Esta Política de Privacidade descreve como o Pousi coleta, utiliza, armazena e protege seus dados pessoais. Foi redigida em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD) e com as diretrizes da Autoridade Nacional de Proteção de Dados (ANPD).
Ao criar uma conta e utilizar o Pousi, você declara ter lido e compreendido esta Política. Se você não concorda com algum item, recomendamos que não utilize o aplicativo.
1. Quem somos
O Pousi é um aplicativo de gestão e inspeção para anfitriões brasileiros do Airbnb, Booking.com e outras plataformas de hospedagem de curta duração. Ele oferece controle de reservas, inspeções fotográficas pré e pós-estadia, e geração de laudos para casos de disputa.
O controlador dos dados, conforme o art. 5º, VI da LGPD, é:
- Renan Soares de Andrade
- CPF: 091.416.354-00
- João Pessoa, Paraíba, Brasil
- E-mail: contato@pousi.com.br
O Pousi é operado por pessoa física, sob responsabilidade direta do controlador acima identificado. Não há sócios, investidores ou terceiros com acesso aos dados além dos prestadores listados na seção 5.
2. Quais dados coletamos
Coletamos apenas o mínimo necessário para o aplicativo funcionar. Os dados abaixo são fornecidos por você ou gerados pelo seu uso do app:
2.1 Dados de identificação e conta
- Número de celular — usado como identificador único da conta, autenticado por código único (OTP) enviado via SMS.
- Nome — informado por você no primeiro login, exibido na sua conta e em registros de auditoria.
- E-mail — opcional em versões futuras; não coletado na versão atual.
2.2 Dados das suas hospedagens
- Imóveis — nome, endereço, número da unidade, edifício, capacidade.
- Reservas — datas, nome do hóspede (quando fornecido pela plataforma de origem via iCal), número de hóspedes, plataforma de origem (Airbnb, Booking.com, etc.), observações que você adicionar.
- Inspeções e fotos — registros de inspeções pré e pós-estadia, fotos capturadas durante essas inspeções, observações textuais, status (ok/com problema), valores estimados de reparo (BRL) e recibos quando anexados.
- Calendários (iCal) — URLs de calendários públicos das suas plataformas de hospedagem, usados para sincronizar reservas automaticamente.
2.3 Dados dos hóspedes (Página do hóspede)
A Página do hóspede é um recurso opcional que você, anfitrião, pode ativar por imóvel. Quando ativado, cada reserva gera um link único que você compartilha com o hóspede, com informações da estadia (WiFi, código da porta, regras, dicas) e um formulário opcional de check-in.
Se você habilitar o formulário de check-in, o Pousi processa — em seu nome e sob sua responsabilidade como anfitrião — os dados que o próprio hóspede informar:
- Nome completo de cada hóspede.
- Documento de identidade — tipo (CPF, RG ou passaporte) e número, informados pelo hóspede para identificação durante a estadia.
- Horário previsto de chegada e observações que o hóspede queira registrar.
Esses dados são fornecidos voluntariamente pelo hóspede, que é informado, no momento do envio, de que serão compartilhados apenas com o anfitrião. Ficam visíveis para você e para eventuais co-anfitriões do imóvel e são usados exclusivamente para a gestão da estadia — o Pousi não os utiliza para nenhuma outra finalidade. Como anfitrião, cabe a você coletar e tratar os dados dos seus hóspedes de forma lícita e informá-los adequadamente sobre esse tratamento.
2.4 Dados de uso e diagnóstico
- Registros de operação (audit log) — ações importantes que você realiza no app (criação/exclusão de imóveis, envio de convites, geração de laudos) são registradas para fins de auditoria, segurança e suporte. Não contêm dados pessoais identificáveis no metadado.
- Registros técnicos do servidor — Vercel e Supabase mantêm logs operacionais (códigos de status HTTP, latência, identificadores internos) que não contêm informações pessoais identificáveis (não há números de telefone, nomes ou senhas nos logs).
- Relatórios de falha e desempenho do aplicativo — usamos o Sentry para coletar relatórios técnicos de travamentos e métricas de desempenho. Cada evento inclui o modelo do dispositivo, a versão do sistema operacional, a pilha de erro e o seu identificador interno de usuário (para correlacionar o evento ao seu uso e poder reproduzi-lo). Não enviamos nome, telefone ou conteúdo de fotos ao Sentry.
- Análise de acesso ao site institucional (apenas
pousi.com.br) — nas páginas públicas do nosso site (página inicial, blog e suporte) medimos, de forma anônima, quantas pessoas visitam cada página e quantas clicam para baixar o app. Essa medição usa o PostHog, configurado no modo mais restritivo: sem cookies, sem identificador permanente (usamos um identificador aleatório que dura apenas a sessão do navegador e não permite reconhecer você em visitas futuras), e enviando somente o caminho da página (ex.:/blog), a origem da visita e os parâmetros de campanha (UTM). Não coletamos nome, telefone, e-mail nem qualquer dado pessoal identificável nessa medição, e ela respeita o sinal “Não rastrear” (Do Not Track / GPC) do seu navegador. Essa análise não ocorre nas áreas autenticadas do app nem na Página do hóspede. - Não utilizamos ferramentas de criação de perfil comportamental, gravação de sessão, rastreamento entre sites ou identificadores de publicidade (Google Analytics, Firebase Analytics, Meta Pixel, gravação de tela). A medição descrita acima limita-se à contagem anônima e agregada de acessos ao site institucional.
2.5 Dados que NÃO coletamos
- Geolocalização precisa do dispositivo
- Lista de contatos do telefone
- Dados de saúde ou biometria
- Dados financeiros (cartão de crédito, conta bancária)
- Histórico de navegação fora do app
- Identificadores de publicidade (IDFA, GAID)
3. Bases legais para o tratamento
Cada categoria de dado é tratada sob uma base legal específica prevista no art. 7º da LGPD:
- Execução de contrato (art. 7º, V) — tratamos seus dados de conta, imóveis, reservas e inspeções porque eles são essenciais para a entrega do serviço que você contratou ao criar uma conta.
- Consentimento (art. 7º, I) — para o recurso opcional de coaching de fotos por inteligência artificial (descrito na seção 6), exigimos seu consentimento explícito, podendo ser revogado a qualquer momento em Conta > Preferências.
- Consentimento do hóspede (art. 7º, I) — os dados do formulário de check-in da Página do hóspede (seção 2.3) são fornecidos voluntariamente pelo próprio hóspede, informado da finalidade no momento do envio. O Pousi os trata em nome do anfitrião, a quem cabe o papel de controlador desses dados.
- Legítimo interesse (art. 7º, IX) — para manutenção das evidências fotográficas de inspeção mesmo após exclusão da conta, no caso de hosts que tenham co-anfitriões na mesma propriedade. Nesse cenário, o vínculo direto com sua identidade é removido (o campo "enviado por" é anonimizado), mas a foto permanece como evidência operacional do imóvel. Esse interesse foi balanceado contra seu direito à exclusão e considerado proporcional, dado o risco real de disputas em hospedagens.
- Legítimo interesse (art. 7º, IX) — para a medição anônima e agregada de acessos ao nosso site institucional (seção 2.4), que nos permite entender quais conteúdos ajudam anfitriões e melhorar o site. Como essa medição é anônima, sem cookies e sem identificador permanente, o impacto sobre você é mínimo, e ela respeita o sinal “Não rastrear” do navegador.
- Cumprimento de obrigação legal (art. 7º, II) — para guarda de registros mínimos exigidos por lei (ex.: registros de auditoria), quando aplicável.
4. Como usamos seus dados
Usamos os dados coletados exclusivamente para:
- Autenticar você e proteger sua conta (via código único enviado por SMS)
- Sincronizar suas reservas a partir dos calendários iCal das plataformas de hospedagem
- Permitir que você registre inspeções, capture fotos e gere laudos para disputas
- Disponibilizar a Página do hóspede e, quando você ativar o recurso, permitir que seus hóspedes informem dados de check-in
- Enviar notificações operacionais via deep-link do WhatsApp (ex.: convite para co-anfitrião)
- Operar o serviço, corrigir problemas técnicos e atender solicitações de suporte
- Cumprir obrigações legais e responder a solicitações de autoridades competentes, quando legalmente exigido
Não usamos seus dados para publicidade, criação de perfis comportamentais, venda a terceiros ou qualquer finalidade comercial além da operação do próprio Pousi.
5. Com quem compartilhamos
Compartilhamos dados apenas com prestadores essenciais para o funcionamento do serviço. Cada um abaixo opera sob seu próprio contrato de processamento de dados e sob nossa supervisão como controlador:
- Supabase (banco de dados, autenticação e armazenamento de arquivos) — infraestrutura primária do Pousi. Servidores localizados em São Paulo/Brasil (região
sa-east-1), sem transferência internacional para dados primários. Política de privacidade da Supabase. - Twilio (envio de códigos OTP por WhatsApp/SMS) — recebe apenas seu número de celular e o código a ser enviado. Política de privacidade da Twilio.
- Vercel (hospedagem do servidor web e API) — processa requisições e mantém logs operacionais sem dados pessoais. Política de privacidade da Vercel.
- Expo (plataforma de build e distribuição do aplicativo móvel) — processa builds e atualizações over-the-air do aplicativo. Política de privacidade do Expo.
- Sentry (monitoramento de erros e desempenho) — recebe relatórios de travamentos, traces de desempenho e o seu identificador interno de usuário para correlacionar eventos. Não recebe nome, telefone ou conteúdo de fotos. Servidores nos Estados Unidos. Política de privacidade do Sentry.
- PostHog (medição anônima de acesso ao site institucional) — recebe apenas eventos anônimos de acesso às páginas públicas do site (caminho da página, origem e parâmetros de campanha), sem cookies, sem dados pessoais identificáveis e sem identificador permanente. Servidores na União Europeia. Não atua no app autenticado nem na Página do hóspede. Política de privacidade do PostHog.
- Google (Gemini API) — somente quando o recurso de coaching de fotos por IA (seção 6) estiver ativado para sua conta. Detalhes na próxima seção.
Nenhum desses prestadores tem permissão para usar seus dados para finalidades próprias além da prestação do serviço contratado.
6. Transferência internacional de dados
Os dados primários do Pousi (sua conta, suas reservas, suas fotos) ficam armazenados em São Paulo/Brasil, sem transferência internacional.
Há três situações em que dados podem ser enviados a servidores fora do Brasil:
6.1 Sentry (Estados Unidos)
Relatórios de travamento e métricas de desempenho são enviados à infraestrutura do Sentry nos Estados Unidos. Cada evento inclui dados técnicos (modelo do dispositivo, versão do sistema operacional, pilha de erro, traces de performance) e o seu identificador interno de usuário, usado para correlacionar eventos ao seu uso e reproduzir problemas. Não enviamos nome, telefone, fotos ou conteúdo de inspeções ao Sentry.
Esse tratamento é necessário para a operação estável do serviço e tem como base legal a execução de contrato (art. 7º, V da LGPD).
6.2 PostHog (União Europeia)
Os eventos anônimos de acesso ao site institucional (seção 2.4) são processados pela infraestrutura do PostHog na União Europeia (Alemanha). Esses eventos não contêm dados pessoais identificáveis — apenas o caminho da página, a origem da visita e os parâmetros de campanha, associados a um identificador aleatório de sessão. Como a medição é anônima, não há transferência de dados que permitam identificar você; ainda assim, divulgamos o destino por transparência. A base legal é o legítimo interesse (art. 7º, IX da LGPD).
6.3 Google Gemini (Estados Unidos ou União Europeia)
Quando você ativa o recurso opcional de coaching de fotos por inteligência artificial, suas fotos de inspeção podem ser analisadas por um modelo de IA da Google (Gemini) para receber sugestões de melhoria de qualidade (nitidez, iluminação, enquadramento). O modelo opera em servidores fora do Brasil (Estados Unidos ou União Europeia).
Sobre esse recurso:
- Ele é opcional e está desativado por padrão na versão atual.
- O sistema nunca modifica suas fotos — apenas sugere refazer quando detecta problemas de qualidade. Você decide se aceita ou mantém a foto original.
- Nenhuma informação identificadora (nome, telefone, endereço, identificadores de reserva) é enviada junto com a foto. Seguem para análise apenas o conteúdo da foto, o contexto técnico do item da inspeção (ex.: "sofá da sala") e, em inspeções pós-estadia, a foto correspondente da pré-estadia — usada apenas para verificar se o enquadramento permite a comparação.
- Você pode desativar esse recurso a qualquer momento em Conta > Preferências. Após desativar, nenhuma foto sua será mais enviada ao serviço externo.
- A base legal para essa transferência é o seu consentimento (art. 33, VIII da LGPD), revogável a qualquer momento.
- Operamos com a configuração mais restritiva disponível na API: as fotos não são utilizadas para treinamento de modelos da Google.
Você pode usar 100% do Pousi sem ativar esse recurso. Ele existe apenas para ajudar quem deseja capturar evidências fotográficas com maior qualidade.
7. Onde armazenamos e por quanto tempo
7.1 Localização
Todos os dados primários (conta, imóveis, reservas, fotos de inspeção) são armazenados em servidores físicos da Supabase localizados em São Paulo/Brasil (região sa-east-1), em conformidade com o princípio de territorialidade dos dados.
7.2 Prazo de retenção
- Dados de conta (nome, telefone) — mantidos enquanto sua conta estiver ativa. Excluídos imediatamente após você solicitar a exclusão da conta.
- Dados de imóveis e reservas — mantidos enquanto você operar o imóvel no Pousi. Excluídos junto com o imóvel ou junto com a conta.
- Fotos de inspeção — quando você exclui sua conta sendo o único anfitrião do imóvel, suas fotos e o imóvel são excluídos. Quando há co-anfitriões no imóvel, as fotos permanecem como evidência operacional do imóvel sob legítimo interesse (seção 3), mas seu vínculo direto com elas (o campo "enviado por") é removido.
- Dados de check-in dos hóspedes — excluídos automaticamente 90 dias após o check-out da reserva. Se a reserva for cancelada, são excluídos 30 dias após o envio. Você também pode excluí-los antes desses prazos removendo a reserva ou o imóvel correspondente.
- Registros de auditoria — mantidos por 5 anos após a exclusão da conta, com o vínculo de identidade removido (anonimização). Esse prazo é compatível com o art. 27 do Código Civil brasileiro (prescrição geral) e permite auditoria forense em casos de fraude ou disputa.
- Códigos OTP — válidos por curtíssima duração (minutos) e descartados imediatamente após uso ou expiração.
8. Seus direitos (LGPD)
Conforme o art. 18 da LGPD, você tem o direito de, a qualquer momento:
- Confirmar se tratamos dados pessoais seus
- Acessar os dados que mantemos sobre você
- Corrigir dados incompletos, inexatos ou desatualizados
- Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Solicitar a portabilidade dos seus dados para outro fornecedor de serviço
- Solicitar a eliminação dos dados tratados com base no seu consentimento, exceto nas hipóteses do art. 16 da LGPD
- Obter informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados
- Obter informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
- Revogar o consentimento a qualquer momento (para os tratamentos baseados em consentimento)
- Apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd
9. Como exercer seus direitos
Para exercer qualquer dos direitos acima, você pode:
- Excluir sua conta diretamente no app — Conta > Excluir conta. O fluxo guia você por uma confirmação em 3 etapas e executa a exclusão automaticamente.
- Enviar um e-mail para contato@pousi.com.br com sua solicitação. Responderemos em até 15 dias corridos, conforme o art. 19 da LGPD.
Para sua segurança, podemos pedir confirmação de identidade antes de atender solicitações que envolvam dados sensíveis (por exemplo, confirmando o número de celular cadastrado na conta).
10. Segurança
Adotamos medidas técnicas e administrativas razoáveis para proteger seus dados, incluindo:
- Comunicação criptografada em trânsito (HTTPS/TLS) entre o app e nossos servidores
- Armazenamento criptografado em repouso (criptografia gerenciada pela Supabase)
- Autenticação por código único (OTP), sem armazenamento de senhas em texto claro
- Tokens de autenticação armazenados em local seguro do dispositivo (Keychain no iOS, Keystore no Android)
- Controle de acesso por camada de banco de dados (Row Level Security), impedindo que dados de um usuário sejam acessados por outro
- Logs operacionais sem dados pessoais identificáveis
- Revisão periódica de dependências e atualizações de segurança
Nenhum sistema é absolutamente seguro. Em caso de incidente de segurança que afete seus dados pessoais, comunicaremos você e a ANPD conforme exigido pelo art. 48 da LGPD.
11. Crianças e adolescentes
O Pousi é destinado a maiores de 18 anos que operam imóveis em plataformas de hospedagem de curta duração. Não coletamos conscientemente dados de crianças e adolescentes. Caso identifiquemos que uma conta foi criada por menor de 18 anos, ela será excluída.
12. Alterações desta Política
Esta Política pode ser atualizada para refletir mudanças no aplicativo, em prestadores de serviço ou na legislação aplicável. A versão sempre vigente é a publicada nesta página, identificada pela data de "Última atualização" no topo.
Em caso de alterações materiais (mudanças que afetem significativamente seus direitos ou o tratamento dos seus dados), avisaremos você por meio de aviso no próprio aplicativo, exibido no próximo acesso após a publicação da nova versão.
13. Contato e Encarregado
O Pousi é operado por pessoa física, e o próprio controlador atua como Encarregado pelo Tratamento de Dados Pessoais (DPO), nos termos do art. 41 da LGPD:
- Renan Soares de Andrade
- CPF: 091.416.354-00
- E-mail (privacidade e demais assuntos): contato@pousi.com.br
14. Lei aplicável e foro
Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela Lei nº 13.709/2018 (LGPD) e pelo Marco Civil da Internet (Lei nº 12.965/2014).
Para dirimir quaisquer controvérsias decorrentes desta Política, fica eleito o foro da comarca de João Pessoa, Estado da Paraíba, com renúncia expressa a qualquer outro, por mais privilegiado que seja.