Política de Privacidade
Esta Política de Privacidade descreve como o NutriGestão coleta, utiliza, armazena e protege seus dados pessoais e os dados dos seus pacientes/clientes, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).
Quem somos (Controlador de Dados)
O NutriGestão é uma plataforma SaaS de gestão de processos destinada a profissionais e empresas das áreas de Nutrição e Segurança Alimentar. Para fins da LGPD, atuamos como Controlador de Dados em relação aos dados dos usuários da plataforma (profissionais, nutricionistas, gestores), e como Operador de Dados em relação aos dados dos pacientes/clientes inseridos pelos próprios usuários da plataforma.
Os profissionais que utilizam o NutriGestão para gerenciar seus pacientes são considerados controladores dos dados de seus pacientes e são responsáveis por obter os consentimentos necessários junto a eles.
Quais dados coletamos
Coletamos diferentes categorias de dados dependendo do seu relacionamento com a plataforma:
2.1 Dados dos Usuários (Profissionais)
- Identificação: nome completo, endereço de e-mail, número de telefone.
- Credenciais profissionais: número de registro no conselho (ex.: CRN, CRQ) e área de atuação.
- Dados da empresa: razão social, CNPJ, endereço comercial (quando aplicável).
- Dados de acesso: login, senha (armazenada de forma criptografada) e logs de autenticação.
- Dados de cobrança: informações de pagamento processadas por provedor terceiro seguro (ex.: Stripe); não armazenamos números de cartão em nossos servidores.
- Dados de uso: páginas visitadas, funcionalidades utilizadas, dispositivo, sistema operacional, endereço IP e dados de sessão.
2.2 Dados de Pacientes/Clientes (inseridos pelo profissional)
- Identificação: nome, data de nascimento, sexo, e-mail e telefone.
- Dados de saúde (sensíveis): peso, altura, IMC, histórico alimentar, alergias, intolerâncias, condições clínicas, exames e outras informações nutricionais inseridas pelo profissional.
- Planos e prontuários: planos alimentares, registros de consultas e evolução clínica.
- Dados de contato: informações de agenda e comunicação entre profissional e paciente mediadas pela plataforma.
2.3 Dados coletados automaticamente
- Endereço IP, tipo de navegador, dispositivo e sistema operacional.
- Dados de navegação e interação com a plataforma (logs de acesso).
- Cookies e tecnologias similares (detalhes na Seção 10).
Como e por que usamos seus dados
| Finalidade | Dados utilizados |
|---|---|
| Criar e gerenciar sua conta de acesso | Nome, e-mail, senha, dados profissionais |
| Prestar os serviços contratados (gestão nutricional) | Todos os dados inseridos na plataforma |
| Processar pagamentos e gerenciar assinaturas | Dados de cobrança (via Stripe) |
| Comunicar atualizações, novidades e suporte | Nome, e-mail |
| Melhorar a plataforma com base em uso e feedback | Dados de uso anonimizados ou agregados |
| Pesquisa e desenvolvimento em saúde e nutrição | Indicadores estatísticos anonimizados — nenhum dado que identifique o paciente é utilizado |
| Cumprir obrigações legais e regulatórias | Dados necessários conforme exigência legal |
| Prevenir fraudes e garantir a segurança | Logs de acesso, IP, dados de autenticação |
| Emissão de notas fiscais e documentos fiscais | Nome/razão social, CPF/CNPJ, endereço |
Base legal para o tratamento
Todo tratamento de dados realizado pelo NutriGestão está amparado em pelo menos uma das bases legais previstas na LGPD (Art. 7º e Art. 11):
| Base Legal | Quando se aplica |
|---|---|
| Execução de contrato (Art. 7º, V) | Dados necessários para prestar o serviço contratado |
| Legítimo interesse (Art. 7º, IX) | Melhorias na plataforma, segurança e prevenção de fraudes |
| Cumprimento de obrigação legal (Art. 7º, II) | Retenção de dados fiscais, atendimento a autoridades |
| Consentimento (Art. 7º, I / Art. 11, I) | Comunicações de marketing opcionais; dados sensíveis de pacientes |
| Tutela da saúde (Art. 11, II, f) | Tratamento de dados de saúde por profissional habilitado |
| Proteção da vida (Art. 11, II, e) | Situações de emergência que envolvam risco à saúde |
Dados de saúde (dados sensíveis)
Dados de saúde são classificados como dados pessoais sensíveis pela LGPD (Art. 5º, II) e recebem proteção reforçada. O NutriGestão trata esses dados exclusivamente para viabilizar os serviços de gestão nutricional contratados, com as seguintes garantias:
- Acesso restrito aos profissionais autorizados pelo titular da conta.
- Criptografia em trânsito (TLS) e em repouso (AES-256).
- Isolamento por organização/clínica (multi-tenant com Row Level Security).
- Os profissionais usuários são responsáveis por obter o consentimento explícito de seus pacientes antes de inserir dados de saúde na plataforma, conforme exige o Art. 11, I da LGPD e as resoluções do CFN.
Os dados de saúde inseridos na plataforma poderão ser utilizados, de forma secundária, para fins de pesquisa e desenvolvimento em saúde e nutrição. Nesse contexto, somente indicadores estatísticos agregados são considerados — como médias populacionais, tendências nutricionais e padrões clínicos. Nenhuma informação que possibilite a identificação do paciente (nome, data de nascimento, CPF, contato ou qualquer outro dado direto ou indireto de identificação) será utilizada ou compartilhada para essa finalidade. O processo de descaracterização (anonimização) é aplicado antes de qualquer uso analítico, em conformidade com o Art. 12 da LGPD, de modo que os dados resultantes não possam ser associados a um indivíduo específico.
Compartilhamento de dados
Não vendemos, alugamos nem comercializamos seus dados. Podemos compartilhá-los apenas nas situações abaixo:
| Com quem | Por quê |
|---|---|
| Supabase (banco de dados e autenticação) | Infraestrutura da plataforma — dados armazenados em servidores na região configurada |
| Stripe (processamento de pagamentos) | Cobrança e gestão de assinaturas — dados financeiros tratados sob PCI DSS |
| Provedores de e-mail transacional | Envio de notificações, confirmações e recuperação de senha |
| Ferramentas de monitoramento e erros | Identificação de falhas técnicas — dados anonimizados ou pseudonimizados |
| Autoridades públicas e regulatórias | Cumprimento de ordem judicial, regulatória ou legal |
| Parceiros de auditoria e compliance | Quando exigido por processo de certificação ou auditoria contratada |
Todos os fornecedores terceiros são contratualmente obrigados a tratar os dados apenas para as finalidades específicas e com nível de segurança equivalente ao exigido pela LGPD.
Transferência internacional de dados
Alguns de nossos fornecedores de infraestrutura (como Supabase e Stripe) podem processar dados em servidores localizados fora do Brasil. Quando isso ocorre, adotamos as salvaguardas previstas no Art. 33 da LGPD:
- Utilizamos fornecedores que oferecem nível de proteção adequado ou equivalente ao exigido pela LGPD.
- Contratos com cláusulas específicas de proteção de dados são firmados com cada fornecedor.
- Priorizamos configurações de armazenamento regional (ex.: South America / São Paulo) sempre que disponíveis.
Armazenamento e retenção
| Categoria de dado | Período de retenção |
|---|---|
| Dados da conta do profissional | Durante a vigência do contrato + 5 anos após encerramento (obrigação fiscal) |
| Dados de pacientes/clientes | Enquanto o profissional mantiver conta ativa + conforme solicitação de exclusão |
| Logs de acesso e segurança | 12 meses (conforme Marco Civil da Internet — Lei 12.965/2014) |
| Dados fiscais e financeiros | 10 anos (obrigação tributária) |
| Dados de suporte e atendimento | 2 anos após o encerramento do chamado |
Após o prazo de retenção aplicável, os dados são excluídos de forma segura ou anonimizados, de modo que não seja possível identificar o titular.
Segurança dos dados
Adotamos medidas técnicas e organizacionais compatíveis com o estado da arte para proteger seus dados contra acesso não autorizado, perda, alteração ou divulgação indevida:
- Criptografia TLS/HTTPS em todas as comunicações entre seu dispositivo e nossos servidores.
- Criptografia em repouso (AES-256) para dados armazenados.
- Autenticação segura com hash de senhas (bcrypt) e suporte a autenticação de dois fatores (2FA).
- Controle de acesso por perfil (RBAC) e isolamento de dados por organização (Row Level Security).
- Monitoramento contínuo de tentativas de acesso suspeito e anomalias.
- Backups regulares com versionamento e política de recuperação de desastres.
- Revisões de segurança periódicas e avaliações de vulnerabilidade.
Em caso de incidente de segurança que possa causar risco ou dano a titulares, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados no prazo legalmente exigido.
Cookies e tecnologias similares
Utilizamos cookies e tecnologias similares para garantir o funcionamento da plataforma e melhorar a experiência de uso. Veja os tipos utilizados:
| Tipo | Finalidade | Obrigatório? |
|---|---|---|
| Cookies essenciais | Manter sessão autenticada e preferências básicas | Sim |
| Cookies de segurança | Prevenção de CSRF e proteção de sessão | Sim |
| Cookies de desempenho | Identificar erros e lentidões na plataforma | Não |
| Cookies analíticos | Entender como as funcionalidades são utilizadas (dados agregados) | Não |
Você pode configurar seu navegador para bloquear ou alertar sobre cookies. Observe que bloquear cookies essenciais pode comprometer o funcionamento da plataforma.
Seus direitos como titular
A LGPD garante a você os seguintes direitos em relação aos seus dados pessoais (Art. 18). Para exercê-los, entre em contato pelo e-mail [email protected]:
| Direito | O que significa |
|---|---|
| ✅ Confirmação e acesso | Saber se tratamos seus dados e obter uma cópia |
| ✏️ Correção | Solicitar a correção de dados incompletos, inexatos ou desatualizados |
| 🗑️ Eliminação | Pedir a exclusão de dados tratados com base em consentimento |
| 🔄 Portabilidade | Receber seus dados em formato estruturado para migração a outro serviço |
| 🚫 Oposição | Opor-se a tratamento que considere irregular |
| ℹ️ Informação sobre compartilhamento | Saber com quais entidades compartilhamos seus dados |
| ↩️ Revogação de consentimento | Retirar o consentimento a qualquer momento, sem prejudicar tratamentos anteriores |
| 📋 Revisão de decisão automatizada | Solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados |
Responderemos às suas solicitações em até 15 dias úteis, podendo este prazo ser prorrogado conforme a complexidade da solicitação.
Menores de idade
O NutriGestão é destinado exclusivamente a profissionais maiores de 18 anos. Não coletamos intencionalmente dados de menores de 18 anos como usuários da plataforma. No entanto, profissionais de nutrição podem atender pacientes menores de idade; nesses casos, a responsabilidade pelo consentimento do representante legal do menor é do profissional usuário da plataforma.
Alterações nesta Política
Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas, novas funcionalidades ou exigências legais. Quando realizarmos alterações relevantes, notificaremos os usuários por e-mail e/ou por aviso em destaque na plataforma com antecedência mínima de 15 dias, salvo quando a alteração for exigida por lei com prazo inferior.
A versão em vigor é sempre a publicada nesta página, identificada pela data de última atualização no topo.
Contato e Encarregado de Dados (DPO)
Para exercer seus direitos, esclarecer dúvidas ou comunicar qualquer questão relacionada à privacidade e proteção de dados, entre em contato com nosso Encarregado de Proteção de Dados (DPO):
E-mail para privacidade e exercício de direitos
[email protected]Contato direto com o DPO
[email protected]Autoridade de Proteção de Dados
Você também pode contatar a Autoridade Nacional de Proteção de Dados (ANPD) pelo site www.gov.br/anpd.
NutriGestão · Política de Privacidade · Versão de 18 de junho de 2026
Em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018)