Política de Privacidade
Versão: 1.0 · Última atualização: 2026-05-09 · Vigência: Imediata
Esta política descreve como o ritmly coleta, armazena, processa e protege dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).
1. Identificação do Controlador
| Campo | Valor |
|---|---|
| Razão social | DevMindAI |
| Aplicação | ritmly — Plataforma de Agendamentos |
| Contato geral | contato@devmindai.com.br |
2. Encarregado de Proteção de Dados (DPO / Art. 41)
| Campo | Valor |
|---|---|
| Nome | Nicksson Arrais |
| contato@devmindai.com.br | |
| Canais de contato | |
| Endpoint público | GET /api/v1/privacy/dpo |
| Designação formal | 2026-05-09 |
| Registro ANPD | Em processo — ID será publicado após confirmação |
O contato do DPO está exposto também via endpoint público retornando JSON estruturado para crawlers, parceiros e órgãos reguladores. Este endpoint não requer autenticação e é cacheado por 1 hora.
3. Dados Coletados e Finalidades
| Categoria | Dados | Base Legal | Finalidade |
|---|---|---|---|
| Cadastro | Nome, email, senha (hash), telefone | Execução de contrato (Art. 7, V) | Identificação, login, comunicação |
| Agendamento | Histórico, preferências | Execução de contrato (Art. 7, V) | Operação do serviço |
| Pagamento | Token Stripe/PagSeguro (sem PAN) | Execução de contrato (Art. 7, V) | Processamento de pagamentos |
| Comunicação | Logs WhatsApp/Email | Consentimento (Art. 7, I) + Legítimo Interesse (Art. 7, IX) | Lembretes e atendimento |
| Auditoria | IP, user-agent, request_id | Cumprimento de obrigação legal (Art. 7, II) | Compliance LGPD Art. 37 |
4. Direitos do Titular (Art. 18)
Você pode exercer os seguintes direitos via solicitação ao DPO (contato@devmindai.com.br) ou via endpoints autenticados:
| Direito | Endpoint | SLA |
|---|---|---|
| Confirmação e acesso (Art. 18, I/II) | GET /api/v1/me/data-export | 15 dias |
| Correção (Art. 18, III) | PATCH /api/v1/me | 15 dias |
| Anonimização ou eliminação (Art. 18, VI) | DELETE /api/v1/me | 15 dias |
| Portabilidade (Art. 18, V/VIII) | GET /api/v1/me/data-export | 15 dias |
| Revogação de consentimento (Art. 18, IX) | DELETE /api/v1/consent/{tipo} | Imediato |
5. Retenção e Eliminação
| Tipo de dado | Retenção | Mecanismo |
|---|---|---|
| Logs de acesso | 6 meses (Art. 15) | Auto-purge via Celery beat |
| Audit logs LGPD | 365 dias (Art. 37) | Auto-purge via Celery beat |
| Dados de cadastro pós-deleção | 30 dias (Art. 16) | Anonimização + soft-delete |
| Registros transacionais | 5 anos (Lei tributária) | Arquivamento |
| Consentimento de marketing | Até revogação (Art. 7) | Revogação imediata |
6. Compartilhamento com Terceiros
| Operador | Finalidade | País |
|---|---|---|
| Neon Postgres | Banco de dados | EUA / SA-East |
| Fly.io | Hospedagem | Global (multi-region) |
| Stripe | Processamento de pagamento internacional | EUA |
| PagSeguro | Processamento de pagamento BR | Brasil |
| Meta (WhatsApp Cloud API) | Mensageria | EUA |
| SendGrid | Envio transacional de email | EUA |
Transferências internacionais ocorrem com base em garantias adequadas (Art. 33, II) e cláusulas contratuais padrão.
7. Segurança
- Criptografia em trânsito: TLS 1.3 obrigatório.
- Criptografia em repouso: AES-256 (Postgres) + field-level para PII sensível (CPF, telefone).
- Multi-tenancy: PostgreSQL Row-Level Security (RLS) por tenant.
- JWT: tokens de 15min + refresh de 7 dias com blacklist em Redis.
- Rate limiting: 1000 req/h por tenant via Redis sliding window.
8. Notificação de Incidentes (Art. 48)
Em caso de incidente envolvendo dados pessoais, a ANPD e os titulares afetados serão notificados em até 48-72h, conforme runbook interno de resposta a incidentes.
9. Atualizações desta Política
| Versão | Data | Alterações |
|---|---|---|
| 1.0 | 2026-05-09 | Versão inicial publicada com FEAT-0116-A (DPO formal). |
Dúvidas? Entre em contato com nosso DPO: contato@devmindai.com.br.