expõe) — armazenados no momento do pagamento para mostrá-los no seu histórico de faturamento
- Histórico de transações (valor, moeda, data, status, ID da sessão associada)
- Dados bancários do Especialista para o processamento de repasses: nome do titular, país, IBAN ou número da conta, SWIFT/BIC, routing number se aplicável, e identificação fiscal quando a jurisdição o exigir. Os campos sensíveis (número da conta, SWIFT/BIC, identificação fiscal) são armazenados criptografados com AES-256-GCM e só são acessíveis à equipe autorizada da Plataforma no momento de preparar um repasse
1.4 Dados de uso da Plataforma
- Sessões reservadas, remarcadas, canceladas, concluídas
- Formulários de preparação enviados pelo Cliente ao Especialista
- Avaliações publicadas
- Mensagens automáticas e lembretes enviados
- Eventos analíticos próprios (que páginas visitou, que ações realizou) armazenados em nosso banco de dados sem cookies de terceiros
1.5 Dados de comunicações
- Emails transacionais enviados (assunto, destinatário, status de entrega)
- Tickets de suporte e conversas com nossa equipe
1.6 Dados técnicos e de dispositivo
- Endereço IP (truncado para análises, completo para segurança)
- Tipo de navegador, sistema operacional, idioma do navegador
- Identificador anônimo de sessão (cookie
cc_cookie para consentimento)
- Logs de erros (Sentry) e métricas de desempenho
1.7 Dados de localização inferida
- País e cidade inferidos a partir do IP (não usamos GPS nem geolocalização precisa)
- Fuso horário declarado pelo usuário
1.8 Dados das sessões de vídeo
- Data, hora, duração e participantes de cada sessão
- Gravações somente se o Especialista as ativar e o Cliente consentir explicitamente
2. Base legal do tratamento (GDPR art. 6)
| Finalidade | Base legal |
|---|
| Criar e manter sua conta | Execução de contrato (art. 6.1.b) |
| Processar pagamentos e repasses | Execução de contrato (art. 6.1.b) |
| Cumprir obrigações fiscais e legais | Obrigação legal (art. 6.1.c) |
| Enviar lembretes e notificações operacionais | Execução de contrato (art. 6.1.b) |
| Prevenir fraude e garantir segurança | Interesse legítimo (art. 6.1.f) |
| Melhorar a Plataforma com analytics próprios | Interesse legítimo (art. 6.1.f) |
| Enviar comunicações de marketing (se houver) | Consentimento (art. 6.1.a) |
| Gravar sessões | Consentimento explícito (art. 6.1.a) |
3. Finalidades do uso
Usamos seus dados exclusivamente para:
- Operar a Plataforma (criar perfis, publicar sessões, processar reservas)
- Processar pagamentos e realizar repasses ao Especialista
- Enviar lembretes, confirmações e notificações operacionais
- Prevenir fraude, abuso e violações dos Termos
- Responder consultas de suporte
- Cumprir obrigações legais e fiscais
- Gerar estatísticas internas agregadas para melhorar o serviço
Não vendemos dados pessoais a terceiros. Não usamos seus dados para publicidade comportamental de terceiros.
4. Compartilhamento com terceiros (operadores)
Compartilhamos dados estritamente necessários com os seguintes fornecedores, cada um vinculado por acordos de tratamento de dados conformes ao GDPR:
| Fornecedor | O que recebe | Para quê |
|---|
| Stripe (Irlanda / EUA) | Nome, email, valor, moeda, país, dados de cartão (diretamente do usuário, não de nós) | Processamento de pagamentos, repasses, antifraude (Radar) |
| Daily.co (EUA) | Nome do participante, tokens efêmeros de sala, gravações de vídeo (se ativadas) | Videochamadas integradas e armazenamento de gravações (máx. 48 h) |
| Amazon Web Services — SES (EUA / Irlanda conforme a região) | Email, nome, conteúdo do email transacional | Envio de emails |
| Sentry (EUA) | Logs de erro, IP truncado, user ID quando aplicável | Diagnóstico de erros |
| Cloudflare (EUA) | IP, cabeçalhos HTTP, requisições | DNS, CDN, WAF, Turnstile (anti-abuso) |
| MinIO (self-hosted, infraestrutura própria) | Imagens de perfil e capa enviadas | Armazenamento |
Postgres e Redis executam em nossa própria infraestrutura.
5. Transferências internacionais
Alguns de nossos fornecedores estão localizados fora dos Estados Unidos ou fora do Espaço Econômico Europeu (EEE). Quando isto implica uma transferência internacional de dados pessoais de usuários europeus, apoiamo-nos em mecanismos reconhecidos:
- Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia quando o fornecedor não possui decisão de adequação.
- Estrutura de Privacidade de Dados UE–EUA (EU–US DPF) quando o fornecedor está certificado.
Você pode solicitar mais detalhes sobre as salvaguardas aplicáveis escrevendo para privacy@mentorio.me.
6. Retenção de dados
- Dados de conta ativos: enquanto existir a conta.
- Dados após encerramento da conta: a conta é marcada inativa imediatamente; os dados pessoais são anonimizados após 30 dias.
- Gravações de sessões: armazenadas no Daily.co e excluídas automaticamente 48 horas após o fim da sessão.
- Registros fiscais e transacionais: conservados por 7 anos conforme a legislação aplicável.
- Logs técnicos e de segurança: entre 30 e 180 dias conforme o tipo.
- Eventos analíticos: agregados e anonimizados após 12 meses.
7. Seus direitos
De acordo com o GDPR e outras legislações aplicáveis, você tem os seguintes direitos:
- Acesso: obter uma cópia de seus dados pessoais (exportável em formato JSON).
- Retificação: corrigir dados imprecisos.
- Eliminação ("direito ao esquecimento"): solicitar a supressão de seus dados, dentro dos limites legais (por exemplo, registros fiscais que devemos reter).
- Portabilidade: receber seus dados em formato estruturado e legível por máquina.
- Oposição: opor-se ao tratamento baseado em interesse legítimo.
- Restrição: limitar o tratamento enquanto revisamos uma objeção.
- Revogação do consentimento: retirar seu consentimento a qualquer momento (sem efeito retroativo).
- Reclamação à autoridade: apresentar reclamação à autoridade de proteção de dados competente de seu país.
8. Como exercer seus direitos
- A partir da Plataforma: vá para
/account/security. De lá você pode:
- Exportar seus dados em formato JSON.
- Editar dados básicos.
- Excluir sua conta.
- Gerenciar preferências de cookies.
- Por email: escreva para privacy@mentorio.me. Responderemos dentro de 30 dias (prorrogáveis por mais 30 dias em casos complexos, conforme o GDPR).
Podemos solicitar que verifique sua identidade antes de atender solicitações sensíveis.
9. Menores
A Plataforma não é destinada a menores de 18 anos. Não permitimos o registro nem o uso por menores de idade. Se detectarmos que uma conta pertence a um menor, a encerramos e excluímos seus dados conforme nossas políticas de retenção.
Se você é pai, mãe ou responsável e acredita que um menor criou uma conta, contate-nos em privacy@mentorio.me.
10. Segurança
Aplicamos medidas técnicas e organizacionais razoáveis para proteger seus dados:
- Criptografia em trânsito (HTTPS/TLS) em toda a plataforma.
- Criptografia em repouso para bancos de dados.
- Hash seguro de senhas (bcrypt/argon2).
- Rate limiting em endpoints públicos para prevenir abuso.
- Autenticação de dois fatores (2FA) planejada como próxima melhoria.
- Backups regulares e criptografados.
- Controle de acesso baseado em funções para a equipe interna.
- Monitoramento de eventos de segurança e erros.
Apesar destes esforços, nenhum sistema é 100% seguro. Em caso de violação de segurança que afete seus dados pessoais, notificaremos você dentro dos prazos estabelecidos pela lei aplicável.
11. Cookies
Utilizamos cookies necessários para o funcionamento do serviço e, mediante consentimento, outras categorias. Consulte a Política de Cookies para o detalhe completo e o gerenciamento de preferências.
12. Alterações a esta Política
Podemos atualizar esta Política. As alterações materiais serão notificadas com pelo menos 30 dias de antecedência por email e aviso na Plataforma. O uso continuado implica aceitação. As versões históricas ficam arquivadas.
13. Contato e DPO
Para qualquer pergunta sobre esta Política, exercício de direitos ou incidentes:
Atualmente não temos um Data Protection Officer (DPO) formal designado; as solicitações são atendidas pela equipe jurídica interna. Se a lei aplicável exigir DPO, designaremos um e atualizaremos esta seção.
Mentorio.me