Política de Privacidade

1. Identificação do Controlador

A plataforma Cliente Preferido é um produto de FISApp Tecnologia da Informação LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 29.837.502/0001-53, com sede no Brasil, doravante denominada “Controlador” nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

2. Encarregado de Proteção de Dados (DPO)

Em conformidade com o artigo 41 da LGPD, informamos que o Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer — DPO) da FISApp Tecnologia da Informação LTDA é o CEO / Fundador da empresa.

Para exercer quaisquer direitos previstos na LGPD, realizar solicitações, esclarecer dúvidas ou registrar reclamações relacionadas ao tratamento de dados pessoais, entre em contato pelo canal exclusivo do Encarregado:

• E-mail do Encarregado (DPO): privacidade@clientepreferido.com.br

3. Dados Pessoais Coletados

Coletamos e tratamos os seguintes dados pessoais, de acordo com a finalidade de cada operação:

• Dados cadastrais do empreendedor: nome completo, e-mail, telefone e senha (armazenada exclusivamente por meio de hash criptográfico irreversível).
• Dados do negócio: nome do estabelecimento, endereço comercial, CNPJ ou CPF, horários de funcionamento, catálogo de serviços e fotografias.
• Dados fiscais e de faturamento: tipo de pessoa (PF/PJ), CPF ou CNPJ, razão social, inscrição municipal, endereço completo e telefone — necessários para emissão de documentos fiscais e processamento de cobranças via Pagar.me.
• Dados de clientes finais: nome, telefone e histórico de agendamentos (coletados pelo empreendedor por meio da plataforma). O empreendedor é o controlador desses dados, e a FISApp atua como operadora.
• Dados de uso e acesso: registros de acesso (logs), endereços IP, tipo de navegador, sistema operacional, páginas acessadas e interações com a plataforma.
• Dados de integração WhatsApp: número de telefone comercial, ID da conta WhatsApp Business (WABA ID) e tokens de acesso (armazenados com criptografia AES-256-GCM).
• Dados de pagamento: chave Pix do empreendedor e dados de intenções de pagamento (sinal). Para assinaturas, os dados de cartão de crédito são tokenizados diretamente pela Pagar.me — a FISApp armazena apenas identificadores transacionais (IDs), nunca números de cartão, CVV ou dados sensíveis de pagamento.

4. Finalidades do Tratamento

• Prestação do serviço de agendamento online e funcionalidades correlatas da plataforma.
• Envio de mensagens transacionais via WhatsApp (confirmações, lembretes e follow-ups), mediante consentimento prévio e expresso do cliente final.
• Processamento de sinais (depósitos antecipados) via Pix e cobranças de assinatura via cartão de crédito, ambos por meio da Pagar.me.
• Geração de métricas e relatórios agregados para o empreendedor (analytics).
• Cumprimento de obrigações legais, regulatórias e fiscais.
• Prevenção a fraudes e garantia da segurança da plataforma.
• Comunicação sobre atualizações da plataforma, alterações nos termos de serviço e notificações operacionais.

5. Base Legal para o Tratamento (LGPD)

O tratamento de dados pessoais se fundamenta nas seguintes bases legais previstas no artigo 7º da LGPD:

• Execução de contrato (art. 7º, V): para prestação dos serviços contratados pelo empreendedor, incluindo agendamento, CRM e processamento de pagamentos.
• Consentimento (art. 7º, I): para envio de mensagens via WhatsApp ao cliente final, com opt-in explícito e possibilidade de revogação (opt-out) a qualquer momento.
• Interesse legítimo (art. 7º, IX): para geração de métricas agregadas, melhoria contínua da plataforma e prevenção a fraudes, sempre respeitando os direitos e liberdades fundamentais do titular.
• Obrigação legal ou regulatória (art. 7º, II): para cumprimento de legislação fiscal, tributária e de registros de acesso (Marco Civil da Internet — Lei nº 12.965/2014).

6. Compartilhamento de Dados

Os dados pessoais podem ser compartilhados com os seguintes destinatários, estritamente para as finalidades descritas nesta política:

• Pagar.me / Stone Pagamentos S.A. (CNPJ 16.501.555/0001-57): para processamento de cobranças de assinatura (cartão de crédito) e cobranças de sinal Pix. A Pagar.me atua como operadora de dados e é instituição de pagamento autorizada pelo Banco Central do Brasil. Dados compartilhados: nome, CPF/CNPJ, e-mail, telefone, endereço e dados de transação.
• Meta Platforms, Inc. (WhatsApp Cloud API): para envio de mensagens transacionais. Dados compartilhados: número de telefone do cliente final e conteúdo das mensagens.
• Provedores de infraestrutura: serviços de hospedagem em nuvem e banco de dados, localizados no Brasil.
• Autoridades públicas: quando exigido por lei, regulamento ou ordem judicial.

Não vendemos, alugamos, cedemos ou comercializamos dados pessoais a terceiros para fins de marketing, publicidade ou qualquer finalidade diversa das aqui descritas.

7. Transferência Internacional de Dados

Ao utilizar a integração com o WhatsApp Business, os dados necessários ao envio de mensagens (número de telefone e conteúdo das mensagens) são transmitidos para servidores da Meta Platforms, Inc., localizados nos Estados Unidos da América e em outros países onde a Meta opera.

Essa transferência é realizada com base no artigo 33, inciso II, alínea “b”, da LGPD, amparada pelas cláusulas contratuais padrão da Meta e pelos compromissos assumidos pela Meta em relação à proteção de dados pessoais.

Os demais dados pessoais tratados pela plataforma são armazenados em servidores localizados no Brasil.

8. Retenção e Eliminação de Dados

Os dados pessoais são retidos pelo tempo necessário para cumprir as finalidades descritas nesta política. Os prazos de retenção específicos são:

• Dados de conta e negócio: retidos durante a vigência da relação contratual e por até 6 (seis) meses após o encerramento da conta, para possibilitar eventual reativação. Após esse prazo, os dados são anonimizados ou eliminados.
• Dados fiscais e de faturamento: retidos por 5 (cinco) anos após o encerramento, para cumprimento de obrigações fiscais e tributárias (Código Tributário Nacional — Lei nº 5.172/1966).
• Logs de auditoria e registros de acesso: retidos por 6 (seis) meses a partir do registro, conforme exigido pelo Marco Civil da Internet (Lei nº 12.965/2014, art. 15). Logs de auditoria de ações sensíveis podem ser retidos por até 5 (cinco) anos para cumprimento de obrigações legais.
• Tokens de integração WhatsApp: eliminados imediatamente após a desconexão do canal ou encerramento da conta.
• Dados de clientes finais: tratados conforme as instruções do empreendedor (controlador). Caso o empreendedor encerre sua conta, os dados de seus clientes finais seguirão o mesmo prazo de retenção dos dados de conta (6 meses), salvo obrigação legal que exija retenção mais longa.

9. Segurança dos Dados

Adotamos medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento inadequado, incluindo:

• Criptografia em trânsito (TLS 1.2 ou superior) para todas as comunicações.
• Criptografia em repouso para dados sensíveis: AES-256-GCM para tokens de integração e bcrypt para senhas.
• Isolamento multi-tenant: cada empreendedor acessa exclusivamente os dados do seu próprio negócio, por meio de filtros automáticos no nível do banco de dados.
• Controle de acesso baseado em papéis (RBAC) com permissões granulares por funcionalidade.
• Logs de auditoria para todas as ações sensíveis, com rastreabilidade por usuário e correlação de eventos.
• Tokenização de dados de cartão de crédito via Pagar.me (padrão PCI DSS) — nenhum dado de cartão transita ou é armazenado nos servidores da FISApp.

10. Incidentes de Segurança

Em conformidade com o artigo 48 da LGPD, caso ocorra um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a FISApp se compromete a:

• Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) no prazo estabelecido pela regulamentação vigente.
• Notificar os titulares afetados com informações sobre a natureza do incidente, os dados envolvidos, os riscos decorrentes e as medidas adotadas para mitigação.
• Adotar as providências necessárias para conter o incidente e minimizar seus efeitos.

11. Direitos do Titular (LGPD)

Você, como titular de dados pessoais, pode exercer os seguintes direitos previstos no artigo 18 da LGPD:

• Confirmação da existência de tratamento de dados pessoais.
• Acesso aos dados pessoais tratados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Eliminação dos dados pessoais tratados com base no consentimento, exceto nas hipóteses de conservação previstas no artigo 16 da LGPD.
• Informação sobre com quais entidades públicas e privadas o controlador compartilhou seus dados.
• Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa.
• Revogação do consentimento a qualquer momento.
• Portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa.
• Oposição ao tratamento realizado com base em hipótese diversa do consentimento, caso haja descumprimento da LGPD.
• Petição em relação aos seus dados contra o controlador perante a ANPD.

Para exercer qualquer desses direitos, entre em contato com nosso Encarregado de Proteção de Dados (DPO) pelo e-mail: privacidade@clientepreferido.com.br. Responderemos à sua solicitação no prazo de até 15 (quinze) dias, conforme previsto na legislação.

12. Dados de Menores de Idade

A plataforma é destinada a profissionais e empreendedores maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de menores de idade.

Caso clientes finais menores de 18 anos utilizem os serviços do empreendedor (por exemplo, em salões de beleza), o agendamento e o fornecimento de dados devem ser realizados por seu responsável legal. O empreendedor, como controlador dos dados de seus clientes, é responsável por garantir o cumprimento do artigo 14 da LGPD no que se refere ao tratamento de dados de crianças e adolescentes.

13. Cookies e Tecnologias de Rastreamento

Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma, incluindo cookies de autenticação e de sessão. Não utilizamos cookies de rastreamento, publicidade comportamental ou análise de terceiros.

14. Alterações nesta Política

Esta política pode ser atualizada periodicamente para refletir mudanças na legislação, nas práticas de tratamento de dados ou nas funcionalidades da plataforma. Alterações significativas serão comunicadas por e-mail ou aviso na plataforma com pelo menos 15 (quinze) dias de antecedência. O uso continuado da plataforma após a entrada em vigor da política atualizada constitui aceitação das alterações.

15. Contato

Para dúvidas, solicitações ou reclamações sobre o tratamento de dados pessoais:

• Controlador: FISApp Tecnologia da Informação LTDA — CNPJ 29.837.502/0001-53
• Encarregado (DPO): CEO / Fundador
• E-mail do Encarregado: privacidade@clientepreferido.com.br