Política de Privacidade

Última atualização: 2026-04-30

1. Quem é o controlador

A plataforma Doctor Bio é desenvolvida e operada por Felipe Andre (DFX Growth).

Para os dados que você publica em sua página (foto, biografia, casos antes/depois, links sociais), você é o controlador. Nós atuamos como operadores conforme art. 39 da LGPD — apenas armazenamos e exibimos seguindo suas instruções.

2. Quais dados coletamos

  • Cadastro do cliente: email, slug, nicho profissional, plano.
  • Conteúdo publicado: nome, foto, especialidade, conselho, cidade, redes sociais, fotos antes/depois (com consentimento do paciente), endereço.
  • Audit log: IP, user-agent, ações administrativas.
  • Analytics próprios: visitas, cliques em CTAs, modais.
  • Cookies: sessão admin (httpOnly, secure), session_id (anônimo, escopado por tenant).

3. Bases legais (LGPD art. 7º e 11º)

  • Cadastro do cliente: execução de contrato (art. 7º V)
  • Audit log + IP: legítimo interesse (art. 7º IX)
  • Analytics próprios: legítimo interesse (art. 7º IX)
  • Mídia PHI (antes/depois): consentimento específico do paciente (art. 11º I)
  • Meta Pixel / GA4: consentimento explícito do visitante via cookie banner (art. 7º I)

4. Compartilhamento

Não vendemos dados. Sub-operadores necessários:

  • Supabase (Postgres + Auth + Storage) — sa-east-1
  • Vercel (hospedagem) — iad1/gru1
  • Upstash (rate limit anônimo) — us-east-1
  • Meta Pixel + CAPI e Google Analytics 4 — apenas com consent explícito do visitante

5. Transferência internacional

Meta e Google operam servidores nos EUA. Justificativa: consentimento explícito do visitante via cookie banner (art. 33 LGPD) + cláusulas contratuais padrão.

6. Retenção

  • Analytics: 90 dias.
  • Audit log: 2 anos.
  • Cadastro e mídia: vida da conta + 30d soft-delete.
  • Storage órfão: limpeza automática a cada 24h após 7d sem referência.

7. Segurança

  • TLS 1.3 + HSTS preload
  • RLS ativo no Postgres
  • Bucket de mídia privado — acesso só via URL HMAC-assinada
  • Tokens de integração jamais saem do servidor
  • Audit log fail-closed em ações destrutivas
  • Magic link enviado por SMTP cifrado, nunca exposto em UI
  • CSP, X-Frame, X-Content-Type, Referrer-Policy, Permissions-Policy
  • Rate limit distribuído via Upstash Redis

8. Seus direitos (art. 18)

Você pode solicitar:

  • Confirmação de tratamento
  • Acesso aos dados
  • Correção de dados
  • Anonimização, bloqueio ou eliminação
  • Portabilidade
  • Revogação de consentimento

Procedimento: email pra dpo@dfxgrowth.space. Resposta inicial em até 15 dias úteis.

9. Cookies

Cookies essenciais (sessão, analytics próprios) são usados sem consent — necessários pro serviço.

Cookies de terceiros (Meta Pixel, GA4) só setados após consent explícito. Revogação via ícone 🍪 no canto inferior esquerdo.

10. DPO

Felipe Andre dpo@dfxgrowth.space

11. Incidente de segurança

Comunicação à ANPD em até 72 horas (art. 48 LGPD) e aos titulares afetados via email cadastrado.

12. Foro

Foro da Comarca de Belém, Estado do Pará, com renúncia expressa de qualquer outro.

Termos de Uso · Voltar à plataforma