Política de Privacidade
A presente Política de Privacidade descreve como Naiara Lofgren Mendoza, inscrita no CPF sob o nº 065.775.189-80 e no CNPJ sob o nº 21.715.163/0001-20 (Microempreendedora Individual), com sede na Rua João Pacheco da Costa, 625, Lagoa da Conceição, Florianópolis/SC, CEP 88062-100, doravante denominada "Controladora", coleta, utiliza, armazena, compartilha e protege os dados pessoais dos usuários da plataforma App AYA, acessível pelo endereço naiaralofgren.com.br/app e pelo site naiaralofgren.com.br (doravante denominados coletivamente "Plataforma").
Esta Política foi elaborada em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.
[VERIFICAR COM ADVOGADO] A atividade principal registrada no CNAE do MEI (4729-6/99 — Comércio varejista de produtos alimentícios) pode não refletir adequadamente a atividade de prestação de serviços digitais. Recomenda-se verificar a necessidade de alteração do CNAE junto ao contador.
1. Definições
Para os fins desta Política:
- Dados Pessoais: informações relacionadas a uma pessoa natural identificada ou identificável.
- Dados Pessoais Sensíveis: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
- Titular: pessoa natural a quem se referem os dados pessoais.
- Controladora: pessoa natural ou jurídica responsável pelas decisões referentes ao tratamento de dados pessoais (Naiara Lofgren Mendoza).
- Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome da Controladora.
- Tratamento: toda operação realizada com dados pessoais.
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
2. Dados pessoais coletados
2.1. Dados fornecidos diretamente pelo usuário
| Dado | Finalidade | Obrigatório? |
|---|---|---|
| Nome completo | Identificação, personalização da experiência | Sim |
| Endereço de e-mail | Criação de conta, comunicação, recuperação de senha | Sim |
| Data de nascimento | Personalização de conteúdo, verificação de idade (maiores de 18 anos) | Não |
| Dados de pagamento (cartão de crédito/débito) | Processamento de assinatura e compras | Sim (para planos pagos) |
| Anotações pessoais | Funcionalidade do App (diário, reflexões pessoais) | Não |
| Mensagens no chat com a assistente AYA | Funcionalidade do assistente de inteligência artificial (busca e recomendações) | Não |
2.2. Dados coletados automaticamente
| Dado | Finalidade |
|---|---|
| Endereço IP | Segurança, análise de uso, cumprimento legal |
| Dados de navegação (páginas visitadas, tempo de acesso, cliques) | Melhoria da Plataforma, análise de desempenho |
| Dados do dispositivo (tipo, sistema operacional, navegador) | Compatibilidade técnica, resolução de problemas |
| Cookies e tecnologias similares | Ver Seção 8 e a Política de Cookies |
| Histórico de uso do App (conteúdos acessados, progresso) | Personalização, recomendações, melhoria do serviço |
| Logs de erro e desempenho (Sentry) | Identificação e correção de problemas técnicos |
2.3. Dados coletados por terceiros
| Terceiro | Dados | Finalidade |
|---|---|---|
| Stripe | Dados de pagamento, email, nome | Processamento de pagamentos |
| Cal.com | Nome, email, horários | Agendamento de sessões |
| Resend | Email, nome | Envio de emails transacionais |
3. Bases legais para o tratamento (LGPD Art. 7º e Art. 11)
Cada tipo de tratamento de dados possui uma base legal específica:
| Tratamento | Base Legal | Dispositivo |
|---|---|---|
| Criação e manutenção de conta | Execução de contrato | Art. 7º, V |
| Processamento de pagamento | Execução de contrato | Art. 7º, V |
| Envio de emails transacionais (confirmação, recibos) | Execução de contrato | Art. 7º, V |
| Agendamento de sessões via Cal.com | Execução de contrato | Art. 7º, V |
| Personalização da experiência e recomendações | Legítimo interesse | Art. 7º, IX |
| Análise de uso e melhoria da Plataforma | Legítimo interesse | Art. 7º, IX |
| Monitoramento de erros e estabilidade (Sentry) | Legítimo interesse | Art. 7º, IX |
| Cookies de analytics (Google Analytics) | Consentimento | Art. 7º, I |
| Cookies de marketing (Meta Pixel, Google Ads) | Consentimento | Art. 7º, I |
| Envio de newsletters e comunicações de marketing | Consentimento | Art. 7º, I |
| Coleta de data de nascimento (opcional) | Consentimento | Art. 7º, I |
| Armazenamento de anotações pessoais | Consentimento específico e destacado | Art. 11, I |
| Processamento e armazenamento das mensagens do chat com IA | Consentimento específico e destacado | Art. 11, I |
Sobre as anotações pessoais: As anotações pessoais dos usuários no App AYA podem conter informações relativas à saúde e ao bem-estar, o que pode caracterizá-las como dados pessoais sensíveis nos termos do Art. 5º, II da LGPD. Por essa razão, tratamos essas informações com base no consentimento específico e destacado do titular (Art. 11, I), coletado no momento do primeiro uso da funcionalidade. As anotações são criptografadas em repouso e não são acessadas pela Controladora para qualquer finalidade além da prestação do serviço ao próprio titular.
Sobre o chat com a assistente AYA: O chat com a assistente de inteligência artificial AYA processa o conteúdo das mensagens que você envia. Como essas mensagens podem conter informações sobre saúde e bem-estar (dados pessoais sensíveis, Art. 5º, II da LGPD), tratamos esse conteúdo com base no consentimento específico e destacado (Art. 11, I), coletado no primeiro uso do chat. As mensagens são enviadas a provedores de inteligência artificial (OpenAI e Anthropic) exclusivamente para gerar as respostas, e são armazenadas para manter o histórico da conversa e aprimorar o serviço. A assistente AYA não substitui atendimento profissional de saúde física ou mental.
[VERIFICAR COM ADVOGADO] A classificação formal das anotações pessoais como dados sensíveis deve ser validada por profissional jurídico, considerando a natureza do conteúdo que os usuários podem registrar.
4. Como utilizamos os dados
Os dados pessoais coletados são utilizados para:
4.1. Prestação do serviço: criar e manter sua conta, processar pagamentos, fornecer acesso ao conteúdo da Plataforma, agendar sessões e enviar comunicações essenciais ao funcionamento do serviço (confirmações, recibos, avisos sobre a conta).
4.2. Personalização: adaptar o conteúdo e as recomendações do App com base no seu histórico de uso e preferências, oferecendo uma experiência mais relevante.
4.3. Melhoria da Plataforma: analisar padrões de uso, identificar problemas técnicos, testar novas funcionalidades e aprimorar a qualidade do serviço.
4.4. Comunicação de marketing: mediante seu consentimento prévio, enviar novidades, dicas de bem-estar e informações sobre novos conteúdos ou funcionalidades. Você pode revogar esse consentimento a qualquer momento nas configurações do App ou clicando em "descadastrar" no email.
4.5. Cumprimento de obrigações legais: atender exigências fiscais, regulatórias e judiciais quando aplicável.
4.6. Assistente de inteligência artificial (chat AYA): mediante seu consentimento, processar as mensagens que você envia ao chat para gerar respostas, buscar conteúdos relevantes e personalizar recomendações. O processamento é realizado por provedores de IA (OpenAI e Anthropic) e as mensagens são armazenadas para manter o histórico da conversa.
5. Compartilhamento de dados com terceiros
Seus dados pessoais podem ser compartilhados com os seguintes terceiros, exclusivamente para as finalidades descritas:
| Terceiro | Finalidade | Dados compartilhados | País de armazenamento |
|---|---|---|---|
| Stripe (stripe.com) | Processamento de pagamentos | Nome, email, dados de pagamento | EUA |
| Supabase (supabase.com) | Banco de dados e autenticação | Todos os dados da conta e do App | EUA/UE (conforme região) |
| Cloudflare R2 (cloudflare.com) | Armazenamento de mídia (áudios e vídeos das aulas) | Arquivos de mídia do conteúdo | EUA/Global |
| Vercel (vercel.com) | Hospedagem da Plataforma | Dados de acesso, logs | EUA/Global (edge) |
| Cal.com (cal.com) | Agendamento de sessões ao vivo | Nome, email | UE |
| Resend (resend.com) | Envio de emails transacionais | Email, nome | EUA |
| Sentry (sentry.io) | Monitoramento de erros | Logs de erro (podem conter dados técnicos) | EUA |
| OpenAI (openai.com) | Processamento das mensagens do chat com IA (geração de respostas e busca semântica) | Conteúdo das mensagens enviadas ao chat | EUA |
| Anthropic (anthropic.com) | Processamento das mensagens do chat com IA (geração de respostas) | Conteúdo das mensagens enviadas ao chat | EUA |
| Google Analytics (analytics.google.com) | Análise de uso do site | Dados de navegação anonimizados (mediante consentimento) | EUA |
| Meta (Facebook Pixel) | Publicidade direcionada | Dados de navegação (mediante consentimento) | EUA |
| Google Ads | Publicidade direcionada | Dados de navegação (mediante consentimento) | EUA |
A Controladora não vende, aluga ou comercializa dados pessoais dos usuários.
Os dados de analytics e marketing (Google Analytics, Meta Pixel, Google Ads) são gerenciados via Google Tag Manager (GTM-TVKR95JP) e somente são ativados após o consentimento do usuário por meio do banner de cookies.
6. Transferência internacional de dados
Parte dos dados pessoais é armazenada e processada em servidores localizados fora do Brasil, notadamente nos Estados Unidos e na União Europeia, por meio dos serviços de terceiros listados na Seção 5.
Essas transferências são realizadas em conformidade com o Art. 33 da LGPD e se fundamentam em:
- Cláusulas contratuais padrão oferecidas pelos prestadores de serviço (DPAs — Data Processing Agreements);
- Compromissos dos prestadores com padrões de segurança reconhecidos internacionalmente (SOC 2, ISO 27001, quando aplicável);
- Necessidade de execução do contrato entre a Controladora e o titular.
Ao utilizar a Plataforma e aceitar esta Política, o titular reconhece e concorda com a transferência internacional de seus dados nas condições descritas.
[VERIFICAR COM ADVOGADO] A suficiência das cláusulas contratuais padrão como mecanismo de transferência internacional sob a LGPD deve ser validada, especialmente à luz de futuras regulamentações da ANPD sobre o tema.
7. Retenção de dados
Os dados pessoais são retidos pelo tempo necessário para cumprir as finalidades para as quais foram coletados:
| Tipo de dado | Período de retenção | Justificativa |
|---|---|---|
| Dados da conta (nome, email) | Enquanto a conta estiver ativa + 6 meses após exclusão | Execução do contrato + período para recuperação |
| Dados de pagamento | 5 anos após a última transação | Obrigação fiscal (Art. 173, CTN) |
| Histórico de uso do App | Enquanto a conta estiver ativa | Personalização do serviço |
| Anotações pessoais | Enquanto a conta estiver ativa (excluídas com a conta) | Funcionalidade do serviço |
| Mensagens do chat com IA | Enquanto a conta estiver ativa (excluídas com a conta) | Histórico da conversa e melhoria do serviço |
| Logs de acesso | 6 meses | Marco Civil da Internet (Art. 15) |
| Cookies | Conforme validade de cada cookie (ver Política de Cookies) | Funcionamento e consentimento |
| Dados de agendamento (Cal.com) | 12 meses após a sessão | Registro de prestação de serviço |
Após o término do período de retenção, os dados são eliminados de forma segura ou anonimizados, tornando impossível a identificação do titular.
8. Cookies e tecnologias de rastreamento
A Plataforma utiliza cookies e tecnologias similares para funcionar adequadamente e, mediante seu consentimento, para fins de análise e publicidade.
Para informações detalhadas sobre os cookies utilizados, suas categorias, finalidades e como gerenciá-los, consulte a nossa Política de Cookies, disponível em naiaralofgren.com.br/cookies.
Resumo das categorias:
- Cookies essenciais: necessários para o funcionamento da Plataforma (autenticação, segurança, preferências). Não requerem consentimento.
- Cookies de analytics: utilizados para entender como os usuários interagem com a Plataforma (Google Analytics). Requerem consentimento.
- Cookies de marketing: utilizados para publicidade direcionada (Meta Pixel, Google Ads). Requerem consentimento.
O consentimento para cookies de analytics e marketing é coletado por meio de um banner de cookies exibido na primeira visita ao site, e pode ser gerenciado a qualquer momento nas configurações de cookies.
9. Direitos do titular dos dados
Em conformidade com os Art. 17 a 22 da LGPD, você, como titular dos dados, possui os seguintes direitos:
9.1. Confirmação e acesso: solicitar a confirmação de que tratamos seus dados e obter acesso às informações que mantemos sobre você.
9.2. Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados.
9.3. Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
9.4. Portabilidade: solicitar a portabilidade dos seus dados a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial.
9.5. Eliminação: solicitar a eliminação dos dados pessoais tratados com base no consentimento, exceto quando houver obrigação legal de retenção.
9.6. Informação sobre compartilhamento: ser informado sobre as entidades públicas e privadas com as quais seus dados são compartilhados.
9.7. Revogação do consentimento: revogar o consentimento a qualquer momento, sem que isso afete a licitude do tratamento realizado anteriormente.
9.8. Oposição: opor-se ao tratamento realizado com base em legítimo interesse, caso entenda que seus direitos e liberdades fundamentais são afetados.
Como exercer seus direitos
Envie sua solicitação para: privacidade@naiaralofgren.com.br
Responderemos à sua solicitação em até 15 (quinze) dias úteis, conforme previsto na LGPD. Poderemos solicitar informações adicionais para confirmar sua identidade antes de atender ao pedido.
Caso considere que o tratamento de seus dados viola a LGPD, você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelo site gov.br/anpd.
10. Segurança dos dados
Adotamos medidas técnicas e organizacionais para proteger seus dados pessoais contra acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento inadequado, incluindo:
- Criptografia de dados em trânsito (HTTPS/TLS) e em repouso para dados sensíveis (anotações pessoais);
- Autenticação segura com hash de senhas;
- Controle de acesso restrito aos dados pessoais;
- Monitoramento de segurança e detecção de anomalias;
- Backups regulares com criptografia.
Nenhum sistema é completamente seguro. Embora nos empenhemos para proteger seus dados, não podemos garantir segurança absoluta contra todas as ameaças.
11. Menores de idade
A Plataforma é destinada exclusivamente a maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de menores de 18 anos.
Durante o processo de cadastro, o usuário deve confirmar que possui 18 anos ou mais. Caso tomemos conhecimento de que dados de um menor foram coletados, providenciaremos a exclusão imediata dessas informações.
Se você é responsável por um menor e acredita que ele forneceu dados à Plataforma, entre em contato pelo email privacidade@naiaralofgren.com.br.
12. Encarregado de dados (DPO)
O encarregado pelo tratamento de dados pessoais, nos termos do Art. 41 da LGPD, pode ser contatado pelo seguinte canal:
Nome: Naiara Lofgren Mendoza Email: privacidade@naiaralofgren.com.br
[VERIFICAR COM ADVOGADO] A ANPD pode dispensar a obrigação de nomeação de encarregado para agentes de tratamento de pequeno porte (Resolução CD/ANPD nº 2/2022). Verificar se o MEI se enquadra nessa dispensa e, caso positivo, se é recomendável manter a nomeação voluntária como boa prática.
13. Alterações nesta Política
Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas de tratamento de dados ou em razão de alterações legais.
Em caso de alterações substanciais, notificaremos os usuários por meio de:
- Aviso na Plataforma (banner ou notificação in-app);
- Email para o endereço cadastrado.
A data da última atualização será sempre indicada no topo deste documento. O uso continuado da Plataforma após a publicação de alterações constitui aceitação da versão atualizada.
14. Legislação aplicável e foro
Esta Política é regida pela legislação brasileira, em especial pela LGPD (Lei nº 13.709/2018), pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990).
Fica eleito o foro da Comarca de Florianópolis/SC para dirimir quaisquer questões relativas a esta Política, com renúncia a qualquer outro, por mais privilegiado que seja.
15. Contato
Em caso de dúvidas sobre esta Política ou sobre o tratamento de seus dados pessoais:
Controladora: Naiara Lofgren Mendoza CNPJ: 21.715.163/0001-20 Email: privacidade@naiaralofgren.com.br Site: naiaralofgren.com.br
Histórico de versões
| Versão | Data | Descrição |
|---|---|---|
| 1.0 | 25/04/2026 | Versão inicial |
| 1.1 | 04/06/2026 | Inclusão de OpenAI e Anthropic como operadores; consentimento e tratamento das mensagens do chat com IA |
Este documento foi elaborado com base nas melhores práticas do setor e não constitui aconselhamento jurídico. Os pontos marcados com [VERIFICAR] devem ser validados por profissional jurídico especializado antes da publicação.