Política de Privacidade

Esta Política de Privacidade descreve como a NutriAssist ("NutriAssist", "nós", "nosso") coleta, utiliza, armazena e protege dados pessoais em conformidade com a Lei Geral de Proteção de Dados — LGPD (Lei 13.709/18), o Marco Civil da Internet (Lei 12.965/14) e demais normas aplicáveis.

Aplicamos esta Política ao site nutriassist.com.br, ao aplicativo desktop NutriAssist e a todos os serviços relacionados.

PEDRO PAULO MENDONCA TELHO CONSULTORIA EM TECNOLOGIA DA INFORMACAO LTDA ("NutriAssist")
CNPJ: 63.838.777/0001-40
E-mail de contato: contato@nutriassist.com.br
Encarregado pelo Tratamento de Dados (DPO): dpo@nutriassist.com.br

3.1. Dados do Profissional (titular do cadastro)

• Nome completo, e-mail profissional, telefone
• Senha (armazenada com hash criptográfico — nunca em texto puro)
• Inscrição no Conselho Regional de Nutricionistas (CRN), quando aplicável
• Dados de pagamento processados por provedor especializado (não armazenamos número de cartão)
• IP, user-agent, logs de acesso (Marco Civil — guarda obrigatória de 6 meses)

3.2. Dados de Pacientes (inseridos pelo Profissional)

• Nome, idade, sexo, e-mail, telefone (campos preenchidos pelo Profissional)
• Anamnese, observações clínicas, nível de atividade física
• Medidas antropométricas (peso, altura, dobras cutâneas, circunferências)
• Documentos clínicos enviados (exames laboratoriais, laudos, dietas anteriores)
• Planos alimentares gerados, evolução temporal, histórico de consultas
• Mensagens de chat clínico relacionadas ao paciente

Esses dados são tratados sob responsabilidade direta do Profissional, que é o Controlador desses dados perante a LGPD. A NutriAssist atua como Operador (art. 5º, VII, LGPD).

3.3. Dados de Uso da Plataforma

• Quantidade de créditos consumidos por tipo de operação (chat, dieta, documento)
• Funcionalidades acessadas e frequência de uso (analytics agregado)
• Eventos de erro e diagnóstico técnico

Tratamos os dados acima com as seguintes finalidades específicas:

• Prestação do serviço: autenticar o usuário, processar planos alimentares, executar funcionalidades de IA, sincronizar calendário.
• Cobrança: processar assinaturas, emitir notas fiscais, gerenciar trial e pacotes de créditos.
• Suporte: responder dúvidas, investigar problemas técnicos.
• Segurança: detectar fraude, abuso e acesso não autorizado.
• Melhoria do produto: analisar uso agregado e anonimizado para evoluir funcionalidades.
• Comunicação: avisos importantes sobre o serviço, alterações de termos, novidades opcionais (com opt-out disponível).
• Cumprimento legal: atender requisições judiciais, fiscais e regulatórias.

• Execução de contrato (art. 7º, V): manutenção da conta, processamento de pagamentos, prestação das funcionalidades contratadas.
• Cumprimento de obrigação legal (art. 7º, II): retenção de logs (Marco Civil), emissão de notas fiscais, atendimento de requisições da Receita.
• Legítimo interesse (art. 7º, IX): segurança, prevenção a fraude, melhoria de produto com dados agregados.
• Consentimento (art. 7º, I e art. 11, I): comunicações de marketing opcionais; tratamento de dados sensíveis de pacientes pelo Profissional, quando exigido.

Para operar a Plataforma, contamos com prestadores de serviço especializados que tratam dados pessoais sob nossas instruções e mediante contrato com cláusulas de proteção de dados em conformidade com a LGPD. Esses prestadores se enquadram nas seguintes categorias:

• Serviços de hospedagem e infraestrutura em nuvem
• Serviços de banco de dados
• Provedores de modelos de inteligência artificial
• Processadores de pagamento
• Serviços de autenticação e gestão de identidade
• Serviços de envio de e-mails transacionais
• Google LLC (API Google Calendar), quando o Profissional conecta a agenda — ver a seção 14
• Integrações opcionais autorizadas pelo Profissional (ex.: calendário nativo do sistema)

Não comercializamos, alugamos ou cedemos dados pessoais a terceiros para fins de marketing.

Eventuais transferências internacionais de dados ocorrem com base no art. 33 da LGPD (cláusulas contratuais específicas, adequação ao serviço solicitado pelo titular ou outras hipóteses legais aplicáveis).

A relação atualizada de prestadores específicos pode ser solicitada por escrito ao Encarregado pelo Tratamento de Dados (DPO).

7.1. Quando você utiliza funcionalidades de IA (chat clínico, geração de dietas, interpretação de exames), apenas os trechos do contexto necessários para a operação são enviados aos provedores de modelos de IA com os quais mantemos contrato de processamento de dados.

7.2. Esses provedores estão contratualmente obrigados a não utilizar os dados enviados para treinamento ou aperfeiçoamento de seus modelos.

7.3. As saídas da IA são associadas ao paciente correspondente e ficam disponíveis exclusivamente para o Profissional responsável.

7.4. O Profissional pode, a qualquer momento, excluir conversas e planos gerados via IA pelo próprio aplicativo.

Adotamos medidas técnicas e organizacionais razoáveis para proteger dados pessoais contra acesso não autorizado, perda, alteração ou divulgação indevida, incluindo:

• Criptografia de dados em trânsito e em repouso
• Armazenamento seguro de credenciais com algoritmos de hash modernos
• Controle de acesso baseado em sessão com expiração
• Isolamento lógico de dados por usuário
• Registros de auditoria em operações sensíveis
• Princípio do menor privilégio no acesso de equipe interna
• Revisões periódicas de segurança e atualização de dependências

Nenhum sistema é 100% seguro. Em caso de incidente que comprometa dados pessoais, notificaremos os titulares afetados e a ANPD nos prazos legais (LGPD art. 48).

Você, na qualidade de titular dos dados pessoais, pode exercer a qualquer momento os seguintes direitos:

• Confirmação de existência de tratamento
• Acesso aos dados que mantemos sobre você
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
• Portabilidade a outro fornecedor de serviço
• Eliminação dos dados tratados com consentimento
• Informação sobre entidades com as quais compartilhamos seus dados
• Revogação do consentimento, quando aplicável

Para exercer qualquer um desses direitos, envie uma solicitação para dpo@nutriassist.com.br. Responderemos em até 15 dias.

Para dados de pacientes, o pedido deve ser direcionado ao Profissional responsável pelo cadastro, que atua como Controlador desses dados.

10.1. Dados de profissionais ativos são mantidos enquanto a conta estiver em uso. Após cancelamento da assinatura, mantemos o cadastro por 90 dias para facilitar reativação.

10.2. Após 90 dias de inatividade, dados pessoais são anonimizados ou eliminados, exceto quando obrigação legal exija retenção (ex.: registros fiscais — 5 anos; logs de acesso — 6 meses).

10.3. Backups completos são retidos por até 90 dias para fins de recuperação de desastre, depois descartados.

10.4. Dados de pacientes acompanham a conta do Profissional. Encerrada a conta, são removidos no mesmo prazo do item 10.2.

O site utiliza apenas cookies estritamente necessários para autenticação e funcionamento da sessão. Não utilizamos cookies de rastreamento publicitário, fingerprinting ou perfis comportamentais.

O aplicativo desktop armazena localmente, no dispositivo do usuário, dados necessários ao funcionamento (autenticação ativa, preferências de interface e cache). Esses dados podem ser eliminados pelo usuário ao desinstalar o aplicativo.

Esta seção atende às exigências da Google API Services User Data Policy e dos Termos de Serviço das Google APIs. Aplicável apenas quando o Profissional opta por conectar o Google Calendar no aplicativo desktop NutriAssist. Não acessamos Gmail, Google Drive, Contatos, Fotos nem outros produtos Google fora do Calendar.

14.1. Dados acessados

• Escopo OAuth: solicitamos https://www.googleapis.com/auth/calendar para usar a Google Calendar API. O login ocorre no navegador da Google; não armazenamos a senha da sua conta Google.
• Tokens OAuth: após a autorização, recebemos e armazenamos tokens de acesso e de atualização vinculados à sua conta NutriAssist para renovar o acesso à API sem novo login a cada operação.
• Lista de calendários: identificadores, nomes exibidos e indicação de calendário principal, para você escolher qual calendário usar com o NutriAssist.
• Eventos do calendário: ao sincronizar ou importar, podemos ler e gravar dados de eventos compatíveis com a API, em particular título (resumo), descrição/notas, data e hora de início e fim, identificador do evento no Google e metadados necessários à operação. Eventos que parecem ser apenas de aniversário/feriado/contatos (quando detectáveis) são ignorados na importação para a agenda NutriAssist.

14.2. Uso dos dados

• Exibir e gerir a agenda profissional no NutriAssist: criar, atualizar e excluir compromissos refletidos no Google Calendar selecionado.
• Criar ou reutilizar um calendário denominado "NutriAssist" quando aplicável, para concentrar atendimentos geridos pelo app.
• Importar eventos do calendário escolhido (janela de até 365 dias no passado e eventos futuros) para exibição na agenda do NutriAssist, sem duplicar eventos já vinculados.
• Não utilizamos dados do Google Calendar para publicidade, venda de dados, definição de perfil para terceiros, nem para treinamento de modelos de IA; o conteúdo do calendário não é enviado aos nossos provedores de IA.

14.3. Compartilhamento

• Google LLC: as chamadas à Google Calendar API são feitas entre nossa infraestrutura e os servidores da Google, conforme a permissão que você concede no OAuth.
• Infraestrutura e banco de dados: tokens OAuth, identificador do calendário escolhido e cópias dos dados de eventos usados na agenda NutriAssist ficam nos mesmos ambientes contratados que o restante da plataforma (por exemplo, provedor de banco de dados em nuvem), com obrigações de confidencialidade e tratamento de dados.
• Não comercializamos, alugamos nem cedemos dados obtidos via Google a terceiros para marketing. Não transmitimos tokens do Google a provedores de modelos de IA.

14.4. Armazenamento e proteção

Tokens e dados derivados da sincronização são tratados com as medidas descritas na seção 8 (comunicação criptografada, controles de acesso, segregação por conta). O fluxo de autorização usa redirecionamento local seguro no dispositivo do Profissional; o segredo do cliente OAuth é mantido no servidor da API NutriAssist.

14.5. Retenção e exclusão

• Mantemos os tokens OAuth enquanto a integração estiver ativa ou até você desconectar.
• No aplicativo: use a opção de desconectar o Google Calendar nas configurações — isso remove os tokens armazenados em nossos sistemas e interrompe a sincronização.
• Na conta Google: você pode revogar o acesso do NutriAssist a qualquer momento em myaccount.google.com/permissions.
• Compromissos já gravados na agenda NutriAssist (incluindo os criados a partir ou vinculados a eventos Google) seguem a política geral de retenção e eliminação da seção 10 e podem ser excluídos pelo Profissional no app.
• Para solicitações formais relacionadas a dados pessoais: dpo@nutriassist.com.br.

Dúvidas, solicitações ou reclamações relacionadas a privacidade e proteção de dados:
E-mail do Encarregado (DPO): dpo@nutriassist.com.br
Suporte geral: contato@nutriassist.com.br

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.