Skip to content

⚠️ Esta versão entra em vigência em 22/06/2026.

Versão: 2026.1 | Início de vigência: 22/06/2026

Aviso de Privacidade

1. Identificação do Agente de Tratamento

Operador de Dados:

BHAVE DESENVOLVIMENTO DE SISTEMAS LTDA
CNPJ: 24.832.498/0001-17
Endereço: Rua Domingos José Martins, nº 75, sala 107, Empresarial ITBC, Bairro do Recife, Recife/PE, CEP 50.030-200

Encarregado de Proteção de Dados (DPO):

Guilherme Medeiros
E-mail: guilherme@bhave.life

2. Quais Dados Pessoais Coletamos

Os seguintes dados pessoais são coletados e tratados no âmbito da plataforma bHave ABA:

CategoriaTipos de DadosTitular
Dados CadastraisNome Completo e telefoneUsuário, estudante e responsáveis
Dados de IdentificaçãoCPFUsuário e Estudante
GêneroUsuário e Estudante
Data de NascimentoEstudante
Vínculo / ParentescoResponsáveis
Dado de ContatoE-mailUsuário e Responsáveis
EndereçoEstudante e Responsáveis
Dados ProfissionaisProfissãoUsuário
Dados de saúdeDiagnósticos, evolução terapêutica, registros de sessões ABA, avaliações comportamentais, medicações e alergiasEstudante/Paciente
Dados de acessoLogs de sistema, IP, data/hora de acessoUsuário
Dados de geolocalizaçãoLocalização geográfica precisa do dispositivo e endereço aproximado (quando autorizado), vinculados ao registro do atendimentoUsuário
Dados de navegação e comportamentoMovimentos do mouse, cliques, rolagem de página, tempo de permanência, gravações de sessão, mapas de calor (heatmaps)Usuário

Nota: Os dados de navegação e comportamento são coletados através da ferramenta Microsoft Clarity, conforme detalhado na Seção 5 deste Aviso.

3. Finalidades do Tratamento

Os dados pessoais são tratados para as seguintes finalidades:

a) Registro e acompanhamento do tratamento terapêutico baseado no método ABA
b) Elaboração de relatórios de evolução do estudante/paciente
c) Gestão administrativa do grupo de trabalho (clínica/equipe)
d) Emissão de faturas e cobrança dos serviços
e) Comunicações relacionadas ao uso da plataforma
f) Cumprimento de obrigações legais e regulatórias
g) Melhoria da experiência do usuário através de análise comportamental
h) Identificação de problemas de usabilidade e otimização da plataforma
i) Registro da localização do atendimento terapêutico

O tratamento de dados pessoais está fundamentado nas seguintes bases legais da Lei Geral de Proteção de Dados (Lei nº 13.709/2018):

FinalidadeBase Legal (LGPD)
Dados de saúde para tratamentoArt. 11, II, "f" — tutela da saúde, em procedimento realizado por profissionais de saúde
Execução do contratoArt. 7º, V — execução de contrato
Obrigações legaisArt. 7º, II — cumprimento de obrigação legal
Dados anonimizados para estatísticasArt. 12 — dados anonimizados não são considerados pessoais
Análise comportamental (Clarity) e geolocalizaçãoArt. 7º, IX — legítimo interesse do operador, para melhoria da plataforma

5. Compartilhamento de Dados

Os dados pessoais não serão compartilhados com terceiros, exceto nas seguintes hipóteses:

  • Com autorização prévia e expressa do titular ou responsável legal
  • Para cumprimento de obrigação legal ou ordem judicial
  • Com prestadores de serviços essenciais (infraestrutura tecnológica), mediante contratos com cláusulas de confidencialidade

5.1. Microsoft Clarity — Ferramenta de Análise Comportamental

Compartilhamos dados de navegação e comportamento com a Microsoft Corporation através da ferramenta Microsoft Clarity, exclusivamente para fins de análise e melhoria da experiência do usuário na plataforma.

Dados compartilhados com o Microsoft Clarity:

  • Gravações de sessão: reprodução visual das interações do usuário na plataforma
  • Mapas de calor (Heatmaps): áreas mais clicadas e visualizadas
  • Movimentos do mouse: trajetória do cursor na tela
  • Cliques e toques: interações com elementos da página
  • Rolagem de página (scroll): comportamento de navegação vertical
  • Dados técnicos: tipo de navegador, sistema operacional, tipo de dispositivo

Transferência Internacional de Dados:

Os dados coletados pelo Microsoft Clarity podem ser armazenados em servidores localizados fora do Brasil. A Microsoft Corporation adota cláusulas contratuais padrão e certificações adequadas para garantir a proteção dos dados em conformidade com a LGPD e o GDPR europeu.

Opt-out (Como recusar a coleta):

O usuário pode optar por não ter seus dados coletados pelo Microsoft Clarity através dos seguintes meios:

Para mais informações sobre a política de privacidade do Microsoft Clarity: https://clarity.microsoft.com/terms

5.2. Google Cloud Platform (GCP) — Infraestrutura e Armazenamento

Utilizamos a infraestrutura da Google Cloud Platform (GCP), da Google LLC, para a hospedagem de nossos bancos de dados e armazenamento de logs de sistema, garantindo a segurança, disponibilidade e integridade das informações processadas na plataforma.

Dados processados na Google Cloud Platform:

  • Bancos de dados: Informações cadastrais e operacionais inseridas pelos usuários na plataforma
  • Logs de acesso e erro: Registros de endereços IP, carimbos de data/hora (timestamps) e requisições técnicas
  • Metadados de sessão: Identificadores técnicos necessários para a manutenção da estabilidade do sistema
  • Dados de performance: Registros sobre o desempenho das funcionalidades e latência de processamento

Transferência Internacional de Dados:

Os dados processados via Google Cloud Platform podem ser armazenados em centros de dados localizados fora do território nacional (como nos Estados Unidos ou União Europeia). A Google LLC assegura o cumprimento da LGPD e do GDPR por meio de Cláusulas Contratuais Padrão (Standard Contractual Clauses — SCCs) e medidas suplementares de segurança e criptografia de ponta.

Finalidade e Retenção:

O processamento destes dados é estritamente limitado à execução dos serviços contratados e ao cumprimento de obrigações legais (como a guarda de logs de conexão prevista no Marco Civil da Internet). Os dados são mantidos apenas pelo período necessário para atingir as finalidades descritas ou conforme exigido por lei.

Para mais informações sobre a política de privacidade e conformidade da Google Cloud: https://cloud.google.com/terms/cloud-privacy-notice

5.3. Mailjet — Comunicação e Envio de E-mails

Utilizamos a plataforma Mailjet, operada pela Sintech SAS (Mailgun Group), para o processamento e envio de e-mails transacionais (como confirmações de cadastro e redefinição de senhas) e comunicações de marketing.

Dados compartilhados com o Mailjet:

  • E-mail do usuário: Endereço de destino para o recebimento das comunicações
  • Logs de entrega: Status de envio, recebimento, abertura e cliques nos links contidos nas mensagens
  • Dados técnicos de recebimento: Tipo de dispositivo e cliente de e-mail utilizado para a visualização

Transferência Internacional de Dados:

Os dados processados pelo Mailjet podem ser armazenados em servidores localizados na União Europeia ou nos Estados Unidos. A plataforma garante a proteção dos dados em conformidade com a LGPD e o GDPR, utilizando Cláusulas Contratuais Padrão (SCCs) para assegurar o nível de proteção exigido pela legislação brasileira.

Opt-out (Como recusar o recebimento):

O usuário pode optar por não receber comunicações de marketing a qualquer momento através dos seguintes meios:

  • Link de Descadastramento: Presente no rodapé de todos os e-mails de marketing enviados
  • Configurações de Perfil: Ajustando as preferências de comunicação diretamente na plataforma
  • E-mails Transacionais: Por serem essenciais à segurança e operação da conta, o envio de e-mails transacionais não pode ser desativado enquanto a conta estiver ativa

Para mais informações sobre a política de privacidade do Mailjet: https://www.mailjet.com/legal/privacy-policy/

5.4. Asaas — Processamento de Pagamentos e Gestão de Faturamento

Utilizamos a plataforma Asaas Gestão Financeira Instituição de Pagamento S.A. para o processamento de transações financeiras, emissão de cobranças e gestão de faturamento dos serviços contratados.

Dados compartilhados com o Asaas:

  • Dados Cadastrais: Nome completo/Razão Social, CPF/CNPJ, e-mail e endereço de cobrança
  • Dados de Faturamento: Valor da transação, histórico de pagamentos e modalidade escolhida (Boleto, Pix ou Cartão de Crédito)
  • Dados de Cartão (Tokenizados): Nos casos de pagamento via cartão, os dados sensíveis são processados diretamente em ambiente seguro do Asaas, não sendo armazenados em nossos servidores
  • Logs de Transação: Identificadores de transação, data, hora e status de liquidação

Finalidade e Base Legal:

O compartilhamento desses dados é indispensável para a execução do contrato (Art. 7º, V, LGPD) e para o cumprimento de obrigações regulatórias perante o Banco Central do Brasil. O Asaas atua como custodiante desses dados, aplicando padrões rigorosos de segurança PCI-DSS.

Transferência Internacional de Dados:

Embora o Asaas seja uma empresa brasileira, alguns de seus subprocessadores de infraestrutura tecnológica podem realizar o armazenamento de backups ou logs em servidores internacionais, mantendo garantias de proteção equivalentes às exigidas pela LGPD.

Retenção de Dados:

Por força de normas do Banco Central e da legislação tributária brasileira, os dados de faturamento e registros de transações financeiras serão mantidos pelo prazo mínimo de 5 (cinco) anos, mesmo após o encerramento da conta do usuário.

Para mais informações sobre a política de privacidade do Asaas: https://central.ajuda.asaas.com/hc/pt-br/articles/32098003163035-Política-de-Privacidade

5.5. Omie — Gestão Empresarial e Faturamento (ERP)

Utilizamos o sistema Omie (Omie Experience S.A.) para a gestão centralizada de nossa operação, incluindo o faturamento de serviços, emissão de notas fiscais e controle financeiro integrado.

Dados compartilhados com a Omie:

  • Dados Cadastrais: Nome completo/Razão Social, CPF/CNPJ, Inscrição Estadual/Municipal e endereço completo
  • Dados de Contato: E-mail e telefone associados ao faturamento
  • Dados de Faturamento: Valores de serviços, descrição de itens faturados, histórico de pagamentos e contas a receber
  • Documentos Fiscais: Informações necessárias para a emissão e armazenamento de Notas Fiscais Eletrônicas (NF-e/NFS-e)

Finalidade e Base Legal:

O compartilhamento desses dados é realizado para a execução do contrato (Art. 7º, V, LGPD) e para o estrito cumprimento de obrigações legais e tributárias (Art. 7º, II, LGPD), permitindo a regularização fiscal das operações perante as autoridades competentes (Prefeituras e Receita Federal).

Transferência Internacional de Dados:

A Omie é uma empresa brasileira e processa os dados primordialmente em território nacional. Eventuais subprocessadores de infraestrutura de nuvem utilizados pela plataforma seguem padrões internacionais de segurança e cláusulas contratuais que asseguram o cumprimento da LGPD.

Retenção e Descarte:

Por se tratar de registros fiscais e contábeis, os dados processados na Omie serão armazenados pelo prazo legal mínimo de 5 (cinco) anos, conforme exigido pela legislação tributária e civil brasileira, permanecendo indisponíveis para exclusão antes do término deste período.

Para mais informações sobre a política de privacidade da Omie: https://www.omie.com.br/seguranca-e-privacidade/

5.6. HubSpot — Gestão de Relacionamento (CRM) e Vendas

Utilizamos a plataforma HubSpot (HubSpot, Inc.) para a gestão de relacionamento com clientes (CRM), organização de processos de vendas e armazenamento de informações de potenciais clientes (leads).

Dados processados no HubSpot:

  • Dados de Contato: Nome, e-mail, telefone, cargo e empresa
  • Histórico de Interação: Registros de reuniões, anotações de chamadas, trocas de e-mails de vendas e etapas do funil comercial
  • Dados de Navegação (Leads): Origem do lead (ex: anúncio, busca orgânica ou indicação) e páginas visitadas no site institucional
  • Comunicações Comerciais: Registro de consentimento para o recebimento de ofertas e comunicações diretas

Transferência Internacional de Dados:

A HubSpot é uma empresa sediada nos Estados Unidos. O tratamento de dados é regido por Cláusulas Contratuais Padrão (SCCs) e pelo "Data Processing Agreement" (DPA) da plataforma, que estabelece medidas de segurança rigorosas para garantir que o nível de proteção de dados seja equivalente ao exigido pela LGPD e pelo GDPR.

Opt-out e Direitos do Titular:

O usuário ou lead pode solicitar a interrupção de contatos comerciais ou a retificação de seus dados diretamente com nossa equipe de vendas ou através do link de descadastramento presente nos e-mails enviados via HubSpot.

Para mais informações sobre a política de privacidade da HubSpot: https://legal.hubspot.com/br/privacy-policy

6. Uso de Cookies

A plataforma bHave ABA utiliza cookies para o correto funcionamento e análise de uso. Os principais cookies utilizados são:

CookieFinalidadeDuração
_clckMicrosoft Clarity — identificador de usuário1 ano
_clskMicrosoft Clarity — identificador de sessão1 dia
Sessão bHaveAutenticação e manutenção da sessão do usuárioSessão

O usuário pode gerenciar suas preferências de cookies através das configurações do navegador. Ressaltamos que a desativação de cookies essenciais pode afetar o funcionamento da plataforma.

7. Direitos dos Titulares

Conforme art. 18 da LGPD, o titular (ou seu responsável legal) pode exercer os seguintes direitos:

DireitoDescrição
Confirmação e acessoSaber se seus dados são tratados e acessá-los
CorreçãoRetificar dados incompletos ou desatualizados
Anonimização/bloqueio/eliminaçãoPara dados desnecessários ou tratados em desconformidade
PortabilidadeReceber seus dados em formato estruturado
Informação sobre compartilhamentoSaber com quem os dados foram compartilhados
Revogação do consentimentoQuando aplicável
Oposição ao tratamentoOpor-se ao tratamento baseado em legítimo interesse, incluindo análise comportamental

Como exercer seus direitos: Encaminhar solicitação para guilherme@bhave.life ou diretamente à clínica/profissional responsável.

8. Portabilidade dos Dados

Em caso de solicitação de portabilidade, os dados referentes ao paciente serão fornecidos de forma que o profissional de saúde responsável possa elaborar relatório de acompanhamento adequado, respeitando sua expertise e julgamento profissional.

9. Segurança e Confidencialidade

Adotamos medidas técnicas e administrativas para proteger os dados pessoais:

  • Controle de acesso por credenciais individuais
  • Criptografia de dados em trânsito e em repouso
  • Registro de logs de acesso
  • Políticas de confidencialidade para todos os envolvidos
  • Mascaramento automático de conteúdos sensíveis nas ferramentas de análise

10. Incidentes de Segurança

Em caso de vazamento de dados pessoais, o titular receberá uma comunicação contendo, no mínimo:

  • Data e hora do incidente
  • Tipos de dados afetados
  • Medidas adotadas para mitigação

11. Retenção dos Dados

Os dados serão mantidos pelos seguintes prazos:

Tipo de DadoPrazo de Retenção
Dados de saúdeMínimo 20 anos
Dados cadastraisDurante a vigência contratual + 5 anos
Gravações de sessão (Clarity)Até 30 dias
Dados de geolocalização (atendimento)Vinculados ao registro do atendimento — mínimo 20 anos
Logs de acessoMínimo 6 meses (Marco Civil da Internet)

12. Alterações neste Aviso

Este Aviso poderá ser atualizado periodicamente. O titular será notificado sobre alterações relevantes pelos meios de contato cadastrados.

13. Contato

Dúvidas sobre este Aviso ou sobre o tratamento de dados pessoais:

Encarregado (DPO): Guilherme Medeiros
E-mail: guilherme@bhave.life
Telefone: (81) 9-9194-4524

Versão 2.19.0