NutrlyVoltar ao início

Política de Privacidade

Sua privacidade é fundamental. Entenda como tratamos seus dados e os dados dos seus pacientes.

Última atualização: 9 de março de 2026

1. Introdução e Controlador de Dados

A presente Política de Privacidade descreve como a [Razão Social] — CNPJ [XX.XXX.XXX/0001-XX] ("Nutrly", "nós" ou "empresa"), com sede em [Endereço completo], coleta, utiliza, armazena e compartilha dados pessoais de seus usuários (nutricionistas) e dos pacientes cadastrados na plataforma.

Esta Política está em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e demais normas aplicáveis. Para os dados dos nutricionistas (usuários diretos), a Nutrly atua como controladora. Para os dados dos pacientes inseridos pelos nutricionistas, a Nutrly atua como operadora, sendo o nutricionista o controlador responsável pela coleta e pelo consentimento.

Ao utilizar a plataforma, você concorda com os termos desta Política. Recomendamos sua leitura integral.

2. Dados Coletados

2.1 Dados do Nutricionista (usuário da plataforma)

  • Nome completo, e-mail e senha (criptografada);
  • Número de inscrição no CRN (Conselho Regional de Nutricionistas);
  • Endereço de IP de cadastro e de acesso;
  • Dados de faturamento gerenciados pelo Stripe (cartão tokenizado — não armazenamos dados de cartão diretamente);
  • Preferências de configuração e templates de PDF;
  • Informações de sessão e tokens de autenticação;
  • Logs de uso das funcionalidades de IA (tipo de requisição e tokens consumidos).

2.2 Dados dos Pacientes (inseridos pelo nutricionista)

Os dados a seguir são dados sensíveis de saúde nos termos do art. 5º, II e art. 11 da LGPD, e exigem consentimento específico do titular:

  • Nome, data de nascimento, sexo, contato e e-mail do paciente;
  • Dados antropométricos: peso, altura, IMC, circunferências, dobras cutâneas, composição corporal;
  • Informações de saúde: patologias, alergias, medicamentos em uso, histórico familiar;
  • Hábitos alimentares, intolerâncias e preferências;
  • Dados metabólicos: taxa metabólica basal, fator de atividade, nível de treinamento;
  • Registros do diário alimentar: descrição das refeições e análises por IA;
  • Fotografias de refeições enviadas pelo paciente para análise;
  • Fotografias de evolução corporal;
  • Token de push notification (Expo) para envio de notificações ao dispositivo do paciente.

3. Finalidade e Base Legal do Tratamento

O tratamento de dados na Nutrly ocorre nas seguintes finalidades e bases legais (LGPD):

  • Execução de contrato (art. 7º, V): dados do nutricionista necessários para criação de conta, autenticação e operação dos serviços contratados;
  • Consentimento do titular (art. 7º, I e art. 11, I): dados sensíveis de saúde dos pacientes — o consentimento deve ser obtido pelo nutricionista (controlador);
  • Legítimo interesse (art. 7º, IX): logs de segurança, prevenção de fraudes, melhoria técnica do serviço com dados agregados e anonimizados;
  • Cumprimento de obrigação legal (art. 7º, II): retenção de dados fiscais e registros de acesso conforme Marco Civil da Internet (mínimo 6 meses);
  • Execução de contrato de pagamento (art. 7º, V): dados de cobrança processados pela Stripe para gerenciamento de assinaturas.

4. Compartilhamento com Terceiros

A Nutrly não vende dados pessoais. O compartilhamento ocorre apenas com os seguintes suboperadores, estritamente necessários à operação do serviço:

  • Provedores de IA parceiros: processamento de texto e imagens para geração de planos alimentares, análise de fotos de refeições e insights nutricionais. Dados enviados são relacionados ao contexto clínico e nutricional, sem identificação pessoal direta quando possível;
  • Stripe, Inc. (EUA): processamento de pagamentos e gerenciamento de assinaturas. A Stripe armazena dados de cartão de forma tokenizada conforme PCI-DSS;
  • Supabase, Inc. (EUA): armazenamento do banco de dados PostgreSQL e de arquivos (fotos de refeições, avatares, imagens de evolução) em servidores seguros com criptografia em trânsito e em repouso;
  • Expo Technology, Inc. (EUA): envio de notificações push para o dispositivo móvel do paciente mediante token de notificação fornecido voluntariamente pelo paciente;
  • Google LLC (EUA): integração opcional com Google Calendar para gestão de agenda, mediante autorização OAuth explícita pelo nutricionista.

Todos os suboperadores possuem políticas de privacidade e segurança próprias e estão sujeitos a cláusulas contratuais de proteção de dados.

5. Retenção de Dados

Os dados são retidos pelo seguinte período:

  • Dados da conta ativa: mantidos durante todo o período de vigência da assinatura e por até 90 dias após o encerramento da conta, para possibilidade de reativação;
  • Dados de pacientes: mantidos enquanto o vínculo do paciente com o nutricionista estiver ativo. Após exclusão do paciente (soft delete), os dados ficam retidos por até 5 anos para fins de registro clínico, salvo solicitação expressa de exclusão;
  • Logs de acesso: mínimo de 6 meses conforme o Marco Civil da Internet;
  • Dados fiscais e de pagamento: mínimo de 5 anos conforme legislação tributária brasileira;
  • Backups: mantidos por até 30 dias adicionais após exclusão, por razões técnicas de recuperação.

Após os prazos de retenção, os dados são eliminados de forma segura e irreversível.

6. Direitos do Titular de Dados

Nos termos do art. 18 da LGPD, você (nutricionista) e os pacientes cujos dados são tratados na plataforma têm os seguintes direitos, que podem ser exercidos mediante solicitação à Nutrly:

  • Confirmação e acesso: saber se tratamos seus dados e obter cópia dos dados que mantemos sobre você;
  • Correção: solicitar a atualização ou correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação: para dados tratados com base no consentimento ou por serem desnecessários;
  • Portabilidade: solicitar a exportação dos seus dados em formato estruturado e legível por máquina;
  • Eliminação: solicitar a exclusão dos dados tratados com base em consentimento, observados os prazos legais de retenção;
  • Informação sobre compartilhamento: saber com quais entidades públicas ou privadas compartilhamos seus dados;
  • Revogação do consentimento: retirar o consentimento para o tratamento de dados sensíveis, a qualquer momento, sem prejuízo da licitude do tratamento anterior à revogação;
  • Oposição: se discordar de algum tratamento realizado com base em legítimo interesse.

Para exercer seus direitos, entre em contato em contato@nutrly.com.br. Responderemos em até 15 dias úteis.

7. Segurança dos Dados

A Nutrly adota medidas técnicas e organizacionais para proteger os dados contra acesso não autorizado, alteração, divulgação ou destruição, incluindo:

  • Criptografia de senhas com algoritmo bcrypt;
  • Transmissão de dados via HTTPS/TLS em todas as comunicações;
  • Armazenamento de dados em banco de dados PostgreSQL com criptografia em repouso (Supabase);
  • Controle de acesso por autenticação e autorização em todos os endpoints da API;
  • Segregação de dados por nutricionista — nenhum usuário acessa dados de pacientes de outro;
  • Tokens de pagamento gerenciados diretamente pela Stripe (sem armazenamento local de dados de cartão).

Em caso de incidente de segurança que possa causar risco ou dano relevante aos titulares, a Nutrly comunicará a ANPD e os afetados nos prazos legais previstos pela LGPD.

8. Cookies e Tecnologias de Rastreamento

A plataforma utiliza cookies essenciais para funcionamento da sessão autenticada (cookies de sessão do Better Auth). Esses cookies são estritamente necessários e não podem ser desabilitados sem comprometer o funcionamento do serviço.

Atualmente, a Nutrly não utiliza cookies de rastreamento publicitário nem compartilha dados de navegação com redes de anúncios. Eventuais análises de uso são realizadas com dados agregados e anonimizados.

9. Dados de Menores de Idade

A Nutrly é uma plataforma destinada exclusivamente a profissionais adultos (nutricionistas). Não coletamos dados pessoais de menores para fins de cadastro de usuários.

Em relação a pacientes menores de 18 anos, cujos dados podem ser inseridos pelo nutricionista no exercício de sua atividade profissional, é responsabilidade do nutricionista (controlador) garantir que o consentimento para o tratamento dos dados seja obtido dos pais ou responsáveis legais, em conformidade com o art. 14 da LGPD.

10. Transferência Internacional de Dados

Alguns de nossos suboperadores possuem servidores localizados fora do Brasil, principalmente nos Estados Unidos. A transferência internacional de dados ocorre para:

  • Provedores de IA parceiros: processamento de IA — dados de contexto nutricional para geração de planos e análise de imagens;
  • Stripe, Inc. (EUA): processamento de pagamentos internacionais;
  • Supabase, Inc. (EUA): armazenamento de dados e arquivos;
  • Expo Technology, Inc. (EUA): envio de notificações push.

Essas transferências são realizadas com base em cláusulas contratuais padrão e/ou certificações de adequação de segurança dos suboperadores, conforme art. 33 da LGPD. Todos os suboperadores possuem políticas de privacidade e mecanismos de proteção equivalentes ou superiores aos exigidos pela lei brasileira.

11. Contato e Encarregado de Proteção de Dados (DPO)

Para exercer seus direitos como titular de dados, esclarecer dúvidas sobre esta Política ou reportar incidentes de privacidade, entre em contato com nosso Encarregado de Proteção de Dados:

Nome do DPO: [Nome do Responsável]

E-mail: contato@nutrly.com.br

Responderemos às solicitações em até 15 dias úteis, conforme previsto na LGPD. Você também pode registrar reclamações diretamente à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

12. Alterações nesta Política

A Nutrly pode atualizar esta Política de Privacidade periodicamente para refletir mudanças nos nossos processos, tecnologias ou exigências legais. Alterações relevantes serão comunicadas por e-mail ou por aviso na plataforma com antecedência mínima de 30 dias.

A versão mais recente desta Política estará sempre disponível em nutrly.com.br/privacidade. O uso continuado da plataforma após a vigência de uma nova versão implica a aceitação das alterações.

Em caso de alterações substanciais no tratamento de dados sensíveis de saúde, solicitaremos novo consentimento quando aplicável.