imerApp

Política de Privacidade

Última atualização: abril de 2026 · versão 1.0

Esta Política descreve como o imerApp (operado pela equipe imerApp) coleta, utiliza, compartilha e protege dados pessoais em todas as suas interfaces (web e aplicativo). Em caso de conflito com leis locais, prevalecerá a proteção mais favorável ao titular.

1. Papéis LGPD

Na maioria dos tratamentos, a instituição contratante é a controladora dos dados das pessoas atendidas, seus responsáveis e profissionais. O imerApp atua como operador, processando dados conforme instruções da controladora. Em dados de administração do produto (faturamento, suporte, logs técnicos), o imerApp é controlador.

2. Dados coletados

  • Cadastro da instituição: razão social, CNPJ, cidade/UF, tipo de instituição, telefone, e-mail.
  • Pessoas atendidas (crianças, alunos, residentes): nome completo, apelido, data de nascimento, gênero, alergias, restrições alimentares, medicações, observações médicas, pessoas autorizadas a retirar (nome + CPF + parentesco), foto.
  • Profissionais: nome, e-mail, papel, turmas vinculadas, último acesso.
  • Responsáveis: nome, e-mail, telefone, parentesco, permissões LGPD granulares.
  • Uso do produto: IP, user-agent, timestamps, tokens de dispositivo para push, logs de auditoria.

3. Finalidades e bases legais

  • Execução de contrato (art. 7º, V): operar a agenda digital para a instituição.
  • Consentimento (art. 7º, I; art. 11, II-a): fotos, push notifications, comunicações marketing (quando aplicável).
  • Tutela da saúde (art. 11, II-f): registro de alergias, medicações e ocorrências médicas.
  • Proteção do crédito / obrigação legal (art. 7º, II e VI): faturamento e obrigações fiscais.
  • Exercício regular de direitos (art. 7º, VI): auditoria, defesa em processos.

4. Compartilhamento

Compartilhamos dados estritamente com os operadores técnicos necessários à prestação do serviço:

  • Hosting: Fly.io (São Paulo/BR).
  • Banco de dados: Supabase (São Paulo/BR) com RLS por instituição.
  • Envio de e-mail: Resend.
  • Push notifications: Firebase Cloud Messaging (Google).
  • Autoridades: apenas mediante ordem judicial ou obrigação legal expressa.

Não vendemos dados pessoais.

5. Armazenamento e retenção

Os dados são armazenados em datacenters no Brasil. Retemos:

  • Dados operacionais enquanto a instituição mantém conta ativa.
  • Logs de acesso por 6 meses (Marco Civil da Internet).
  • Registros fiscais pelo prazo legal (até 5 anos).
  • Dados sensíveis de saúde são excluídos 30 dias após o encerramento da relação, salvo obrigação legal em contrário.

6. Direitos do titular

Nos termos do art. 18 da LGPD, o titular pode solicitar: confirmação, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento e revogação de consentimento. Atendemos requisições em até 15 dias via dpo@imerapp.com.br.

7. Segurança

  • Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256 no Supabase).
  • Row Level Security (RLS) garantindo isolamento por instituição.
  • Autenticação JWT para API; hashing de senhas com algoritmo moderno (PBKDF2/Argon2 via Django).
  • Auditoria completa de operações sensíveis.
  • Revisão periódica de acessos internos da equipe imerApp.

8. Cookies

Utilizamos cookies estritamente necessários (sessão, CSRF). Não empregamos cookies de terceiros para publicidade.

9. Transferência internacional

Alguns provedores (FCM) podem processar dados em datacenters fora do Brasil. Essas transferências são protegidas por cláusulas padrão contratuais e pelo art. 33 da LGPD.

10. Encarregado (DPO)

Contato do Encarregado de Proteção de Dados: dpo@imerapp.com.br.

11. Atualizações

Esta Política pode ser atualizada. Notificaremos mudanças relevantes com pelo menos 15 dias de antecedência.