Política de Privacidade

Última atualização: 9 de maio de 2026

Controlador dos dados

[RAZÃO SOCIAL / NOME COMPLETO — preencher antes do go-live], inscrita no [CNPJ / CPF — preencher], com sede em [ENDEREÇO — preencher].

Encarregado pelo Tratamento de Dados (DPO)

[NOME DO ENCARREGADO — preencher] · contato@oxe.bio

1. Informações que coletamos

Ao criar sua conta na Oxe, coletamos as informações fornecidas por você, como nome, e-mail e foto de perfil (quando fornecidos via login social com Google). Também coletamos dados de uso anônimos para gerar relatórios de analytics do seu cartão digital, como número de visitas, cidade de origem (via GeoIP aproximado), dispositivo e navegador utilizado.

2. Como usamos suas informações

Usamos suas informações para: autenticar seu acesso à plataforma; exibir seu cartão digital público; gerar relatórios semanais de analytics com insights de IA; e enviar comunicações relacionadas ao serviço (como relatórios semanais por e-mail).

3. Compartilhamento de dados e subprocessadores

Não vendemos, alugamos ou compartilhamos suas informações pessoais com terceiros para fins de marketing. Utilizamos os seguintes subprocessadores, que tratam dados em nosso nome conforme suas próprias políticas de privacidade:

  • Clerk (EUA) — autenticação e gestão de contas
  • Vercel (EUA) — hospedagem da aplicação e domínios customizados
  • Resend (EUA) — envio de e-mails transacionais
  • Cakto (Brasil) — processamento de pagamentos
  • Google / Gemini (EUA) — geração dos relatórios semanais por IA
  • Hostinger (Brasil/EU) — banco de dados PostgreSQL e armazenamento de imagens (VPS)

3.1. Transferência internacional de dados

Alguns dos subprocessadores listados estão sediados fora do Brasil (principalmente nos EUA e União Europeia). Essa transferência é feita com base nas hipóteses previstas no art. 33 da LGPD, com garantias contratuais adequadas oferecidas pelos próprios fornecedores. O banco de dados primário com seus dados de conta permanece em servidor no Brasil.

3.2. Base legal do tratamento (art. 7º LGPD)

  • Execução de contrato — autenticação, exibição do cartão público, processamento de pagamento, envio de e-mails transacionais, geração de QR code.
  • Legítimo interesse — analytics agregado e anônimo (visitas, dispositivo, cidade aproximada via GeoIP) para gerar relatórios ao prestador. Não há identificação individual do visitante.
  • Cumprimento de obrigação legal — retenção de registros fiscais e prevenção de fraude.
  • Consentimento — comunicações de marketing (quando houver) e dados de clientes finais coletados pelo módulo Agenda.

4. Dados de visitantes do seu cartão

Os visitantes do seu cartão digital não precisam criar conta. Coletamos dados anônimos de visita (cidade aproximada, dispositivo, navegador) para gerar seus relatórios. Não identificamos individualmente os visitantes — utilizamos hash de IP para contagem de visitantes únicos, sem armazenar o IP real.

4.1. Cookies e tecnologias similares

Utilizamos cookies estritamente necessários para autenticação e funcionamento da plataforma (gerenciados pelo Clerk). Não usamos cookies de marketing nem rastreamento publicitário de terceiros. Para o analytics próprio do seu cartão, identificamos visitantes únicos por meio de hash criptográfico do endereço IP (SHA-256), sem armazenar o IP em texto puro nem usar cookies persistentes de identificação.

4.2. Retenção de dados

  • Dados de conta (perfil, página, configurações): mantidos enquanto sua conta estiver ativa. Após cancelamento, os dados ficam disponíveis por 30 dias para eventual reativação e em seguida são excluídos ou anonimizados.
  • Eventos de analytics (events / events_daily): dados anônimos agregados mantidos por até 24 meses para fins de relatório histórico ao prestador.
  • Registros financeiros (pagamentos, assinaturas): mantidos pelo prazo legal de retenção fiscal (até 5 anos), por obrigação legal.
  • Logs de webhook e segurança: mantidos por até 90 dias para auditoria e prevenção de fraude.

5. Segurança

Empregamos medidas técnicas e organizacionais para proteger seus dados, incluindo conexões criptografadas (HTTPS/SSL), autenticação segura via Clerk e armazenamento em banco de dados protegido.

6. Seus direitos (LGPD)

Conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018), você tem direito a: acessar seus dados pessoais; corrigir dados incompletos ou desatualizados; solicitar a exclusão dos seus dados; e revogar seu consentimento a qualquer momento. Para exercer qualquer desses direitos, entre em contato conosco pelo e-mail abaixo.

7. Dados de clientes finais (módulo Agenda)

Quando o prestador (cliente da Oxe) ativa o módulo Agenda, os clientes finais que agendam pelo cartão fornecem dados pessoais (nome, telefone, e-mail, observações). Sobre esses dados:

  • O prestador é o controlador dos dados pessoais dos seus clientes finais. A Oxe é a operadora — armazena e processa os dados em nome do prestador, exclusivamente pra viabilizar o agendamento, lembretes e gestão operacional.
  • O cliente final consente explicitamente no momento do agendamento. O texto exato do consentimento é gravado em booking_customers.consent_text.
  • O cliente final pode optar por não receber lembretes a qualquer momento via /c/<token>/preferences. E-mails transacionais (confirmação, cancelamento) continuam por serem essenciais ao serviço.
  • Pra solicitar exclusão completa, o cliente final deve entrar em contato com o prestador (controlador) ou diretamente com a Oxe pelo e-mail abaixo.
  • Retenção: dados são mantidos enquanto a conta da Oxe do prestador estiver ativa, ou pelo prazo legal de retenção fiscal (até 5 anos), o que for maior.

8. Contato

Para dúvidas sobre esta política ou sobre seus dados pessoais, entre em contato pelo e-mail: contato@oxe.bio