Política de Privacidade

Última atualização: 15 de maio de 2026

Esta Política descreve como o FloreApp coleta, usa, armazena e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD).

1. Controlador e Operador

Controlador: o salão de beleza cadastrado é o controlador dos dados dos seus próprios clientes finais. Define finalidades e bases legais do tratamento dentro da Plataforma.

Operador: Caio Cruz (FloreApp) atua como operador (art. 5º, VII da LGPD) — trata os dados em nome do salão, conforme instruções dele e dentro das finalidades permitidas por estes termos.

2. Dados coletados

2.1 Usuários da Plataforma (donos e funcionários do salão)

• Nome completo, email, telefone, CPF/CNPJ (opcional), data de nascimento (opcional), foto (opcional), cargo (opcional)
• Histórico de login (data, IP, user-agent) — pra segurança contra brute force
• Ações realizadas no painel (log de auditoria de mutações sensíveis)

2.2 Clientes finais do salão

São coletados pelo salão (controlador). O FloreApp armazena e processa esses dados em nome do salão:

• Nome, telefone, email (opcional), data de nascimento (opcional)
• Histórico de agendamentos e comandas
• Fichas de anamnese capilar (quando aplicável): tipo de cabelo, química usada, problemas relatados, foto antes/depois, assinatura digital
• Consentimento LGPD ao agendar pela página pública

2.3 Dados técnicos

• Cookies de sessão (Supabase Auth)
• Telemetria de erros (Sentry), quando configurado
• Logs de servidor (acesso, request id, status code)

3. Bases legais

• Execução de contrato (art. 7º, V): dados necessários pra entregar o serviço de gestão.
• Consentimento (art. 7º, I): aceite explícito no cadastro (Termos + Privacidade) e no booking público.
• Legítimo interesse (art. 7º, IX): logs de segurança e prevenção a fraude.
• Cumprimento de obrigação legal (art. 7º, II): retenção fiscal de comandas.

4. Compartilhamento

Não vendemos dados. Compartilhamos com terceiros estritamente pra operação:

• Supabase (infraestrutura DB + auth + storage — US-East-1)
• Vercel (hosting da aplicação)
• Resend (envio de emails transacionais)
• Sentry (telemetria de erros — quando configurado)

Todos são operadores adicionais (sub-operadores) com contrato de tratamento de dados (DPA) em conformidade.

5. Transferência internacional

Infraestrutura primária roda em Estados Unidos (Supabase us-east-1, Vercel global). Cláusulas contratuais padrão e certificações de adequação dos provedores garantem proteção equivalente.

6. Direitos do titular (art. 18 LGPD)

Você pode, a qualquer momento:

• Confirmar se tratamos seus dados
• Acessar os dados que temos sobre você
• Corrigir dados incompletos ou desatualizados (Configurações → Perfil)
• Pedir exclusão (Configurações → Conta → Excluir minha conta — grace period de 30 dias)
• Portar dados pra outro fornecedor (exportação JSON sob demanda)
• Revogar consentimento a qualquer momento

Clientes finais do salão exercem esses direitos diretamente com o salão (controlador). Em última instância, contate dpo@flore.app.br.

7. Retenção

• Conta ativa: enquanto durar o contrato
• Após exclusão: hard delete em 30 dias (grace period pra reverter)
• Logs de segurança: 12 meses
• Backup completo: 12 versões semanais (~3 meses)
• Dados fiscais (comandas pagas): 5 anos (obrigação legal)

8. Segurança

Aplicamos múltiplas camadas:

• HTTPS estrito (HSTS preload)
• Senha hasheada (bcrypt via Supabase Auth)
• 2FA obrigatório no painel administrativo da plataforma
• Audit estático bloqueando merge com vulnerabilidades
• Rate limiting + lock por email contra brute force
• Backups semanais
• Telemetria de erros centralizada (Sentry)

Detalhes em SECURITY.md no repositório.

9. Cookies

Usamos cookies estritamente necessários (sessão de autenticação, preferências de tema). Sem cookies de marketing ou tracking third-party.

10. Incidentes

Em caso de incidente de segurança que envolva dados pessoais, notificamos a ANPD e os titulares afetados em até 72h após a confirmação do incidente, conforme art. 48 da LGPD.

11. Encarregado (DPO)

Caio Cruz — dpo@flore.app.br

12. Alterações

Esta Política pode ser atualizada. Versão atual: v1. Mudanças significativas são notificadas por email.

Ver também: Termos de Uso.