1. Quem somos (Controlador)
A plataforma SisterMiga é operada por:
- Razão Social: Bedroom Five — Propulsão Para Sua Empresa Ltda.
- CNPJ: 52.284.067/0001-07
- Endereço: Rua Arthur Thomas, 1100, Edifício Blumen Park, Centro, Rolândia/PR
- E-mail principal: rafael@bedroomfive.com.br
- E-mail LGPD/DPO: lgpd@sistermiga.com.br
- Encarregado (DPO interino até Sprint 3): Rafael Miranda dos Santos
Para fins desta Política e da LGPD (Lei nº 13.709/2018), a Bedroom Five é Controladora dos dados pessoais das profissionais que se cadastram na plataforma SisterMiga e Operadora dos dados que as profissionais inserem sobre seus próprios clientes finais (a profissional é a Controladora desses dados, art. 37 da LGPD).
2. Quais dados coletamos e por quê
2.1 Dados da Profissional (usuária da plataforma)
- Nome completo, e-mail, telefone/WhatsApp — identificação, acesso, suporte (execução de contrato).
- Chave Pix ou dados de gateway próprio (Mercado Pago, Asaas, Efí) — configuração de cobrança dos clientes finais da profissional.
- Dados de pagamento da assinatura — processados pelo Stripe. Não armazenamos número de cartão ou CVV.
- Dados de uso (agendamentos, clientes cadastrados, mensagens) — prestação do serviço.
- Logs de acesso, IP, dispositivo, user-agent — segurança e auditoria (legítimo interesse + Marco Civil).
- Dados de marketing — só com consentimento explícito, revogável a qualquer momento.
2.2 Dados dos clientes finais da Profissional
Nome, telefone, histórico e anotações sobre clientes são tratados sob responsabilidade da profissional como Controladora. A SisterMiga atua como Operadora, não usa esses dados para outras finalidades e não compartilha fora dos operadores listados na seção 4.
2.3 Comprovantes Pix
A imagem do comprovante é processada (OCR) para extrair valor, data e destinatário. A imagem original não é armazenada. Retenção dos dados estruturados: 5 anos (CDC art. 27).
3. Como usamos seus dados
- Prestar, manter e melhorar os serviços da SisterMiga.
- Enviar notificações operacionais (agendamentos, cobranças, atualizações da conta).
- Garantir segurança da conta e prevenir fraudes.
- Cumprir obrigações legais e regulatórias.
- Enviar comunicações de marketing somente com consentimento prévio, revogável a qualquer momento.
- Não vendemos dados pessoais a terceiros.
- Não usamos dados pessoais para perfilamento publicitário de terceiros.
4. Com quem compartilhamos (Operadores)
Compartilhamos dados estritamente necessários com os seguintes operadores, todos sob DPA ou política equivalente:
| Operador | Finalidade | Localização |
|---|---|---|
| Supabase | Banco, autenticação, storage | EUA (DPA + SCC) |
| Vercel | Hospedagem da aplicação | EUA (DPA + SCC) |
| Cloudflare | CDN, segurança e DNS | Global (DPA + SCC) |
| Stripe | Assinatura SisterMiga | EUA / Irlanda (DPA + SCC) |
| Resend | E-mails transacionais | EUA (DPA + SCC) |
| Brevo | E-mail marketing (opt-in) | UE (DPA — GDPR) |
| Chatwoot | Atendimento e suporte | EUA / self-hosted |
| Evolution API | Integração com WhatsApp | Brasil |
| Anthropic | Modelos de linguagem (IA assistente) | EUA (DPA) |
| Google (Workspace + Calendar) | Agenda e e-mail corporativo | EUA (DPA + SCC) |
| Mercado Pago / Asaas / Efí | Cobrança da profissional aos clientes finais (conta da profissional) | Brasil |
Transferência internacional: adotamos garantias previstas no art. 33 da LGPD (cláusulas contratuais padrão, DPAs ou país com nível adequado).
5. Seus direitos como titular (Art. 18 LGPD)
- Confirmar a existência de tratamento dos seus dados.
- Acessar, corrigir ou eliminar seus dados.
- Anonimizar, bloquear ou eliminar dados em desconformidade.
- Portabilidade em formato estruturado.
- Revogar consentimento quando for a base legal.
- Saber com quem compartilhamos seus dados.
- Opor-se a tratamentos com base em legítimo interesse.
- Revisão de decisões automatizadas.
Para exercer: lgpd@sistermiga.com.br — prazo de resposta de até 15 dias corridos (art. 18, §3º LGPD). Se não estiver satisfeita, você pode reclamar à ANPD — www.gov.br/anpd.
6. Retenção e eliminação de dados
- Cadastro da profissional ativa: enquanto a conta existir.
- Após encerramento: 30 dias para reativação, depois eliminação.
- Dados fiscais e financeiros: 5 anos (CDC art. 27).
- Logs de acesso: 6 meses (Marco Civil art. 15).
- Comprovantes Pix (dados estruturados): 5 anos.
- Marketing: até a revogação do consentimento.
- Dados de clientes finais: conforme decisão da profissional Controladora.
7. Segurança da informação
- Criptografia em trânsito (TLS 1.3) e em repouso.
- Row Level Security (RLS) no banco com isolamento por
professional_id. - Autenticação via Supabase Auth.
- Logs de acesso e auditoria.
- Backups com retenção de 7 dias.
- Privacy by Design e Privacy by Default.
- Treinamento da equipe interna em LGPD.
Em incidente que represente risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável (art. 48 LGPD).
9. Crianças e adolescentes
A SisterMiga é destinada a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos cadastro de menor, a conta será desativada e os dados eliminados, salvo obrigação legal contrária.
10. Decisões automatizadas e IA
A plataforma utiliza modelos de linguagem (Anthropic) para sugestões de respostas e automações de WhatsApp. Essas sugestões são apenas assistivas: a profissional decide o conteúdo final enviado. Não tomamos decisões automatizadas com impacto jurídico ou efeito significativo sem revisão humana. Para contestar, escreva para lgpd@sistermiga.com.br.
11. Alterações desta Política
Mudanças materiais serão comunicadas com antecedência de 15 dias por e-mail e/ou aviso na plataforma. O histórico de versões fica disponível em sistermiga.com.br/privacidade/historico.
12. Contato e foro
- DPO interino: Rafael Miranda dos Santos
- E-mail LGPD: lgpd@sistermiga.com.br
- E-mail geral: rafael@bedroomfive.com.br
- Endereço: Rua Arthur Thomas, 1100, Edifício Blumen Park, Centro, Rolândia/PR
- ANPD: www.gov.br/anpd
Foro de eleição: Comarca de Rolândia/PR, com renúncia a qualquer outro por mais privilegiado que seja.