Política de Privacidade & LGPD

1. Quem somos (Controlador)

Kairos é uma plataforma SaaS de agendamento, CRM, WhatsApp e analytics operada pela pessoa jurídica inscrita no CNPJ 49.775.437/0001-96, sediada em Curitiba/PR. Atuamos como Controladora dos dados dos próprios clientes (assinantes) e como Operadora em relação aos dados de clientes finais cadastrados por cada assinante (multi-tenant).

2. Dados que coletamos

2.1. Dados de cadastro (titular = assinante Kairos)

• Nome completo, e-mail, telefone, CPF/CNPJ;
• Dados de pagamento processados via Asaas ou Stripe;
• Endereço de cobrança e dados fiscais.

2.2. Dados de uso

• Logs de acesso (endereço IP, user agent, timestamp), conforme exigência do Marco Civil da Internet (art. 15);
• Eventos de produto via Ahoy (anônimos ou pseudonimizados);
• Cookies estritamente necessários para autenticação (JWT + refresh cookie HttpOnly) e cookies analíticos.

2.3. Dados inseridos pelo assinante (titular = cliente final)

• Nome, telefone, e-mail, data de nascimento;
• Histórico de agendamentos e atendimentos;
• Anotações livres, prontuários (quando aplicável) e mensagens de WhatsApp trocadas com o estabelecimento.

3. Bases legais e finalidades (LGPD Art. 7)

• Execução de contrato (Art. 7, V): prestação do serviço SaaS — agendamento, lembretes, faturamento.
• Cumprimento de obrigação legal (Art. 7, II): guarda de registros fiscais e logs de acesso pelos prazos legais.
• Legítimo interesse (Art. 7, IX): segurança, prevenção a fraude, melhoria do produto via métricas agregadas.
• Consentimento (Art. 7, I): comunicações comerciais opcionais (newsletter, novidades de produto).

4. Compartilhamento de dados

A Kairos não vende dados pessoais. Compartilhamos apenas com operadores estritamente necessários para a entrega do serviço:

• Meta Plataforma WhatsApp Business: envio de mensagens via WhatsApp Business Platform / wwebjs;
• Asaas e Stripe: processadores de pagamento da assinatura SaaS (cartão e Pix);
• Resend: envio de e-mails transacionais;
• Cloudflare R2: armazenamento de mídias e backups (datacenters com criptografia em repouso);
• Sentry e Ahoy: monitoramento de erros e analytics de produto (com pseudonimização);
• Hetzner Cloud: infraestrutura de hospedagem.

Em casos de requisição judicial, podemos compartilhar dados com autoridades competentes nos limites estritos da ordem.

5. Transferência internacional

Alguns dos nossos operadores (Stripe, Cloudflare, Resend, Sentry) possuem infraestrutura fora do Brasil. As transferências ocorrem sob cláusulas-padrão contratuais e mecanismos compatíveis com o Art. 33 da LGPD, garantindo nível de proteção adequado.

6. Direitos do titular (LGPD Art. 18)

Como titular dos dados pessoais, você pode a qualquer momento exercer os seguintes direitos:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
• Portabilidade dos dados (formato estruturado e legível);
• Eliminação dos dados tratados com base em consentimento;
• Informação sobre compartilhamentos;
• Revogação do consentimento.

7. Retenção

Mantemos os dados pelo período necessário para cumprir as finalidades descritas ou enquanto exigido por obrigação legal. Após o encerramento da conta, dados pessoais são eliminados em até 90 dias, excetuados registros fiscais (mantidos por 5 anos) e logs de acesso (mantidos por 6 meses, Marco Civil Art. 15).

8. Segurança

Aplicamos medidas técnicas e administrativas adequadas para proteger seus dados: criptografia AES-256 em repouso, TLS 1.3 em trânsito, isolamento multi-tenant via Row Level Security (PostgreSQL RLS), autenticação JWT, backups diários cross-region e auditoria contínua de dependências. Veja nossas práticas de segurança em detalhes.

9. Cookies

Utilizamos três categorias de cookies: (i) estritamente necessários — autenticação e preferências, indispensáveis ao funcionamento; (ii) analíticos — métricas agregadas de uso; (iii) funcionais — preservam idioma e tema. Você pode gerenciar ou bloquear cookies nas configurações do seu navegador sem prejuízo das funcionalidades essenciais.

10. Encarregado de Proteção de Dados (DPO)

Para exercer seus direitos ou esclarecer dúvidas sobre o tratamento dos seus dados, entre em contato com o nosso DPO: [email protected] (alternativamente, [email protected]). Responderemos no prazo legal de até 15 (quinze) dias.