Prumo

Política de Privacidade — Prumo

Versão 1.0 · Última atualização: 2026-05-26

1. Quem somos

O Prumo é um aplicativo desenvolvido e operado pela Grupo RAVs, pessoa jurídica de direito privado com sede no Brasil. Para os fins desta Política, a Grupo RAVs é a Controladora dos seus dados pessoais, nos termos do Art. 5º, VI da Lei nº 13.709/2018 — Lei Geral de Proteção de Dados (LGPD).

Contato do encarregado (DPO): privacidade@gruporavs.com.br

2. O que este documento cobre

Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos os seus dados pessoais quando você utiliza o Prumo — bem como os dados dos perfis de crianças que você cadastrar no aplicativo. Ao criar uma conta e utilizar o Prumo, você declara ter lido, entendido e concordado com esta Política. Se você não concordar com qualquer disposição aqui descrita, não utilize o aplicativo.

3. Para quem este aplicativo se destina

O Prumo é destinado exclusivamente a adultos (maiores de 18 anos) na condição de pais, mães ou responsáveis legais de crianças e adolescentes. Não permitimos o cadastro direto de menores de 18 anos como titulares de conta. Ao cadastrar perfis de crianças no aplicativo, você declara ser o responsável legal por elas e consente, em nome delas, com o tratamento de seus dados pessoais conforme descrito nesta Política (Art. 14, LGPD).

4. Quais dados coletamos e por quê

4.1 Dados do responsável (sua conta)

  • E-mail — cadastro manual ou via Google. Finalidade: autenticação e comunicação. Obrigatório.
  • Senha — armazenada com hash, nunca em texto puro. Obrigatória se não usar Google.
  • Nome de exibição — opcional, para personalização da saudação.
  • URL da foto de perfil — importada do Google se usar login Google.

4.2 Dados dos perfis de crianças

  • Apelido — identificação do perfil no aplicativo. Obrigatório.
  • Emoji de avatar — seleção em lista de 12 opções (não é foto).
  • Mês e ano de nascimento — cálculo de faixa etária para contextualização clínica.
  • Gênero — opcional (Menina / Menino / Prefiro não dizer).
  • Anotações médicas — texto livre, até 2.000 caracteres: alergias, condições crônicas, medicamentos.

Atenção: Por deliberação de projeto, não coletamos nome completo da criança, data de nascimento exata nem fotografia. O apelido é escolhido pelo responsável para minimizar a exposição de dados de identificação direta do menor.

4.3 Dados de acompanhamento diário (check-ins)

  • Humor (1–5) — acompanhamento do bem-estar emocional. Obrigatório por check-in.
  • Energia — Baixa / Normal / Alta. Opcional.
  • Sono — Ruim / Ok / Bom. Opcional.
  • Notas do check-in — texto livre, até 2.000 caracteres.

4.4 Dados técnicos e de sessão

  • Token de sessão (cookie) — manter você autenticado entre acessos.
  • Timestamps (created_at, updated_at) — ordenação e auditoria interna.
  • UUIDs de registros — identificação interna, não exposta ao usuário.

Não utilizamos cookies de rastreamento, pixels de publicidade, ferramentas de analytics de terceiros nem software de gravação de sessão.

5. Base legal para o tratamento

  • E-mail, senha, nome — Consentimento (Art. 7º, I).
  • Dados de perfil da criança — Consentimento do responsável (Art. 7º, I c/c Art. 14).
  • Dados de saúde (anotações médicas, humor, energia, sono, notas) — Consentimento específico e destacado para dado sensível (Art. 11, I).
  • Dados técnicos de sessão — Legítimo interesse para operação segura (Art. 7º, IX).

O consentimento para dados de saúde é coletado de forma destacada e separada do consentimento geral, no momento do cadastro, com a seguinte redação:

“Autorizo o armazenamento e processamento de dados de saúde relacionados aos perfis de crianças que cadastrar neste aplicativo, incluindo registros de humor, energia, sono e anotações médicas.”

Você pode revogar este consentimento a qualquer momento, excluindo sua conta (seção 10.2).

6. Dados sensíveis — tratamento especial

As anotações médicas dos perfis de crianças e os dados de humor, energia, sono e notas dos check-ins são classificados como dados de saúde e, portanto, como dados sensíveis nos termos do Art. 5º, XI da LGPD.

  • Coleta mínima: todos esses campos são opcionais. O app funciona sem que qualquer dado de saúde seja preenchido.
  • Finalidade exclusiva: acompanhamento do bem-estar pelo próprio responsável e, futuramente, segunda opinião por IA.
  • Sem compartilhamento comercial: não vendemos, licenciamos nem comercializamos dados de saúde.
  • Consentimento específico: separado no cadastro (seção 5).
  • Retenção limitada: check-ins eliminados automaticamente após 3 anos (seção 10.1).

7. Dados de crianças e adolescentes

O Prumo trata dados de crianças exclusivamente mediante consentimento expresso e específico do responsável legal (Art. 14, §1º, LGPD). Ao cadastrar um perfil, o responsável declara: ser o pai, mãe ou responsável legal; ter capacidade legal para consentir; que o tratamento é realizado no melhor interesse da criança.

Não coletamos dados de identificação direta (nome completo, CPF, RG, foto, data de nascimento exata). O uso de apelido e emoji é uma escolha deliberada de minimização de dados. O responsável pode excluir o perfil de uma criança a qualquer momento — a exclusão remove imediatamente todos os dados e o histórico completo.

8. Com quem compartilhamos seus dados

O Prumo não vende dados pessoais. Compartilhamos exclusivamente com os seguintes operadores:

  • Supabase Inc. — banco de dados e autenticação. Processa todos os dados pessoais armazenados.
  • Google LLC (se você usar login com Google) — provedor OAuth. Processa nome, e-mail e foto somente no momento do login.
  • Netlify Inc. — hospedagem. Processa tráfego de rede (IPs, logs HTTP), não dados de aplicação.
  • Anthropic PBC (previsão futura) — IA da funcionalidade Segunda Opinião. Processará dados de saúde anonimizados/pseudônimos. Esta política será atualizada antes da ativação.
  • RevenueCat Inc. (previsão futura) — gestão de assinaturas. Processará dados de assinatura, não dados de saúde.

Não há compartilhamento com parceiros comerciais, anunciantes, corretores de dados ou qualquer outro terceiro além dos listados.

9. Segurança dos dados

  • Criptografia em trânsito (TLS/HTTPS) em todo o tráfego.
  • Criptografia em repouso no banco Supabase.
  • Controle de acesso por linha (RLS) — cada usuário só acessa seus próprios dados.
  • Tokens de sessão em cookies HttpOnly, inacessíveis via JavaScript.
  • Chaves de API sensíveis server-only, nunca enviadas ao navegador.
  • Limpeza imediata de parâmetros OAuth da URL após login.
  • Acesso administrativo restrito a membros autorizados.

Nenhum sistema é 100% seguro. Em caso de incidente que possa afetar seus dados, notificaremos você e a ANPD conforme prazos previstos na LGPD (Art. 48).

10. Retenção e exclusão de dados

10.1 Por quanto tempo guardamos

  • Conta e perfil do responsável — enquanto a conta estiver ativa; excluído imediatamente mediante solicitação.
  • Perfis de crianças — enquanto a conta estiver ativa ou até exclusão manual.
  • Check-ins diários — máximo de 3 anos a partir do registro; eliminados automaticamente após esse prazo.
  • Logs técnicos — excluídos junto com o registro a que pertencem.

10.2 Como excluir sua conta

Você pode solicitar a exclusão completa diretamente pelo aplicativo, em Conta → Zona Perigosa → Excluir minha conta. Alternativamente, envie e-mail para privacidade@gruporavs.com.br com o assunto “Exclusão de conta” e responderemos em até 15 dias úteis.

11. Seus direitos como titular (Art. 18 LGPD)

  • Acesso — painel do aplicativo (perfil, crianças, histórico).
  • Portabilidade — botão “Baixar meus dados” no perfil.
  • Correção — edição direto no aplicativo.
  • Eliminação — exclusão de criança ou de conta.
  • Revogação do consentimento — exclusão da conta encerra todo o tratamento.
  • Reclamação à ANPD — anpd.gov.br.

Para exercer qualquer direito, contate privacidade@gruporavs.com.br. Responderemos em até 15 dias úteis (Art. 18, §5º, LGPD). Podemos solicitar verificação de identidade antes de atender solicitações de acesso ou exclusão.

12. Cookies e dados de sessão

O Prumo utiliza apenas cookies funcionais estritamente necessários: sb-[id]-auth-token (mantém a sessão) e sb-[id]-auth-token-code-verifier (verificação PKCE do OAuth). Não usamos cookies de rastreamento, publicidade ou analytics.

13. Transferência internacional de dados

Seus dados são armazenados em servidores da Supabase. A transferência está amparada em cláusulas contratuais padrão (DPA com Supabase) e nas medidas técnicas descritas na seção 9.

14. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Quando houver mudanças relevantes, a data de “Última atualização” será alterada e você será notificado por e-mail ou, ao fazer login, será solicitado que aceite a nova versão antes de continuar. Mudanças que ampliem o tratamento de dados sensíveis de saúde exigirão novo consentimento explícito.

15. Contato e encarregado de dados (DPO)

Grupo RAVs — Encarregado de Proteção de Dados
E-mail: privacidade@gruporavs.com.br
Prazo de resposta: até 15 dias úteis para direitos; até 72 horas para incidentes urgentes.

Para reclamações não resolvidas diretamente, contate a Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd · comunicacao@anpd.gov.br.