LGPD — Lei nº 13.709/2018

Política de Privacidade e Proteção de Dados

Vigente a partir de 18 de maio de 2026 · Versão 1.2

Esta Política descreve como a AgendeIA coleta, usa, armazena e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018). Ao utilizar nossa plataforma, você concorda com os termos aqui descritos.

1. Identidade do Controlador de Dados

O controlador responsável pelo tratamento dos seus dados pessoais é:

Campo	Informação
Razão Social	KASSIO LUAN LARA DOS SANTOS
CNPJ	66.815.772/0001-90
Endereço	Rua Alferes Poli, 266 – Centro, Brasil
Nome Fantasia	AgendeIA
E-mail de Contato	contato@agendeia.app
Encarregado (DPO)	privacidade@agendeia.app

Atenção: A AgendeIA é uma plataforma SaaS de agendamentos. Nossos clientes (empresas e profissionais que contratam a plataforma) atuam como Controladores Independentes sobre os dados dos seus clientes finais. Nesse contexto, a AgendeIA atua como Operadora de dados, processando as informações em nome do cliente contratante.

2. Quais Dados Pessoais Coletamos

2.1 Dados de Cadastro da Conta

Coletados no momento do registro como usuário (empresa/profissional) na plataforma:

Dado	Obrigatoriedade	Finalidade
Nome completo / Razão Social	Obrigatório	Identificação e personalização
Endereço de e-mail	Obrigatório	Autenticação e comunicações
Senha (armazenada com hash)	Obrigatório	Segurança de acesso
Telefone / WhatsApp	Opcional	Suporte e automações
CPF ou CNPJ	Opcional (necessário para faturamento)	Emissão de cobranças e notas
CEP, Endereço, Cidade, UF	Opcional (necessário para faturamento)	Dados fiscais e cobrança

2.2 Dados dos Clientes Finais (via plataforma)

Quando um profissional usa a AgendeIA para gerenciar seus agendamentos, os dados dos clientes finais (quem agenda uma consulta, serviço ou atendimento) são armazenados. Esses dados incluem:

Nome completo
Telefone / WhatsApp
E-mail
Plano de saúde (quando informado pelo cliente final)
Histórico de agendamentos

Nessa relação, o profissional/empresa contratante é o Controlador desses dados; a AgendeIA atua como Operadora, armazenando-os sob instrução do Controlador.

2.3 Dados Técnicos de Acesso

Coletados automaticamente para fins de segurança e funcionamento da plataforma:

Endereço IP (armazenado pelo provedor de infraestrutura — Supabase — para logs de segurança)
User Agent (navegador e sistema operacional)
Data, hora e duração da sessão
Ações realizadas dentro da plataforma (logs de auditoria)

2.4 Dados de Pagamento

Dados financeiros necessários para processar assinaturas e cobranças. As informações de cartão de crédito nunca são armazenadas em nossos servidores; são processadas diretamente pela Asaas (processadora de pagamentos certificada PCI-DSS). Armazenamos apenas referências de transação (IDs de pagamento, status, datas).

3. Por Que Usamos Seus Dados — Finalidade e Base Legal

Finalidade	Base Legal (LGPD)
Criar e gerenciar sua conta na plataforma	Execução de contrato (art. 7º, V)
Processar assinaturas e cobranças	Execução de contrato (art. 7º, V)
Prestar suporte técnico e atendimento	Execução de contrato (art. 7º, V)
Enviar notificações operacionais (confirmações, alertas)	Execução de contrato (art. 7º, V)
Manter logs de segurança e auditoria	Legítimo interesse (art. 7º, IX) e Cumprimento de obrigação legal (art. 7º, II)
Cumprir obrigações legais e fiscais	Cumprimento de obrigação legal (art. 7º, II)
Melhorias e desenvolvimento da plataforma (dados agregados e anonimizados)	Legítimo interesse (art. 7º, IX)
Comunicações de marketing e novidades (quando consentido)	Consentimento (art. 7º, I)

4. Subprocessadores — Com Quem Compartilhamos Dados

Trabalhamos com fornecedores confiáveis que nos ajudam a operar a plataforma. Abaixo listamos todos os subprocessadores que podem ter acesso a dados pessoais:

Fornecedor	Finalidade	País	Política
Supabase Inc.	Banco de dados, autenticação e armazenamento em nuvem (infraestrutura principal)	EUA (servidores no Brasil disponíveis)	supabase.com/privacy
Asaas Gestão Financeira	Processamento de pagamentos, cobranças, PIX, Boleto e Cartão de Crédito	Brasil	asaas.com/privacidade
Hostinger International Ltd.	Hospedagem do domínio e envio de e-mails transacionais (confirmação de cadastro, redefinição de senha, troca de e-mail)	Lituânia / União Europeia	hostinger.com/privacy
WhatsApp / Meta Platforms	Envio e recebimento de mensagens transacionais (confirmações, lembretes e atendimento) — apenas para clientes que ativarem o módulo de WhatsApp	EUA	whatsapp.com/legal/privacy-policy
ViaCEP	Consulta de endereço por CEP (apenas o CEP é enviado; nenhum dado pessoal)	Brasil	viacep.com.br
Google Fonts	Carregamento de fontes tipográficas (endereço IP pode ser transmitido)	EUA	policies.google.com

Não vendemos, alugamos ou cedemos seus dados a terceiros para fins de publicidade ou marketing sem seu consentimento expresso.

5. Transferência Internacional de Dados

Alguns de nossos subprocessadores, como o Supabase (com sede nos Estados Unidos), podem armazenar e processar dados fora do Brasil. Quando isso ocorre, adotamos as salvaguardas previstas no art. 33 da LGPD, incluindo:

Cláusulas contratuais padrão de proteção de dados;
Certificações internacionais de segurança (SOC 2 Type II, ISO 27001);
Avaliação prévia das políticas de privacidade e conformidade dos fornecedores.

O Supabase oferece servidores na região South America (São Paulo), e utilizamos essa configuração para manter os dados dos usuários brasileiros no Brasil sempre que possível.

A Hostinger, responsável pelo envio dos nossos e-mails transacionais, opera servidores na União Europeia. A ANPD reconhece o nível adequado de proteção da UE (Resolução ANPD nº 32/2026), o que dispensa garantias contratuais adicionais para essa transferência específica.

6. Retenção e Prazo de Armazenamento dos Dados

Categoria de Dado	Prazo de Retenção	Justificativa
Dados de conta ativa	Enquanto a conta estiver ativa	Prestação do serviço
Dados de conta após encerramento	Até 90 dias após solicitação de exclusão	Período de graça para recuperação
Registros financeiros e faturas	5 anos	Obrigação legal fiscal (Lei 6.404/76, CTN)
Logs de segurança e auditoria	1 ano	Segurança e investigação de incidentes (Marco Civil art. 15)
Dados de agendamentos encerrados	2 anos após encerramento	Exercício regular de direito (disputas, contratos)
Dados de clientes finais (após encerramento da conta contratante)	90 dias, depois anonimizados	Período de transição e obrigação legal

Findo o prazo aplicável, os dados são excluídos ou anonimizados de forma segura, não podendo mais ser associados a uma pessoa específica.

7. Seus Direitos como Titular dos Dados

Nos termos dos arts. 17 a 22 da LGPD, você tem os seguintes direitos sobre seus dados pessoais:

Direito	O que significa
Confirmação e Acesso	Saber se tratamos seus dados e obter uma cópia deles.
Correção	Corrigir dados incompletos, inexatos ou desatualizados.
Anonimização ou Bloqueio	Solicitar que dados desnecessários sejam anonimizados ou bloqueados.
Eliminação	Solicitar a exclusão de dados tratados com base em consentimento (sujeito a obrigações legais).
Portabilidade	Receber seus dados em formato estruturado para migração a outro serviço.
Revogação do Consentimento	Revogar consentimentos dados anteriormente a qualquer tempo.
Informação sobre Compartilhamento	Saber com quais entidades compartilhamos seus dados.
Oposição	Opor-se a tratamentos baseados em legítimo interesse.

Como Exercer Seus Direitos

Para exercer qualquer direito acima, entre em contato pelo e-mail privacidade@agendeia.app. Você também pode solicitar a exclusão da sua conta diretamente pela plataforma em Configurações → Minha Conta → Solicitar Exclusão de Dados.

Responderemos às solicitações em até 15 dias úteis. Poderemos solicitar comprovação de identidade antes de atender a pedidos sensíveis.

⚠️ Importante sobre exclusão: Dados financeiros (faturas, transações) são mantidos por 5 anos por obrigação legal, mesmo após encerramento da conta. Esses registros serão anonimizados de forma a não identificar você, mas não podem ser apagados antes do prazo legal.

8. Cookies e Tecnologias de Rastreamento

8.1 O que usamos

A AgendeIA utiliza um número mínimo de tecnologias de armazenamento local, todas com finalidade funcional (sem rastreamento ou publicidade):

Tecnologia	Nome	Finalidade	Duração
LocalStorage	`agendeia_theme`	Salvar preferência de tema (claro/escuro)	Permanente (até limpar o navegador)
LocalStorage	`agendeia_onboarding`	Acompanhar progresso do tutorial inicial	Permanente (até limpar o navegador)
Cookie HTTP-only	Sessão Supabase	Manter a sessão autenticada de forma segura	Sessão / conforme configuração de expiração
LocalStorage	`agendeia_cookie_consent`	Registrar a preferência de cookies do usuário	1 ano

8.2 O que NÃO usamos

A AgendeIA não utiliza cookies de rastreamento, publicidade ou analytics de terceiros (como Google Analytics, Facebook Pixel, Hotjar, Mixpanel ou similares). Seus dados de navegação na plataforma não são vendidos ou compartilhados com redes de publicidade.

8.3 Gerenciando Cookies

Você pode gerenciar e excluir cookies a qualquer momento através das configurações do seu navegador. Desativar os cookies essenciais (sessão Supabase) impedirá o acesso à plataforma. Os cookies de LocalStorage podem ser limpos nas configurações de armazenamento do navegador.

9. Segurança dos Dados

Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição. Nossas práticas incluem:

Autenticação segura: Senhas armazenadas com hash (nunca em texto claro); sessões baseadas em JWT com expiração;
Controle de acesso: Row-Level Security (RLS) no banco de dados — cada usuário acessa apenas seus próprios dados;
Criptografia: Comunicações protegidas por TLS/HTTPS em toda a plataforma;
Isolamento de APIs: Chaves de API de terceiros (WhatsApp) nunca expostas no frontend; todas as chamadas sensíveis passam por camadas internas server-side, com serviços de automação isolados em rede privada;
Validação server-side: Todos os valores financeiros e dados críticos são validados no servidor, nunca confiando em entradas do frontend;
Logs de auditoria: Ações relevantes são registradas para fins de segurança e investigação.

Em caso de incidente de segurança que envolva dados pessoais, notificaremos a ANPD e os titulares afetados conforme exige o art. 48 da LGPD, dentro do prazo de 72 horas após a ciência do incidente. A comunicação conterá, no mínimo:

A descrição da natureza dos dados pessoais afetados;
As informações sobre os titulares envolvidos e a estimativa do número afetado;
As medidas técnicas e de segurança adotadas para proteção dos dados;
Os riscos relacionados ao incidente e as medidas de mitigação adotadas ou previstas.

10. Menores de Idade

A plataforma AgendeIA é destinada exclusivamente a pessoas com 18 anos ou mais, que atuam como profissionais ou empresas. Não coletamos intencionalmente dados pessoais de menores de 18 anos como usuários da plataforma.

No contexto dos agendamentos gerenciados por nossos clientes contratantes, a responsabilidade sobre o tratamento de dados de menores (como clientes de clínicas pediátricas) é do profissional/empresa contratante, que deve coletar o consentimento dos responsáveis legais nos termos do art. 14 da LGPD.

11. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas ou na legislação. Alterações relevantes serão comunicadas por e-mail (para usuários cadastrados) e/ou por aviso visível na plataforma com antecedência mínima de 15 dias antes de entrarem em vigor.

A data de vigência sempre estará indicada no topo desta página. O uso continuado da plataforma após as alterações implica concordância com a nova versão.

12. Contato — Encarregado (DPO)

Para dúvidas, solicitações relacionadas aos seus dados ou para exercer seus direitos como titular, entre em contato com nosso Encarregado de Proteção de Dados (DPO):

📧

Encarregado de Dados (DPO) — AgendeIA

E-mail: privacidade@agendeia.app

Prazo de resposta: até 15 dias úteis.

Você também pode registrar uma reclamação na ANPD (Autoridade Nacional de Proteção de Dados): gov.br/anpd