Política de Privacidade

1. Quem somos

A Signa é uma plataforma SaaS brasileira que oferece serviços de agendamento online, contratos digitais com validade jurídica, lembretes automáticos e gestão de clientes para profissionais de saúde, educação e serviços (fisioterapeutas, psicólogos, nutricionistas, personal trainers, clínicas e outros).

Para fins da LGPD, a Signa atua como controladora dos dados pessoais dos seus usuários (profissionais e administradores de organizações) e como operadora dos dados dos clientes finais inseridos pelas organizações contratantes.

2. Dados que coletamos

2.1 Dados de usuários da plataforma (profissionais e administradores)

• Nome completo, endereço de e-mail e senha (armazenada com hash bcrypt)
• Número de telefone / WhatsApp (opcional, para notificações)
• Nome de exibição profissional, especialidade e foto de perfil
• Dados de faturamento: nome e e-mail do responsável financeiro (sem armazenar dados de cartão — processados pelo Stripe)
• Endereço IP e user-agent coletados em ações sensíveis (login, assinaturas, alterações de conta)
• Logs de auditoria de ações realizadas na plataforma

2.2 Dados de clientes finais (inseridos pelas organizações)

• Nome, e-mail, telefone/WhatsApp e data de nascimento
• CPF (armazenado com criptografia AES-256 via Fernet)
• Endereço completo (armazenado com criptografia AES-256)
• Histórico de agendamentos e contratos
• Geolocalização, IP e user-agent no momento da assinatura digital de contratos

2.3 Dados coletados automaticamente

• Logs de acesso (IP, timestamp, endpoint) retidos por 30 dias no servidor
• Dados de sessão armazenados em cookie seguro (HttpOnly, SameSite=Lax)
• Metadados de uso da plataforma para análise de desempenho e detecção de fraudes

3. Finalidades do tratamento

• Prestação do serviço contratado: criar e gerenciar agendamentos, emitir contratos digitais com validade jurídica, enviar lembretes e notificações.
• Comunicações transacionais: confirmações de agendamento, lembretes de consulta, links de assinatura de contrato, alertas de segurança e suporte.
• Faturamento e cobrança: processar assinaturas via Stripe, emitir faturas e controlar limites de plano.
• Segurança e prevenção a fraudes: detectar acessos suspeitos, aplicar rate limiting e manter trilha de auditoria imutável.
• Conformidade jurídica: manter prova forense de assinaturas digitais exigida pela MP 2.200-2/2001 e Lei 14.063/2020.
• Melhoria do produto: análise agregada e anonimizada de uso para aprimoramento da plataforma.

4. Base legal (LGPD)

• Execução de contrato (art. 7º, V): dados necessários para prestação dos serviços contratados.
• Cumprimento de obrigação legal (art. 7º, II): manutenção de trilha de auditoria e validade jurídica das assinaturas.
• Interesse legítimo (art. 7º, IX): segurança da plataforma, prevenção a fraudes e notificações operacionais.
• Consentimento (art. 7º, I): comunicações de marketing, quando aplicável.

5. Compartilhamento com terceiros

A Signa não vende dados pessoais. Compartilhamos dados apenas com fornecedores que atuam como operadores em nosso nome, sob obrigações contratuais de confidencialidade:

• Stripe — processamento de pagamentos e assinaturas. Dados de cartão nunca passam pelos nossos servidores. Política: stripe.com/br/privacy.
• Twilio / WhatsApp Business API — envio de notificações e lembretes via WhatsApp. Política: twilio.com/legal/privacy.
• Google (Gmail API / Google Calendar / Google Meet) — envio de e-mails transacionais, sincronização de agenda e criação de links de videochamada quando habilitados pela organização. Política: policies.google.com/privacy.
• Render — infraestrutura de hospedagem (servidores na região US East). Dados trafegam via HTTPS/TLS. Política: render.com/privacy.
• Redis Cloud — cache e filas de tarefas (dados transitórios, sem armazenamento persistente de dados pessoais além das sessões ativas).

Podemos divulgar dados quando exigido por ordem judicial, processo legal ou autoridade governamental competente.

6. Cookies e rastreamento

• Cookie de sessão (sessionid): estritamente necessário para autenticação. Expira ao fechar o navegador ou após 14 dias de inatividade.
• Cookie CSRF (csrftoken): proteção contra ataques CSRF. Válido pela duração da sessão.
• Cookie de tema (theme): preferência de tema (claro/escuro). Não rastreia usuário.

Não utilizamos cookies de rastreamento de terceiros, pixels de anúncios, Google Analytics ou qualquer ferramenta de analytics que identifique usuários individualmente na landing page pública.

7. Retenção e exclusão

• Dados de conta: mantidos enquanto a conta estiver ativa. Após encerramento, retidos por 5 anos para fins de obrigação legal (trilha de auditoria de assinaturas digitais) e então excluídos.
• Dados de clientes finais: controlados pela organização contratante. Podem ser excluídos a qualquer momento pelo gestor da organização. Dados excluídos são removidos permanentemente do banco de dados (sem soft-delete para CPF e dados sensíveis).
• Logs de acesso: retidos por 30 dias no servidor e excluídos automaticamente.
• Dados de sessão/cache: expiram automaticamente (14 dias para sessão, 25 horas para cache de digest diário).

8. Segurança dos dados

• Comunicação protegida por TLS 1.2+ em todos os endpoints.
• Senhas armazenadas com PBKDF2-SHA256 (iterações altas, nunca em texto claro).
• CPF e endereço criptografados com AES-256 via Fernet no banco de dados.
• Tokens de assinatura gerados com secrets.token_urlsafe(48) (384 bits de entropia), comparados com secrets.compare_digest() para prevenir timing attacks.
• Rate limiting em endpoints críticos: máximo 5 tentativas por hora em OTP, 10 por hora em criação de contratos.
• Trilha de auditoria imutável: registros de AuditLog não podem ser alterados ou excluídos via interface.

9. Seus direitos (LGPD)

Como titular de dados, você tem os seguintes direitos garantidos pela LGPD (art. 18):

• Acesso: saber quais dados temos sobre você.
• Correção: corrigir dados incorretos, incompletos ou desatualizados.
• Anonimização ou eliminação: solicitar a anonimização ou exclusão de dados desnecessários ou tratados em desconformidade.
• Portabilidade: receber seus dados em formato estruturado e interoperável.
• Informação sobre compartilhamento: saber com quais terceiros seus dados são compartilhados.
• Revogação do consentimento: retirar o consentimento a qualquer momento, quando o tratamento se basear nele.
• Oposição: se opor a tratamento realizado com base em interesse legítimo.

Para exercer seus direitos, envie uma solicitação para privacidade@facilsigna.com.br. Responderemos em até 15 dias úteis. Em casos complexos, o prazo pode ser estendido por igual período, com comunicação prévia.

Você também pode registrar reclamações perante a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

10. Menores de idade

A plataforma Signa é destinada exclusivamente a profissionais e empresas maiores de 18 anos. Não coletamos intencionalmente dados de menores. Dados de clientes finais menores de 18 anos podem ser inseridos pelas organizações contratantes (ex: dependentes em clínicas), sob responsabilidade exclusiva da organização, que deve garantir o consentimento do responsável legal.

11. Alterações desta política

Podemos atualizar esta Política de Privacidade periodicamente. Alterações materiais serão comunicadas por e-mail ao titular da conta e/ou mediante aviso em destaque na plataforma com antecedência mínima de 15 dias. O uso continuado da plataforma após a vigência das alterações implica aceitação da nova versão.

A data de última atualização consta no topo desta página.

12. Contato e DPO

Para dúvidas, solicitações ou exercício de direitos relacionados a esta Política:

• E-mail: privacidade@facilsigna.com.br
• Encarregado de Dados (DPO): Taylor Jefte da Silva
• Endereço: Brasil

Você também pode nos contatar via WhatsApp.