Conformidade LGPD
Lei Geral de Proteção de Dados (Lei 13.709/2018)
Atualizado em 11 de fevereiro de 2026
1. Controlador de Dados
Razão Social: BF Saúde
Plataforma: APS Flow (app.apsflow.com.br)
Encarregado (DPO): apsflowoficial@gmail.com
Contato LGPD: apsflowoficial@gmail.com
2. Dados Pessoais Coletados
| Dado | Finalidade | Base Legal |
|---|---|---|
| Nome completo | Identificação do usuário | Execução de contrato |
| Login e comunicação | Execução de contrato | |
| CPF | Emissão de pagamento (Asaas) | Obrigação legal |
| Telefone | Suporte (opcional) | Consentimento |
| Data de nascimento | Perfil profissional (opcional) | Consentimento |
| Estado (UF) | Personalização regional | Interesse legítimo |
| Profissão | Personalização de conteúdo | Interesse legítimo |
| Histórico de calculadoras | Funcionalidade da plataforma | Execução de contrato |
3. Política de Retenção de Dados
| Tipo de Dado | Período de Retenção |
|---|---|
| Perfil do usuário | Enquanto conta ativa + 30 dias após exclusão |
| Histórico de calculadoras | Enquanto conta ativa (excluído junto com conta) |
| Dados de pagamento | 5 anos (obrigação fiscal) |
| Logs de auditoria | 365 dias (limpeza automática) |
| Sessões ativas | Excluídas no logout ou expiração |
| Dados de embaixadores | Enquanto programa ativo + 90 dias |
| Cookies analíticos | Sessão ou conforme consentimento |
4. Seus Direitos (Art. 18 da LGPD)
I.
Confirmação da existência de tratamento dos seus dados pessoais.
II.
Acesso aos seus dados pessoais tratados por nós.
III.
Correção de dados incompletos, inexatos ou desatualizados.
IV.
Anonimização, bloqueio ou eliminação de dados desnecessários.
V.
Portabilidade dos dados. Disponível em Configurações > Privacidade > Baixar meus dados.
VI.
Eliminação dos dados pessoais. Disponível em Configurações > Privacidade > Excluir minha conta.
VII.
Revogação do consentimento a qualquer momento.
5. Medidas de Segurança
- Criptografia TLS em trânsito e em repouso (Supabase)
- Row Level Security (RLS) com 68 políticas de acesso
- Senhas armazenadas com bcrypt (Supabase Auth)
- Cookies HttpOnly, Secure, SameSite
- Content Security Policy (CSP) configurada
- Rate limiting em APIs sensíveis
- Monitoramento de erros via Sentry (sem PII)
- Audit logging imutável para ações sensíveis
6. Plano de Notificação de Incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, nos comprometemos a:
- Identificação e contenção do incidente em até 24 horas.
- Avaliação de risco e determinação do impacto em até 48 horas.
- Comunicação à ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoável conforme Art. 48 da LGPD.
- Notificação aos titulares afetados por e-mail, informando: natureza dos dados afetados, riscos envolvidos, medidas adotadas e orientações para mitigação.
- Registro do incidente em log de auditoria interno.
Canal de reporte: apsflowoficial@gmail.com | Responsável: Encarregado de Dados (DPO)
7. Compartilhamento de Dados
| Terceiro | Finalidade | Dados Compartilhados |
|---|---|---|
| Supabase | Hospedagem e autenticação | Todos (criptografados) |
| Asaas | Processamento de pagamentos | Nome, CPF, e-mail |
| Google Gemini | Assistente de IA | Consultas (sem PII) |
| Sentry | Monitoramento de erros | Dados técnicos (sem PII) |
| Google Analytics | Análise de uso (com consentimento) | Dados anônimos de navegação |
8. Contato
Para exercer seus direitos ou tirar dúvidas sobre o tratamento dos seus dados:
E-mail: apsflowoficial@gmail.com
Encarregado (DPO): apsflowoficial@gmail.com
Prazo de resposta: até 15 dias úteis, conforme Art. 18, §5º da LGPD.