Política de Privacidade

Controlador dos dados: Cris das Passagens LTDA

Endereço: Rua Colombo, 250 — Santa Luzia, Osório — RS — CEP 94675-210

Telefone: (51) 9 9251-9187

E-mail para privacidade e LGPD: cridaspassagens@gmail.com

Coletamos apenas os dados necessários para as funcionalidades descritas abaixo. O site não possui formulário de contato com envio de dados ao servidor — a página de contato exibe informações da empresa e direciona você ao WhatsApp.

2.1 Cotação e atendimento via WhatsApp

Quando você clica em links de cotação ou WhatsApp no site, é redirecionado para o aplicativo WhatsApp (https://wa.me/5551992519187). O site pode pré-preencher uma mensagem (por exemplo, interesse em um pacote ou solicitação de cotação). Nenhum dado pessoal seu é enviado automaticamente ao nosso servidor nesse fluxo — a conversa ocorre diretamente no WhatsApp, onde você decide quais informações compartilhar.

Se você tiver aplicado um cupom de desconto no site, o nome e o valor do cupom podem ser incluídos na mensagem pré-preenchida enviada ao WhatsApp, com base em dados armazenados localmente no seu navegador (veja seção 5).

2.2 Campanha Rei da Copa

Na campanha promocional Rei da Copa, coletamos e armazenamos em nosso banco de dados:

• Nome completo — no cadastro de participante;
• Telefone celular (formato brasileiro) — no cadastro e para identificar participantes no envio da palavra-chave diária;
• Usuário do Instagram — no cadastro de participante;
• Palavra-chave enviada — texto da resposta diária da campanha, vinculado ao participante.

Após o cadastro, exibimos apenas o número de inscrição — o telefone não é devolvido na resposta pública da API. O ranking público da campanha exibe nome, usuário do Instagram e pontuação, sem telefone.

2.3 Curtidas no blog

Ao curtir um post do blog, geramos um identificador aleatório (UUID) armazenado no localStorage do seu navegador e no banco de dados, para contabilizar curtidas sem exigir cadastro. Esse identificador é pseudônimo e não está vinculado ao seu nome, e-mail ou telefone.

2.4 Cupons de desconto

Ao validar um cupom, o site armazena no localStorage do seu navegador apenas o código, nome e descrição do desconto do cupom — sem dados que identifiquem você pessoalmente.

2.5 Área administrativa

O painel administrativo é restrito à equipe interna. No login, coletamos e-mail e senha (a senha é verificada e armazenada apenas como hash criptográfico; a senha em texto claro não é guardada).

2.6 Dados técnicos e de navegação

Para segurança e prevenção de abuso, podemos processar temporariamente o endereço IP em memória do servidor ao limitar tentativas de inscrição na campanha (3 tentativas a cada 30 minutos), envio de palavra-chave (10 tentativas a cada 30 minutos) e login administrativo (5 tentativas falhas a cada 15 minutos). O IP não é gravado em nosso banco de dados.

Erros técnicos podem ser registrados em logs do servidor (por exemplo, via console.error), cuja retenção depende da plataforma de hospedagem.

• Atendimento e cotação — direcionar você ao WhatsApp para solicitar passagens, pacotes e hospedagem;
• Campanha Rei da Copa — gerenciar inscrições, validar palavras-chave diárias, calcular ranking e comunicar prêmios conforme regulamento da campanha;
• Notificações internas — avisar a equipe sobre novas inscrições na campanha por e-mail;
• Interação no blog — permitir curtidas em posts sem cadastro;
• Cupons — validar códigos promocionais e lembrar o cupom aplicado durante sua navegação;
• Administração do site — gestão de conteúdo (pacotes, blog, cupons, campanha) por usuários autorizados;
• Segurança — limitar abusos em formulários e login administrativo;
• Marketing e métricas — medir visitas e conversões via Meta Pixel (quando configurado), conforme seção 6.

• Consentimento — cadastro voluntário na campanha Rei da Copa; cookies de marketing e analytics (Meta Pixel e futuras ferramentas), mediante escolha no banner ou preferências de cookies;
• Execução de procedimentos preliminares a contrato / legítimo interesse — atendimento via WhatsApp quando você inicia o contato; aplicação de cupons; curtidas no blog;
• Legítimo interesse — segurança (rate limiting), notificações internas da equipe sobre inscrições na campanha, métricas de desempenho do site;
• Cumprimento de obrigação legal — quando exigido por lei ou autoridade competente.

• Banco de dados PostgreSQL (Supabase) — participantes e envios da campanha Rei da Copa, curtidas do blog, cupons utilizados (sem identificação do usuário), credenciais administrativas;
• Supabase Storage — imagens de pacotes, blog e promoções enviadas pela equipe administrativa (sem upload público de arquivos por visitantes);
• localStorage do navegador — cupom aplicado (expira após 24 horas), identificador de curtidas e preferência de posts curtidos;
• Cookie de sessão administrativa (admin_session) — válido por 8 horas após o login, apenas para usuários da equipe;
• Retenção da campanha Rei da Copa — os dados de participantes permanecem no banco até exclusão manual pela equipe ou conforme regulamento da campanha; não há exclusão automática programada no sistema;
• Logs de servidor — retenção definida pela plataforma de hospedagem (Vercel), não pelo aplicativo.

Utilizamos cookies e armazenamento local conforme descrito abaixo.

6.1 Cookies essenciais (administração)

O cookie admin_session é utilizado exclusivamente na área /admin para manter a sessão de usuários administrativos. É httpOnly, com validade de 8 horas, e não é acessível por scripts da página pública.

6.2 localStorage (visitantes)

• Cupom aplicado — código, nome e descrição do desconto (24 horas);
• Identificador de curtidas no blog — UUID aleatório;
• Registro de posts curtidos — preferência local;
• Preferências de consentimento de cookies — categorias aceitas ou recusadas.

6.3 Meta Pixel (Facebook)

Quando a variável de ambiente NEXT_PUBLIC_META_PIXEL_ID está configurada, carregamos o script do Meta Pixel (Facebook) em páginas públicas — exceto na área administrativa (/admin).

Eventos enviados ao Meta incluem:

• PageView — a cada navegação entre páginas;
• Lead — ao clicar em links de WhatsApp ou cotação;
• ViewContent — ao visualizar cards de pacotes em destaque.

Não enviamos nome, e-mail ou telefone nos parâmetros desses eventos. O Meta pode, contudo, coletar automaticamente dados como endereço IP, identificadores de dispositivo, cookies próprios e URL das páginas visitadas, conforme suas políticas.

O Meta Pixel só é carregado após você aceitar cookies de marketing no banner de consentimento ou nas preferências de cookies (link no rodapé). Antes dessa escolha, nenhum script do Meta é executado e nenhum evento é enviado.

Você pode aceitar todos os cookies, recusar os opcionais ou configurar categorias separadas (necessários, analytics e marketing). Sua escolha é salva no localStorage do navegador (chave cris-consent-preferences) e pode ser alterada a qualquer momento em "Preferências de cookies" no rodapé.

6.4 Widget de avaliações (Elfsight)

Na página inicial, podemos exibir avaliações do Google por meio do widget Elfsight. O script da plataforma só é carregado após você aceitar cookies de analytics. Sem esse consentimento, exibimos depoimentos estáticos sem executar scripts de terceiros.

6.5 Banner e preferências de cookies

Na primeira visita, exibimos um banner solicitando sua escolha sobre cookies opcionais. As categorias disponíveis são: necessários (sempre ativos), analytics (widget Elfsight de avaliações do Google e, no futuro, ferramentas de métricas) e marketing(Meta Pixel). O link "Preferências de cookies" no rodapé permite revisar ou alterar sua escolha a qualquer momento.

Compartilhamos dados apenas nas situações abaixo, sempre no limite necessário:

• Meta Platforms (Meta Pixel) — dados de navegação e eventos de conversão no navegador, quando o pixel está ativo;
• Elfsight — exibição de avaliações do Google na página inicial, quando cookies de analytics são aceitos;
• WhatsApp / Meta — mensagens que você envia voluntariamente ao nosso número comercial após clicar nos links do site;
• Resend — envio de e-mail interno à equipe ( reidacopacrisdaspassagens@gmail.com) com dados de novas inscrições na campanha Rei da Copa (nome, telefone, Instagram, número de inscrição);
• Supabase — hospedagem do banco de dados PostgreSQL e armazenamento de imagens administrativas;
• Vercel — hospedagem e execução do site (pode processar logs de requisição, incluindo IP);
• Google Places API — consulta de fotos da galeria de destinos com nome comercial e cidade da empresa; não enviamos dados pessoais de visitantes a esse serviço;
• Instagram — links externos para o perfil @crisdaspassagens; nenhum dado é transmitido automaticamente ao acessar esses links.

Não vendemos seus dados pessoais.

O WhatsApp é nosso principal canal de atendimento e cotação. Ao utilizar links do site, você é direcionado ao aplicativo WhatsApp (número (51) 9 9251-9187). Toda comunicação — incluindo dados que você compartilha voluntariamente (nome, destino, datas, documentos) — ocorre na plataforma WhatsApp, regida pelas políticas da Meta/WhatsApp.

O site registra cliques em links de WhatsApp como eventos Lead no Meta Pixel (quando ativo), sem incluir o conteúdo da sua mensagem.

Contato e cotação: não há envio de formulário ao servidor. A página de contato e os botões de cotação redirecionam ao WhatsApp.

Campanha Rei da Copa — inscrição: formulário com nome, telefone e Instagram; dados validados e armazenados em PostgreSQL; limite de 3 tentativas por IP a cada 30 minutos.

Campanha Rei da Copa — palavra-chave: formulário com telefone e palavra-chave; o telefone é usado para localizar o participante cadastrado e não é armazenado novamente no registro da palavra-chave.

Cupom: envio apenas do código do cupom para validação; sem dados pessoais.

A campanha promocional Rei da Copa possui regulamento próprio, configurável pela equipe no painel administrativo. Além dos dados de cadastro (seção 2.2), tratamos:

• Status das palavras-chave enviadas (pendente, aprovada ou rejeitada);
• Pontuação e posição no ranking público (nome e Instagram visíveis);
• Exportação de inscrições pela equipe administrativa (dados completos, incluindo telefone).

A equipe recebe e-mail automático via Resend a cada nova inscrição, com todos os dados cadastrais informados.

• Sessões administrativas protegidas por JWT em cookie httpOnly;
• Senhas administrativas armazenadas com hash bcrypt;
• Área /admin protegida por middleware de autenticação;
• Rotas /admin e /api bloqueadas para indexação em robots.txt;
• Rate limiting em inscrições, palavras-chave e login administrativo;
• Chaves secretas (JWT, service role, Resend, Google Places) utilizadas apenas no servidor, nunca expostas ao navegador.

Nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), você pode solicitar:

• Confirmação da existência de tratamento;
• Acesso aos seus dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• Portabilidade, quando aplicável;
• Eliminação dos dados tratados com base no consentimento;
• Informação sobre compartilhamentos;
• Revogação do consentimento (incluindo cookies de marketing e analytics via preferências no rodapé).

Para exercer seus direitos, envie e-mail para cridaspassagens@gmail.com com o assunto "LGPD — Solicitação de titular", informando seu nome e um meio de contato para resposta. Responderemos em prazo razoável, conforme a legislação.

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).

O site é destinado ao público geral interessado em serviços de turismo. A campanha Rei da Copa exige telefone celular e perfil de Instagram — não é direcionada a crianças. Se tomarmos conhecimento de tratamento indevido de dados de menores sem consentimento parental adequado, adotaremos medidas para eliminar ou anonimizar essas informações.

Podemos atualizar esta Política de Privacidade para refletir mudanças no site, na legislação ou em integrações de terceiros. A data da última revisão será indicada no topo desta página. Alterações relevantes podem ser comunicadas por aviso no site ou pelos canais de contato habituais.

Dúvidas sobre privacidade e proteção de dados:

• E-mail: cridaspassagens@gmail.com
• WhatsApp: (51) 9 9251-9187
• Página de contato: crisdaspassagens.com.br/contato