Política de Privacidade
Última atualização: 1 de maio de 2026
Esta Política descreve como o Baby Metrics, operado pela Sarez Tech (“nós”), coleta e trata dados pessoais conforme a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018).
1. Quem somos (Controlador)
Sarez Tech, e-mail contato@sarez.tech. Atuamos como Controlador dos dados do fisioterapeuta-titular da conta. Em relação aos dados dos pacientes registrados pelo profissional, atuamos como Operador — o profissional é o Controlador, e respondem pelo consentimento dos responsáveis legais.
2. Dados que coletamos
Do fisioterapeuta:
- Cadastro: nome, e-mail, senha (criptografada), CREFITO, CPF, CNPJ opcional, telefone
- Pagamento: dados processados diretamente pela PerfectPay
- Uso: logs de acesso, IP, user-agent, ações sensíveis (audit log)
Dos pacientes (inseridos pelo fisio):
- Identificação: nome, data de nascimento, status, prontuário
- Responsáveis: nome, telefone, e-mail (para contato profissional)
- Dados clínicos sensíveis (LGPD art. 5º, II): medidas antropométricas, fotos, observações de avaliação, classificações (CVAI, IC, Argenta, Kaplan), pontuação AIMS
- Documentos anexados pelo profissional
3. Bases legais
- Execução de contrato (LGPD art. 7º, V): operação da plataforma para o fisioterapeuta
- Consentimento (art. 7º, I e art. 11, I): dados de pacientes; o fisio confirma consentimento dos responsáveis a cada cadastro
- Cumprimento de obrigação legal (art. 7º, II): retenção de registros profissionais (Conselho Federal de Fisioterapia exige guarda de prontuários por 5 anos)
- Legítimo interesse (art. 7º, IX): logs de segurança e prevenção a fraudes
4. Finalidades
- Operar a plataforma (avaliação, evolução, relatórios PDF)
- Cobrança e gestão de assinatura
- Comunicação operacional (e-mails de confirmação, recuperação)
- Suporte ao usuário
- Segurança da conta e prevenção a abusos
- Estatística agregada e anônima (uso de funcionalidades; não identifica pacientes)
5. Compartilhamento
Os dados clínicos dos pacientes não são compartilhados com terceiros. Para operar o serviço, utilizamos os seguintes sub-operadores (todos contratualmente obrigados a cláusulas LGPD):
- Supabase (banco de dados, autenticação, storage) — região South America (São Paulo)
- Vercel (hospedagem do dashboard) — Edge global
- Resend (envio de e-mails transacionais) — quando ativado
- PerfectPay (gateway de pagamento) — recebe apenas dados do fisioterapeuta e do plano
Não vendemos, alugamos ou cedemos dados pessoais a anunciantes ou terceiros não-essenciais à operação.
6. Segurança
- Criptografia em trânsito (TLS 1.2+)
- Criptografia em repouso (Supabase nativo)
- Row-Level Security (RLS) garantindo que cada fisio só acesse os próprios pacientes
- Senha forte obrigatória, hash bcrypt
- Audit log de ações sensíveis
- Headers de segurança HTTP (CSP, HSTS, X-Frame-Options)
Em caso de incidente de segurança que represente risco aos titulares, comunicaremos a ANPD e os afetados em até 72h, conforme art. 48.
7. Retenção
- Dados clínicos de pacientes: 5 anos após o último acesso, conforme obrigação do Conselho de Fisioterapia
- Dados do fisioterapeuta: enquanto a conta estiver ativa
- Logs de auditoria: 90 dias
- Após exclusão da conta: remoção dos sistemas ativos em 30 dias; backups expurgam em até 90 dias
8. Seus direitos (LGPD art. 18)
Você pode, a qualquer momento:
- Confirmar a existência de tratamento
- Acessar os dados (exportação em Configurações → Perfil)
- Corrigir dados incompletos ou inexatos (editar no dashboard)
- Solicitar anonimização, bloqueio ou eliminação de dados desnecessários
- Portar dados (exportação em JSON estruturado)
- Eliminar a conta (Configurações → Perfil → Excluir conta)
- Revogar consentimento (impacta acesso à plataforma; consultar implicações antes)
9. Pacientes/responsáveis
Pacientes ou seus responsáveis devem exercer direitos LGPD através do fisioterapeuta responsável (Controlador). Caso prefiram, podem nos contatar diretamente; encaminharemos a solicitação ao profissional cadastrado.
10. Cookies
Utilizamos apenas cookies essenciais à operação (sessão de auth, preferências de UI, cache de subscription). Não usamos cookies de marketing ou rastreio de terceiros.
11. Encarregado (DPO) e contato
Encarregado: dpo@sarez.tech. Para qualquer solicitação relacionada a dados, escreva-nos. Resposta em até 15 dias.
12. Alterações
Podemos atualizar esta Política. A versão vigente sempre estará nesta URL. Mudanças relevantes serão notificadas por e-mail.
Veja também os Termos de Uso.