1. Dados pessoais que tratamos
A Gala Indoor opera mídia indoor com analytics de audiência em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD). Esta política descreve todas as categorias de dados pessoais tratados, finalidades, hipóteses legais e seus direitos como titular.
Dados de cadastro (Estabelecimento, Anunciante, Agência)
- Identificação: nome, e-mail, telefone/WhatsApp, CPF/CNPJ
- Endereço comercial do ponto onde a tela é instalada
- Dados bancários (para pagamento de repasse)
Base legal: execução de contrato (art. 7°, V, LGPD).
Dados de uso da plataforma
- Logs de acesso, IP, user-agent, ações no painel
- Cookies essenciais (autenticação e preferências)
Base legal: legítimo interesse + cumprimento de obrigação legal (Marco Civil).
Dados de audiência (visão computacional)
Para mensurar audiência real, alguns pontos opcionalmente contam com câmera USB conectada ao TV Box. Importante:
- Nenhum frame de vídeo, foto ou imagem deixa o dispositivo
- O processamento (detecção de pessoas + estimativa demográfica) é 100% on-device, com modelo YOLO TensorFlow Lite
- O que vai pro servidor é apenas o agregado: contagem de pessoas, faixa etária aproximada, distribuição por gênero — em intervalos de tempo, sem identificação individual
- Não há reconhecimento facial nem identificação de indivíduos
- Não há armazenamento de imagens em nenhum lugar (servidor ou device)
Base legal: legítimo interesse — analytics agregado anonimizado não constitui dado pessoal (art. 12, LGPD).
2. Para que usamos os dados
Finalidades específicas
| Dado | Finalidade | Prazo |
|---|
| Cadastro | Operar conta, faturamento, suporte | Durante o contrato + 5 anos (obrigação fiscal) |
| Logs de acesso | Segurança, prevenção de fraude | 6 meses (Marco Civil) |
| Dados bancários | Repasse mensal | Durante o contrato + 5 anos (Receita) |
| Métricas agregadas | Relatórios anunciante, faturamento | Indefinido (anonimizado) |
| Leads QR (telefone) | Entregar contato ao anunciante | Até titular pedir exclusão |
Compartilhamento com terceiros
- Supabase (hospedagem do banco de dados) — sediado em EUA com cláusulas SCC
- Vercel (hospedagem do painel web) — EUA, idem
- Mercado Pago (processamento de pagamento)
- Resend (envio de e-mails transacionais)
- Z-API (integração WhatsApp para entrega de leads)
Não vendemos nem cedemos dados a terceiros para fins de marketing externo à plataforma. Não há transferência internacional sem cláusula contratual padrão.
Sobre os leads QR
Quando alguém escaneia o QR e envia mensagem no WhatsApp do anunciante, ele está dando consentimento expresso para o contato (botão "Falar agora" + abertura voluntária do app de mensagem). O número de telefone é repassado apenas ao anunciante daquela campanha específica.
3. Seus direitos como titular (art. 18 LGPD)
Você pode, a qualquer tempo, exigir da Gala Indoor:
- Confirmação da existência de tratamento
- Acesso aos dados pessoais que temos sobre você
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
- Portabilidade dos dados a outro fornecedor
- Eliminação dos dados pessoais tratados com base no consentimento (exceto hipóteses do art. 16 LGPD)
- Informação sobre entidades públicas/privadas com quem compartilhamos
- Revogação do consentimento a qualquer momento
- Oposição ao tratamento por descumprimento de princípios
Como exercer
Envie e-mail para dpo@galaindoor.com.br com cópia de documento de identidade. Respondemos em até 15 dias úteis. Pedidos urgentes (ex: exclusão de telefone após receber spam) são atendidos em até 48h.
Encarregado de Dados (DPO)
Diogo Filipe Jansen
E-mail: dpo@galaindoor.com.br
Telefone: +55 47 98455-8657
4. Medidas de segurança
- Criptografia em trânsito (TLS 1.3) e em repouso (AES-256 Supabase)
- Row-Level Security no banco — cada usuário só acessa próprios dados
- Autenticação via magic link (sem senha armazenada)
- Service role keys com escopo restrito e rotação trimestral
- Backups diários do banco com retenção de 30 dias
- Auditoria de acessos administrativos
5. Incidente de segurança
Em caso de incidente envolvendo dados pessoais (vazamento, acesso indevido), seguimos:
- Contenção imediata e investigação forense
- Notificação à ANPD em até 72h (Decreto 11.137/2022)
- Comunicação aos titulares afetados
- Medidas corretivas e RCA público
6. Reclamações
Se não estiver satisfeito com nossa resposta, você pode reclamar à Autoridade Nacional de Proteção de Dados (ANPD):
gov.br/anpd/pt-br/canais_atendimento/cidadao
Versão e atualizações: esta política vigora a partir de 18/05/2026. Alterações serão comunicadas com 30 dias de antecedência aos titulares.