1. Quem somos
O GymFlow Gestor é operado pela FJN Tecnologia, controladora dos dados pessoais tratados nesta Plataforma. Esta política descreve quais dados coletamos, por que coletamos, como usamos e quais são seus direitos de titular conforme a Lei Geral de Proteção de Dados (LGPD).
2. Dados que coletamos
Do gestor / dono da academia:
- Nome, e-mail, telefone, senha (armazenada com hash bcrypt).
- Dados de cobrança processados pelo Stripe (não armazenamos número de cartão).
- Logs de acesso (IP, navegador, data/hora) para segurança.
Dos alunos cadastrados pela academia:
- Nome, CPF, data de nascimento, telefone, e-mail, endereço.
- Plano contratado, histórico financeiro, frequência e horários de acesso.
- Foto e template biométrico facial (quando a academia opta pelo controle por biometria).
3. Bases legais (art. 7º LGPD)
- Execução de contrato: para entregar o serviço contratado.
- Obrigação legal: para emitir notas, atender ao fisco e à legislação trabalhista.
- Consentimento: para uso de biometria facial e envio de comunicações de marketing (opt-in).
- Legítimo interesse: para segurança, prevenção a fraude e melhoria do produto.
4. Como usamos os dados
- Manter sua conta ativa e fornecer as funcionalidades contratadas.
- Processar pagamentos e enviar recibos.
- Permitir controle de acesso por biometria, QR code ou cartão.
- Enviar comunicações operacionais (cobrança, suporte, alertas).
- Gerar relatórios estatísticos para o gestor (anonimizados quando agregados).
5. Compartilhamento com terceiros
Compartilhamos apenas o estritamente necessário, com operadores que seguem padrão equivalente ao nosso:
- Stripe: processamento de pagamentos e assinaturas.
- Resend: envio de e-mails transacionais.
- CompreFace (auto-hospedado): reconhecimento facial; o template biométrico fica em infraestrutura própria.
- Railway, Vercel, Cloudflare: hospedagem, CDN e DNS.
- Autoridades públicas: apenas mediante ordem judicial ou requisição legal.
Não vendemos seus dados a terceiros para fins de marketing. Jamais.
6. Tempo de retenção
- Dados de cadastro: enquanto a conta estiver ativa.
- Após cancelamento: até 30 dias para eventual reativação; depois são apagados ou anonimizados.
- Dados financeiros e fiscais: retidos por até 5 anos por obrigação legal (Receita Federal).
- Templates biométricos: excluídos imediatamente quando o aluno é removido ou solicita exclusão.
7. Seus direitos como titular (art. 18 LGPD)
Você pode, a qualquer momento, solicitar:
- Confirmação de que tratamos seus dados.
- Acesso aos dados que mantemos sobre você.
- Correção de dados incompletos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários.
- Portabilidade dos dados em formato estruturado.
- Revogação do consentimento.
- Exclusão completa da conta em /excluir-conta.
Solicitações são atendidas em até 15 dias.
8. Segurança
- Tráfego sempre em HTTPS/TLS.
- Senhas armazenadas com hash bcrypt (custo 10+).
- Tokens de sessão JWT com expiração de 30 dias.
- Banco de dados em rede privada, com backup diário.
- Controle de acesso por perfil (RBAC) dentro da Plataforma.
9. Cookies
Utilizamos cookies essenciais (login, sessão) e cookies de analytics (Google Analytics 4) para entender o uso agregado. Você pode bloquear cookies no navegador — funcionalidades como login podem ficar limitadas.
10. Crianças e adolescentes
A Plataforma não é destinada a menores de 13 anos. Cadastros de adolescentes (alunos da academia) devem ser feitos pelos responsáveis legais ou pela própria academia mediante autorização documentada.
11. Alterações nesta política
Esta política pode ser atualizada periodicamente. Mudanças relevantes serão comunicadas por e-mail ao titular da conta com 15 dias de antecedência.
12. Encarregado e contato (DPO)
Para exercer seus direitos ou tirar dúvidas: