1. Introdução
Esta Política de Privacidade ("Política") descreve como a plataforma Nuvia ("nós", "nosso" ou "Plataforma") coleta, utiliza, armazena, compartilha e protege os dados pessoais dos usuários ("Usuário" ou "você").
Esta Política foi elaborada em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014), o Código de Defesa do Consumidor (Lei nº 8.078/1990) e demais normas aplicáveis do ordenamento jurídico brasileiro.
Ao utilizar a Plataforma, você declara que leu e compreendeu esta Política e consente com o tratamento de seus dados pessoais nos termos aqui descritos.
2. Controlador dos Dados
O controlador dos dados pessoais é a Nuvia, acessível em nuvia.chat.
- Encarregado de Dados (DPO): dpo@nuvia.chat
- Contato geral: contato@nuvia.chat
O encarregado de dados é o responsável por atender às solicitações dos titulares e da Autoridade Nacional de Proteção de Dados (ANPD), conforme art. 41 da LGPD.
3. Dados Pessoais Coletados
Coletamos apenas os dados necessários para a prestação do serviço, respeitando o princípio da minimização (art. 6º, III, LGPD). Os dados coletados são:
3.1. Dados de Identificação
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome completo | Identificação e personalização do atendimento | Execução de contrato (art. 7º, V) |
| Número de WhatsApp | Comunicação, autenticação e envio de lembretes | Execução de contrato (art. 7º, V) |
| Endereço de e-mail | Comunicação, recuperação de conta e notificações de pagamento | Execução de contrato (art. 7º, V) |
| Data de nascimento | Cálculo de idade para fórmulas de referência (TMB) | Consentimento (art. 7º, I) |
| Sexo biológico | Cálculo de métricas de referência (TMB, IMC) | Consentimento (art. 7º, I) |
3.2. Dados de Saúde (Sensíveis — art. 11, LGPD)
Os dados abaixo são classificados como dados pessoais sensíveis pela LGPD. Sua coleta ocorre exclusivamente mediante consentimento específico e destacado do titular, conforme art. 11, I, da LGPD.
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Peso corporal | Registro de evolução e cálculos de referência (IMC) | Consentimento específico (art. 11, I) |
| Altura | Cálculos de referência (IMC, TMB) | Consentimento específico (art. 11, I) |
| Condições de saúde | Adequação de informações (ex: diabetes, hipertensão) | Consentimento específico (art. 11, I) |
| Medicamentos em uso | Lembretes de horário e registro de adesão | Consentimento específico (art. 11, I) |
| Medições de glicemia | Registro e acompanhamento de evolução | Consentimento específico (art. 11, I) |
| Alergias e intolerâncias | Adequação de informações alimentares | Consentimento específico (art. 11, I) |
3.3. Dados de Uso e Registro
| Dado | Finalidade |
|---|---|
| Registros de refeições (texto e fotos) | Organização e acompanhamento alimentar |
| Registros de hidratação | Acompanhamento de consumo de água |
| Registros de exercícios | Acompanhamento de atividade física |
| Mensagens trocadas (texto, áudio transcrito) | Prestação do serviço e contexto conversacional |
| Fotos de alimentos | Análise por IA para estimativa nutricional |
| Cardápio semanal e lista de compras | Geração de sugestões alimentares |
| Plano de exercícios e sessões | Geração e acompanhamento de atividades físicas |
3.4. Dados de Pagamento
Os pagamentos são processados integralmente pela plataforma Stripe, Inc. Nós não armazenamos dados de cartão de crédito, número de conta bancária ou outras informações financeiras sensíveis. Armazenamos apenas:
- Identificador do cliente no Stripe (stripe_customer_id)
- Identificador da assinatura (stripe_subscription_id)
- Status da assinatura (ativa, cancelada, expirada)
- Valor e data dos pagamentos realizados
3.5. Dados Técnicos
- Cookies de sessão (identificador de sessão autenticada)
- Token de autenticação (JWT)
- Fuso horário do Usuário
Não utilizamos cookies de rastreamento, analytics de terceiros, pixels de remarketing ou ferramentas de monitoramento comportamental.
4. Bases Legais para o Tratamento
Os dados pessoais são tratados com base nas seguintes hipóteses legais da LGPD:
| Base Legal | Artigo LGPD | Aplicação |
|---|---|---|
| Consentimento | Art. 7º, I e Art. 11, I | Dados sensíveis de saúde, dados biográficos opcionais |
| Execução de contrato | Art. 7º, V | Dados necessários para prestação do serviço (nome, telefone, e-mail) |
| Legítimo interesse | Art. 7º, IX | Melhoria do serviço, prevenção de fraudes |
| Obrigação legal | Art. 7º, II | Registros de transações financeiras (Marco Civil, legislação fiscal) |
5. Compartilhamento de Dados
Seus dados pessoais podem ser compartilhados com os seguintes terceiros, exclusivamente para as finalidades descritas:
| Terceiro | Dados Compartilhados | Finalidade | País |
|---|---|---|---|
| OpenAI | Conteúdo de mensagens, fotos de alimentos, contexto de saúde | Processamento por IA (análise de refeições, transcrição de áudios, geração de respostas) | EUA |
| Stripe | Nome, e-mail, telefone, dados de pagamento | Processamento de pagamentos e gestão de assinaturas | EUA |
| Whapi.Cloud | Número de telefone, conteúdo de mensagens | Envio e recebimento de mensagens pelo WhatsApp | Internacional |
Transferência Internacional de Dados
Os dados pessoais podem ser transferidos para servidores localizados fora do Brasil (Estados Unidos e outros países) para processamento pelos terceiros listados acima. Essa transferência ocorre em conformidade com o art. 33 da LGPD, com base no consentimento específico e informado do titular e/ou em cláusulas contratuais padrão que garantem nível adequado de proteção.
Não vendemos, alugamos ou compartilhamos seus dados pessoais para fins de marketing, publicidade ou qualquer finalidade distinta das descritas nesta Política.
6. Armazenamento e Segurança
6.1. Onde armazenamos
- Banco de dados: PostgreSQL com acesso restrito e autenticação.
- Arquivos (fotos): MinIO (object storage) com acesso controlado.
- Cache temporário: Redis para dados de sessão e deduplicação.
- Cookies: HttpOnly, Secure, SameSite=Lax — inacessíveis por JavaScript do navegador.
6.2. Medidas de segurança
- Comunicação criptografada via HTTPS/TLS em todas as conexões.
- Senhas de administradores armazenadas com hash bcrypt.
- Autenticação por código temporário (OTP) com validade de 5 minutos.
- Tokens de sessão com expiração configurável (padrão: 30 dias).
- Isolamento de dados por usuário (cada usuário acessa apenas seus próprios dados).
- Servidores com acesso restrito e monitoramento.
6.3. Retenção de dados
| Tipo de Dado | Período de Retenção |
|---|---|
| Dados de identificação | Enquanto a conta estiver ativa + 6 meses após exclusão |
| Dados de saúde e registros | Enquanto a conta estiver ativa. Excluídos em até 30 dias após solicitação |
| Mensagens e histórico de conversas | Enquanto a conta estiver ativa. Excluídos em até 30 dias após solicitação |
| Fotos de alimentos | Enquanto a conta estiver ativa. Excluídos em até 30 dias após solicitação |
| Dados de pagamento (registros) | 5 anos após a transação (obrigação fiscal — CTN, art. 173) |
| Logs de acesso (IP, sessão) | 6 meses (Marco Civil da Internet, art. 15) |
| Códigos OTP | 5 minutos (expiração automática) |
7. Direitos do Titular dos Dados
Nos termos dos artigos 17 a 22 da LGPD, você possui os seguintes direitos sobre seus dados pessoais:
| Direito | Descrição | Artigo LGPD |
|---|---|---|
| Confirmação e acesso | Confirmar se tratamos seus dados e acessar cópia deles | Art. 18, I e II |
| Correção | Corrigir dados incompletos, inexatos ou desatualizados | Art. 18, III |
| Anonimização, bloqueio ou eliminação | Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade | Art. 18, IV |
| Portabilidade | Solicitar a portabilidade dos dados a outro fornecedor de serviço | Art. 18, V |
| Eliminação | Solicitar eliminação dos dados pessoais tratados com base em consentimento | Art. 18, VI |
| Informação sobre compartilhamento | Saber com quais entidades seus dados foram compartilhados | Art. 18, VII |
| Revogação do consentimento | Revogar o consentimento a qualquer momento, de forma gratuita e facilitada | Art. 18, IX |
| Oposição | Opor-se ao tratamento realizado com base em hipótese diferente do consentimento, em caso de descumprimento | Art. 18, § 2º |
7.1. Como exercer seus direitos
Para exercer qualquer direito listado acima, entre em contato pelos canais:
- E-mail do DPO: dpo@nuvia.chat
- E-mail geral: contato@nuvia.chat
Responderemos à sua solicitação em até 15 (quinze) dias, conforme art. 18, § 3º, da LGPD. Para solicitações complexas, o prazo poderá ser estendido mediante comunicação prévia.
Caso a sua solicitação não seja atendida de forma satisfatória, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd.
8. Cookies e Tecnologias de Rastreamento
A Plataforma utiliza apenas cookies estritamente necessários para o funcionamento do serviço:
| Cookie | Finalidade | Duração | Tipo |
|---|---|---|---|
| nuvia_token | Autenticação da sessão do Usuário | 30 dias | Necessário |
Não utilizamos cookies de marketing, analytics, remarketing ou qualquer tecnologia de rastreamento comportamental. Não utilizamos Google Analytics, Facebook Pixel, ou serviços similares.
9. Processamento por Inteligência Artificial
A Plataforma utiliza modelos de Inteligência Artificial fornecidos pela OpenAI para as seguintes finalidades:
- Análise de mensagens de texto: compreensão do conteúdo para registro de dados (refeições, exercícios, peso, glicemia).
- Análise de imagens (visão computacional): identificação de alimentos em fotos para estimativa nutricional.
- Transcrição de áudio: conversão de mensagens de voz em texto.
- Geração de respostas: criação de mensagens informativas e de acompanhamento.
- Geração de cardápios: criação de sugestões de cardápio semanal.
Transparência sobre IA
- O conteúdo enviado (texto, fotos, áudios) é transmitido aos servidores da OpenAI nos EUA para processamento.
- Não enviamos seu nome, e-mail ou telefone diretamente à OpenAI — apenas o conteúdo da mensagem e contexto de saúde necessário.
- As respostas geradas pela IA são aproximações e podem conter imprecisões.
- Nenhuma decisão automatizada com efeitos jurídicos é tomada exclusivamente por IA.
- O Usuário pode solicitar intervenção humana a qualquer momento.
10. Proteção de Dados de Menores
A Plataforma não é destinada a menores de 18 anos. Não coletamos intencionalmente dados de menores de idade sem consentimento de responsável legal, conforme art. 14 da LGPD e o Estatuto da Criança e do Adolescente (Lei nº 8.069/1990).
Caso identifiquemos que dados de menores de 18 anos foram coletados sem o devido consentimento, esses dados serão eliminados imediatamente.
11. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos:
- A Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme art. 48 da LGPD.
- Os titulares afetados, descrevendo a natureza dos dados comprometidos, riscos envolvidos e medidas adotadas.
12. Alterações nesta Política
Esta Política poderá ser atualizada periodicamente para refletir mudanças em nossas práticas ou na legislação aplicável.
Alterações substanciais serão comunicadas ao Usuário com antecedência mínima de 30 (trinta) dias por meio do WhatsApp ou e-mail cadastrado, e poderão exigir nova manifestação de consentimento.
A data da última atualização é indicada no topo desta página.
13. Legislação Aplicável
Esta Política é regida pela legislação brasileira, em especial:
- Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD)
- Lei nº 12.965/2014 — Marco Civil da Internet
- Lei nº 8.078/1990 — Código de Defesa do Consumidor
- Decreto nº 8.771/2016 — Regulamenta o Marco Civil da Internet
- Lei nº 10.406/2002 — Código Civil
Fica eleito o foro da comarca do domicílio do Usuário para dirimir quaisquer controvérsias, conforme art. 101, I, do Código de Defesa do Consumidor.
14. Contato
Para dúvidas, solicitações de exercício de direitos ou reclamações relacionadas a esta Política de Privacidade:
- Encarregado de Dados (DPO): dpo@nuvia.chat
- E-mail geral: contato@nuvia.chat
- Site: nuvia.chat
Prazo de resposta: até 15 (quinze) dias, conforme art. 18, § 3º, da LGPD.
Ao utilizar a Plataforma Nuvia, você declara ter lido e compreendido esta Política de Privacidade e consente com o tratamento de seus dados pessoais nos termos aqui descritos.
Leia também nossos Termos de Uso.