Política de Privacidade

Coletamos o mínimo pra entregar curadoria relevante e seguimos a LGPD. Você pode exportar, corrigir ou apagar seus dados a qualquer momento.

O controlador dos seus dados pessoais é a 1A Flights, com sede no Brasil, com contato em privacidade@1aflights.ai.

• Cadastrais: nome, email, senha (hashed), idioma preferido.
• Preferências: rotas, moeda, classe, destinos salvos.
• Uso: oportunidades visualizadas, cliques, dispositivo, IP.
• Autenticação de terceiros: se usar login Google, recebemos nome, email e avatar.
• Pagamento: os dados de cartão são coletados e armazenados diretamente pela Stripe (processadora certificada PCI-DSS Nível 1). A 1A Flights recebe apenas metadados não-sensíveis: bandeira, últimos 4 dígitos, mês/ano de validade, status do pagamento, valor cobrado.
• Atribuição de marketing: quando você acessa via link com UTM (campanha, origem, mídia), armazenamos esses parâmetros pra entender de onde veio. Sem cookies de terceiros para rastreamento cross-site.

• Operar a plataforma e personalizar o feed pra você.
• Notificar você sobre oportunidades que batem com suas preferências.
• Medir uso agregado para melhorar o produto.
• Cumprir obrigações legais (registros fiscais, ordens judiciais).

• Execução de contrato (art. 7, V): tudo que é necessário pra você usar o serviço.
• Consentimento (art. 7, I): comunicações de marketing — você aceita e pode retirar.
• Legítimo interesse (art. 7, IX): segurança, antifraude, melhoria do produto.
• Obrigação legal (art. 7, II): registros exigidos pela legislação brasileira.

Não vendemos seus dados. Compartilhamos apenas com operadores que processam dados em nosso nome, todos com contrato de proteção de dados (DPA) e garantias adequadas:

• Supabase (EUA) — banco de dados, autenticação e armazenamento de arquivos.
• Cloudflare (EUA) — infraestrutura de aplicação, CDN e proteção anti-DDoS.
• Stripe (EUA, com presença local Stripe Payments do Brasil) — processa cobranças, armazena dados de cartão de forma segura (PCI-DSS Nível 1) e emite recibos por email.
• Resend (EUA) — envia emails transacionais (boas-vindas, alertas, comprovantes de assinatura).
• PostHog (EUA, quando ativo) — análise de uso do produto em modo self-hosted-compatible, sem cookies de terceiros.
• Sentry (EUA) — captura de erros do aplicativo para diagnóstico técnico (sem dados pessoais sensíveis).

Usamos o mínimo de cookies e armazenamento local pra operar o serviço:

• Essenciais (sempre ativos): sessão de login (Supabase Auth), preferência de tema, controle de aceite de cookies.
• Atribuição (localStorage, 30 dias): UTMs da primeira visita pra entender campanha de origem. Sem identificação cross-site.
• Analíticos (opcional): se ativos, métricas agregadas de uso. Você pode optar por não compartilhar pelo banner de cookies.

Você pode revisar sua escolha de cookies a qualquer momento em Minha Conta → Privacidade → Cookies.

Mantemos dados de conta enquanto ela estiver ativa. Após exclusão, apagamos dados pessoais em até 30 dias, exceto o que a lei exige manter (registros fiscais por 5 anos, logs de acesso por 6 meses conforme Marco Civil).

Pela LGPD você pode:

• Confirmar o tratamento e acessar seus dados.
• Corrigir dados incompletos ou desatualizados.
• Solicitar exclusão, anonimização ou bloqueio.
• Portar seus dados a outro fornecedor.
• Revogar consentimento a qualquer momento.
• Reclamar à ANPD.

Para exercer qualquer desses direitos, escreva pra privacidade@1aflights.ai. Respondemos em até 15 dias.

Senhas são armazenadas com hash unidirecional. Acesso ao banco exige autenticação e é registrado. Transporte sempre por HTTPS. RLS ativo em toda tabela sensível.

Alguns operadores (Supabase, Cloudflare) podem processar dados em datacenters fora do Brasil. Essa transferência é feita com garantias adequadas (cláusulas-padrão, certificações equivalentes), conforme art. 33 da LGPD.

A 1A Flights não é direcionada a menores de 18 anos e não coleta dados dessa faixa intencionalmente.

Atualizamos esta política quando necessário. Mudanças materiais serão comunicadas por email com 15 dias de antecedência.

Rafael Milagre — privacidade@1aflights.ai.