Política de Privacidade

A Herbevie opera uma plataforma educacional de conteúdo, personalização cosmética, e-commerce e atendimento digital. A identificação societária final será mantida atualizada conforme o enquadramento operacional vigente.

Para exercer direitos de titular, contestar tratamento automatizado ou falar sobre privacidade, escreva para dpo@herbevie.com. Para suporte comercial geral, use contato@herbevie.com.

Tratamos dados de conta e contato, como email, nome, telefone, país/região, sessão, IP, user-agent e identificadores técnicos.

Tratamos respostas BloomSync, como tipo de pele, objetivos, rotina, clima, sensibilidade, histórico de uso, preferências, orçamento e respostas livres.

Em jornadas Pro, podemos tratar dados sensíveis ou inferíveis de saúde, como alergias, tratamento médico, medicamentos, suplementos, gravidez, sono, estresse, ansiedade, gut/neuro/QoL e fotos faciais, sempre com consentimento específico quando aplicável.

Tratamos dados de compra, pagamento, assinatura, suporte, chat, UTM e eventos de analytics necessários à operação e segurança.

Usamos dados para autenticar conta, entregar conteúdo educacional personalizado, processar compras, prestar suporte, cumprir obrigações fiscais, prevenir fraude, medir performance e melhorar o produto.

As bases legais candidatas são: execução de contrato, cumprimento de obrigação legal, consentimento, legítimo interesse proporcional e exercício regular de direitos. Dados sensíveis, fotos, IA e marketing exigem transparência reforçada e consentimento destacado quando aplicável.

Nenhum dado é usado para diagnóstico, prescrição médica, triagem clínica ou decisão terapêutica.

BloomSync e Evie podem gerar scores, famílias, explicações e recomendações educacionais a partir das respostas fornecidas.

Você pode pedir explicação dos principais fatores, corrigir respostas, exportar dados, solicitar exclusão e contestar tratamento automatizado pelo DPO.

Podemos compartilhar dados mínimos necessários com provedores de infraestrutura, banco de dados, pagamentos, email, analytics, observabilidade, automação, atendimento, IA e logística.

A stack auditada inclui Cloudflare, Neon, Stripe, Mercado Pago, PostHog, Plausible, GlitchTip/Sentry, Langfuse, Mautic, n8n/Trigger, mensageria privada, Resend/SES e provedores de IA configurados no servidor.

Não vendemos dados pessoais. Eventos de analytics não devem receber respostas brutas sensíveis, telefone, email ou fotos.

Alguns provedores podem tratar dados fora do Brasil. Usamos contratos, DPAs, cláusulas contratuais padrão, SCC quando aplicável, e medidas técnicas adequadas, incluindo mecanismos exigidos pela ANPD para transferências internacionais.

Em fluxos BR↔AR, consideramos também a Ley 25.326, os direitos de habeas data e salvaguardas contratuais proporcionais.

Dados de conta são mantidos enquanto a conta estiver ativa. Pedidos e registros fiscais podem ser retidos por prazo legal aplicável. Logs e analytics têm retenção limitada conforme necessidade operacional.

Ao solicitar exclusão, a conta é anonimizada e a exclusão definitiva é programada conforme mecanismos disponíveis em /api/lgpd/delete, preservando apenas dados necessários para obrigação legal ou defesa de direitos.

Você pode solicitar confirmação de tratamento, acesso, correção, anonimização, bloqueio, exclusão, portabilidade, informação sobre compartilhamento, revogação de consentimento e revisão de decisão automatizada.

No Brasil, responderemos conforme a LGPD e orientações da ANPD. Para Argentina, observaremos prazos e direitos da Ley 25.326, incluindo acesso, retificação, atualização e supressão.

Aplicamos HTTPS, Cloudflare, CSP, rate limit, Turnstile, cookies seguros, sanitização de logs, segregação de secrets, monitoramento e runbook de incidente.

Se houver incidente com risco relevante, avaliaremos comunicação a titulares e autoridades competentes conforme legislação aplicável.

Cookies e tecnologias similares estão descritos na Política de Cookies. Você pode ajustar preferências no banner de consentimento quando disponível.

Podemos atualizar esta política por mudanças legais, técnicas ou operacionais. Mudanças relevantes serão comunicadas por canal razoável.