Política de Privacidade e Proteção de Dados Pessoais

Resumo — O Que Você Precisa Saber

Este resumo é apenas uma visão geral para facilitar a leitura. O texto completo desta Política prevalece em caso de divergência.

• Coletamos: nome, e-mail, telefone e dados de uso para que a plataforma funcione. Nunca coletamos mais do que o necessário.
• Não vendemos: seus dados pessoais a terceiros, jamais.
• Você tem controle: pode acessar, corrigir, exportar ou apagar seus dados a qualquer momento.
• Compartilhamos apenas: com parceiros essenciais (infraestrutura e pagamentos) e somente quando necessário.
• Protegemos: seus dados com criptografia e boas práticas de segurança reconhecidas internacionalmente.
• Contato rápido: privacidade@aivo.app.br para qualquer dúvida ou solicitação.

1. Identificação do Controlador

Esta Política de Privacidade descreve como a Aivo coleta, usa, armazena, compartilha e protege os dados pessoais dos Usuários da plataforma Aivo — aplicativo móvel (Android e iOS), site e APIs correlatas.

A Aivo atua como Controladora dos dados pessoais coletados diretamente dos Usuários por meio da plataforma. Quando os dados são tratados por parceiros técnicos (ex.: provedores de nuvem, processadores de pagamento), esses parceiros atuam como Operadores sob instrução da Aivo, nos termos do art. 39 da LGPD.

2. Âmbito de Aplicação

Esta Política aplica-se a:

• Todos os Usuários que se cadastram e utilizam a plataforma Aivo, sejam Clientes ou Prestadores de serviços;
• Visitantes do site aivo.app.br que interagem com formulários de contato ou páginas de perfil público;
• Candidatos a parceiros ou prestadores que submetam formulários de cadastro;
• Qualquer pessoa cujos dados pessoais sejam tratados pela Aivo em razão das atividades descritas nos Termos e Condições de Uso.

Esta Política não se aplica a sites, aplicativos ou serviços de terceiros que possam estar vinculados à plataforma Aivo por meio de links. Recomendamos a leitura das políticas de privacidade de cada serviço externo.

3. Definições

• Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável (art. 5.º, I, LGPD).
• Dados Pessoais Sensíveis: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico (art. 5.º, II, LGPD).
• Tratamento: toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração (art. 5.º, X, LGPD).
• Controlador: pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados (Aivo).
• Operador: pessoa natural ou jurídica que realiza o tratamento de dados por conta do Controlador (parceiros técnicos).
• Titular: a pessoa natural a quem os dados pessoais se referem (o Usuário).
• DPO / Encarregado: pessoa indicada para atuar como canal de comunicação entre o Controlador, os Titulares e a ANPD.
• ANPD: Autoridade Nacional de Proteção de Dados, órgão federal responsável por zelar pela proteção de dados no Brasil.
• Consentimento: manifestação livre, informada e inequívoca do Titular concordando com o tratamento de seus dados para determinada finalidade.
• LGPD: Lei n.º 13.709/2018 — Lei Geral de Proteção de Dados Pessoais.

4. Quais Dados Coletamos e Por Quê

4.1 Dados Fornecidos Diretamente pelo Usuário

São os dados que o Usuário insere voluntariamente na plataforma:

4.1.1 Cadastro e perfil

• Nome completo — identificação e exibição no perfil;
• Endereço de e-mail — autenticação, notificações e comunicações;
• Número de telefone celular — verificação de identidade e contato com o Prestador;
• Senha (armazenada exclusivamente em formato hash criptográfico — nunca em texto simples);
• Foto de perfil — opcional, para personalização da experiência;
• Data de nascimento — opcional, para personalização e verificação de maioridade;
• Localização (cidade/bairro) — para exibição de profissionais próximos.

4.1.2 Cadastro adicional de Prestadores

• CPF ou CNPJ — verificação de identidade e cumprimento de obrigações fiscais;
• Endereço profissional ou modalidade de atendimento;
• Chave Pix — para recebimento de pagamentos via plataforma;
• Descrição dos serviços oferecidos e preços;
• Fotos do portfólio de trabalhos — opcionais;
• Documentos comprobatórios de habilitação profissional — quando exigidos por lei.

4.1.3 Interações na plataforma

• Mensagens trocadas com outros Usuários por meio do chat interno;
• Avaliações e comentários publicados;
• Registros de agendamentos realizados, cancelados ou concluídos;
• Comunicações com o suporte da Aivo.

4.2 Dados Coletados Automaticamente

Ao utilizar a plataforma, coletamos automaticamente:

• Dados do dispositivo: modelo, sistema operacional, versão do aplicativo, identificadores únicos (Android ID);
• Endereço IP — para geolocalização aproximada, segurança e prevenção a fraudes;
• Dados de uso: funcionalidades acessadas, tempo de sessão, fluxo de navegação;
• Dados de desempenho: falhas do aplicativo, tempos de carregamento (via Firebase Crashlytics / Analytics);
• Tokens de notificação push (FCM) — para envio de notificações personalizadas.

Não coletamos dados de localização em tempo real sem consentimento explícito. A localização é solicitada apenas para busca de profissionais próximos e pode ser revogada nas configurações do dispositivo a qualquer momento.

4.3 Dados Sensíveis

A Aivo poderá tratar dados pessoais sensíveis exclusivamente nas seguintes situações, mediante consentimento específico, destacado e informado do Titular (art. 11, I, LGPD):

• Informações de saúde fornecidas voluntariamente pelo Usuário para personalização de serviços de saúde e bem-estar (ex.: condições de saúde relevantes para nutricionistas ou personal trainers);
• Dados biométricos, caso a Aivo venha a implementar autenticação biométrica no futuro.

AVISO: O consentimento para tratamento de dados sensíveis é sempre opcional e pode ser revogado a qualquer tempo. A revogação não afeta o acesso às funcionalidades principais da plataforma.

4.4 Dados que NÃO Coletamos

A Aivo não coleta:

• Número completo de cartão de crédito ou débito — esses dados são gerenciados exclusivamente pelos parceiros de pagamento certificados PCI DSS;
• Documentos de identidade digitalizados (RG, CNH), exceto quando exigido por lei ou solicitado voluntariamente pelo Prestador para fins de verificação;
• Conteúdo de comunicações externas à plataforma (WhatsApp, e-mails pessoais etc.).

5. Finalidades do Tratamento e Bases Legais

Todo tratamento de dados pessoais realizado pela Aivo possui finalidade legítima, específica e explícita, fundamentada em ao menos uma base legal prevista na LGPD. A tabela a seguir apresenta o mapeamento completo:

'MCI' = Marco Civil da Internet (Lei n.º 12.965/2014), que determina o armazenamento de logs de acesso por 6 meses. 'Conta ativa + 5 anos' refere-se ao prazo legal para ações de responsabilidade civil (art. 206, §3.º, CC).

6. Compartilhamento de Dados

6.1 Princípio Geral

A Aivo compartilha dados pessoais apenas quando estritamente necessário para a prestação do serviço, cumprimento de obrigação legal ou proteção de direitos. Não realizamos venda, aluguel ou cessão de dados pessoais a terceiros para fins comerciais ou de marketing de terceiros.

6.2 Com Quem Compartilhamos

a) Prestadores de Serviço (Profissionais cadastrados na plataforma)

Quando um Cliente realiza um agendamento, o Prestador recebe os dados necessários para a realização do atendimento:

• Nome do Cliente;
• Número de telefone (para contato em caso de imprevistos);
• Histórico de atendimentos anteriores com o mesmo Prestador;
• Informações de saúde ou preferências fornecidas pelo Cliente para o atendimento (quando aplicável e com consentimento).

O Prestador assume a condição de Controlador independente em relação aos dados dos Clientes que ele atende, ficando sujeito à LGPD e às obrigações previstas nos Termos e Condições de Uso da Aivo.

b) Parceiros de Infraestrutura Técnica

A Aivo utiliza os seguintes serviços de terceiros para operar a plataforma, todos regidos por Acordos de Processamento de Dados (DPA):

• Google Firebase / Google Cloud Platform: armazenamento de dados, autenticação, banco de dados (Firestore), notificações push (FCM), analytics e hospedagem. Dados podem ser processados nos EUA. Google LLC é signatária das Cláusulas Contratuais Padrão (SCCs) da União Europeia.
• Parceiros de pagamento (a definir): processamento de transações financeiras. Os dados financeiros são tratados exclusivamente pelas plataformas parceiras, certificadas PCI DSS.
• Serviço de e-mail transacional: envio de notificações, confirmações de agendamento e comunicações operacionais.

c) Autoridades Públicas e Judiciais

A Aivo poderá compartilhar dados com autoridades competentes quando:

• Obrigada por lei, regulamento ou ordem judicial;
• Necessário para cumprir obrigações tributárias ou fiscais;
• Necessário para proteger direitos, propriedade ou segurança da Aivo, dos Usuários ou de terceiros;
• Solicitado pela ANPD no exercício de suas competências.

d) Em Caso de Reestruturação Societária

Em operações de fusão, aquisição, cisão ou venda de ativos da Aivo, os dados pessoais podem ser transferidos ao adquirente, que ficará obrigado a respeitar esta Política de Privacidade ou comunicar previamente aos Titulares qualquer alteração nas condições de tratamento.

6.3 O Que NÃO Fazemos

• Não vendemos dados pessoais a anunciantes, corretores de dados ou qualquer terceiro;
• Não compartilhamos dados com parceiros de marketing sem consentimento prévio e explícito;
• Não permitimos que parceiros usem dados da Aivo para fins que não sejam os contratualmente previstos.

7. Transferência Internacional de Dados

A Aivo utiliza infraestrutura de nuvem (Google Cloud Platform / Firebase) cujos servidores podem estar localizados fora do Brasil, incluindo nos Estados Unidos e na Europa. Essas transferências são realizadas em conformidade com o art. 33 da LGPD, com fundamento em:

• Cláusulas Contratuais Padrão (Standard Contractual Clauses — SCCs) adotadas pelo Google LLC e outros parceiros;
• Verificação de que o país receptor oferece grau de proteção adequado aos dados pessoais;
• Necessidade para a execução de contrato com o Titular (art. 33, V, LGPD).

O Usuário pode obter mais informações sobre as políticas de privacidade dos servidores utilizados nos seguintes endereços:

• Google Cloud Platform: cloud.google.com/security/privacy
• Firebase: firebase.google.com/support/privacy

8. Direitos do Titular — Como Exercê-los

8.1 Seus Direitos

Nos termos do art. 18 da LGPD, o Usuário (Titular dos dados) tem os seguintes direitos, que podem ser exercidos a qualquer momento:

• I. Confirmação e acesso: saber se a Aivo trata seus dados e obter cópia dos dados que mantemos sobre você.
• II. Correção: solicitar a atualização ou correção de dados incompletos, inexatos ou desatualizados.
• III. Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• IV. Portabilidade: receber seus dados em formato estruturado e legível por máquina para transferência a outro fornecedor de serviço.
• V. Eliminação: solicitar a exclusão dos dados tratados com base no seu consentimento.
• VI. Informação sobre compartilhamento: saber com quais entidades seus dados foram compartilhados.
• VII. Revogação do consentimento: retirar o consentimento a qualquer momento, sem prejuízo do tratamento realizado anteriormente.
• VIII. Oposição: opor-se ao tratamento realizado sem base no consentimento, quando em desconformidade com a LGPD.
• IX. Petição à ANPD: apresentar reclamação à Autoridade Nacional de Proteção de Dados (www.gov.br/anpd).
• X. Informação sobre não consentimento: ser informado sobre as consequências da não prestação do consentimento.

8.2 Como Solicitar

Para exercer qualquer um dos direitos acima, o Titular pode:

• E-mail: privacidade@aivo.app.br — enviar solicitação identificada com nome completo, e-mail cadastrado e descrição detalhada do pedido.
• Pelo aplicativo: nas configurações da Conta, acesse 'Privacidade e Dados' para solicitações de acesso, correção e exclusão.

A Aivo responderá às solicitações no prazo de 15 (quinze) dias corridos. Casos complexos podem requerer prazo adicional, com comunicação prévia ao Titular.

Para solicitações de eliminação ou portabilidade, pode ser necessária a verificação de identidade do solicitante para garantir que a solicitação seja legítima e que os dados sejam entregues à pessoa correta.

8.3 Limitações ao Exercício de Direitos

Alguns direitos podem ser exercidos com limitações nos seguintes casos:

• Dados cuja retenção seja exigida por obrigação legal ou regulatória (ex.: dados fiscais por 10 anos);
• Dados necessários para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Dados de terceiros cujo acesso possa violar a privacidade ou direitos de outras pessoas.

Nesses casos, a Aivo explicará as razões da limitação na resposta à solicitação.

9. Segurança dos Dados

9.1 Medidas Técnicas

A Aivo adota as seguintes medidas técnicas de segurança para proteger os dados pessoais:

• Criptografia em trânsito: todas as comunicações entre o aplicativo e os servidores utilizam protocolo TLS 1.3.
• Criptografia em repouso: dados armazenados no Firestore e Google Cloud Storage são cifrados com AES-256.
• Autenticação segura: senhas armazenadas exclusivamente em formato hash (bcrypt/Firebase Auth); suporte a autenticação por Google Sign-In.
• Controle de acesso: acesso ao banco de dados regido por Regras de Segurança do Firestore com princípio do menor privilégio.
• Monitoramento: logs de acesso e alertas automáticos para atividades suspeitas via Firebase App Check e Cloud Monitoring.
• Separação de ambientes: ambientes de desenvolvimento, homologação e produção são isolados.

9.2 Medidas Organizacionais

• Treinamento periódico da equipe sobre proteção de dados e segurança da informação;
• Política interna de classificação e tratamento de dados;
• Acordos de Processamento de Dados (DPA) com todos os parceiros que tratem dados pessoais;
• Revisões periódicas desta Política e das práticas de tratamento de dados;
• Plano de Resposta a Incidentes de Segurança (PRIS) documentado.

9.3 Limitações

Apesar das medidas adotadas, nenhum sistema de segurança é absolutamente inviolável. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares, a Aivo adotará os procedimentos descritos na Cláusula 10.

O Usuário também é responsável por manter a segurança de sua Conta, utilizando senha forte, não a compartilhando com terceiros e comunicando imediatamente qualquer suspeita de acesso não autorizado para seguranca@aivo.app.br.

10. Incidentes de Segurança e Violações de Dados

10.1 Plano de Resposta

Em caso de incidente de segurança (acesso não autorizado, vazamento, perda ou destruição indevida de dados pessoais), a Aivo seguirá o seguinte procedimento:

• Detecção e contenção (0–24h): identificação do incidente, isolamento dos sistemas afetados e acionamento da equipe de resposta.
• Avaliação de risco (24–48h): análise da natureza, extensão e gravidade do incidente; identificação dos dados e Titulares afetados.
• Notificação à ANPD (até 72h): comunicação à Autoridade Nacional de Proteção de Dados, conforme art. 48 da LGPD, quando o incidente puder acarretar risco ou dano relevante aos Titulares.
• Notificação aos Titulares: comunicação aos Usuários afetados, em prazo razoável, com informações sobre o incidente, os dados envolvidos e as medidas adotadas.
• Remediação e relatório: implementação de medidas corretivas e elaboração de relatório de incidente para melhoria contínua.

10.2 Canal de Comunicação de Vulnerabilidades

Se você identificar uma vulnerabilidade de segurança na plataforma Aivo, agradecemos o reporte responsável pelo e-mail seguranca@aivo.app.br. Comprometemo-nos a analisar e responder no prazo de 5 (cinco) dias úteis.

11. Tecnologias de Rastreamento e Analytics

11.1 Tecnologias Utilizadas

O aplicativo móvel Aivo utiliza as seguintes tecnologias para melhorar a experiência e garantir o funcionamento adequado da plataforma:

• Firebase Analytics: coleta dados de uso agregados e anonimizados para análise de comportamento e melhoria da plataforma (base legal: legítimo interesse).
• Firebase Crashlytics: registra falhas e erros do aplicativo para diagnóstico e correção (base legal: legítimo interesse).
• Firebase Performance Monitoring: monitora o desempenho do aplicativo para otimização técnica (base legal: legítimo interesse).
• Firebase Cloud Messaging (FCM): gerencia tokens de notificação push para envio de alertas relevantes (base legal: execução de contrato e consentimento).
• Firebase App Check: protege a plataforma contra uso não autorizado de APIs (base legal: legítimo interesse / segurança).

11.2 Gerenciamento de Permissões

O Usuário pode gerenciar as permissões concedidas ao aplicativo diretamente nas configurações do dispositivo Android:

• Notificações: Configurações > Aplicativos > Aivo > Notificações;
• Localização: Configurações > Aplicativos > Aivo > Permissões > Localização;
• Câmera e galeria (para foto de perfil e portfólio): Configurações > Aplicativos > Aivo > Permissões.

A revogação de permissões pode limitar algumas funcionalidades da plataforma, mas não impede o uso das funcionalidades principais.

11.3 Opt-out de Analytics

O Usuário pode desativar a coleta de dados de analytics nas configurações da Conta (Privacidade > Analytics). Dados já coletados anonimizados não podem ser retroativamente identificados ou excluídos.

12. Proteção de Menores de Idade

A plataforma Aivo destina-se a maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de crianças (menores de 12 anos) ou adolescentes (entre 12 e 18 anos) sem a prévia autorização de um dos pais ou responsável legal, conforme o art. 14 da LGPD e o Estatuto da Criança e do Adolescente (ECA — Lei n.º 8.069/1990).

Caso identifiquemos que coletamos inadvertidamente dados de menores sem autorização, excluiremos tais dados imediatamente. Se você acredita que coletamos dados de um menor sem autorização, entre em contato: privacidade@aivo.app.br.

Usuários entre 16 e 18 anos podem utilizar a plataforma na condição de Clientes com autorização e supervisão dos pais ou responsáveis legais, que deverão concordar com estes Termos em nome do menor.

13. Retenção e Eliminação de Dados

13.1 Prazos de Retenção

Os dados pessoais são conservados pelo período mínimo necessário para cada finalidade, observados os prazos legais:

• Dados de cadastro e perfil: pelo período de vigência da Conta ativa e por 5 (cinco) anos após o encerramento (prazo prescricional geral do Código Civil).
• Dados de transações financeiras: por 10 (dez) anos, conforme legislação fiscal e contábil brasileira.
• Logs de acesso (IP e data/hora): por 6 (seis) meses, conforme art. 15 do Marco Civil da Internet (Lei n.º 12.965/2014).
• Registros de agendamentos: por 5 (cinco) anos após o encerramento da Conta.
• Avaliações e comentários públicos: enquanto o perfil do Prestador avaliado estiver ativo; anonimizados após exclusão da Conta.
• Comunicações com o suporte: por 2 (dois) anos após o encerramento da interação.
• Dados de saúde (sensíveis): até revogação do consentimento ou exclusão da Conta, respeitados prazos legais superiores.

13.2 Processo de Eliminação

Após o encerramento da Conta ou decorridos os prazos de retenção, os dados são:

• Eliminados de forma segura dos sistemas de produção (deleção lógica com posterior deleção física);
• Anonimizados quando a eliminação completa for tecnicamente inviável (ex.: dados integrados em modelos analíticos agregados);
• Mantidos em backup por prazo adicional de até 90 (noventa) dias, após o qual são definitivamente excluídos.

14. Declarações para Lojas de Aplicativos

14.1 Google Play Store — Data Safety

Em conformidade com os requisitos da Google Play Store, a Aivo declara:

• Dados coletados: nome, e-mail, telefone, localização aproximada (opcional), fotos de perfil (opcional), dados de uso e identificadores de dispositivo.
• Dados compartilhados: dados necessários para prestação do serviço são compartilhados com Prestadores e parceiros técnicos conforme descrito nesta Política.
• Coleta obrigatória: nome, e-mail e telefone são obrigatórios para uso da plataforma. Demais dados são opcionais.
• Finalidade: funcionalidade do aplicativo, personalização, comunicação, analytics e prevenção a fraudes.
• Criptografia em trânsito: sim — todos os dados são transferidos com criptografia TLS 1.3.
• Opção de exclusão de dados: sim — o Usuário pode solicitar a exclusão de seus dados pelo e-mail privacidade@aivo.app.br ou pelo próprio aplicativo.

A Política de Privacidade completa e atualizada está permanentemente disponível em: aivo.app.br/privacidade — este endereço é o informado na ficha técnica da Google Play Store.

15. Alterações desta Política

A Aivo pode atualizar esta Política de Privacidade periodicamente para refletir mudanças nas práticas de tratamento de dados, na legislação ou nos serviços oferecidos.

Em caso de alterações relevantes, o Usuário será notificado com antecedência mínima de 30 (trinta) dias por meio de:

• Notificação push no aplicativo;
• E-mail para o endereço cadastrado;
• Aviso em destaque na interface da plataforma.

A continuidade do uso da plataforma após o prazo de notificação implica aceitação das alterações. Caso discorde, o Usuário pode encerrar sua Conta e solicitar a eliminação de seus dados.

O histórico de versões desta Política está disponível em aivo.app.br/privacidade/historico.

16. Disposições Finais

16.1 Lei Aplicável

Esta Política é regida pela legislação brasileira, em especial pela LGPD (Lei n.º 13.709/2018), pelo Marco Civil da Internet (Lei n.º 12.965/2014), pelo Código de Defesa do Consumidor (Lei n.º 8.078/1990) e pelo Código Civil (Lei n.º 10.406/2002).

16.2 Foro

Quaisquer litígios decorrentes desta Política serão submetidos ao foro da Comarca de São Paulo — SP, Brasil, salvo disposição legal em contrário.

16.3 Contatos

Aivo Tecnologia Ltda. — São Paulo — SP — Brasil

aivo.app.br | contato@aivo.app.br

Documento elaborado em conformidade com a LGPD (Lei n.º 13.709/2018), o Marco Civil da Internet (Lei n.º 12.965/2014), o ECA (Lei n.º 8.069/1990) e os requisitos da Google Play Store.