BlzPass Voltar ao site
Documento legal

Política de Privacidade

Última atualização: 28 de março de 2026

A BlzPass valoriza e respeita a privacidade de seus usuários. Esta Política descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais, incluindo dados biométricos provenientes da análise facial, em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018).

Compromisso com a LGPD

A BlzPass trata dados biométricos — considerados dados sensíveis pelo art. 5º, II da LGPD — apenas com seu consentimento explícito, para finalidades específicas e mediante medidas técnicas de segurança robustas. Você pode revogar seu consentimento e solicitar a exclusão a qualquer momento.

1. Controlador de Dados

O Controlador responsável pelo tratamento de seus dados pessoais é:

BlzPass Tecnologia Ltda.

CNPJ: 00.000.000/0001-00 (em constituição)

Av. Paulista, 1000 — Bela Vista, São Paulo/SP — CEP 01310-100

E-mail: privacidade@blzpass.com.br

2. Dados que Coletamos

2.1 Dados fornecidos por você

  • Cadastro: nome completo, endereço de e-mail, senha (hash), telefone (opcional);
  • Login social: nome, e-mail e foto de perfil obtidos do Google, Instagram ou TikTok com sua autorização;
  • Perfil: data de nascimento, gênero (opcional), preferências de scan;
  • Pagamento: dados de cartão tratados diretamente pela operadora (não armazenamos dados de cartão).

2.2 Dados coletados automaticamente

  • Endereço IP, tipo de dispositivo, sistema operacional e navegador;
  • Geolocalização aproximada (cidade/estado) para recomendação de profissionais;
  • Logs de acesso, horários e páginas visitadas;
  • Cookies e identificadores de sessão (detalhes na seção 10).

2.3 Dados biométricos (imagens faciais)

Fotos e capturas de vídeo enviadas para análise facial. Veja a seção 3 para o tratamento detalhado desses dados sensíveis.

3. Dados Biométricos — Tratamento Especial (LGPD)

⚠️ Dado sensível: Imagens faciais são classificadas como dados biométricos (LGPD, art. 5º, II) e recebem nível máximo de proteção.

3.1 O que coletamos

Fotografias do rosto enviadas pelo app ou câmera do dispositivo, utilizadas exclusivamente para análise de condições de pele via IA (MediaPipe Face Mesh — 468 pontos faciais).

3.2 Base legal

O tratamento é realizado exclusivamente com base no consentimento livre, informado, inequívoco e específico do titular (LGPD, art. 11, I), coletado no momento do cadastro e a cada scan realizado.

3.3 Finalidade exclusiva

As imagens são usadas somente para:

  • Geração do diagnóstico de pele e score personalizado;
  • Composição do histórico de evolução do usuário;
  • Exibição de comparativo antes/depois na conta do titular.

Nunca usamos imagens faciais para treinamento de modelos de terceiros, compartilhamento comercial, publicidade ou perfilagem sem consentimento adicional.

3.4 Criptografia e armazenamento

  • Imagens transmitidas com TLS 1.3 (criptografia em trânsito);
  • Armazenadas com AES-256 em servidores na AWS São Paulo (sa-east-1);
  • Acesso restrito por RBAC (controle de acesso baseado em função);
  • Chaves de criptografia gerenciadas pelo AWS KMS com rotação automática;
  • Auditorias de acesso registradas em logs imutáveis.

3.5 Retenção

Imagens faciais são retidas enquanto a conta estiver ativa. Ao excluir a conta, todas as imagens são permanentemente removidas dos servidores em até 30 dias. Cópias de backup são eliminadas em até 90 dias.

3.6 Revogação do consentimento

Você pode revogar o consentimento para análise biométrica a qualquer momento em Configurações → Privacidade → Gerenciar dados faciais, sem prejuízo às funcionalidades não biométricas da plataforma.

4. Base Legal e LGPD

Tratamos seus dados com base nas seguintes hipóteses da LGPD (art. 7º e art. 11):

DadoBase legal (LGPD)
Cadastro e contaExecução de contrato (art. 7º, V)
Dados biométricos / imagens faciaisConsentimento explícito (art. 11, I)
PagamentosExecução de contrato (art. 7º, V)
Logs e segurançaLegítimo interesse (art. 7º, IX)
Marketing por e-mailConsentimento (art. 7º, I)
Obrigações fiscaisCumprimento de obrigação legal (art. 7º, II)

5. Finalidades do Tratamento

  • Criação e gerenciamento de conta de usuário;
  • Prestação dos serviços de análise facial e diagnóstico de pele;
  • Conexão com profissionais de estética e agendamento;
  • Envio de notificações de scan periódico (conforme preferência);
  • Processamento de pagamentos e emissão de notas fiscais;
  • Melhoria contínua da plataforma e dos algoritmos de IA (com dados anonimizados);
  • Prevenção a fraudes e segurança da plataforma;
  • Cumprimento de obrigações legais e regulatórias;
  • Comunicações de marketing (apenas com consentimento, com opção de descadastro).

6. Compartilhamento de Dados

Seus dados não são vendidos. Compartilhamos apenas com:

  • Profissionais de estética: nome, histórico de procedimentos e diagnóstico, somente quando você agenda uma consulta;
  • Processadores de pagamento (ex: Stripe, Pagar.me): dados mínimos para transação, regidos por contrato com cláusulas de proteção de dados;
  • Provedores de infraestrutura (AWS, Vercel, Vercel Blob Storage, Neon Technology Inc.): armazenamento e processamento sob DPA (Data Processing Agreement);
  • Provedor de IA (Anthropic PBC, EUA): imagens faciais são enviadas para análise via API Claude Vision exclusivamente para geração do diagnóstico de pele. Nenhuma imagem é retida pela Anthropic após o processamento. Transferência internacional realizada com garantias contratuais (SCCs) conforme art. 33 LGPD;
  • Autoridades públicas: quando exigido por lei, decisão judicial ou autoridade competente (ex: ANPD, Receita Federal);
  • Auditores e assessores jurídicos: sob sigilo profissional e NDA.

7. Retenção e Exclusão de Dados

Tipo de dadoPrazo de retenção
Dados de conta (nome, e-mail)Enquanto a conta estiver ativa + 5 anos
Imagens faciais / biométricosEnquanto a conta estiver ativa + 30 dias
Dados de pagamento (recibos)5 anos (obrigação fiscal)
Logs de acesso6 meses (segurança)
Backups criptografados90 dias após exclusão da conta

8. Segurança

Adotamos medidas técnicas e organizacionais compatíveis com o estado da arte:

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256);
  • Autenticação multifator (MFA) para equipe interna;
  • Testes de penetração e auditorias de segurança periódicas;
  • Programa de bug bounty para reporte responsável de vulnerabilidades;
  • Plano de resposta a incidentes com notificação à ANPD em até 72h (art. 48 LGPD);
  • Acesso segmentado por função (princípio do menor privilégio).

9. Seus Direitos — LGPD art. 18

Como titular de dados, você tem direito a:

Confirmação e acesso

Saber se tratamos seus dados e obter cópia.

Correção

Corrigir dados incompletos, inexatos ou desatualizados.

Anonimização / bloqueio

Solicitar anonimização ou bloqueio de dados desnecessários.

Eliminação

Excluir dados tratados com base em consentimento.

Portabilidade

Receber seus dados em formato estruturado (JSON/CSV).

Informação

Saber com quem compartilhamos seus dados.

Revogação do consentimento

Revogar o consentimento a qualquer momento.

Oposição

Opor-se ao tratamento em caso de descumprimento da LGPD.

Para exercer seus direitos, envie solicitação para dpo@blzpass.com.br ou acesse Configurações → Privacidade → Meus direitos no app. Responderemos em até 15 dias úteis (art. 18, §3º LGPD).

10. Cookies e Rastreadores

10.1 O que são cookies

Pequenos arquivos de texto armazenados no seu dispositivo para lembrar preferências e analisar o uso da plataforma.

10.2 Tipos que usamos

TipoFinalidadeObrigatório
Sessão / AutenticaçãoManter login ativo (NextAuth)Sim
PreferênciasIdioma, frequência de scanNão
Análise / AnalyticsMedir uso das funcionalidades (dados anonimizados)Não
MarketingPersonalizar campanhas (apenas com consentimento)Não

10.3 Gerenciar cookies

Você pode gerenciar preferências de cookies clicando em "Gerenciar cookies" no rodapé ou nas configurações do seu navegador. Cookies de sessão são necessários para o funcionamento do login e não podem ser desativados.

11. Menores de Idade

A BlzPass não coleta intencionalmente dados de menores de 18 anos sem consentimento dos responsáveis legais, em conformidade com o art. 14 da LGPD. Se tomarmos conhecimento de que coletamos dados de menor sem o devido consentimento, eliminaremos tais dados imediatamente. Pais e responsáveis podem entrar em contato pelo e-mail dpo@blzpass.com.br.

12. Transferências Internacionais

Alguns de nossos provedores (AWS, Vercel, Neon Technology Inc., Anthropic PBC) podem processar dados em servidores fora do Brasil, em particular nos Estados Unidos. Todas as transferências internacionais são realizadas com garantias contratuais adequadas (cláusulas-padrão de proteção de dados — SCCs) conforme art. 33 da LGPD, garantindo nível de proteção equivalente ao exigido pela legislação brasileira.

Sempre que possível, priorizamos servidores localizados no Brasil (AWS sa-east-1 — São Paulo).

13. Alterações desta Política

Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por e-mail e notificação na plataforma com antecedência mínima de 15 dias. A versão vigente estará sempre disponível nesta página com a data de última atualização.

14. DPO — Encarregado de Proteção de Dados

Em cumprimento ao art. 41 da LGPD, a BlzPass designou um Encarregado de Proteção de Dados (DPO):

DPO BlzPass

E-mail: dpo@blzpass.com.br

Disponibilidade: segunda a sexta, das 9h às 18h (horário de Brasília)

Prazo de resposta: até 15 dias úteis (LGPD art. 18, §3º)

Você também pode registrar reclamações diretamente na ANPD — Autoridade Nacional de Proteção de Dados.

Consulte também nossos Termos de Uso.