Política de Privacidade

1. Introdução

A Zomni ("nós", "nos" ou "nosso") está comprometida em proteger sua privacidade. Esta Política de Privacidade explica como coletamos, usamos, divulgamos e protegemos suas informações quando você usa nosso serviço de melhoria do sono ("Serviço").

Cumprimos com:

• Regulamento Geral de Proteção de Dados (GDPR) para usuários na União Europeia
• UK GDPR para usuários no Reino Unido
• Lei de Privacidade do Consumidor da Califórnia (CCPA) para usuários na Califórnia
• Lei Geral de Proteção de Dados (LGPD) para usuários no Brasil
• Lei de Privacidade de 1988 e Princípios de Privacidade Australianos (APPs) para usuários na Austrália
• Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) para usuários no Canadá
• Lei Federal de Proteção de Dados (FADP) para usuários na Suíça

2. Informações Que Coletamos

2.1 Informações Que Você Fornece

Coletamos informações que você fornece voluntariamente ao usar nosso Serviço:

• Informações da Conta: Endereço de email, senha
• Respostas do Quiz: Padrões de sono, hábitos antes de dormir, avaliações de qualidade do sono
• Dados de Progresso: Dados de rastreamento de sono, status de conclusão do programa
• Comunicações: Mensagens enviadas ao suporte ao cliente

2.2 Informações Coletadas Automaticamente

Quando você usa nosso Serviço, coletamos automaticamente certas informações:

• Dados de Uso: Páginas visualizadas, recursos usados, tempo gasto no app
• Informações do Dispositivo: Tipo de dispositivo, sistema operacional, tipo de navegador
• Dados de Análise: Gravações de sessão, padrões de interação (via PostHog)
• Cookies: Cookies essenciais para autenticação e preferências

2.3 Informações de Pagamento

As informações de pagamento são processadas pela Stripe. Não armazenamos os detalhes completos do seu cartão de crédito. A Stripe pode coletar endereço de cobrança, dados do cartão e metadados de pagamento. Veja a Política de Privacidade da Stripe para detalhes.

3. Como Usamos Suas Informações

Usamos suas informações para os seguintes propósitos:

• Fornecer o Serviço: Entregar recomendações personalizadas de sono e rastrear seu progresso
• Melhorar o Serviço: Analisar padrões de uso para aprimorar recursos e experiência do usuário
• Autenticação: Verificar sua identidade e gerenciar sua conta
• Suporte ao Cliente: Responder às suas perguntas e fornecer assistência
• Análise: Entender como os usuários interagem com nosso Serviço (via PostHog e Firebase)
• Conformidade Legal: Cumprir com leis e regulamentos aplicáveis
• Segurança: Detectar e prevenir fraude, abuso e incidentes de segurança

4. Serviços de Terceiros

Usamos os seguintes serviços de terceiros que podem coletar suas informações:

4.1 PostHog (Análise e Gravação de Sessão)

O PostHog fornece funcionalidade de análise e gravação de sessão. Isso nos ajuda a entender como os usuários interagem com nosso Serviço.

Dados Coletados pelo PostHog:

• Identificadores de Dispositivo: IDs únicos de dispositivo, impressões digitais do navegador
• Endereços IP: Seu endereço IP para geolocalização e análise
• Padrões Comportamentais: Visualizações de página, cliques, rolagem, uso de recursos
• Gravações de Sessão: Gravações visuais de suas interações com nosso Serviço
• Dados Técnicos: Tipo de navegador, sistema operacional, resolução da tela, tipo de dispositivo

Local de Processamento de Dados: O PostHog processa dados em servidores localizados nos Estados Unidos e União Europeia. Seus dados podem ser transferidos internacionalmente dependendo da sua localização.

Compartilhamento de Dados: O PostHog pode compartilhar dados com subprocessadores conforme divulgado em sua política de privacidade. Você pode revisar a lista de subprocessadores do PostHog em https://posthog.com/privacy.

Seu Controle: Você pode optar por não participar da análise e gravações de sessão do PostHog através do nosso banner de consentimento de cookies exibido quando você visita nosso Serviço pela primeira vez. Optar por não participar desabilitará todo o rastreamento do PostHog.

Política de Privacidade: https://posthog.com/privacy

4.2 Firebase (Autenticação e Banco de Dados)

O Firebase fornece serviços de autenticação e armazenamento seguro de dados. O Firebase pode coletar dados de autenticação e informações de uso.

Política de Privacidade: https://firebase.google.com/support/privacy

4.3 Stripe (Processamento de Pagamento)

As informações de pagamento são processadas pela Stripe, Inc., uma processadora de pagamentos localizada nos Estados Unidos. Não armazenamos os detalhes completos do seu cartão de crédito em nossos servidores.

Dados Coletados pela Stripe:

• Informações do Cartão de Pagamento: Número do cartão, data de validade, CVV (criptografado)
• Informações de Cobrança: Endereço de cobrança, nome do titular do cartão
• Dados de Transação: Histórico de transações, valores de pagamento, registros de data e hora
• Informações do Dispositivo: Endereço IP, tipo de dispositivo para prevenção de fraude

Local de Processamento de Dados: A Stripe processa dados de pagamento em servidores localizados nos Estados Unidos e pode transferir dados internacionalmente para cumprir com os padrões da indústria de cartões de pagamento.

Conformidade com a Indústria de Cartões de Pagamento (PCI): A Stripe é certificada PCI DSS Nível 1, o mais alto nível de certificação de segurança de pagamento. Suas informações de pagamento são criptografadas e transmitidas com segurança.

Você pode revisar a política de privacidade da Stripe para detalhes adicionais sobre as práticas de processamento de dados da Stripe em stripe.com/privacy.

5. Cookies e Tecnologias de Rastreamento

Usamos cookies e tecnologias de rastreamento semelhantes para melhorar sua experiência:

• Cookies Essenciais: Necessários para autenticação e funcionalidade básica (sempre ativos)
• Cookies de Análise: Análise do PostHog e Firebase (opt-in via banner de consentimento)
• Cookies de Preferência: Lembram seu idioma e escolhas de consentimento

Você pode gerenciar preferências de cookies através do nosso banner de consentimento de cookies. Note que desabilitar certos cookies pode limitar a funcionalidade do Serviço.

6. Compartilhamento e Divulgação de Dados

Não vendemos suas informações pessoais. Podemos compartilhar suas informações nas seguintes circunstâncias:

• Provedores de Serviço: Serviços de terceiros que nos ajudam a operar (PostHog, Firebase, Stripe)
• Conformidade Legal: Quando exigido por lei ou para proteger nossos direitos
• Transferências Comerciais: Em conexão com uma fusão, aquisição ou venda de ativos
• Com Seu Consentimento: Quando você nos autoriza explicitamente a compartilhar informações

7. Seus Direitos de Privacidade

7.1 Direitos GDPR (Usuários da UE)

Se você está na União Europeia, você tem os seguintes direitos:

• Direito de Acesso: Solicitar uma cópia de seus dados pessoais
• Direito de Retificação: Corrigir dados imprecisos ou incompletos
• Direito ao Apagamento: Solicitar exclusão de seus dados pessoais ("direito ao esquecimento")
• Direito de Restringir o Processamento: Limitar como usamos seus dados
• Direito à Portabilidade de Dados: Receber seus dados em formato portátil
• Direito de Objeção: Objetar ao processamento de seus dados
• Direito de Retirar Consentimento: Retirar consentimento para processamento de dados a qualquer momento

7.2 Direitos CCPA (Usuários da Califórnia)

Se você está na Califórnia, você tem os seguintes direitos:

• Direito de Saber: Solicitar divulgação de informações pessoais coletadas
• Direito de Excluir: Solicitar exclusão de suas informações pessoais
• Direito de Optar por Não Participar: Optar por não vender informações pessoais (não vendemos dados)
• Direito à Não Discriminação: Serviço igual independentemente das escolhas de privacidade

7.3 Direitos UK GDPR

Usuários do Reino Unido têm os mesmos direitos que usuários da UE sob UK GDPR.

7.3 Direitos LGPD (Usuários Brasileiros)

Se você está no Brasil, você tem os seguintes direitos sob a LGPD:

• Direito de Confirmação e Acesso: Confirmar se processamos seus dados e solicitar acesso
• Direito de Correção: Solicitar correção de dados incompletos, imprecisos ou desatualizados
• Direito à Anonimização, Bloqueio ou Eliminação: Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
• Direito à Portabilidade de Dados: Receber seus dados em formato estruturado e comumente usado
• Direito de Eliminação: Solicitar exclusão de dados processados com seu consentimento
• Direito à Informação: Solicitar informações sobre terceiros com quem compartilhamos seus dados
• Direito de Retirar Consentimento: Retirar consentimento a qualquer momento
• Direito de Oposição: Objetar ao processamento baseado em interesse legítimo

7.4 Direitos dos Princípios de Privacidade Australianos (Usuários Australianos)

Se você está na Austrália, você tem os seguintes direitos sob a Lei de Privacidade:

• Direito de Acesso: Solicitar acesso às suas informações pessoais
• Direito de Correção: Solicitar correção de informações imprecisas ou desatualizadas
• Direito de Reclamar: Apresentar reclamação ao Comissário de Informações Australiano se acreditar que não tratamos suas informações adequadamente

7.5 Direitos PIPEDA (Usuários Canadenses)

Se você está no Canadá, você tem os seguintes direitos sob a PIPEDA:

• Direito de Acesso: Solicitar acesso às suas informações pessoais
• Direito de Correção: Contestar a precisão e completude de suas informações
• Direito de Retirar Consentimento: Retirar consentimento para processamento de dados a qualquer momento
• Direito de Reclamar: Apresentar reclamação ao Escritório do Comissário de Privacidade do Canadá

7.6 Direitos FADP (Usuários Suíços)

Se você está na Suíça, você tem os seguintes direitos sob a FADP:

• Direito de Acesso: Solicitar informações sobre se e quais dados pessoais processamos sobre você
• Direito de Retificação: Solicitar correção de dados imprecisos
• Direito ao Apagamento: Solicitar exclusão de seus dados pessoais em certas circunstâncias
• Direito à Portabilidade de Dados: Receber seus dados em formato estruturado e legível por máquina
• Direito de Objeção: Objetar à tomada de decisão automatizada

7.7 Exercendo Seus Direitos - Prazos de Resposta

Para exercer qualquer um desses direitos, entre em contato conosco em welcome@zomni.app.

Responderemos à sua solicitação dentro dos seguintes prazos, conforme exigido pela lei aplicável:

• Residentes da UE/Reino Unido (GDPR/UK GDPR): Dentro de 30 dias (pode ser estendido por 60 dias adicionais para solicitações complexas)
• Residentes Brasileiros (LGPD): Dentro de 15 dias
• Residentes da Califórnia (CCPA): Dentro de 45 dias (pode ser estendido por 45 dias adicionais)
• Residentes Australianos (Lei de Privacidade): Dentro de um período razoável, tipicamente 30 dias
• Residentes Canadenses (PIPEDA): Dentro de um período razoável, tipicamente 30 dias
• Residentes Suíços (FADP): O mais breve possível, tipicamente dentro de 30 dias

8. Retenção de Dados

Retemos suas informações pessoais apenas pelo tempo necessário para fornecer o Serviço e cumprir obrigações legais. Nossos períodos de retenção são baseados em princípios de minimização de dados e necessidade exigidos pela GDPR, LGPD, PIPEDA e outras leis de privacidade aplicáveis.

8.1 Períodos de Retenção e Justificativas

Dados da Conta (Endereço de Email, Senha):

• Contas Ativas: Retidos enquanto sua conta estiver ativa
• Contas Excluídas: Retidos por 90 dias após exclusão da conta
• Justificativa: O período de retenção de 90 dias é necessário para:
  • Responder a perguntas dos usuários sobre exclusão de conta
  • Permitir recuperação de conta se a exclusão foi acidental
  • Processar quaisquer tickets de suporte pendentes ou solicitações de reembolso
  • Cumprir requisitos da processadora de pagamento para resolução de disputas
  • Manter integridade do serviço e prevenir abuso

Respostas do Quiz de Sono e Dados de Progresso:

• Contas Ativas: Retidos enquanto sua conta estiver ativa
• Contas Excluídas: Permanentemente excluídos imediatamente após solicitação de exclusão da conta
• Justificativa: Dados de sono não são retidos após exclusão porque não servem a nenhum propósito legítimo uma vez que você excluiu sua conta. Isso está alinhado com requisitos de minimização de dados sob GDPR, LGPD e PIPEDA.

Dados de Análise (PostHog):

• Dados Individuais: Retidos por 90 dias, depois agregados e anonimizados
• Dados Agregados: Retidos indefinidamente após anonimização
• Justificativa: O período de retenção de 90 dias é necessário para:
  • Analisar padrões de comportamento do usuário de curto prazo para melhorar o Serviço
  • Identificar e corrigir bugs baseados em gravações de sessão
  • Manter linhas de base de desempenho do serviço
  Após 90 dias, dados de análise individuais são agregados e anonimizados, o que significa que não podem mais identificá-lo e não estão sujeitos a leis de proteção de dados.

Registros de Pagamento (Stripe):

• Período de Retenção: 7 anos a partir da data da transação
• Justificativa: Exigido por:
  • Regulamentos fiscais e contábeis (requisitos do IRS nos Estados Unidos)
  • Padrões de retenção de dados da Indústria de Cartões de Pagamento (PCI)
  • Prevenção de fraude e resolução de disputas de chargeback
  • Obrigações legais de manter registros financeiros

8.2 Solicitações de Exclusão de Dados

Você pode solicitar exclusão de seus dados a qualquer momento entrando em contato com welcome@zomni.app. Ao receber sua solicitação de exclusão:

• Respostas do quiz de sono e dados de progresso serão permanentemente excluídos imediatamente
• Seu endereço de email e credenciais da conta serão excluídos após 90 dias
• Dados de análise serão anonimizados dentro de 90 dias
• Registros de pagamento serão retidos por 7 anos conforme exigido por lei, mas serão desassociados de sua identidade

9. Segurança de Dados

Implementamos medidas técnicas e organizacionais apropriadas para proteger suas informações pessoais:

• Criptografia de dados em trânsito (HTTPS/TLS)
• Criptografia de dados em repouso (Firebase)
• Autenticação segura (Firebase Auth)
• Auditorias e atualizações de segurança regulares
• Controles de acesso e treinamento de funcionários

No entanto, nenhum método de transmissão pela internet é 100% seguro. Não podemos garantir segurança absoluta de suas informações.

10. Transferências Internacionais de Dados

Suas informações podem ser transferidas e processadas em países diferentes do seu país de residência. Esses países podem ter diferentes leis de proteção de dados.

Para usuários da UE/Reino Unido, garantimos proteção adequada através de:

• Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia
• Serviços certificados sob a Estrutura de Privacidade de Dados UE-EUA (quando aplicável)

11. Notificação de Violação de Dados

Se descobrirmos ou formos notificados de acesso não autorizado, uso ou divulgação de informações pessoais que apresente risco aos seus direitos e liberdades, notificaremos você e as autoridades reguladoras aplicáveis conforme exigido por lei.

11.1 Procedimentos de Notificação de Violação Específicos por Jurisdição

Residentes da UE/Reino Unido (GDPR/UK GDPR):

• Notificaremos a autoridade supervisora relevante dentro de 72 horas de tomar conhecimento da violação
• Notificaremos indivíduos afetados sem demora indevida se a violação apresentar alto risco aos seus direitos
• A notificação incluirá: natureza da violação, categorias de dados afetados, consequências prováveis e medidas tomadas

Residentes Brasileiros (LGPD):

• Notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) dentro de um prazo razoável
• Notificaremos indivíduos afetados quando a violação apresentar risco significativo
• A notificação incluirá: descrição dos dados pessoais afetados, medidas de segurança em vigor, riscos e medidas para mitigar consequências

Residentes da Califórnia (CCPA):

• Notificaremos indivíduos afetados sem atraso irrazoável
• A notificação será fornecida por email, carta escrita ou notificação substituta se as informações de contato forem insuficientes

Residentes Australianos (Lei de Privacidade):

• Avaliaremos se a violação é uma "violação de dados elegível" (acesso/divulgação não autorizada provavelmente resultando em dano sério)
• Se elegível, notificaremos o Escritório do Comissário de Informações Australiano e indivíduos afetados o mais breve possível
• A notificação incluirá: identidade e detalhes de contato, descrição da violação, tipos de informações envolvidas e recomendações para indivíduos

Residentes Canadenses (PIPEDA):

• Notificaremos o Escritório do Comissário de Privacidade do Canadá se a violação apresentar risco real de dano significativo
• Notificaremos indivíduos afetados assim que viável
• A notificação incluirá: circunstâncias da violação, data ou período, informações pessoais envolvidas, medidas tomadas para reduzir risco e medidas que indivíduos podem tomar

Residentes Suíços (FADP):

• Notificaremos o Comissário Federal de Proteção de Dados e Informações (FDPIC) o mais breve possível se a violação provavelmente resultar em alto risco aos titulares de dados
• Notificaremos indivíduos afetados se necessário para proteger seus interesses

11.2 Prevenção e Resposta a Violações

Mantemos procedimentos de resposta a incidentes incluindo:

• Monitoramento de segurança 24/7 e sistemas de detecção de intrusão
• Protocolos imediatos de contenção e investigação
• Análise forense para determinar escopo da violação e dados afetados
• Notificação a indivíduos afetados e autoridades reguladoras conforme necessário
• Medidas de remediação para prevenir violações futuras
• Documentação e relatórios para gerência e reguladores

12. Privacidade de Crianças

Nosso Serviço é destinado a indivíduos de 18 anos de idade ou mais. Não coletamos, usamos ou divulgamos intencionalmente informações pessoais de crianças menores de 18 anos.

Cumprimos com requisitos de proteção de privacidade de crianças sob:

• GDPR: Requer consentimento parental para crianças menores de 16 anos (ou mais jovens, dependendo do estado membro)
• UK GDPR: Requer consentimento parental para crianças menores de 13 anos
• CCPA: Requer consentimento parental para menores de 16 anos
• COPPA (EUA): Requer consentimento parental para crianças menores de 13 anos
• LGPD (Brasil): Requer proteções especiais para menores
• Lei de Privacidade (Austrália): Inclui proteções de privacidade de crianças
• PIPEDA (Canadá): Inclui princípios de privacidade de crianças
• FADP (Suíça): Inclui proteções de privacidade de crianças

Verificação de Idade: Durante o registro da conta, os usuários devem confirmar que têm 18 anos de idade ou mais. Se descobrirmos que um usuário tem menos de 18 anos, suspenderemos imediatamente sua conta e excluiremos todas as informações pessoais associadas a essa conta.

Aviso Parental: Se você é pai ou responsável e acredita que seu filho menor de 18 anos forneceu informações pessoais para nós, entre em contato conosco imediatamente em welcome@zomni.app. Nós:

• Verificaremos sua identidade como pai ou responsável
• Excluiremos imediatamente todas as informações pessoais associadas à conta da criança
• Suspenderemos permanentemente a conta para prevenir uso futuro
• Notificaremos você dentro de 48 horas após completar a exclusão

13. Alterações a Esta Política de Privacidade

Podemos atualizar esta Política de Privacidade de tempos em tempos. Notificaremos você sobre mudanças materiais através de:

• Publicação da nova Política de Privacidade nesta página
• Atualização da data de "Última Atualização"
• Envio de notificação por email (para mudanças significativas)

Seu uso contínuo do Serviço após as mudanças constitui aceitação da Política de Privacidade atualizada.

14. Entre em Contato

Se você tiver dúvidas sobre esta Política de Privacidade ou quiser exercer seus direitos de privacidade, entre em contato:

• Email: welcome@zomni.app

15. Encarregado de Proteção de Dados

Para consultas relacionadas à GDPR, você pode entrar em contato com nosso Encarregado de Proteção de Dados em welcome@zomni.app.

16. Autoridade Supervisora

Se você está na UE ou Reino Unido e acredita que não abordamos suas preocupações de privacidade adequadamente, você tem o direito de apresentar uma reclamação à sua autoridade supervisora local de proteção de dados.