Politica de Privacidade e Protecao de Dados

Versao 2.0 — Vigente a partir de 10 de junho de 2026

1. Controlador e Operador dos dados

Controlador: A academia ou empresa contratante do Sinapse CX e a controladora dos dados pessoais dos seus alunos e colaboradores, nos termos da Lei Geral de Protecao de Dados (Lei 13.709/2018 — LGPD).

Operador: A FAS Logtech (FAS Consultoria em Logistica e Tecnologia) atua como operadora, fornecendo a plataforma de gestao.

2. Dados coletados

2.1 Dados pessoais

• Identificacao: nome completo, e-mail, telefone, CPF/CNPJ, data de nascimento, genero
• Endereco: CEP, logradouro, numero, complemento, bairro, cidade, estado
• Fotografia: foto de perfil (quando fornecida voluntariamente)

2.2 Dados sensiveis (Art. 11 LGPD)

• Saude: anamnese e avaliacoes fisicas (preenchidas voluntariamente pelo aluno mediante consentimento explicito)

2.3 Dados operacionais

• Matriculas, presenca em aulas, agendamentos, reagendamentos, reposicoes
• Historico de treinos e fichas de exercicios

2.4 Dados tecnicos

• Endereco IP, user-agent do navegador, data/hora de acesso
• Registros de auditoria (quem fez o que, quando)

3. Finalidade do tratamento

• Gestao de matriculas, turmas, aulas e presenca
• Acompanhamento de saude e desempenho fisico do aluno
• Comunicacao operacional (e-mails de convite, notificacoes de aulas)
• Controle de frequencia e metas de treinamento
• Seguranca da plataforma (auditoria, prevencao de fraudes, controle de acesso)
• Cumprimento de obrigacoes legais e regulatorias

4. Base legal (Art. 7 e Art. 11 LGPD)

• Execucao de contrato (Art. 7, V) — prestacao do servico contratado pela academia
• Consentimento explicito (Art. 11, I) — para dados de saude (anamnese, avaliacao fisica) e formularios publicos
• Interesse legitimo (Art. 7, IX) — seguranca, prevencao a fraudes e melhoria do servico
• Obrigacao legal (Art. 7, II) — quando exigido por legislacao aplicavel

5. Consentimento

O consentimento para tratamento de dados pessoais e registrado eletronicamente com:

• Data e hora do aceite
• Versao da politica aceita
• Endereco IP e identificacao do navegador
• Identificacao de quem registrou (aluno, atendente, gestor)

O consentimento pode ser revogado a qualquer momento, sem prejuizo do tratamento realizado anteriormente. A revogacao e registrada no historico de consentimento.

O consentimento e valido por 24 meses. Ao expirar, a academia pode solicitar renovacao.

6. Compartilhamento

Os dados pessoais nao sao vendidos, alugados ou compartilhados com terceiros para fins comerciais. Podem ser compartilhados com:

• FAS Logtech (operadora) — manutencao e suporte tecnico da plataforma
• Railway (infraestrutura) — hospedagem do servidor em nuvem
• Resend (e-mail transacional) — envio de notificacoes operacionais
• Autoridades competentes, quando exigido por lei ou ordem judicial

Todos os provedores de infraestrutura estao sujeitos a politicas de privacidade proprias e operam como sub-operadores.

7. Retencao e eliminacao

• Dados sao mantidos enquanto durar a relacao contratual com a academia
• Apos o termino, sao mantidos pelo periodo exigido por obrigacoes legais (fiscal, trabalhista)
• Dados de saude sao eliminados ou anonimizados em ate 6 meses apos solicitacao do titular
• Backups automaticos sao mantidos com retencao controlada (maximo 7 dias no servidor, 2 copias off-site)

8. Direitos do titular (Art. 18 LGPD)

Voce tem direito a:

• Confirmacao e acesso — saber se seus dados sao tratados e obter copia
• Correcao — retificar dados incompletos, inexatos ou desatualizados
• Anonimizacao ou eliminacao — de dados desnecessarios, excessivos ou tratados em desconformidade
• Portabilidade — receber seus dados em formato estruturado (JSON)
• Revogacao do consentimento — retirar o consentimento a qualquer momento
• Informacao — saber com quem seus dados sao compartilhados
• Oposicao — opor-se ao tratamento em caso de descumprimento da LGPD

9. Seguranca

Adotamos medidas tecnicas e organizacionais para proteger seus dados:

• Senhas armazenadas com hash criptografico (bcrypt, 12 rounds)
• Sessoes com cookies seguros (HttpOnly, Secure, SameSite=Lax, expiracao 48h)
• Protecao contra forca bruta (rate-limit em login e rotas de escrita)
• Headers HTTP de seguranca (Helmet: X-Frame-Options, HSTS, X-Content-Type-Options)
• Tokens de acesso criptograficos (256 bits) para formularios publicos e ativacao de senha
• Registro de auditoria completo com IP, user-agent e diff de alteracoes
• Controle de acesso por papeis (RBAC) com capabilities granulares
• Backups automaticos diarios com armazenamento off-site
• Consentimento registrado com data, versao, IP e responsavel

10. Transferencia internacional

Os dados podem ser armazenados em servidores localizados fora do Brasil (infraestrutura Railway — EUA). A transferencia se fundamenta no Art. 33 da LGPD, por meio de clausulas contratuais padrao e garantias adequadas de protecao de dados pelos provedores.

11. Incidentes de seguranca

Em caso de incidente de seguranca que possa acarretar risco ou dano relevante aos titulares, a FAS Logtech se compromete a:

• Comunicar a ANPD e os titulares afetados em prazo razoavel (Art. 48 LGPD)
• Descrever a natureza dos dados afetados, riscos e medidas adotadas
• Registrar o incidente no log de auditoria da plataforma

12. Alteracoes nesta politica

Esta politica pode ser atualizada periodicamente. A versao vigente estara sempre disponivel nesta pagina com numero de versao e data. Alteracoes relevantes serao comunicadas pela academia e podem requerer nova concordancia do titular.

13. Contato e reclamacoes

Encarregado (DPO): Fernando Nemedof — dpo@faslog.tech

FAS Logtech: privacidade@faslog.tech

Se nao ficar satisfeito com a resposta, voce pode apresentar reclamacao a Autoridade Nacional de Protecao de Dados (ANPD) em www.gov.br/anpd.