Documento legal
Política de Privacidade
- Vigente desde:
- {DATA_PUBLICACAO}
- Última revisão:
- 2026-05-06
1. Quem somos (controlador)
Esta Política de Privacidade descreve como o Mirino trata os dados pessoais de quem utiliza nosso serviço.
- Controlador: QUARESMA SERVIÇOS E CONSULTORIA LTDA
- CNPJ: 46.365.312/0001-08
- Sede: Belo Horizonte, MG, Brasil
- Canal de contato eletrônico:
[email protected] - Encarregado pelo Tratamento de Dados (DPO): Tarcísio Quaresma —
[email protected]
O Mirino é um SaaS de gestão para fotógrafos e videomakers brasileiros. Esta Política se aplica ao uso do serviço através de mirino.com.br, app.mirino.com.br, portal.mirino.com.br e demais subdomínios.
2. Definições
- Persona: profissional (fotógrafo ou videomaker) que assina o Mirino e gerencia seu negócio na plataforma.
- Cliente final: contratante de serviço da Persona (ex.: noivos, empresa, família) que interage com o Mirino através de propostas, contratos e galerias compartilhadas pela Persona.
- Dados pessoais: informação relacionada a pessoa natural identificada ou identificável (LGPD art. 5º, I).
- Tratamento: toda operação realizada com dados pessoais (coleta, uso, armazenamento, compartilhamento, eliminação etc.).
3. Quem é controlador de quê
Esta distinção é importante e segue a LGPD (arts. 5º, VI e VII):
| Dados | Controlador | Operador |
|---|---|---|
| Dados da Persona (cadastro, pagamento, uso da plataforma) | Mirino | — |
| Dados do Cliente final (nome, contato, mídia, contratos) | Persona | Mirino |
Ou seja: a Persona é responsável pelos dados que cadastra dos próprios clientes finais. O Mirino atua como operador, tratando esses dados conforme orientação da Persona e nas finalidades estritamente necessárias à execução do serviço.
4. Dados que tratamos
4.1 Dados da Persona (Mirino é controlador)
- Identificação: nome, e-mail, telefone, CPF/CNPJ.
- Conta: senha (armazenada com hash), preferências, configurações.
- Pagamento: dados de cobrança processados pelo gateway Stripe — o Mirino não armazena dados completos de cartão.
- Uso da plataforma: logs de acesso, ações realizadas, métricas de uso.
- Integrações: tokens OAuth do Google Drive e Google Calendar (armazenados criptografados; usados para acessar apenas os arquivos e eventos criados pelo Mirino).
4.2 Dados do Cliente final (Persona é controlador, Mirino é operador)
- Identificação: nome, e-mail, telefone (informados pela Persona ao cadastrar oportunidades, propostas ou galerias).
- Comunicação: e-mails enviados pela plataforma (via Resend).
- Contratos digitais: dados do contrato gerado/assinado entre Persona e Cliente final.
- Mídias: as imagens/vídeos da Persona ficam armazenados no Google Drive da própria Persona — o Mirino não armazena cópias das mídias, apenas referências (IDs do Drive). O Cliente final acessa via links autorizados pela Persona.
5. Finalidades e bases legais
5.1 Tratamento de dados da Persona (Mirino como controlador)
| Finalidade | Base legal (LGPD art. 7º) |
|---|---|
| Criar e manter a conta na plataforma | Execução de contrato (V) |
| Cobrar mensalidade/anuidade | Execução de contrato (V) |
| Atender solicitações de suporte | Execução de contrato (V) |
| Garantir segurança da plataforma (logs, anti-fraude) | Legítimo interesse (IX) |
| Enviar comunicações sobre novidades do produto | Consentimento (I) — opt-out a qualquer momento |
| Cumprir obrigações legais e fiscais | Cumprimento de obrigação legal (II) |
5.2 Tratamento de dados do Cliente final (Mirino como operador)
A finalidade é definida pela Persona-controladora, no contexto de execução do contrato dela com o Cliente final (sessão fotográfica, evento, entrega). O Mirino realiza somente os tratamentos necessários para operar a plataforma: armazenar contato, enviar e-mails autorizados pela Persona, registrar aprovações, etc.
6. Compartilhamento com terceiros
Compartilhamos dados estritamente com os operadores necessários ao funcionamento do serviço:
| Operador | Finalidade | País | Salvaguardas |
|---|---|---|---|
| Google LLC (Drive + Calendar) | Armazenar mídias e eventos da Persona; mídias ficam na conta Google da própria Persona | EUA | Cláusulas Contratuais (LGPD art. 33, II); escopo restrito (drive.file + calendar.app.created) — Mirino acessa apenas arquivos/eventos criados pelo Mirino |
| Google LLC (Analytics 4 + Tag Manager) | Estatísticas anônimas de uso do site institucional (www.mirino.com.br) — apenas se o visitante consentir. O Tag Manager apenas carrega as tags de análise de forma centralizada, sem coletar dados por si só | EUA | Cláusulas Contratuais (LGPD art. 33, II); IP anonimizado; Consent Mode v2 com analytics_storage: denied por padrão; finalidade restrita a análise agregada — sem publicidade |
| Resend Inc. | Envio de e-mails transacionais (OTP, notificações, contratos) | Região sa-east-1 (São Paulo) | Operador contratado; processamento no Brasil |
| Hostinger / Easypanel | Hospedagem de servidores | Brasil | Operador contratado |
| Stripe Payments Europe Ltd. / Stripe Inc. | Processamento de pagamentos da assinatura | Irlanda / EUA | PCI-DSS Level 1; Mirino não armazena dados de cartão |
| Meta Platforms Ireland Ltd. / Meta Platforms Inc. | Medição de conversão de campanhas (Pixel no browser + Conversions API server-side), somente com consentimento do visitante | Irlanda / EUA | Cláusulas Contratuais (LGPD art. 33, II); dados de contato (e-mail/telefone) enviados com hash SHA-256, mais dados técnicos da conexão (IP e navegador) usados só para casar o evento; finalidade limitada a medição e otimização de anúncios, sem venda de dados |
Não vendemos, alugamos nem comercializamos dados pessoais. Quando compartilhamos dados com a Meta (ver tabela acima), é para medir o desempenho das nossas próprias campanhas, e só com seu consentimento. Não repassamos seus dados para terceiros usarem em publicidade própria.
7. Transferência internacional de dados
Algumas operações envolvem transferência internacional (EUA e Irlanda) — ver a tabela de operadores acima. A LGPD permite essa transferência (art. 33) quando o país oferece grau de proteção adequado ou existem garantias contratuais — caso de Google e demais operadores listados.
7.1. Uso de dados de APIs Google (Google API Services User Data Policy)
O uso e transferência pelo Mirino de qualquer informação recebida de APIs do Google adere à Google API Services User Data Policy, incluindo os requisitos de Limited Use.
Especificamente, os dados obtidos via OAuth do Google são utilizados apenas para as funcionalidades descritas abaixo:
-
Google Drive (escopo
https://www.googleapis.com/auth/drive.file) Acessamos apenas arquivos criados pelo Mirino (galerias de prévia, contratos, briefings, arquivos finais). Não acessamos outros arquivos da conta Drive da Persona. Não usamos dados do Drive para anúncios. Não compartilhamos esses dados com terceiros, exceto para hospedar e processar o serviço solicitado pela Persona. -
Google Calendar (escopo
https://www.googleapis.com/auth/calendar.app.created) Acessamos apenas calendários criados pelo Mirino para sincronizar eventos da agenda profissional da Persona (sessões fotográficas, ensaios, reuniões com clientes). Não acessamos outros calendários (pessoal, trabalho externo, etc) da conta Google da Persona. Não usamos dados do Calendar para anúncios, profiling, treino de modelos de IA, nem para qualquer finalidade fora da sincronização operacional descrita. -
Identidade básica (escopos
openid,userinfo.email,userinfo.profile) Usados apenas para identificar a Persona durante o login e exibir nome/foto no app.
A Persona pode revogar o acesso a qualquer momento via Configurações → Integrações no app, ou diretamente em myaccount.google.com/permissions. Após revogação, os tokens são invalidados imediatamente e os IDs em cache são removidos em até 24h.
8. Retenção de dados
- Dados da conta da Persona: enquanto a assinatura estiver ativa. Após cancelamento + 6 meses sem reativação, os dados podem ser anonimizados sob solicitação do titular. Solicitação de eliminação total: via DPO.
- Dados do Cliente final: mantidos enquanto a Persona for cliente do Mirino. A Persona, como controladora, define a retenção.
- Logs de auditoria administrativa: 5 anos (compliance).
- Logs de eventos da plataforma: 90 dias.
- Backups: até 30 dias.
Após esses prazos, os dados são anonimizados ou eliminados, exceto quando obrigação legal/regulatória exigir retenção mais longa.
9. Direitos do titular
Conforme LGPD art. 18, você (Persona ou Cliente final) tem direito a:
- Confirmação da existência de tratamento;
- Acesso aos dados que temos sobre você;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade dos dados a outro fornecedor;
- Eliminação dos dados tratados com consentimento;
- Informação sobre entidades com as quais compartilhamos seus dados;
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento.
Como exercer seus direitos
Envie sua solicitação para [email protected] informando:
- Seu nome completo e e-mail cadastrado;
- Qual direito deseja exercer;
- Detalhes adicionais quando aplicável.
Prazo de resposta: até 15 dias úteis. Em casos complexos, podemos solicitar prazo adicional, sempre justificado.
10. Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados:
- Criptografia de senhas (hash unidirecional);
- Criptografia de tokens OAuth em repouso;
- TLS 1.2+ em todas as conexões (HTTPS obrigatório);
- Controle de acesso baseado em papéis (RBAC);
- Logs de auditoria de ações administrativas;
- Backups regulares com retenção controlada;
- Geo-blocking (acesso à plataforma restrito ao Brasil por padrão).
Em caso de incidente de segurança que possa acarretar risco aos titulares, comunicaremos a ANPD e os titulares afetados conforme art. 48 da LGPD.
11. Cookies
Utilizamos cookies estritamente necessários ao funcionamento da plataforma e, mediante seu consentimento prévio, cookies do Google Analytics 4 para estatísticas agregadas de uso do site. Antes do consentimento o GA roda em modo limitado (sem cookies persistentes) via Consent Mode v2. Detalhes completos, lista de cookies e como revogar consentimento em Política de Cookies.
12. Crianças e adolescentes
O Mirino é destinado a profissionais maiores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes. Caso identifiquemos cadastro de menor, removeremos os dados.
Quando uma Persona registra dados de Cliente final que seja menor de idade (ex.: contratante de ensaio infantil cujos pais contrataram), a Persona é responsável por obter o consentimento dos responsáveis legais conforme art. 14 da LGPD.
13. Alterações desta Política
Podemos atualizar esta Política periodicamente. Mudanças materiais serão comunicadas por e-mail à Persona com no mínimo 30 dias de antecedência, conforme art. 8º §6 da LGPD. Mudanças cosméticas (correção de redação, atualização de links) entram em vigor imediatamente.
A versão sempre vigente está em mirino.com.br/privacidade com a data de “Vigente desde” no topo.
14. Contato
- Encarregado (DPO):
[email protected] - Suporte geral:
[email protected] - Suporte ao cliente:
[email protected] - Razão social: QUARESMA SERVIÇOS E CONSULTORIA LTDA — CNPJ 46.365.312/0001-08, sede em Belo Horizonte/MG
15. Foro
Eventuais disputas relacionadas a esta Política serão dirimidas no foro da Comarca de Belo Horizonte, Minas Gerais, sem prejuízo da prerrogativa do consumidor, quando aplicável, de eleger o foro de seu domicílio (CDC art. 101, I).