Política de Privacidade

A Ápice Educação LTDA, CNPJ 50.748.695/0001-62 ("nós", "nosso"), opera o Luunio — um sistema de CRM para clínicas de estética disponível em https://luunio.com. Contato para assuntos de privacidade: privacidade@luunio.com.

Esta Política descreve quais dados coletamos e tratamos, como os utilizamos, com quem os compartilhamos e como os titulares podem exercer seus direitos. O tratamento está em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) e com os Termos da Plataforma da Meta Platforms, Inc.

1. O que é o Luunio

O Luunio é um CRM SaaS multilocatário voltado a clínicas de estética. Suas funcionalidades incluem: gestão de leads e pipeline comercial, agendamentos, prontuário eletrônico, controle financeiro, gestão de estoque, automações de comunicação e integrações com WhatsApp, Instagram e Meta Ads.

Para as integrações com a Plataforma da Meta, o Luunio atua como desenvolvedor de aplicativo registrado no Meta for Developers e utiliza as APIs do Instagram e da Meta Conversions API exclusivamente para as finalidades descritas nesta política.

2. Quais dados tratamos

2.1 Usuários do sistema (profissionais e equipe da clínica)

• Nome completo, e-mail e senha (hashed) — para autenticação
• Perfil de acesso (dono, gerente, profissional, recepção, SDR)
• Logs de ações para auditoria e segurança

2.2 Pacientes e leads cadastrados pela clínica

• Identificação: nome, CPF, RG, data de nascimento, sexo
• Contato: telefone, e-mail, @instagram
• Endereço completo
• Dados clínicos: tipo de pele, alergias, medicamentos em uso, contraindicações, histórico de atendimentos e prontuários
• Dados financeiros: pagamentos, créditos (caixinha), planos parcelados
• Rastreamento de campanhas: parâmetros UTM, CTWA Click ID (de anúncios Meta)

2.3 Dados obtidos via Plataforma da Meta

• Instagram — API de Mensagens: nome de usuário e IGSID do remetente, conteúdo das mensagens diretas recebidas/enviadas por meio da conta Instagram Business conectada pela clínica, dados de referência de anúncio (CTWA Click ID, Ad ID) quando o contato se origina de um anúncio.
• Meta Conversions API (CAPI): dados de conversão enviados em nome da clínica para mensuração de campanhas — e-mail, telefone e identificador externo são hasheados (SHA-256) antes do envio; o CTWA Click ID é transmitido sem hash, conforme exigência da API.
• Tokens de acesso do Instagram: tokens de longa duração armazenados de forma segura para manter a integração ativa. Renovados automaticamente antes da expiração.

2.4 Dados técnicos

• Endereço IP, navegador e dispositivo (coletados pelos provedores Vercel e Supabase para operação e segurança da infraestrutura)
• Logs de erros e uso para manutenção

3. Finalidades do tratamento

Dados de usuários do sistema

• Autenticação e controle de acesso por perfil
• Segurança, auditoria e prevenção a fraudes
• Comunicações operacionais (convites de equipe, notificações do sistema)

Dados de pacientes e leads

• Gestão do relacionamento clínica–paciente (CRM)
• Prontuário eletrônico e histórico clínico
• Agendamentos e lembretes automatizados
• Gestão financeira e de estoque da clínica
• Relatórios internos de desempenho comercial e clínico

Dados da Plataforma da Meta

• Permitir que as profissionais de saúde estética respondam mensagens diretas do Instagram diretamente pelo Luunio, sem precisar alternar entre aplicativos, acelerando o atendimento e os resultados das pacientes
• Centralizar o histórico de conversas do Instagram no prontuário do lead ou paciente, para contexto clínico e comercial em um único lugar
• Criar ou vincular leads automaticamente a partir de mensagens recebidas
• Enviar eventos de conversão à Meta Conversions API para mensuração de campanhas da clínica

Importante: os dados obtidos da Plataforma da Meta não são utilizados para fins de publicidade própria, venda a terceiros, criação de perfis independentes ou qualquer finalidade que contrarie os Termos da Plataforma da Meta.

4. Com quem compartilhamos os dados

Não vendemos dados pessoais. Compartilhamos somente com:

• Supabase Inc.: banco de dados e autenticação (infraestrutura)
• Vercel Inc.: hospedagem e CDN da aplicação web
• Meta Platforms, Inc.: integrações de Instagram e Meta Conversions API, conforme autorizado pelos Termos da Plataforma
• Resend: envio de e-mails transacionais (convites e notificações)

Todos os subprocessadores são contratados com cláusulas adequadas de proteção de dados.

5. Retenção dos dados

Os dados são mantidos enquanto a conta da clínica estiver ativa. Após o encerramento, os dados são excluídos em até 90 dias, salvo obrigação legal contrária (ex.: prontuários médicos — prazo mínimo de 20 anos conforme Resolução CFM).

Dados da Plataforma da Meta são armazenados somente pelo período necessário para a funcionalidade (histórico de mensagens, tokens válidos) e excluídos quando a integração é desconectada pela clínica.

6. Seus direitos e como exercê-los

Em conformidade com a LGPD, os titulares têm direito a:

• Confirmar a existência de tratamento e acessar seus dados
• Corrigir dados incompletos, inexatos ou desatualizados
• Solicitar a exclusão dos dados — disponível para todos os usuários com acesso ao aplicativo
• Anonimização ou bloqueio de dados desnecessários
• Portabilidade e informações sobre compartilhamento
• Revogar consentimento a qualquer momento

7. Segurança

Adotamos criptografia em trânsito (TLS 1.2+), autenticação segura via JWT, isolamento de dados por clínica com Row Level Security no banco e acesso restrito por perfil de usuário. Incidentes de segurança são tratados conforme a LGPD e comunicados às autoridades competentes quando exigido.

8. Cookies

Utilizamos apenas cookies estritamente necessários para autenticação e sessão, gerados pelo Supabase Auth. Não utilizamos cookies de rastreamento publicitário próprios.

9. Alterações nesta política

Alterações materiais serão comunicadas às clínicas usuárias por e-mail com antecedência mínima de 15 dias. A data da última revisão é indicada no topo desta página.

10. Contato