Política de Privacidade

Controlador da plataforma: Núcleo Gestão – [Razão Social a inserir] CNPJ: [a inserir] Sede: Maringá – PR Encarregado (DPO): privacidade@nucleostudio.com Em relação aos dados de Alunos inseridos por um Estúdio, o Estúdio é o controlador e o Núcleo Gestão atua como operador, conforme art. 5º, VI e VII da LGPD.

Dos Administradores e Instrutores: • Nome, e-mail, telefone, senha (hash) • Logs de acesso (IP, navegador, data/hora) • Preferências da conta Dos Estúdios (Contratante): • Razão social ou nome do estúdio, cidade, telefone, logo • Histórico de planos, pagamentos e configurações Dos Alunos (inseridos pelo Estúdio): • Nome, CPF, telefone, e-mail, data de nascimento • Endereço (opcional) • Anotações clínicas (registradas pelo instrutor com consentimento do aluno) • Histórico de agendamentos, frequência e pagamentos Não coletamos dados sensíveis de saúde além do mínimo necessário para a prestação do serviço de Pilates.

• Diretamente: dados inseridos pelo Contratante e seus usuários • Automaticamente: logs técnicos para segurança e diagnóstico • Cookies: apenas essenciais (autenticação) e analytics anônimo de uso (Vercel Analytics) Não usamos cookies de marketing ou rastreio cross-site.

Finalidades (art. 7º LGPD): • Execução do contrato (prestar o serviço, processar pagamentos) • Cumprimento de obrigação legal (fiscal, tributária) • Legítimo interesse (segurança, prevenção a fraude, melhorias) • Consentimento (comunicações de marketing — opt-in explícito) Não realizamos decisões automatizadas que afetem direitos dos titulares.

Dados cadastrais de Admin/Instrutor: execução de contrato. Dados financeiros (pagamentos do Estúdio): obrigação legal. Dados de Alunos: legítimo interesse do Estúdio (controlador) na gestão da relação contratual. Anotações clínicas: legítimo interesse do Estúdio, com sigilo profissional do instrutor. Logs técnicos: legítimo interesse de segurança. Comunicações comerciais Núcleo Gestão: consentimento (opcional).

Para operar o serviço, utilizamos: • Supabase Inc. (EUA) — banco de dados e autenticação. Dados criptografados em repouso. • Vercel Inc. (EUA) — hospedagem da aplicação e analytics. • Brevo (França/UE) — envio de e-mails transacionais e comunicados. • Web Push (browsers) — entrega de notificações push. Todos os sub-operadores possuem cláusulas de proteção de dados (DPA) ou adesão a frameworks de transferência internacional reconhecidos. Não vendemos, alugamos ou cedemos dados pessoais a terceiros para fins de marketing.

Alguns sub-operadores estão sediados fora do Brasil (EUA, UE). Tais transferências obedecem ao art. 33 da LGPD, com garantias contratuais adequadas e/ou países com nível de proteção considerado equivalente.

• Conta ativa: enquanto durar a relação contratual • Após cancelamento: 30 dias para export, depois exclusão lógica • Dados financeiros: 5 anos (legislação fiscal) • Logs técnicos: 12 meses • Backups: até 30 dias após exclusão da conta Exclusão definitiva pode levar até 90 dias considerando backups.

Medidas técnicas e organizacionais: • Criptografia em trânsito (HTTPS/TLS) e em repouso (AES-256) • Autenticação multi-fator disponível • Isolamento multi-tenant via Row-Level Security (RLS) no banco • Acesso restrito por funções (admin/instrutor) • Senhas armazenadas com hash bcrypt • Backups diários automáticos • Monitoramento de incidentes • Revisão periódica de permissões

Como titular, você pode: • Confirmar a existência de tratamento dos seus dados • Acessar os dados que mantemos sobre você • Corrigir dados incompletos, inexatos ou desatualizados • Solicitar anonimização, bloqueio ou eliminação de dados desnecessários • Solicitar portabilidade dos dados • Solicitar eliminação dos dados tratados com consentimento • Obter informações sobre uso compartilhado • Revogar consentimento Canal: privacidade@nucleostudio.com — resposta em até 15 dias úteis. Importante: para dados de Alunos inseridos por um Estúdio, o pedido deve ser direcionado primeiro ao próprio Estúdio (controlador).

Usamos apenas: • Essenciais: cookie de sessão (autenticação Supabase). Indispensáveis. • Analytics: Vercel Analytics, anônimo, sem identificação pessoal. Não usamos cookies de marketing nem trackers de terceiros. Não há banner de cookies não-essenciais pois não fazemos esse tipo de coleta.

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares: • Notificamos a ANPD em até 72 horas • Comunicamos os titulares afetados quando aplicável • Adotamos medidas para mitigar consequências e prevenir reincidência

A plataforma não se destina diretamente a menores de 18 anos. Se o Estúdio atende menores, o consentimento de pais ou responsáveis é responsabilidade do Estúdio (controlador), conforme art. 14 da LGPD.

Esta Política pode ser atualizada. Mudanças relevantes serão comunicadas por e-mail e na plataforma com 15 dias de antecedência. A data da última atualização aparece no topo desta página.

Dúvidas sobre privacidade ou exercício de direitos: • E-mail: privacidade@nucleostudio.com • Encarregado (DPO): [Nome do DPO a indicar] Em caso de não atendimento, você pode contatar: Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd