Legal · Privacidade
Política de Privacidade
LGPD · GDPR · CCPA · Última atualização: 16 de maio de 2026
A Voyspark, marca operada pela Ambrosio Company, leva privacidade a sério. Esta Política explica quais dados coletamos, por que coletamos, como tratamos, com quem compartilhamos e quais são os seus direitos. Aplicam-se LGPD (Lei 13.709/2018, Brasil), GDPR (Regulamento (UE) 2016/679, União Europeia) e CCPA (California Consumer Privacy Act, EUA).
1. Controlador e Encarregado de Dados
A Ambrosio Company atua como controladora dos dados pessoais tratados na plataforma Voyspark. Designamos um Encarregado pelo Tratamento de Dados Pessoais (DPO/RPD) para representar o usuário perante a empresa e as autoridades competentes.
Contato do DPO: dpo@voyspark.com. Atendemos solicitações em até 15 dias corridos para titulares brasileiros (art. 19 LGPD) e em até 1 mês para titulares europeus (art. 12 GDPR), prorrogáveis conforme complexidade.
2. Bases Legais para o Tratamento
Tratamos dados pessoais apenas quando há uma base legal apropriada: (a) execução de contrato (LGPD art. 7º V, GDPR art. 6 (1) (b)) — para entregar funcionalidades contratadas; (b) cumprimento de obrigação legal (LGPD art. 7º II, GDPR art. 6 (1) (c)) — para reter dados fiscais, fiscais e tributários; (c) legítimo interesse (LGPD art. 7º IX, GDPR art. 6 (1) (f)) — para segurança, prevenção a fraudes, analytics agregada e melhoria do serviço, sempre balanceado com seus direitos.
Quando nenhuma das bases acima se aplica, solicitamos seu consentimento livre, informado e inequívoco (LGPD art. 7º I, GDPR art. 6 (1) (a)), especialmente para marketing direto, cookies não essenciais e tratamento de dados sensíveis.
3. Dados Pessoais Coletados
Dados de identificação: nome, e-mail, telefone (opcional), data de nascimento (opcional), país de residência, idioma preferido.
Dados de navegação: endereço IP, tipo de dispositivo e navegador, sistema operacional, páginas visitadas, tempo de permanência, referenciador, identificadores de cookies — coletados via servidor próprio (track.voyspark.com) e parceiros analíticos.
Dados de uso: Trip Plans criados, destinos pesquisados, datas de viagem, preferências do Taste Genome, mensagens trocadas com a Voyspark AI, avaliações, Trip Diaries publicados, respostas em Insider Network.
Dados de transação: histórico de assinaturas, status de pagamento, últimos 4 dígitos do cartão (apenas via Stripe), endereço de cobrança e fiscal quando necessário.
Dados de comunicação: e-mails trocados com suporte, tickets, chats, respostas a pesquisas e NPS.
4. Dados Recebidos via Google OAuth (Login com Google)
Ao optar por "Entrar com Google", a Voyspark utiliza o protocolo OAuth 2.0 para receber, exclusivamente, os seguintes dados do seu perfil Google: identificador único (sub), endereço de e-mail, status de e-mail verificado, nome completo, nome dado, sobrenome e URL da foto de perfil.
Esses dados são utilizados estritamente para: (a) criar e autenticar sua conta Voyspark; (b) exibir seu nome e avatar dentro da plataforma; (c) vincular login subsequente; (d) enviar comunicações transacionais essenciais (confirmação de cadastro, recuperação de acesso, atualizações críticas).
A Voyspark NÃO solicita, NÃO acessa e NÃO armazena: conteúdo do Gmail, mensagens, anexos, contatos, arquivos do Google Drive, eventos do Google Calendar, fotos do Google Photos, contatos do Google Contacts ou qualquer outro escopo restrito da sua conta Google.
A Voyspark NÃO compartilha os dados obtidos via Google OAuth com terceiros para fins de marketing, publicidade direcionada ou treinamento de modelos de IA. Esses dados não são vendidos sob nenhuma hipótese.
Você pode revogar o acesso da Voyspark à sua conta Google a qualquer momento em myaccount.google.com/permissions. Após a revogação, manteremos apenas os dados estritamente necessários para cumprir obrigações legais (faturamento, contabilidade, prevenção a fraudes), conforme prazos descritos na seção 8.
5. Como Usamos os Dados
Autenticação e conta: criar, manter e proteger sua conta, validar acesso, recuperar senha e prevenir tomada de conta indevida.
Personalização: adaptar recomendações de destino, sugestões de roteiro e curadoria editorial conforme seu perfil declarado e comportamento na plataforma.
Transacional: processar assinaturas, emitir recibos, comunicar mudanças contratuais, cobranças e renovações.
Comunicação: responder dúvidas de suporte, enviar atualizações importantes do serviço e — apenas com consentimento — newsletters editoriais e ofertas.
Analytics e melhoria: analisar uso agregado para entender comportamento, identificar gargalos, priorizar melhorias e medir performance de campanhas e novas funcionalidades.
Segurança e prevenção a fraudes: detectar e bloquear acessos suspeitos, abusos, scraping, fraudes em pagamentos e usos contrários aos Termos.
6. Compartilhamento com Terceiros (Operadores/Processadores)
A Voyspark compartilha dados pessoais somente com parceiros operacionais (operadores na LGPD, processadores no GDPR) estritamente necessários para o funcionamento do serviço, sob contratos que exigem proteção equivalente.
Principais processadores em uso: Stripe Inc. (pagamentos); Supabase Inc. (banco de dados e autenticação); Vercel Inc. e Cloudflare Inc. (hospedagem e CDN); Anthropic PBC e OpenAI OpCo, LLC (modelos de IA via API, sem treinamento sobre dados privados); Google LLC (login OAuth, fontes, analytics opcional); Travelpayouts (afiliação editorial — recebe apenas um identificador anônimo de clique/sub_id, sem dados pessoais nominais); Resend ou similar (envio transacional de e-mail).
Não vendemos dados pessoais. Não compartilhamos dados com corretoras de dados, redes de anúncios cruzados ou terceiros que tratem seus dados para finalidades próprias incompatíveis com este aviso.
8. Retenção de Dados
Conta ativa: mantemos os dados enquanto sua conta estiver ativa e por mais 30 dias após o pedido de exclusão (período de soft-delete reversível).
Dados fiscais e contábeis: mantidos por até 5 anos para usuários brasileiros (obrigação tributária) e conforme prazo legal aplicável em outras jurisdições.
Logs de segurança: até 12 meses, conforme art. 13 e 15 do Marco Civil da Internet brasileiro e equivalentes europeus.
Conversas com Voyspark AI: até 18 meses, depois anonimizadas e usadas apenas em forma agregada para análise estatística.
Conteúdo publicado (Trip Diaries, reviews): permanece visível até remoção pelo usuário, com cópia em backup mantida por até 90 dias após a exclusão.
9. Seus Direitos (LGPD — Brasil)
Em conformidade com o art. 18 da LGPD, você tem direito a: (a) confirmar a existência de tratamento; (b) acessar seus dados; (c) corrigir dados incompletos, inexatos ou desatualizados; (d) anonimizar, bloquear ou eliminar dados desnecessários; (e) portar dados a outro fornecedor; (f) eliminar dados tratados com base em consentimento; (g) ser informado sobre compartilhamentos; (h) revogar consentimento.
Para exercer qualquer direito, envie pedido ao DPO em dpo@voyspark.com com identificação suficiente para validação. Responderemos em até 15 dias corridos.
10. Seus Direitos (GDPR — União Europeia)
Sob o GDPR você tem direito a: acesso (art. 15), retificação (art. 16), eliminação/esquecimento (art. 17), limitação do tratamento (art. 18), portabilidade (art. 20), oposição (art. 21) e direito a não ser submetido a decisões automatizadas com efeito significativo (art. 22).
Você também tem direito de reclamar a uma autoridade de controlo, como o CNIL (França), AEPD (Espanha), Garante (Itália), BfDI (Alemanha) ou CNPD (Portugal).
11. Seus Direitos (CCPA — Califórnia)
Residentes da Califórnia têm os direitos previstos no CCPA/CPRA: saber categorias e elementos específicos de dados coletados, fontes e finalidades; solicitar exclusão; opt-out da venda ou compartilhamento de dados (a Voyspark não vende dados); corrigir dados imprecisos; limitar o uso de informações pessoais sensíveis.
Para exercer esses direitos, envie pedido a dpo@voyspark.com com a frase "Solicitação CCPA". Não discriminamos usuários que exercem direitos.
12. Crianças e Adolescentes
A Voyspark não é destinada a crianças menores de 13 anos (Brasil) ou 16 anos (União Europeia, salvo idade local mais baixa). Não coletamos intencionalmente dados desses titulares.
Caso identifiquemos coleta indevida, eliminaremos os dados prontamente. Pais ou responsáveis que detectem tratamento de dados de menores podem solicitar exclusão imediata em dpo@voyspark.com.
13. Transferência Internacional de Dados
A operação da Voyspark envolve transferências internacionais de dados (por exemplo, para servidores nos EUA e na UE de processadores como Stripe, Vercel, Cloudflare, Supabase, Anthropic e OpenAI).
Essas transferências são realizadas com base em cláusulas contratuais padrão da Comissão Europeia (SCCs) e demais salvaguardas previstas no art. 33 da LGPD e nos arts. 44 a 49 do GDPR.
14. Segurança da Informação
Aplicamos medidas técnicas e organizacionais adequadas ao risco: criptografia em trânsito (TLS 1.2+), criptografia em repouso para dados sensíveis, hashing de senhas (bcrypt/argon2), controle de acesso por princípio de menor privilégio, segregação de ambientes, logs de auditoria, monitoramento contínuo e revisões periódicas.
Nenhum sistema é absolutamente imune a riscos. Em caso de incidente de segurança relevante, notificaremos a ANPD (Brasil) e/ou a autoridade europeia competente nos prazos legais (até 72 horas no GDPR), bem como os titulares afetados, quando aplicável.
15. Alterações desta Política
Esta Política pode ser atualizada para refletir mudanças regulatórias, novas funcionalidades ou novos parceiros. Versões anteriores ficam arquivadas e podem ser solicitadas em dpo@voyspark.com.
Atualizações materiais serão comunicadas com 15 dias de antecedência por e-mail e/ou aviso destacado na plataforma.
16. Contato com o DPO e Autoridades
Encarregado pelo Tratamento de Dados (DPO/RPD): dpo@voyspark.com. Contato jurídico: legal@voyspark.com.
Autoridades de controle: ANPD (Brasil, anpd.gov.br), CNIL (França, cnil.fr), AEPD (Espanha, aepd.es), Garante (Itália, garanteprivacy.it), BfDI (Alemanha, bfdi.bund.de), CNPD (Portugal, cnpd.pt), ICO (Reino Unido, ico.org.uk) e California Privacy Protection Agency (cppa.ca.gov).