Política de Privacidade

O Controlador responsável pelo tratamento de dados pessoais na plataforma, nos termos do art. 5º, VI, da LGPD, é KINGSYS SOLUÇÕES EM SOFTWARE LTDA, sociedade empresária limitada inscrita no CNPJ sob nº 42.161.987/0001-76, com sede em Goiânia/GO, operando as marcas Cuidei e Ninei. Canal de contato: contato@ninei.com.br.

1.1 Papel dual (importante para consultores e famílias)

A Cuidei é uma plataforma para consultores materno-infantis (sono, amamentação, introdução alimentar, desmame). O CLIENTE da plataforma é o consultor; os clientes do consultor são as famílias (pais/responsáveis e as crianças atendidas). Em razão disso, os papéis sob a LGPD são distintos:

• A KINGSYS SOLUÇÕES EM SOFTWARE LTDA é o Controlador dos dados de cadastro do consultor (você como consultor: cadastro, preferências, uso da plataforma, dados de cobrança).
• O consultor é o Controlador dos dados pessoais das famílias e crianças que cadastra e atende. A Cuidei atua, em relação a esses dados, como Operadora (art. 5º, VII, LGPD), tratando-os exclusivamente conforme as instruções do consultor e estes documentos.
• Consequência prática: solicitações de acesso, correção, portabilidade ou exclusão feitas por uma família devem ser dirigidas primeiro ao consultor que a cadastrou. Caso a família não obtenha resposta adequada, pode escalar ao Encarregado (DPO) da Cuidei via dpo@cuidei.app.br.

2.1 Dados de cadastro (consultor)

• Nome, e-mail, senha (armazenada como hash), telefone;
• CPF/CNPJ e dados de registro profissional, quando você configura pagamentos;
• Foto de perfil, biografia, localização, handle do bio link;
• Preferências e configurações de uso da plataforma.

2.2 Dados das famílias (inseridos pelo consultor)

• Nome da criança, data de nascimento e dados de identificação do bebê/criança atendida;
• Dados do(s) responsável(is): nome, CPF, telefone e e-mail do pai, mãe ou responsável legal (guardian);
• Histórico de atendimentos, planos, anamnese e comunicações.

2.3 Dados pessoais sensíveis de saúde infantil (art. 11 da LGPD)

Para cumprir o propósito da plataforma, a Cuidei processa dados pessoais sensíveis relativos à saúde da criança atendida. Na Cuidei, a própria criança é o titular primário do conjunto de dados de saúde:

• Diário do sono / alimentação e demais registros do diário (payload de valores);
• Medidas de crescimento (peso, comprimento/altura) e curvas de crescimento;
• Anotações clínicas inseridas pelo consultor;
• Anamnese (intake) e restrições declaradas;
• Sinais de alerta (red flags) identificados pelo motor de segurança.

O tratamento desses dados ocorre cumulativamente com base em:

• Tutela da saúde (art. 11, II, "f", da LGPD), exercida por profissional regularmente habilitado para a atividade que utiliza a Plataforma, conforme a legislação aplicável à sua categoria, que a utiliza como ferramenta de apoio à sua atividade;
• Consentimento específico e destacado (art. 11, I) do responsável legal pela criança, na qualidade de quem exerce o poder familiar, coletado no cadastro da família com finalidades claramente apresentadas (vide cláusula 12).

Esses dados não são usados para publicidade, perfilamento comercial ou compartilhamento fora dos operadores listados na cláusula 5. A revogação do consentimento interrompe o tratamento sensível adicional, sem afetar o tratamento já realizado nem os dados retidos por obrigação legal. Mantemos os dados de saúde infantil em módulo separado dos dados de pagamento, com retenção própria.

2.4 Dados de uso

• Páginas visitadas e ações realizadas no app;
• Endereços IP (armazenados como hash com sal, nunca em texto puro);
• Erros e falhas, com dados sensíveis redigidos automaticamente.

2.5 Dados de pagamento

• Processados pela Asaas. Não armazenamos dados de cartão. Apenas o consultor é cobrado — as famílias nunca pagam a plataforma.

Cada atividade de tratamento tem uma base legal específica:

• Prover o serviço contratado (gestão de famílias, planos e acompanhamento);
• Cobrar a assinatura do consultor (via Asaas);
• Enviar notificações transacionais (convites, confirmações, lembretes);
• Melhorar o produto (análise agregada);
• Cumprir obrigações legais (fiscais, LGPD, etc.).

Seus dados são compartilhados apenas com fornecedores necessários à operação do serviço, sob contrato e com as devidas salvaguardas:

• Microsoft Azure (hospedagem — App Service e Static Web Apps —, banco de dados PostgreSQL e gerenciamento de chaves via Key Vault) — região Brazil South (São Paulo). Dados em repouso criptografados; chaves sensíveis protegidas por envelope-encryption no Azure Key Vault.
• Asaas (pagamentos — Pix, boleto e cartão) — empresa brasileira. Os dados de pagamento ficam isolados dos dados de saúde infantil. O registro fiscal permanece na subconta Asaas do próprio consultor (vide cláusula 8 e a exclusão escopada).
• Resend (e-mails transacionais — convites, redefinição de senha, avisos) — recebe o e-mail do destinatário e o conteúdo da mensagem. Servidores nos Estados Unidos.
• Sentry (monitoramento de erros) — payloads de erro não sensíveis (stack traces, identificadores opacos de usuário e tenant). PII é redigida antes do envio; cabeçalhos de autenticação e cookies nunca são enviados. Servidores nos Estados Unidos.
• Microsoft Azure Application Insights (telemetria de uso e performance) — métricas agregadas, identificadores opacos. Região Brazil South (São Paulo).
• Anthropic (Claude API, modelo Claude Sonnet 4.6) — geração de rascunhos de plano com IA, no plano Clínica. Quando o consultor aciona a IA, enviamos um DTO de-identificado por allow-list, com texto livre filtrado em modo fail-closed (redação ou recusa em vez de vazamento). Não enviamos o nome da criança, dados de identificação de menores, CPF, e-mail, telefone nem foto. Os rascunhos são voltados ao consultor, nunca enviados automaticamente nem diagnósticos. Damos preferência à inferência em região (Azure AI Foundry, Brasil); o caminho via API da Anthropic trafega por servidores nos Estados Unidos (vide cláusula 6). Conforme os Termos Comerciais aplicáveis à API, o conteúdo enviado não é utilizado para treinar modelos de IA. Funcionalidade exclusiva do plano Clínica (opt-in) — você pode não utilizá-la simplesmente não acionando a geração por IA.

Não vendemos seus dados. Não usamos para publicidade.

Prioritariamente, o tratamento dos seus dados ocorre em território nacional (Microsoft Azure, região Brazil South / São Paulo, e Asaas, com sede no Brasil). Os seguintes operadores listados na cláusula 5 processam dados em servidores fora do Brasil:

• Anthropic (Claude API, modelo Claude Sonnet 4.6) — Estados Unidos. Recebe o DTO de-identificado de geração de rascunhos de plano com IA, sem PII de menores, quando o consultor aciona a funcionalidade (plano Clínica).
• Resend — Estados Unidos. Recebe e-mail do destinatário e conteúdo de mensagens transacionais.
• Sentry — Estados Unidos. Recebe payloads de erro já redigidos de PII.

As transferências internacionais ocorrem com base em:

• Execução do contrato com o titular (art. 33, V), quando necessário para prestar o serviço (envio de e-mail transacional, monitoramento de erros);
• Consentimento específico do titular (art. 33, VIII), quando você opta por utilizar funcionalidades opcionais (geração de rascunhos com IA — recurso do plano Clínica).

Como garantia adicional, mantemos com os operadores Acordos de Tratamento de Dados (DPAs) com cláusulas contratuais de nível de proteção equivalente ao exigido pela LGPD, nos termos da Resolução CD/ANPD nº 19/2024. Você pode solicitar cópia ou resumo desses DPAs pelo contato da cláusula 14.

Microsoft Azure, região Brazil South (São Paulo). Dados em trânsito: TLS 1.2+. Dados em repouso: criptografados em disco.

• Conta ativa: enquanto você usar o serviço;
• Conta cancelada: o acesso é encerrado, e os dados são mantidos por até 30 dias para permitir a reversão de um cancelamento acidental. Após esse prazo, os dados são excluídos ou anonimizados, exceto os sujeitos à retenção legal abaixo;
• Registros fiscais e de pagamento: 5 anos (art. 173 do CTN), mantidos de forma segregada do perfil do usuário;
• Logs de auditoria administrativa: 2 anos;
• Contas inativas por mais de 24 meses consecutivos: dados podem ser anonimizados ou eliminados em observância ao princípio da necessidade (art. 6º, III);
• Dados de saúde infantil: mantidos em módulo separado, com retenção própria por categoria.

Exclusão escopada: uma solicitação de exclusão é escopada aos dados do nosso app. O registro fiscal exigido por lei permanece na própria subconta Asaas do consultor, fora do escopo de uma solicitação de exclusão na plataforma.

Você tem direito a:

• Confirmação da existência de tratamento;
• Acesso aos seus dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade dos seus dados a outro fornecedor, mediante requisição expressa;
• Eliminação dos dados tratados com base no consentimento (vide /exclusao-de-dados), ressalvada a exclusão escopada e a retenção legal;
• Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação de consentimento;
• Oposição a tratamento realizado com fundamento em uma das hipóteses do art. 7º;
• Peticionar à ANPD (Autoridade Nacional de Proteção de Dados), em caso de descumprimento — gov.br/anpd.

Para exercer qualquer direito: contato@ninei.com.br. Responderemos dentro dos prazos previstos em lei. Solicitações de famílias devem ser dirigidas primeiro ao consultor responsável (Controlador), conforme a cláusula 1.1.

A Plataforma utiliza as seguintes categorias de cookies:

• Estritamente necessários (autenticação, manutenção de sessão, preferências): essenciais ao funcionamento da Plataforma, não exigem consentimento (art. 7º, V, LGPD);
• Analíticos próprios, sem identificação pessoal (análise de uso agregada via Azure Application Insights): tratados com base em legítimo interesse (art. 7º, IX), com possibilidade de oposição pelo titular.

Não utilizamos cookies de publicidade, retargeting ou rastreamento por terceiros. Você pode gerenciar suas escolhas a qualquer momento pelo banner de consentimento e pelas configurações do navegador. Detalhes na Política de Cookies.

• Senhas armazenadas de forma segura (hash criptográfico moderno);
• Tokens de sessão com expiração curta;
• Isolamento estrito de dados entre contas (multi-tenant);
• Separação entre o módulo de pagamento e o módulo de saúde infantil;
• Auditoria administrativa das ações sensíveis;
• Dados sensíveis redigidos em logs (Sentry / App Insights);
• Transporte protegido por TLS; criptografia em repouso.

O cadastro de consultor na Cuidei é destinado exclusivamente a maiores de 18 anos. As crianças não são usuárias diretas da plataforma. No entanto, a criança atendida é o titular primário dos dados de saúde tratados no serviço — o tratamento de dados de criança é inerente à finalidade da Cuidei, não uma exceção. Por isso, aplicamos o art. 14 da LGPD com o mais alto nível de cuidado.

O tratamento de dados de crianças observa o melhor interesse da criança (art. 14, caput) e depende do consentimento específico e destacado de pelo menos um dos pais ou do responsável legal (art. 14, §1º). O consultor, na qualidade de Controlador, é responsável por obter esse consentimento antes de inserir dados da criança. Para apoiar essa obrigação, a Plataforma exige, no cadastro da família:

• Identificação do responsável legal (nome completo, CPF, e-mail);
• Declaração de que o consentimento foi obtido na forma do art. 14, §1º;
• Registro auditável da data e do meio de coleta do consentimento.

Dados de crianças são tratados exclusivamente conforme as instruções do consultor e no melhor interesse do menor. Dados de menores não são utilizados na geração de rascunhos por IA, em recomendações automatizadas, nem em qualquer finalidade não estritamente necessária ao serviço. O nome da criança e demais dados de identificação de menores nunca são enviados ao provedor de IA.

Se você é pai, mãe ou responsável e acredita que dados da sua criança foram cadastrados sem o consentimento adequado, contate-nos imediatamente em contato@ninei.com.br ou o Encarregado em dpo@cuidei.app.br.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, contendo: descrição da natureza dos dados afetados, titulares envolvidos, medidas técnicas e de segurança utilizadas, riscos relacionados, razões de eventual atraso e medidas adotadas ou a adotar para reverter ou mitigar os efeitos do incidente.

Canal de contato do Encarregado: dpo@cuidei.app.br.

O Encarregado atua com autonomia técnica e é responsável por: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD; orientar o controlador quanto às práticas da LGPD; e manter registro das operações de tratamento (ROPA), nos termos do art. 37 da LGPD.

Em fase de pré-lançamento, as funções de Encarregado são exercidas internamente. Antes do escalonamento da operação comercial, o Encarregado será formalmente designado, em conformidade com a Resolução CD/ANPD nº 18/2024. O contato pode ser feito a qualquer momento e a resposta segue os prazos do art. 19 da LGPD.

Notificaremos mudanças materiais por e-mail e no app com pelo menos 30 dias de antecedência.