Atlas.
LGPD · Lei 13.709/2018

Política de Privacidade

Última atualização: 28 de junho de 2026

1. Introdução e abrangência

Esta Política de Privacidade descreve como a UnderLab, por meio da plataforma Atlas (software de gestão para agências e assessores de viagem de alto padrão), coleta, utiliza, compartilha, armazena e protege dados pessoais, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados, ou LGPD), com a Lei nº 12.965/2014 (Marco Civil da Internet) e com as demais normas aplicáveis.

Esta Política aplica-se aos assessores e demais usuários que utilizam o Atlas e aos clientes finais (viajantes) cujos dados são cadastrados pelas agências na Plataforma. Ela integra os Termos de Uso do Atlas.

2. Papéis: controlador e operador

Em relação aos dados dos clientes finais (viajantes), cada agência que utiliza o Atlas é a controladora: é ela quem decide quais dados coletar e com que finalidade. O Atlas atua como operador (Art. 5º, VII, da LGPD), tratando esses dados em nome da agência, conforme suas instruções e esta Política.

Por outro lado, em relação aos dados da própria conta do assessor e aos dados de cobrança e da assinatura (cadastro, autenticação, faturamento), a UnderLab atua como controladora, pois define as finalidades e os meios desse tratamento para prestar e gerir o serviço.

3. Dados que tratamos

  • ·Dados do assessor (usuário): nome, e-mail, telefone, senha (armazenada de forma cifrada), papel na agência, preferências e configurações de conta.
  • ·Dados do cliente final (viajante): nome, CPF, data de nascimento, contatos, número e validade de passaporte, e preferências de viagem, inseridos pela agência.
  • ·Dados pessoais sensíveis (Art. 11): informações de saúde, restrições alimentares, alergias e vacinas, tratados apenas quando necessários e com a finalidade de garantir a segurança e a adequação da viagem ao viajante.
  • ·Dados de uso e registros (logs): registros de acesso, endereço IP, dispositivo e navegador, e ações sensíveis (por exemplo, criação ou edição de cliente e aceite de proposta), para segurança, auditoria e cumprimento legal.
  • ·Dados de pagamento: informações necessárias à cobrança da assinatura, processadas pelo operador de pagamentos (Stripe). Os dados completos do cartão são tokenizados pelo operador, e o Atlas não armazena o número completo do cartão.

4. Finalidades do tratamento

  • ·Permitir o cadastro, a autenticação e a operação da conta do assessor e da agência.
  • ·Viabilizar as funcionalidades da Plataforma (CRM, pipeline, propostas, operação de viagens, cotação, catálogo, validação anti-erro e cuidados pós-venda).
  • ·Processar a assinatura, o pagamento, a cobrança recorrente e a gestão financeira do serviço.
  • ·Garantir a segurança, prevenir fraudes, manter logs de auditoria e investigar incidentes.
  • ·Analisar o uso do produto para corrigir falhas e aprimorar a experiência (mediante consentimento, no que aplicável).
  • ·Cumprir obrigações legais e regulatórias e exercer direitos em processos.
  • ·Comunicar novidades, suporte e, mediante consentimento, mensagens de marketing.

5. Bases legais

Cada tratamento se apoia em uma ou mais bases legais previstas nos Arts. 7º e 11 da LGPD:

  • ·Execução de contrato: conta do assessor, operação da viagem e pagamento da assinatura.
  • ·Legítimo interesse: dados do cliente final necessários à prestação da assessoria, logs de segurança e melhoria do serviço, sempre com avaliação de proporcionalidade.
  • ·Cumprimento de obrigação legal ou regulatória: guarda de registros de acesso e atendimento a autoridades.
  • ·Consentimento: dados pessoais sensíveis (saúde, restrições alimentares e vacinas), cookies de análise e comunicações de marketing.
  • ·Exercício regular de direitos: em processos judiciais, administrativos ou arbitrais.

6. Cookies e tecnologias de análise

Usamos cookies essenciais, indispensáveis ao funcionamento da Plataforma (sessão, autenticação e segurança), que não dependem de consentimento. Mediante o seu aceite no aviso de cookies, utilizamos também cookies analíticos para entender como a Plataforma é usada e aprimorá-la.

A análise de produto é realizada com o PostHog e pode incluir páginas visitadas, cliques (mapas de calor) e gravações de sessão (session replay) da navegação do assessor. As gravações são usadas apenas para identificar dificuldades de uso e melhorar o produto, e os dados pessoais de viajantes aparecem mascarados (campos de formulário e informações sensíveis são ocultados na captura). Você pode recusar a análise escolhendo "apenas essenciais" no aviso de cookies, sem perder nenhuma funcionalidade.

7. Compartilhamento e sub-operadores

Compartilhamos dados apenas com prestadores essenciais à operação do serviço (sub-operadores), sob contrato e com garantias de segurança e confidencialidade. Não vendemos dados pessoais e não os compartilhamos para finalidades alheias à prestação do serviço. Os principais sub-operadores, por categoria e finalidade, são:

  • ·Banco de dados: Neon (Postgres), com armazenamento em São Paulo, Brasil.
  • ·Armazenamento de arquivos: Supabase Storage (região sa-east-1, São Paulo).
  • ·E-mail transacional: envio por SMTP (Gmail atualmente, em migração para Resend com domínio próprio).
  • ·Pagamentos: Stripe (processamento de cobrança e tokenização de cartão).
  • ·Hospedagem da aplicação: Vercel.
  • ·Monitoramento de erros: Sentry.
  • ·Análise de produto: PostHog (com mascaramento de dados sensíveis).
  • ·Inteligência artificial: Anthropic (Claude), para os recursos de apoio baseados em IA.
  • ·Busca de voos e hotéis: SerpApi (referência de preço de mercado).
  • ·Rastreio de voos: AviationStack.

8. Transferência internacional de dados

Os dados operacionais e sensíveis dos viajantes ficam armazenados em infraestrutura localizada no Brasil (São Paulo). Alguns sub-operadores, porém, processam dados em servidores fora do país (por exemplo, hospedagem da aplicação, análise de uso, monitoramento de erros e inteligência artificial). A LGPD admite a transferência internacional de dados (Art. 33), que ocorre com salvaguardas contratuais adequadas de proteção, garantindo nível de proteção compatível com a legislação brasileira. Os dados de análise de uso, quando habilitados, são processados pelo provedor na região contratada (Estados Unidos ou União Europeia).

9. Direitos do titular

Você pode, a qualquer momento, exercer os direitos previstos no Art. 18 da LGPD:

  • ·Confirmar a existência de tratamento dos seus dados.
  • ·Acessar os dados pessoais tratados.
  • ·Corrigir dados incompletos, inexatos ou desatualizados.
  • ·Solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
  • ·Solicitar a portabilidade dos dados a outro fornecedor, observados os segredos comercial e industrial.
  • ·Solicitar a eliminação dos dados tratados com base no consentimento.
  • ·Obter informação sobre o compartilhamento e sobre a possibilidade de não fornecer consentimento, com as respectivas consequências.
  • ·Revogar o consentimento e se opor a tratamentos.

Como exercer: o assessor pode utilizar a função "esquecer cliente" no perfil do viajante para anonimizar ou eliminar seus dados; a agência pode exportar todos os seus dados em formato JSON e solicitar a exclusão da conta inteira nas Configurações. Pedidos adicionais podem ser encaminhados ao Encarregado, pelo canal de privacidade indicado nesta Política. Como o Atlas atua como operador em relação aos dados dos viajantes, solicitações de titulares poderão ser encaminhadas à respectiva agência controladora.

10. Retenção de dados

  • ·Dados de cliente ativo: enquanto durar a relação, acrescido de 5 anos.
  • ·Registros de acesso: 6 meses, mínimo exigido pelo Marco Civil da Internet.
  • ·Logs de auditoria: 2 anos.
  • ·Conta cancelada: 30 dias de carência, seguidos de exclusão definitiva.
  • ·Trial não convertido: dados eliminados 90 dias após o fim do período de avaliação.

Prazos superiores poderão ser aplicados quando houver obrigação legal, regulatória ou necessidade de exercício regular de direitos.

11. Segurança da informação

Adotamos medidas técnicas e organizacionais para proteger os dados, incluindo: senhas armazenadas com bcrypt, conexões cifradas (HTTPS/TLS), criptografia de campos sensíveis dos hóspedes, isolamento entre agências por construção (arquitetura multi-tenant), controle de acesso por papel e registro auditável de acessos a dados sensíveis. Nenhuma medida de segurança é absoluta, mas buscamos continuamente aprimorar nossos controles.

12. Resposta a incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a UnderLab adotará as medidas de contenção cabíveis e comunicará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, na forma da LGPD, informando a natureza do incidente e as providências adotadas. Quando o Atlas atuar como operador, apoiará a agência controladora no cumprimento de seus deveres de notificação.

13. Dados de crianças e adolescentes

Quando o viajante for criança ou adolescente, o tratamento será realizado no seu melhor interesse, nos termos do Art. 14 da LGPD. A agência controladora é responsável por obter o consentimento específico e em destaque de, pelo menos, um dos pais ou do responsável legal, bem como por limitar a coleta ao estritamente necessário à viagem.

14. Encarregado (DPO)

A UnderLab mantém um Encarregado de Proteção de Dados (DPO), responsável por atender titulares e a ANPD. Para exercer seus direitos ou esclarecer dúvidas sobre privacidade, entre em contato pelo e-mail dpo@atlas.travel.

15. Alterações desta Política

Esta Política pode ser atualizada para refletir mudanças legais, técnicas ou de negócio. Alterações relevantes serão comunicadas por e-mail e por aviso na Plataforma. A data da última atualização consta no topo deste documento, e a continuidade do uso após a vigência implica ciência das mudanças.

16. Contato e canal de privacidade

Para assuntos de privacidade e proteção de dados, utilize o canal do Encarregado: dpo@atlas.travel. Para demais assuntos, consulte os Termos de Uso.

Este documento é um modelo operacional e está sujeito a revisão jurídica antes do lançamento comercial definitivo. Os dados de identificação da empresa (razão social e CNPJ) serão preenchidos na versão final.