Política de Privacidade

Preâmbulo

A presente Política de Privacidade e Tratamento de Dados Pessoais tem por finalidade demonstrar o compromisso do PRACTIX com a privacidade e a licitude do tratamento dos dados pessoais dos TITULARES que se relacionam com a plataforma.

Para os fins deste documento, são considerados TITULARES:

• O Usuário, pessoa física que cria conta no Practix em nome de um estabelecimento (proprietário, recepcionista, profissional).
• O Cliente Final, pessoa física cujos dados são cadastrados no Practix pelo Usuário (clientes do estabelecimento).
• O Visitante, pessoa física que acessa o site institucional do Practix sem ter conta.

O uso da plataforma Practix pressupõe a leitura atenta desta Política em conjunto com os Termos de Uso. Ao continuar a utilizar a plataforma, o TITULAR manifesta sua concordância informada com o tratamento de seus dados pessoais nas condições aqui descritas.

1. Do tratamento de dados pessoais e do registro de atividades

1.1. Regência legal

O tratamento dos dados pessoais dos TITULARES pelo Practix é regido pela Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD), e tem por pressupostos a transparência, o respeito à privacidade, à autodeterminação informativa e a manutenção das melhores práticas de gestão e segurança de dados pessoais.

1.2. Princípios

O Practix observa, no tratamento de dados pessoais, os princípios previstos no Art. 6º da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

1.3. Dados coletados e finalidades

Os dados pessoais tratados e suas respectivas finalidades constam da tabela abaixo.

1.4. Bases legais

O Practix trata dados pessoais com fundamento nas seguintes hipóteses do Art. 7º e Art. 11 da LGPD:

• Execução de contrato (Art. 7º, V), para a maior parte dos dados cadastrais e operacionais, indispensáveis à prestação do serviço.
• Cumprimento de obrigação legal ou regulatória (Art. 7º, II), guarda de logs por 6 meses (Marco Civil da Internet), dados fiscais por 5 anos.
• Legítimo interesse (Art. 7º, IX), prevenção a fraudes, segurança da informação, melhoria do serviço.
• Consentimento (Art. 7º, I), envio de comunicações de marketing, uso de cookies de desempenho, treinamento de modelos de IA com dados de conversa.

1.5. Compartilhamento de dados

O Practix compartilha dados pessoais apenas com:

• Subprocessadores indispensáveis à operação do serviço, listados na Seção 3 (transferência internacional).
• Autoridades judiciais, administrativas ou governamentais competentes, mediante requerimento, requisição ou ordem judicial.
• Outros Usuários do mesmo Tenant, apenas dados estritamente necessários ao trabalho compartilhado dentro do mesmo estabelecimento.

O Practix não vende, aluga ou cede dados pessoais a terceiros para fins de marketing direto, nem combina dados entre diferentes Tenants.

1.6. Retenção de dados

Os dados pessoais são armazenados pelos prazos abaixo, a contar do término da relação.

Findos os prazos, os dados são excluídos de forma segura ou anonimizados, ressalvada a hipótese de conservação por obrigação legal, regulatória ou para exercício regular de direitos em processo judicial, administrativo ou arbitral.

2. Do papel do Practix na LGPD

2.1. Practix como Controlador

Em relação aos dados cadastrais, financeiros, de acesso e de uso dos Usuários (pessoas físicas que assinam o serviço), o Practix atua como Controlador (Art. 5º, VI da LGPD). Cabe ao Practix decidir sobre as finalidades e os meios do tratamento desses dados e responder por eles perante os Titulares e a ANPD.

2.2. Practix como Operador

Em relação aos dados dos Clientes Finais (clientes do estabelecimento, cadastrados na plataforma pelo Usuário), o Practix atua como Operador (Art. 5º, VII da LGPD), tratando esses dados em nome e sob instrução do Usuário, que é o Controlador dessa base.

Nessa qualidade, o Practix:

• Realiza o tratamento estritamente conforme a finalidade da plataforma (agenda, comunicação, relatórios).
• Não utiliza dados de Clientes Finais para finalidades próprias, exceto após anonimização.
• Não compartilha dados de Clientes Finais entre diferentes Tenants.
• Mantém medidas técnicas e organizacionais para proteger a confidencialidade desses dados.
• Encaminha ao Usuário, em até 5 dias úteis, qualquer solicitação de Cliente Final relacionada a direitos da LGPD.

2.3. Obrigações do Usuário como Controlador dos dados de seus Clientes

Cabe ao Usuário, na qualidade de Controlador dos dados de seus próprios clientes:

• Obter base legal adequada (consentimento, execução de contrato, legítimo interesse) para cadastrar e enviar comunicações aos Clientes Finais.
• Disponibilizar aos Clientes Finais sua própria política de privacidade, esclarecendo o uso do Practix como Operador.
• Atender solicitações dos Clientes Finais relacionadas a direitos da LGPD.
• Comunicar incidentes de segurança que envolvam dados de seus Clientes Finais à ANPD e aos titulares, quando aplicável.

O Practix oferece ferramentas para apoiar essas obrigações (exportação de dados, exclusão de cadastro, registro de consentimento), mas a responsabilidade final pelo cumprimento da LGPD em relação aos Clientes Finais é do Usuário.

3. Da transferência internacional de dados pessoais

3.1. Subprocessadores e localização

Para operar a plataforma, o Practix utiliza os seguintes subprocessadores, alguns localizados fora do território brasileiro.

3.2. Fundamento legal

As transferências internacionais ocorrem com fundamento no Art. 33 da LGPD, especialmente:

• Art. 33, II, adoção de garantias contratuais específicas (cláusulas-padrão).
• Art. 33, V, necessidade para execução do contrato com o Titular.

3.3. Adições futuras

O Practix poderá adicionar ou substituir subprocessadores conforme a evolução da plataforma. A lista atualizada estará sempre disponível nesta página, e mudanças relevantes serão comunicadas aos Usuários por e-mail com antecedência mínima de 15 dias.

4. Dos direitos do titular

4.1. Direitos garantidos

Nos termos do Art. 18 da LGPD, o TITULAR pode, a qualquer momento e mediante requisição:

1. Confirmar a existência de tratamento de seus dados.
2. Acessar seus dados.
3. Corrigir dados incompletos, inexatos ou desatualizados.
4. Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
5. Solicitar a portabilidade dos dados a outro fornecedor de serviço.
6. Solicitar a eliminação dos dados tratados com base em consentimento, ressalvadas as hipóteses de conservação previstas no Art. 16.
7. Obter informação sobre as entidades públicas e privadas com as quais o Practix compartilhou dados.
8. Obter informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
9. Revogar o consentimento, nos termos do Art. 8º, § 5º.

4.2. Canal de atendimento

As solicitações relacionadas a direitos da LGPD podem ser feitas pelo e-mail privacidade@practix.com.br. Para tratativas com o Encarregado, ver Seção 10.

4.3. Prazo de resposta

O Practix responderá às solicitações de TITULARES em até 15 (quinze) dias contados do recebimento, conforme orientação da ANPD. Em casos que demandem análise técnica mais complexa, o prazo poderá ser prorrogado, com justificativa formal ao TITULAR.

4.4. Solicitações de Clientes Finais

Solicitações relacionadas a dados de Clientes Finais (cadastrados por um Usuário) devem ser dirigidas, em primeiro lugar, ao próprio Usuário (estabelecimento), que é o Controlador desses dados (ver Seção 2.2). O Practix pode auxiliar tecnicamente o atendimento dessas solicitações, mas não as recebe diretamente.

5. Do WhatsApp e do tratamento por inteligência artificial

5.1. Conexão via Evolution API

O Practix utiliza a Evolution API, uma solução de código aberto auto-hospedada que faz a ponte entre os servidores do Practix e o WhatsApp. Essa conexão é considerada não oficial pela Meta Platforms e está sujeita às limitações descritas nos Termos de Uso (Seção 6).

5.2. Conteúdo das conversas

As mensagens trocadas via WhatsApp (incluindo texto, áudios, imagens e documentos) são armazenadas nos servidores do Practix com a finalidade de:

• Permitir que o Usuário visualize e responda às conversas pela interface web.
• Operar o bot de atendimento automático.
• Gerar relatórios de atendimento ao próprio Usuário.
• Auditoria e suporte técnico.

5.3. Processamento por IA (Claude)

Quando o bot de IA está ativo, o conteúdo da conversa é enviado à API da Anthropic (Claude) para geração da resposta. Conforme os termos comerciais da Anthropic vigentes em maio de 2026, esses dados não são utilizados para treinamento de modelos. Logs da API são mantidos por até 30 dias para fins de segurança e debugging pela Anthropic.

5.4. Direito de não ter conversas processadas por IA

O Usuário pode, a qualquer momento, desativar o bot de IA pela interface da plataforma. Quando desativado, as mensagens recebidas via WhatsApp ainda são armazenadas (para visualização pelo Usuário), mas não são enviadas à API da Anthropic.

6. Das responsabilidades

6.1. Responsabilidades do Practix

• Adotar medidas técnicas e administrativas adequadas para proteger dados pessoais.
• Operar a plataforma em conformidade com a LGPD e demais normas aplicáveis.
• Atender solicitações de TITULARES nos prazos legais.
• Comunicar à ANPD e aos TITULARES afetados, em prazo razoável, incidentes de segurança que possam acarretar risco ou dano relevante (Art. 48 da LGPD).
• Manter contrato escrito com subprocessadores, exigindo cláusulas de proteção de dados equivalentes às desta Política.

6.2. Responsabilidades do Usuário

• Manter senha de acesso em sigilo, não compartilhando com terceiros.
• Cadastrar somente dados verídicos e necessários no Practix.
• Cumprir suas obrigações como Controlador dos dados dos próprios Clientes Finais (ver Seção 2.3).
• Comunicar imediatamente o Practix em caso de suspeita de acesso não autorizado à sua conta.

6.3. Responsabilidades do Cliente Final

Como os dados dos Clientes Finais são tratados pelo Practix em nome do Usuário, o Cliente Final deve dirigir solicitações primeiramente ao estabelecimento. O Practix, na qualidade de Operador, apoiará tecnicamente o cumprimento dessas solicitações.

7. Dos cookies

7.1. Uso de cookies

O Practix utiliza cookies e tecnologias similares com as finalidades de manter o Usuário autenticado, compreender o uso agregado da plataforma e melhorar a experiência de navegação.

7.2. Categorias

• Essenciais. Necessários ao funcionamento da plataforma (sessão de login, preferências de idioma, tema claro/escuro). Não podem ser desativados.
• Desempenho. Coletam dados agregados de navegação para análise estatística (páginas mais acessadas, tempo de carregamento). Podem ser desativados na barra de consentimento.

O Practix não utiliza cookies de publicidade nem compartilha dados de navegação com redes de anúncios.

7.3. Gerenciamento

Na primeira visita, o Visitante poderá aceitar ou recusar cookies de desempenho. A preferência pode ser revista a qualquer momento pelo rodapé da página.

8. Da segurança da informação

O Practix adota medidas técnicas e administrativas para proteger dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, observando o estado da técnica.

• Criptografia de dados em trânsito (TLS 1.3) e em repouso (AES-256).
• Isolamento multi-tenant via Row Level Security (RLS) no banco de dados. Cada Tenant acessa apenas seus próprios dados.
• Controle de acesso com autenticação por senha, recuperação por e-mail, e suporte futuro a autenticação de dois fatores.
• Logs de auditoria de acessos administrativos e alterações sensíveis.
• Backups diários com retenção de 30 dias.
• Monitoramento de uptime e tentativas de acesso anômalas.
• Revisões periódicas de segurança no código e nas dependências (vulnerability scanning).

Nenhum sistema é completamente imune a riscos. Em caso de incidente que envolva risco ou dano relevante aos TITULARES, o Practix comunicará à ANPD e aos TITULARES afetados em prazo razoável, conforme Art. 48 da LGPD.

9. Das disposições gerais

9.1. Alterações

O Practix poderá alterar esta Política de Privacidade a qualquer tempo, mediante publicação da versão atualizada nesta página, com indicação da data da última revisão. Caso a alteração envolva aspectos relevantes do tratamento, o Practix notificará os Usuários com antecedência mínima de 15 dias por e-mail e por banner na plataforma.

9.2. Conflito entre versões

Em caso de conflito entre esta Política e os Termos de Uso, prevalecem as disposições da presente Política nas matérias relacionadas a tratamento de dados pessoais.

9.3. Aplicação

Esta Política aplica-se a todos os ambientes digitais operados pelo Practix, incluindo o site institucional, a plataforma SaaS e eventuais aplicativos móveis.

10. Do Encarregado pelo tratamento de dados pessoais

Em cumprimento ao Art. 41 da LGPD, o Practix designou Encarregado pelo Tratamento de Dados Pessoais (DPO), que pode ser contatado pelo e-mail dpo@practix.com.br.

O Encarregado é responsável por aceitar reclamações e comunicações dos TITULARES, prestar esclarecimentos e adotar providências, receber comunicações da ANPD, orientar funcionários e contratados sobre práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

11. Glossário

Para os fins desta Política de Privacidade, consideram-se as seguintes definições, conforme Art. 5º da LGPD e prática usual do setor.

• ANPD. Autoridade Nacional de Proteção de Dados, autoridade brasileira competente para zelar pelo cumprimento da LGPD.
• Anonimização. Utilização de meios técnicos razoáveis para que um dado perca a possibilidade de associação a um indivíduo.
• Cliente Final. Pessoa física cujos dados são cadastrados no Practix por um Usuário (cliente do estabelecimento que assina o Practix).
• Consentimento. Manifestação livre, informada e inequívoca pela qual o TITULAR concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
• Controlador. Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.
• Cookie. Pequeno arquivo enviado pelos sistemas do Practix e gravado no dispositivo do TITULAR, contendo preferências e outras informações.
• Dado pessoal. Informação relacionada a pessoa natural identificada ou identificável.
• Encarregado (DPO). Pessoa indicada pelo Controlador como canal de comunicação entre TITULARES, ANPD e a empresa.
• IP. Abreviatura de Internet Protocol, conjunto alfanumérico que identifica os dispositivos na Internet.
• LGPD. Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709, de 14 de agosto de 2018.
• Operador. Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do Controlador.
• Subprocessador. Terceiro contratado pelo Practix para realizar parte do tratamento de dados (ex: provedor de nuvem, gateway de pagamento).
• Tenant. Unidade lógica isolada na plataforma correspondente a um estabelecimento (ex: uma barbearia, um salão).
• Titular. Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
• Tratamento. Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.
• Usuário. Pessoa física que possui conta na plataforma Practix em nome de um Tenant.