Ir para o conteúdo principal

Privacidade

Política de Privacidade

Última atualização: 3 de junho de 2026

1. Quem somos

Esta Política de Privacidade descreve como o EsteticFlow ("nós", "nosso" ou "EsteticFlow"), software de gestão para clínicas estéticas operado em https://www.esteticflow.com.br, coleta, usa, armazena e compartilha dados pessoais. Ao usar o serviço, você concorda com esta política.

2. Dados que coletamos

Coletamos apenas os dados necessários para operar o serviço:

  • Conta da clínica: nome, e-mail, telefone, CNPJ ou CPF do responsável.
  • Clientes da clínica: nome, telefone, e-mail, data de nascimento, endereço e histórico de atendimentos — inseridos pela própria clínica.
  • Dados financeiros: registros de pagamentos, recebimentos e custos. Os dados de cartão e cobrança são processados pelo nosso provedor de pagamento (Mercado Pago ou Asaas, conforme a clínica) — nunca armazenamos o número completo do cartão.
  • Mensagens WhatsApp: conteúdo e metadados das mensagens enviadas/recebidas pela clínica via integração.
  • Dados técnicos: endereço IP, navegador, sistema operacional, logs de acesso.

3. Integração com Google Calendar

Quando você opta por conectar sua conta Google ao EsteticFlow para sincronizar a agenda, fazemos o seguinte:

  • Solicitamos o escopo https://www.googleapis.com/auth/calendar.events — permissão para criar, ler, atualizar e excluir apenas eventos criados pelo EsteticFlow.
  • Não acessamos eventos existentes na sua agenda que não tenham sido criados pelo EsteticFlow. A sincronização é filtrada por uma propriedade interna (extendedProperties.private.estetic_flow_appointment_id).
  • Armazenamos seus tokens OAuth criptografados em repouso (AES-256-GCM) e os usamos exclusivamente para sincronizar agendamentos entre sua conta EsteticFlow e o Google Calendar correspondente.
  • Você pode desconectar a integração a qualquer momento em Configurações → Google Calendar → Desconectar. Após a desconexão, todos os tokens armazenados são apagados em até 24 horas.
  • Não vendemos, compartilhamos ou usamos seus dados do Google Calendar para qualquer outra finalidade, incluindo treinamento de modelos de IA, publicidade ou agregação para terceiros.

O uso e a transferência das informações recebidas das APIs do Google pelo EsteticFlow seguirão as Políticas de Dados do Usuário dos Serviços de API do Google, incluindo as exigências de Uso Limitado.

4. Base legal e finalidade do tratamento (LGPD, Art. 7)

Tratamos cada categoria de dado com base em uma hipótese legal específica:

  • Dados da conta da clínica — execução de contrato (Art. 7, V): necessário para operar o serviço contratado.
  • Dados dos clientes das clínicas (agenda, prontuário, CRM) — legítimo interesse do controlador (Art. 7, IX). A clínica é a controladora desses dados e é responsável por obter o consentimento dos seus pacientes finais para o tratamento.
  • Dados financeiros — execução de contrato (Art. 7, V) para cobranças e relatórios; cumprimento de obrigação legal (Art. 7, II) para registros fiscais e contábeis.
  • Mensagens WhatsApp — execução de contrato (Art. 7, V): comunicação transacional autorizada pela clínica com seus clientes.
  • Dados técnicos e logs de acesso — cumprimento de obrigação legal (Art. 7, II): o Marco Civil da Internet (Art. 15) exige retenção de logs de acesso por no mínimo 6 meses; e legítimo interesse (Art. 7, IX) para segurança e diagnóstico do serviço.
  • IA assistente (Aura) — execução de contrato (Art. 7, V): funcionalidade incluída no plano contratado.

Não usamos seus dados para vender a terceiros nem para publicidade.

5. Como armazenamos

  • Dados em repouso: PostgreSQL gerenciado (Supabase) com criptografia em repouso.
  • Dados sensíveis (telefone, WhatsApp, tokens OAuth): adicionalmente criptografados com AES-256-GCM no nível de coluna.
  • Dados em trânsito: TLS 1.2+ em todas as conexões.
  • Hospedagem: servidores em região da AWS (São Paulo).
  • RLS (Row Level Security) garante que cada clínica acessa somente os próprios dados.

6. Compartilhamento com terceiros

Compartilhamos dados estritamente com fornecedores essenciais à operação:

  • Supabase — banco de dados e autenticação.
  • Vercel — hospedagem da aplicação web.
  • Mercado Pago — processamento de pagamentos.
  • Asaas — processamento de pagamentos (cartão e PIX) e emissão da nota fiscal da assinatura. Recebe dados de cobrança e fiscais (CPF/CNPJ e endereço) quando este é o provedor da clínica.
  • Google — sincronização de calendário (somente se o usuário ativar).
  • Meta (Instagram) — publicação de posts (somente se o usuário ativar).
  • Resend — envio de e-mails transacionais.
  • OpenAI — funcionalidades de IA (Aura). Enviamos ao modelo o conteúdo da mensagem recebida pelo WhatsApp e, quando disponível, o nome do cliente cadastrado na clínica. Nenhum dado de saúde, financeiro ou documento (CPF/CNPJ) é enviado. Ativado exclusivamente em clínicas com plano de IA contratado.
  • Sentry — monitoramento de erros (sem dados pessoais identificáveis).

Transferência internacional (Art. 33): parte desses fornecedores processa dados em servidores fora do Brasil — OpenAI, Vercel, Resend e Sentry (Estados Unidos). A transferência ocorre apenas na medida necessária à prestação do serviço e está amparada por cláusulas contratuais de proteção de dados e pelas demais salvaguardas exigidas pela LGPD. O banco de dados principal, com os dados das clínicas e de seus clientes, permanece hospedado em região brasileira (AWS São Paulo).

7. Seus direitos (LGPD)

Você tem direito a:

  • Acessar seus dados.
  • Corrigir dados incompletos ou incorretos.
  • Solicitar exclusão dos seus dados.
  • Solicitar portabilidade.
  • Revogar consentimentos a qualquer momento.

Solicite por e-mail: suporte@esteticflow.com.br. Respondemos em até 15 dias úteis.

8. Retenção

Mantemos os dados enquanto a conta estiver ativa. Após cancelamento, mantemos por até 90 dias para permitir reativação, e em seguida apagamos definitivamente — exceto registros que precisam ser mantidos por obrigação legal (notas fiscais, registros financeiros).

9. Resposta a incidentes de segurança (LGPD, Art. 48)

Em caso de incidente com dados pessoais, o EsteticFlow compromete-se a:

  • Comunicar a ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoável após a ciência do incidente, conforme exigido pelo Art. 48 da LGPD.
  • Notificar os titulares afetados sempre que o incidente puder acarretar risco ou dano relevante.
  • Investigar a causa raiz e adotar medidas corretivas para evitar recorrência.
  • Manter registro interno do incidente com data, natureza, dados envolvidos e ações tomadas.

Para reportar vulnerabilidade ou suspeita de incidente: suporte@esteticflow.com.br.

10. Cookies

Usamos duas categorias de cookies:

  • Essenciais — necessários para autenticação, segurança e preferências. Sempre ativos, pois sem eles o serviço não funciona.
  • Análise e marketing — Google Ads e Meta Pixel (Facebook/Instagram), usados para medir conversões e otimizar campanhas. Só são ativados após o seu consentimento.

Ao acessar o site, exibimos um aviso de cookies. Os cookies de análise e marketing só são carregados se você escolher "Aceitar todos". Ao selecionar "Somente essenciais", nenhum cookie de rastreamento de terceiros é ativado. Você pode rever sua escolha a qualquer momento limpando os dados do site no seu navegador.

11. Atualizações desta política

Podemos atualizar esta política periodicamente. Mudanças substanciais serão notificadas por e-mail e dentro do app, com pelo menos 15 dias de antecedência.

12. Encarregado pelo tratamento de dados (DPO)

Em atendimento ao Art. 41 da LGPD, o Encarregado responsável pela proteção de dados pessoais no EsteticFlow é Jefferson Mello. Ele é o ponto de contato entre o EsteticFlow, os titulares de dados e a ANPD. Para exercer seus direitos, tirar dúvidas ou registrar reclamações sobre o tratamento de dados, escreva para suporte@esteticflow.com.br.

13. Contato

Dúvidas, solicitações ou reclamações: suporte@esteticflow.com.br.

Política de Privacidade | EsteticFlow