Política de Privacidade

Última atualização: 21 de abril de 2026.

Esta Política descreve como o TOOB Propostas ("TOOB", "nós"), serviço operado por TOOB Creative Studio (J. M. Carletti Design ME, CNPJ 22.472.240/0001-21), trata dados pessoais dos titulares que utilizam nossa plataforma de criação e envio de propostas comerciais. O tratamento observa a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 — LGPD).

Ao criar uma conta ou utilizar o serviço, você declara ter lido e concordado com esta Política e com os Termos de Uso.

1. Controlador e contato

O controlador dos dados é a TOOB Creative Studio. Em assuntos de privacidade, fale com nosso Encarregado de Dados (DPO): privacidade@toob.com.br.

2. Dados que coletamos

2.1. Dados fornecidos por você

  • Cadastro de conta: nome, e-mail e senha (a senha é armazenada de forma segura, em hash, pelo nosso provedor de autenticação). Opcionalmente, WhatsApp.
  • Login social: quando você opta por entrar com sua conta Google, recebemos nome, e-mail e foto de perfil do provedor.
  • Organização: nome do negócio e segmento.
  • Convites: endereços de e-mail das pessoas que você convida para a sua organização.
  • Carteira de clientes: nome, e-mail e demais dados de contato dos seus clientes e prospects.
  • Conteúdo das propostas: textos, escopo, entregáveis, valores e demais informações que você cria.
  • Dados de pagamento: tratados diretamente pelo nosso gateway (Stripe). Não armazenamos número de cartão.

2.2. Dados coletados automaticamente

  • Sessão e preferências de login: cookies estritamente necessários para manter você autenticado e lembrar do método de login usado na última vez.
  • Identificador anônimo de visitante de proposta: quando alguém abre uma proposta pública que você enviou, usamos um identificador anônimo em cookie para agrupar as visitas do mesmo visitante em sessões de leitura. Esse identificador não revela, por si só, a identidade do destinatário.
  • Métricas de uso e segurança: endereço IP, user-agent, data/hora de login e registros das ações mais relevantes realizadas na conta, usados para auditoria e detecção de fraude.
  • Métricas da proposta pública: quando o destinatário abre o link da proposta, registramos visualizações, tempo visível e progresso de leitura (scroll). Essas métricas ficam disponíveis ao dono da proposta. O acompanhamento é interrompido após o aceite.

3. Finalidades do tratamento

  • Criar e manter sua conta e organização (execução do contrato — art. 7º, V da LGPD).
  • Armazenar e exibir as propostas criadas por você.
  • Enviar e-mails transacionais necessários ao serviço (verificação de conta, convites, notificações de visualização e aceite).
  • Manter trilha de auditoria para segurança e prevenção à fraude (legítimo interesse — art. 7º, IX da LGPD).
  • Processar o pagamento do plano.
  • Entregar ao dono da proposta as métricas de engajamento do destinatário.
  • Cumprir obrigações legais e responder a autoridades.

Não utilizamos seus dados nem o conteúdo das suas propostas para treinar modelos de inteligência artificial. Quando você aciona a geração assistida por IA, o texto enviado é processado pela API do provedor (Google Gemini) apenas para produzir aquele conteúdo.

4. Compartilhamento

Não vendemos dados pessoais. Compartilhamos com os subprocessadores abaixo, estritamente para viabilizar o serviço:

  • Google LLC — infraestrutura de autenticação, banco de dados, armazenamento e funções em nuvem; geração assistida por IA (Gemini), quando acionada por você.
  • Stripe, Inc. — processamento do pagamento do plano.
  • Vercel Inc. — hospedagem da aplicação web.
  • Provedor de e-mail transacional contratado pela TOOB — envio dos e-mails do serviço.

Parte desses subprocessadores pode processar dados fora do Brasil (EUA/UE). Nesses casos, buscamos garantias contratuais e técnicas adequadas, conforme art. 33 da LGPD.

Também podemos compartilhar dados quando exigido por lei, ordem judicial ou requisição de autoridade competente.

5. Pagamento

A cobrança do plano é feita por gateway (Stripe). Coletamos, via gateway, apenas os dados necessários para faturamento, como e-mail, identificador do cliente, histórico de assinatura e eventos de cobrança. O número e CVV do cartão não passam pelos nossos servidores.

6. Cookies

Usamos apenas cookies estritamente necessários ao serviço:

  • Autenticação e manutenção da sessão.
  • Memória do método de login usado por último.
  • Identificador anônimo de visitante em propostas públicas, para consolidar sessões de leitura.

Não utilizamos cookies de marketing nem compartilhamos dados com redes de publicidade. Por isso não exibimos banner de consentimento genérico.

7. Retenção

  • Conta e dados da organização: enquanto a conta estiver ativa. Ao excluir a conta, iniciamos a rotina de eliminação em cascata dos dados vinculados.
  • Registros de auditoria: até 90 dias, expurgados automaticamente.
  • Códigos de verificação de e-mail: até 15 minutos.
  • Contadores de segurança (rate limit): dentro da janela de tempo do limite, em geral até 24 horas.
  • Registros fiscais e de cobrança: mantidos pelo prazo exigido pela legislação aplicável.

8. Segurança

Aplicamos medidas técnicas e organizacionais proporcionais ao risco, incluindo:

  • Autenticação com senha armazenada em hash.
  • Cookies de sessão seguros (HttpOnly, Secure, SameSite), resistentes a ataques de script malicioso.
  • Políticas de segurança de conteúdo e transporte criptografado (HTTPS/HSTS).
  • Proteção anti-abuso nos endpoints de infraestrutura e rate limit em ações sensíveis.
  • Regras de acesso ao banco em deny-by-default, com validação server-side em todas as operações.
  • Trilha de auditoria das ações relevantes na conta.
  • Criptografia em trânsito e em repouso.

9. Seus direitos (LGPD)

Você pode, a qualquer momento, solicitar:

  • Confirmação da existência de tratamento e acesso aos seus dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
  • Portabilidade dos dados, nos termos da regulamentação.
  • Eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses legais de guarda obrigatória.
  • Informação sobre com quem compartilhamos seus dados.
  • Revogação do consentimento, quando essa for a base legal aplicável.

Para exercer esses direitos, escreva para privacidade@toob.com.br. Respondemos em até 15 dias. Você também pode excluir sua conta diretamente na área de perfil dentro do aplicativo.

10. Crianças e adolescentes

O TOOB Propostas não é direcionado a menores de 18 anos e não coletamos conscientemente dados de crianças ou adolescentes. Caso identifique essa situação, avise-nos para removermos.

11. Alterações

Podemos atualizar esta Política para refletir mudanças no serviço ou na legislação. Mudanças relevantes serão comunicadas por e-mail ou aviso no aplicativo com antecedência razoável. A data no topo indica a versão vigente.

12. Contato

Dúvidas sobre esta Política ou sobre tratamento de dados: privacidade@toob.com.br.