Política de Privacidade
Política de Privacidade — Canejo Beauty Clinic
Última atualização: 27 de maio de 2026
A sua privacidade é prioridade para o Canejo Beauty Clinic. Esta Política descreve, em linguagem clara, como coletamos, usamos, compartilhamos e protegemos dados pessoais tratados por meio da nossa Plataforma (https://canejo-beauty-clinic.vercel.app), em conformidade com a Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018).
Ao utilizar nossos serviços, você reconhece ter lido e compreendido esta Política.
1. Quem somos
Somos a Canejo Beauty Clinic ("nós", "nossa"), operadora de uma plataforma SaaS de atendimento e gestão para clínicas de estética e beleza.
- Razão social: Emanuela Sampaio Canejo Damaso
- CNPJ: 50.084.330/0001-80
- Endereço: Av. República do Líbano, 251, Sala 1909, Torre A, Pina, Recife/PE, CEP 51.110-160
- E-mail de contato: emanuelacanejo@gmail.com
Papéis sob a LGPD
- Controladora: a clínica/empresa que contrata o uso da Plataforma é a Controladora dos dados de seus Clientes Finais. Para a primeira conta cadastrada (
emanuelacanejo@gmail.com), a Controladora é a própria Canejo Beauty Clinic. - Operadora: quando a Plataforma trata dados de Clientes Finais a pedido de uma clínica usuária, atuamos como Operadora (Art. 5º, VII, LGPD).
- Controladora própria: somos Controladora dos dados das Atendentes/Usuárias que se cadastram para operar o sistema.
2. Dados que coletamos
2.1. Dados de Atendentes (usuárias do sistema)
- Nome completo
- E-mail profissional
- Função/cargo (role)
- Senha (armazenada em hash, nunca em texto claro)
- Dados de sessão e autenticação (cookies Supabase Auth)
- Logs de acesso (data, hora, IP, ação executada)
2.2. Dados de Clientes Finais (leads e pacientes da clínica)
- Número de WhatsApp
- Handle (@) do Instagram
- Nome (quando fornecido)
- Conteúdo de mensagens trocadas (texto, áudio, imagem, vídeo, documentos)
- Mídia compartilhada na conversa
- Histórico de interações e atendimentos
- Origem da campanha (anúncio que originou o lead)
- Agendamentos realizados (data, procedimento, profissional)
- Procedimentos realizados, quando registrados pela clínica
- Anotações internas inseridas pela Atendente
2.3. Dados técnicos
- Endereço IP
- Tipo de navegador, sistema operacional
- Páginas acessadas, tempo de sessão
- Identificadores de campanha (UTMs, click IDs)
3. Como coletamos
Coletamos dados de três formas principais:
- Diretamente da Atendente — quando ela se cadastra, insere informações de clientes, registra agendamentos ou anota observações.
- Diretamente do Cliente Final — quando ele envia mensagem via WhatsApp, Instagram DM ou preenche formulário de Lead Ads vinculado a um anúncio.
- Automaticamente — via cookies essenciais, logs de servidor e integrações com plataformas de anúncios (Meta, Google).
Não compramos listas de contatos nem coletamos dados de fontes públicas sem base legal específica.
4. Finalidades do tratamento
Tratamos os dados pessoais para as seguintes finalidades:
| Finalidade | Descrição |
|---|---|
| Atendimento ao cliente | Responder dúvidas, agendar procedimentos, organizar histórico |
| Sugestão de respostas via IA | Gerar rascunhos de mensagens (modo supervisionado, revisão humana obrigatória) |
| Remarketing | Envio de mensagens de follow-up agendadas, conforme régua de remarque configurada pela clínica |
| Métricas de negócio | CAC por anúncio, taxa de conversão, recorrência de clientes (agregadas e individuais) |
| Cumprimento de obrigações legais | Retenção fiscal, sanitária e contábil |
| Segurança e prevenção de fraude | Logs de acesso, detecção de uso anômalo |
| Comunicação operacional | Avisos sobre o serviço, atualizações, suporte técnico |
5. Bases legais (LGPD Art. 7º)
Cada tratamento se apoia em uma base legal específica:
- Execução de contrato (Art. 7º, V): quando o Cliente Final solicita atendimento, agendamento ou orçamento.
- Consentimento (Art. 7º, I): o envio espontâneo de mensagem ao número WhatsApp Business da clínica caracteriza consentimento implícito para resposta, conforme política da Meta. Consentimento pode ser revogado a qualquer momento.
- Legítimo interesse (Art. 7º, IX): métricas agregadas de campanha, melhoria do serviço, prevenção de fraude — sempre com balanceamento de direitos do titular.
- Cumprimento de obrigação legal (Art. 7º, II): retenção de dados fiscais, sanitários e atendimento a ordens judiciais.
- Exercício regular de direitos (Art. 7º, VI): defesa em processos judiciais, administrativos ou arbitrais.
Para dados sensíveis (ex.: informações de saúde inseridas pela clínica em prontuário), aplicamos o Art. 11 da LGPD, exigindo consentimento específico ou outra hipótese legal aplicável (tutela da saúde por profissional habilitado).
6. Compartilhamento com terceiros (subprocessadores)
Para operar a Plataforma, compartilhamos dados estritamente necessários com os seguintes subprocessadores:
| Subprocessador | Finalidade | Dados processados | Localização |
|---|---|---|---|
| Meta — WhatsApp Business API | Envio e recebimento de mensagens | Número WhatsApp, conteúdo (texto/áudio/imagem/vídeo), metadados | EUA / Irlanda |
| Meta — Instagram Business | Recebimento e resposta a DMs | Handle, conteúdo de DM, perfil público | EUA / Irlanda |
| Meta — Lead Ads | Captura de leads de anúncios | Nome, telefone, e-mail, identificador de campanha | EUA / Irlanda |
| Google Ads | Atribuição de conversão e anúncios | Identificadores de campanha, click IDs | EUA |
| Supabase (Postgres + Auth + Storage) | Banco de dados, autenticação, armazenamento de mídia | Todos os dados aplicacionais | sa-east-1 (São Paulo, Brasil) |
| Anthropic (Claude) | Geração de sugestões de resposta via IA | Conteúdo de mensagem submetido para inferência | EUA |
| OpenAI | Geração de embeddings para busca semântica | Texto de mensagens convertido em vetores | EUA |
| Vercel | Hospedagem da aplicação web | Logs de requisição, dados em trânsito | EUA / global edge |
| Inngest | Fila de jobs em background (remarque, sync, cron) | Identificadores de tarefa, payloads de execução | EUA |
Referência cruzada Meta. Para detalhes sobre como a Meta trata dados recebidos via suas APIs, consulte a Política de Privacidade da Meta e os Termos do WhatsApp Business.
Todos os subprocessadores são contratualmente obrigados a respeitar padrões equivalentes de segurança e privacidade, incluindo cláusulas específicas de proteção de dados quando aplicável.
Não vendemos, alugamos ou cedemos dados pessoais para terceiros com finalidade comercial.
7. Transferência internacional de dados
Sim — parte dos subprocessadores está localizada fora do Brasil, predominantemente nos Estados Unidos da América (Anthropic, OpenAI, Vercel, Google, Inngest e parte da infraestrutura Meta).
Estas transferências têm como base, nos termos do Art. 33 da LGPD:
- Cláusulas Contratuais Padrão (Standard Contractual Clauses / SCCs) firmadas com cada fornecedor;
- Garantia de nível de proteção adequado por meio de medidas técnicas e organizacionais (criptografia em trânsito e em repouso, controles de acesso, auditorias);
- Quando aplicável, consentimento específico do titular para a transferência.
O banco de dados principal (Supabase) está hospedado no Brasil (região sa-east-1, São Paulo), minimizando a transferência internacional de dados estruturados.
8. Período de retenção
Retemos dados pelo tempo necessário ao cumprimento das finalidades descritas, conforme tabela abaixo:
| Tipo de dado | Período de retenção | Fundamento |
|---|---|---|
| Mensagens e mídia trocadas | 24 meses após a última interação | Necessidade operacional + histórico de atendimento |
| Dados de atendimento e transação (agendamentos, procedimentos) | 5 anos | Obrigação fiscal e sanitária |
| Dados cadastrais de Atendente | Enquanto a conta estiver ativa + 6 meses após o encerramento | Auditoria e suporte |
| Logs técnicos (acesso, IP, ações) | 6 meses | Segurança e prevenção de fraude |
| Cookies de sessão | Até logout ou 30 dias de inatividade | Funcionamento da autenticação |
| Dados após exercício do direito de eliminação | Eliminação em até 15 dias, salvo retenção legal obrigatória | Art. 18, VI, LGPD |
Após o período aplicável, os dados são eliminados ou anonimizados de forma irreversível, exceto quando houver obrigação legal de retenção.
9. Direitos do titular (LGPD Art. 18)
Você, como titular de dados pessoais, tem direito a:
- Confirmação da existência de tratamento dos seus dados
- Acesso aos dados que tratamos sobre você
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade dos dados a outro fornecedor de serviço, observados os segredos comerciais e industriais
- Eliminação dos dados tratados com base em consentimento, ressalvadas as hipóteses de retenção legal
- Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados
- Informação sobre a possibilidade de não fornecer consentimento e as consequências
- Revogação do consentimento, a qualquer momento, mediante manifestação expressa
- Oposição a tratamento realizado com fundamento em hipóteses dispensadas de consentimento, em caso de descumprimento da LGPD
- Revisão de decisões automatizadas que afetem seus interesses, incluindo decisões tomadas por IA (Art. 20, LGPD)
Como exercer
- E-mail: emanuelacanejo@gmail.com (assunto: "LGPD — Solicitação de titular")
- Diretamente com a clínica que atende você (quando você for Cliente Final)
- Prazo de resposta: até 15 dias corridos, contados do recebimento da solicitação
Podemos solicitar informações adicionais para confirmar sua identidade antes de atender ao pedido.
10. Segurança da informação
Adotamos medidas técnicas e administrativas razoáveis para proteger seus dados, incluindo:
- Criptografia em trânsito (TLS 1.2+) e em repouso (no banco de dados Supabase)
- Controle de acesso baseado em função (RBAC) e Row Level Security (RLS) no Postgres
- Autenticação multifator disponível para Atendentes
- Senhas armazenadas em hash (algoritmo bcrypt/argon2 via Supabase Auth)
- Logs de auditoria de operações sensíveis
- Backups regulares e plano de recuperação de desastres
- Revisões periódicas de permissões e segurança
Comunicação de incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme Art. 48 da LGPD.
Nenhum sistema é 100% imune. Recomendamos que você também adote boas práticas (senhas fortes, não compartilhar credenciais, logout em dispositivos compartilhados).
11. Cookies
Utilizamos apenas cookies essenciais para o funcionamento da Plataforma:
| Cookie | Finalidade | Validade |
|---|---|---|
sb-access-token / sb-refresh-token (Supabase Auth) | Manter Atendente autenticada | Até logout ou 30 dias |
sb-session | Estado de sessão | Sessão |
Não utilizamos cookies de marketing, tracking pixels de terceiros ou cookies de publicidade comportamental dentro do painel da Plataforma. Por serem essenciais ao funcionamento do serviço, esses cookies dispensam consentimento prévio, mas você pode desabilitá-los no seu navegador — neste caso, a Plataforma deixará de funcionar adequadamente.
12. Crianças e adolescentes
A Plataforma destina-se a uso profissional por pessoas maiores de 18 anos. Não criamos contas de Atendente para menores de idade.
Quando o Cliente Final for menor de 18 anos, a clínica usuária é responsável por obter e registrar o consentimento específico e em destaque do responsável legal, nos termos do Art. 14 da LGPD.
Caso identifiquemos tratamento de dados de menor sem consentimento adequado, eliminaremos os registros assim que possível e notificaremos a clínica responsável.
13. Encarregado pelo tratamento (DPO)
O Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer — DPO) é o canal de comunicação entre a Canejo, os titulares e a ANPD, conforme Art. 41 da LGPD.
- Nome: Emanuela Sampaio Canejo Damaso
- E-mail: emanuelacanejo@gmail.com
- Atribuições: receber comunicações da ANPD e dos titulares, orientar funcionárias sobre boas práticas, executar demais atribuições do Art. 41, §2º, LGPD.
14. Alterações desta Política
14.1. Podemos atualizar esta Política a qualquer momento para refletir mudanças legais, técnicas ou de negócio.
14.2. Alterações relevantes serão comunicadas por e-mail e/ou aviso destacado na Plataforma, com antecedência mínima de 15 dias quando a mudança ampliar tratamento ou reduzir direitos.
14.3. A versão vigente ficará sempre disponível em https://canejo-beauty-clinic.vercel.app/politica-de-privacidade, com indicação da data de última atualização.
14.4. Recomendamos consulta periódica para se manter informada sobre como tratamos seus dados.
15. Contato
Para qualquer questão relacionada a privacidade, proteção de dados ou exercício de direitos:
- E-mail principal: emanuelacanejo@gmail.com
- Encarregado (DPO): emanuelacanejo@gmail.com
- Autoridade competente: Autoridade Nacional de Proteção de Dados — ANPD
Caso entenda que seus direitos não foram adequadamente atendidos, você pode apresentar reclamação à ANPD.
⚠️ Aviso legal. Esta Política foi elaborada com base nas informações disponíveis em 27/05/2026 e na legislação vigente. Não substitui consulta jurídica especializada. Antes de publicação em produção, recomenda-se revisão por advogado(a) com expertise em LGPD e direito digital.