Documento legal

Política de Privacidade

Última atualização: 21 de maio de 2026

1. Identificação do Controlador

O controlador dos dados pessoais tratados pela plataforma Glowi é:

GLOWI TECNOLOGIA E EDUCAÇÃO LTDA
CNPJ: 66.529.933/0001-89
E-mail para questões de privacidade: privacidade@glowi.com.br
E-mail geral: contato@glowi.com.br

2. Dados que coletamos

2.1. Dados das clínicas (clientes da Glowi)

• Identificação: nome do responsável, CPF/CNPJ, nome da clínica, endereço, telefone, e-mail.
• Pagamento: dados de faturamento processados pelo nosso parceiro Asaas (não armazenamos dados completos de cartão de crédito).
• Configurações operacionais: procedimentos oferecidos, profissionais cadastrados, horários de atendimento, recompensas configuradas.
• Dados de uso: logs de acesso, ações realizadas no painel, métricas de uso da plataforma.

2.2. Dados das pacientes (usuárias finais)

• Identificação: nome, telefone (WhatsApp), e-mail (opcional), data de nascimento (opcional).
• Histórico de fidelidade: visitas registradas, procedimentos realizados, pontos acumulados, recompensas resgatadas.
• Agendamentos: data, horário, profissional, procedimento agendado.
• Dados de autenticação: número de telefone para login no aplicativo da paciente (via Firebase Authentication).

2.3. Dados coletados automaticamente

• Dados técnicos: endereço IP, tipo de navegador, sistema operacional, identificadores de dispositivo.
• Cookies e tokens: conforme detalhado na seção 7.

3. Como usamos seus dados

Os dados pessoais são utilizados para as seguintes finalidades:

• Prestação do serviço: permitir que clínicas gerenciem suas pacientes, programa de fidelidade, agendamentos e comunicações.
• Programa de fidelidade: calcular pontos, tiers e recompensas com base nas visitas registradas.
• Comunicações automáticas: envio de mensagens de boas-vindas, lembretes de retorno, confirmações de agendamento e aniversário via WhatsApp.
• Suporte ao cliente: atendimento de dúvidas, resolução de problemas técnicos.
• Cobrança e pagamento: processamento de assinaturas mensais via Asaas.
• Melhoria do produto: análise de uso agregado e anonimizado para evolução da plataforma.
• Cumprimento de obrigações legais: emissão de notas fiscais, atendimento a requisições judiciais.

4. Bases legais para o tratamento

Tratamos seus dados com fundamento nas seguintes bases legais previstas no art. 7º da LGPD:

• Execução de contrato (art. 7º, V) — para prestação dos serviços contratados pela clínica.
• Consentimento (art. 7º, I) — para envio de comunicações de marketing e quando a paciente se cadastra no programa de fidelidade.
• Cumprimento de obrigação legal (art. 7º, II) — para fins fiscais e tributários.
• Legítimo interesse (art. 7º, IX) — para prevenção a fraudes, segurança da plataforma e melhoria dos serviços.

5. Compartilhamento de dados

Não vendemos, alugamos ou comercializamos dados pessoais. O compartilhamento ocorre apenas com categorias de operadores estritamente necessários à prestação do serviço:

• Provedores de infraestrutura em nuvem (hospedagem, banco de dados e autenticação) — dados armazenados em servidores localizados no Brasil.
• Processadores de pagamento (cobrança recorrente via cartão e PIX).
• Provedores de mensageria e e-mail transacional (envio de mensagens automáticas e comunicações operacionais).
• Serviços de calendário (quando autorizado pela clínica para sincronização de agendamentos).
• Provedores de análise de uso e publicidade digital (Google Analytics, Meta Pixel e plataformas similares) — apenas dados anonimizados de navegação e mediante consentimento prévio (ver seção 7).
• Autoridades competentes, mediante requisição legal ou judicial.

Todos os operadores estão contratualmente obrigados a tratar os dados conforme a LGPD e adotar medidas de segurança adequadas. A relação detalhada de operadores pode ser solicitada pelo titular através do e-mail privacidade@glowi.com.br.

6. Armazenamento e segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados:

• Criptografia em trânsito (HTTPS/TLS) em todas as comunicações.
• Criptografia em repouso para dados sensíveis (tokens de autenticação, refresh tokens de integrações).
• Controle de acesso baseado em perfis (Firestore Security Rules).
• Monitoramento contínuo de acessos e operações.
• Backups automáticos diários na infraestrutura do Google Cloud.
• Servidores localizados no Brasil (região São Paulo).

Apesar das medidas adotadas, nenhum sistema é 100% imune a falhas. Em caso de incidente de segurança que possa acarretar risco aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, conforme exigido pela LGPD.

7. Cookies e tecnologias similares

Utilizamos cookies, identificadores de dispositivo e tecnologias similares (Local Storage, IndexedDB) para diferentes finalidades. Agrupamos por categoria:

7.1. Cookies essenciais (sempre ativos)

Necessários ao funcionamento básico da plataforma — não exigem consentimento por estarem associados à execução do contrato (LGPD, art. 7º, V).

• Sessão e autenticação: manutenção do login e identificação do usuário no painel ou no aplicativo (Firebase Authentication).
• Local Storage e IndexedDB: cache offline do Firestore e rascunhos do checkout, melhorando performance e robustez.
• reCAPTCHA do Google: proteção contra spam e abuso na URL pública de agendamento. Coletado pelo Google conforme a Política de Privacidade do Google.
• Preferências de interface: tema, idioma e configurações de visualização que escolhemos respeitar entre sessões.

7.2. Cookies analíticos (mediante consentimento)

Utilizados apenas após o usuário aceitar o banner de cookies exibido na primeira visita à página inicial. Coletam dados de navegação de forma agregada e majoritariamente anonimizada, para entender quais páginas são mais visitadas, em que ponto da jornada o usuário desiste e como melhorar o produto.

• Google Analytics 4 (GA4): opera com cookies _ga e _ga_*. Conforme a Política de Privacidade do Google, o IP é truncado e nenhum identificador pessoal direto é compartilhado. Saiba mais em policies.google.com/technologies/cookies ou opte por desativar via Google Analytics Opt-out Browser Add-on.
• Firebase Analytics (dentro do aplicativo Glowi): mesma propriedade GA4, coleta eventos agregados de uso do painel da clínica e do app da paciente (ex.: telas visitadas, ações executadas) para guiar decisões de produto. Nenhum dado de saúde, financeiro ou de identificação pessoal direta é enviado.

7.3. Cookies de marketing (mediante consentimento)

Carregados apenas após aceite explícito no banner de cookies. Permitem mensurar a efetividade de campanhas de marketing digital e otimizar anúncios.

• Meta Pixel (Facebook/Instagram Ads) e Google Ads Conversion Tracking: identificam, de forma agregada, qual canal e qual campanha trouxe o visitante e se ele realizou uma ação relevante (ex.: assinatura). Não compartilhamos dados de saúde nem dados sensíveis com essas plataformas.

7.4. Como gerenciar seu consentimento

• Na primeira visita à nossa página inicial, exibimos um banner com as opções Aceitar ou Recusar cookies analíticos e de marketing.
• Sua escolha é registrada localmente no seu navegador. Para revisá-la, limpe os dados do site (Configurações do navegador → Privacidade → Limpar dados) ou utilize uma janela anônima.
• Você pode também gerenciar cookies diretamente nas configurações do navegador. Desabilitar cookies essenciais pode comprometer o funcionamento da plataforma.
• Para solicitar a exclusão de dados já coletados, envie pedido para privacidade@glowi.com.br (ver seção 10).

8. Integração com Google Calendar

Quando a clínica opta por conectar sua conta Google Calendar à Glowi, solicitamos autorização via OAuth 2.0 (protocolo padrão do Google).

8.1. Escopos solicitados e finalidade de cada um

A Glowi solicita apenas os escopos mínimos necessários para o funcionamento do módulo de agendamentos:

• https://www.googleapis.com/auth/calendar — necessário para criar sub-calendários dedicados a cada profissional da clínica (ex: "Glowi — Bia"), separando os agendamentos da Glowi dos eventos pessoais do usuário.
• https://www.googleapis.com/auth/calendar.events — necessário para criar, atualizar e remover eventos de agendamento, mantendo o Google Calendar do profissional sincronizado com a agenda da clínica na Glowi.

Não solicitamos nem acessamos Gmail, Google Drive, Google Contatos ou qualquer outro serviço Google além do Calendar.

8.2. Quais dados acessamos e como usamos

• Lista de calendários da conta conectada — utilizada apenas para que a clínica selecione qual calendário deseja vincular a cada profissional. Não armazenamos a lista completa de calendários, apenas o ID do calendário escolhido pela clínica.
• Eventos do calendário vinculado — lidos exclusivamente para verificar a disponibilidade do profissional (slots livres) ao calcular horários disponíveis para a paciente. Eventos externos (criados fora da Glowi) não são copiados para nossa base; apenas o intervalo de tempo é considerado para evitar conflitos.
• Eventos criados pela Glowi — criados, atualizados e removidos automaticamente em resposta a ações dos usuários no painel da Glowi (criar/cancelar/remarcar agendamento). Cada evento criado pela Glowi recebe um marcador interno que permite identificar a origem.

8.3. Compromisso de Uso Limitado (Limited Use)

8.4. Armazenamento e revogação

• Os tokens OAuth (refresh token e access token) são armazenados de forma criptografada em um documento privado inacessível ao frontend (apenas funções servidor têm acesso).
• Você pode revogar o acesso a qualquer momento:
  • Pelo painel da Glowi, em Agendamentos → Desconectar Google Agenda;
  • Diretamente no Google, em myaccount.google.com/permissions.
• Quando você desconecta a integração (por qualquer um dos caminhos acima), removemos imediatamente os tokens armazenados e o vínculo dos calendários aos profissionais. Eventos previamente criados no seu Google Calendar permanecem inalterados, sob seu controle.

9. Comunicações via WhatsApp

A Glowi envia mensagens automáticas via WhatsApp para clínicas e pacientes nas seguintes situações:

• Para clínicas: avisos de cobrança, alertas operacionais, comunicações administrativas.
• Para pacientes: boas-vindas ao programa de fidelidade, lembretes de retorno, confirmação de agendamentos, lembrete D-1, aniversário e notificação de recompensas disponíveis.

O cadastro da paciente em uma clínica configurada na Glowi implica autorização para o recebimento dessas mensagens. A paciente pode solicitar a interrupção a qualquer momento, entrando em contato com a clínica ou respondendo "PARAR" no WhatsApp.

10. Seus direitos como titular

Conforme a LGPD (art. 18), você tem direito a:

• Confirmação da existência de tratamento dos seus dados.
• Acesso aos dados que tratamos sobre você.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD.
• Portabilidade dos dados a outro fornecedor de serviço.
• Eliminação dos dados tratados com base em consentimento.
• Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados.
• Revogação do consentimento, quando o tratamento se baseia em consentimento.
• Oposição a tratamento realizado com fundamento em legítimo interesse, em casos de descumprimento da LGPD.

Para exercer qualquer um desses direitos, envie um e-mail para privacidade@glowi.com.br. Responderemos no prazo de até 15 dias.

11. Retenção e exclusão de dados

• Dados de clínicas ativas: mantidos enquanto a assinatura estiver vigente.
• Dados de clínicas canceladas: mantidos por 180 dias após o cancelamento (período de carência para reativação). Após esse prazo, são excluídos permanentemente da nossa base.
• Dados de pagamento e fiscais: retidos pelo prazo legal exigido pela legislação tributária e fiscal (mínimo de 5 anos).
• Logs de acesso e operações: retidos por até 6 meses para fins de segurança e auditoria.
• Dados anonimizados podem ser mantidos indefinidamente para fins estatísticos e de melhoria do serviço.

12. Menores de idade

A Glowi não é destinada a menores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos dados de menores em nossa base, eles serão excluídos. Se a clínica atender menores como pacientes, é responsabilidade da clínica obter o consentimento dos responsáveis legais.

13. Alterações nesta Política

Esta Política pode ser atualizada periodicamente para refletir mudanças em nossas práticas, na legislação ou na plataforma. A data da última atualização sempre estará indicada no topo deste documento. Alterações materiais serão comunicadas previamente por e-mail ou aviso na plataforma.

14. Contato e Encarregado de Dados (DPO)

Para qualquer dúvida, solicitação ou reclamação relacionada ao tratamento dos seus dados pessoais, entre em contato:

Encarregado de Dados (DPO):
E-mail: privacidade@glowi.com.br

GLOWI TECNOLOGIA E EDUCAÇÃO LTDA
CNPJ: 66.529.933/0001-89