Índice
- Controlador e DPO
- Dados pessoais coletados
- Dados sensíveis (saúde)
- Base legal e finalidade
- Como coletamos
- Compartilhamento com terceiros
- Cookies, pixels e rastreadores
- Transferência internacional de dados
- Tempo de retenção
- Segurança da informação
- Direitos do titular
- Menores de idade
- Notificação de incidentes
- Alterações desta Política
- Contato com o DPO
Compromisso com privacidade — leia primeiro
Coletamos o mínimo de dados pessoais necessário para a finalidade educacional declarada (princípio da minimização, LGPD art. 6º, V). Para qualquer dado sensível de saúde, pedimos seu consentimento específico, livre, informado e destacado (art. 11, I).
1. Controlador e Encarregado (DPO)
Controlador dos dados pessoais:
DM2 Digital Infinity Ltda
CNPJ: 53.890.949/0001-70
Sede: Alameda Rio Negro, 500, Torre B, Conjunto 2211, Alphaville, Barueri/SP, CEP 06454-000
Email institucional: contato@evidenshealth.com
Encarregado de Tratamento de Dados (DPO):
Marcio Luis Almeida dos Anjos
OAB/SP nº 354.374
Email: privacy@evidenshealth.com
O DPO é responsável por receber comunicações de titulares e da Autoridade Nacional de Proteção de Dados (ANPD), orientar funcionários e contratados sobre práticas de proteção de dados, executar e supervisionar planos de adequação à LGPD e responder a solicitações de exercício de direitos do titular (LGPD art. 41, §2º).
Declaração de gestão de conflitos de interesse (Resolução CD/ANPD nº 18/2024, art. 6º)
O Encarregado declara conhecer sua condição de sócio da DM2 e mantém procedimento documentado de gestão de potenciais conflitos de interesse. Em casos concretos em que a solicitação envolva parte com interesse societário conflitante, ou em que a imparcialidade do Encarregado possa ser materialmente comprometida, será aplicada substituição temporária por advogado externo independente mediante registro formal, com manutenção da continuidade do canal privacy@evidenshealth.com. A DM2 está em processo de transição para Encarregado independente (sócio não-operacional ou DPO externo terceirizado) em um horizonte de até 60 dias após o lançamento.
2. Dados pessoais coletados
Coletamos diferentes categorias de dados, sempre conforme a finalidade declarada.
2.1 — Dados fornecidos diretamente pelo titular
- Nome completo
- Telefone (incluindo WhatsApp, opcional)
- Data de nascimento
- CPF (para emissão de nota fiscal)
- Endereço (para entrega de eventuais materiais físicos)
- Senha de acesso (armazenada em formato criptografado — hash bcrypt)
- Respostas à Autoavaliação dos 5 Pilares
- Conteúdos preenchidos no Diário de Evidências
- Pontuações em escalas autoaplicadas (PSS-10, PSQI, ISI, ESS, MEQ)
- Comunicações com o suporte (email, formulários, WhatsApp)
2.2 — Dados coletados automaticamente
- Endereço IP, geolocalização aproximada (cidade/estado/país)
- Tipo de navegador, sistema operacional, idioma
- Páginas visitadas, tempo de permanência, ações na plataforma
- Identificadores de dispositivo (cookies, fingerprint básico)
2.3 — Dados recebidos de terceiros
- Status de pagamento, ID da transação, parte truncada do meio de pagamento (recebidos dos intermediadores Mercado Pago)
- Dados de conversão de campanhas pagas em Meta (Facebook/Instagram), TikTok, Google Ads — sempre de forma agregada e/ou hash, conforme padrões dos provedores
3. Dados sensíveis (saúde) — tratamento especial
Reconhecemos que parte dos dados tratados pela Evidens Health pode ser classificada como dado pessoal sensível de saúde nos termos do art. 5º, II, e art. 11 da LGPD. São eles:
- Peso, altura, circunferência da cintura, IMC, WHtR;
- Pontuações em escalas autoaplicadas que tocam saúde mental (PSS-10) e qualidade de sono (PSQI, ISI, ESS, MEQ);
- Autodeclaração de hábitos alimentares, sono, atividade física, estresse percebido;
- Eventuais menções a condições clínicas em texto livre no Diário de Evidências (o sistema desencoraja explicitamente o registro de informações clínicas, mas o titular pode optar por inseri-las).
Para o tratamento desses dados, adotamos as seguintes garantias:
- Consentimento específico, livre, informado e destacado (LGPD art. 11, I) — solicitado em momento próprio, separado do aceite dos Termos;
- Finalidade educacional explícita — os dados são usados exclusivamente para personalização do conteúdo educacional, cálculo de marcadores via fórmulas públicas e progresso do usuário no Protocolo;
- Não compartilhamento dos dados sensíveis com terceiros para finalidades comerciais ou de marketing;
- Segurança reforçada — criptografia em trânsito (TLS 1.3) e em repouso (AES-256), controle de acesso por privilégio mínimo, auditoria de acessos;
- Direito de revogação do consentimento a qualquer momento, sem prejuízo dos demais direitos do titular.
4. Base legal e finalidade
Para cada categoria de dado, identificamos a base legal e a finalidade:
Execução de contrato (LGPD art. 7º, V)
Dados de cadastro, pagamento, acesso ao Portal e cumprimento da entrega dos produtos contratados.
Base: art. 7º, V — execução de contrato
Consentimento específico (LGPD art. 11, I)
Dados sensíveis de saúde, incluindo respostas à Autoavaliação, Diário de Evidências, escalas autoaplicadas.
Base: art. 11, I — consentimento específico e destacado
Obrigação legal (LGPD art. 7º, II)
Dados fiscais (CPF, endereço), nota fiscal, registro de transações financeiras.
Base: art. 7º, II — cumprimento de obrigação legal/regulatória
Legítimo interesse (LGPD art. 7º, IX)
Análise agregada de uso da plataforma, prevenção de fraude, segurança da informação, comunicações transacionais.
Base: art. 7º, IX — legítimo interesse (com avaliação de impacto)
Consentimento (LGPD art. 7º, I)
Cookies não-essenciais, pixels de marketing, comunicações promocionais por email/WhatsApp.
Base: art. 7º, I — consentimento livre e revogável a qualquer tempo
5. Como coletamos
Coletamos dados:
- Quando você se cadastra no Portal ou contrata um produto;
- Quando você preenche a Autoavaliação ou o Diário de Evidências;
- Quando você responde a escalas autoaplicadas;
- Quando você nos contata por email, formulário ou WhatsApp;
- Automaticamente, via cookies, durante a navegação (sujeito ao seu consentimento);
- Via intermediadores de pagamento (apenas dados estritamente necessários à transação).
6. Compartilhamento com terceiros
Não vendemos seus dados pessoais. Compartilhamos dados estritamente necessários com:
- Intermediadores de pagamento — Mercado Pago — para processar transações;
- Provedores de infraestrutura — Cloudflare (hospedagem do site, CDN, WAF), provedores de email transacional, provedores de hospedagem de mídia;
- Plataformas de marketing (Meta, TikTok, Google) — apenas dados agregados de conversão e identificadores hashed, sempre mediante seu consentimento explícito a cookies não-essenciais;
- Autoridades públicas — quando exigido por lei, ordem judicial ou solicitação de autoridade competente, mediante análise de legalidade e necessidade.
Dados sensíveis de saúde NÃO são compartilhados com plataformas de marketing ou para finalidades comerciais.
7. Cookies, pixels e rastreadores
Usamos diferentes categorias de tecnologia de rastreamento:
7.1 — Cookies essenciais (sempre ativos)
Necessários para o funcionamento básico do site (sessão, segurança, preferências). Não dependem de consentimento.
7.2 — Cookies de análise e marketing (mediante consentimento)
Usamos os seguintes pixels mediante seu consentimento explícito, coletado por banner próprio na página:
- Meta Pixel (Facebook/Instagram) — para mensuração de conversão de campanhas pagas;
- TikTok Pixel — idem;
- Google Analytics 4 + Google Ads — para análise de tráfego e conversão.
Você pode recusar ou revogar esse consentimento a qualquer momento no banner de consentimento ou contatando o DPO. Recusar não afeta sua experiência no Portal.
8. Transferência internacional de dados
Alguns provedores que utilizamos (Cloudflare, Meta, Google, TikTok) podem processar dados em servidores fora do Brasil, em particular nos Estados Unidos da América e na União Europeia (Finlândia/Irlanda).
Adotamos os seguintes mecanismos para garantir nível adequado de proteção (LGPD art. 33):
- Cláusulas contratuais específicas para transferência internacional, alinhadas ao modelo da ANPD quando aplicável;
- Avaliação de adequação do país de destino, considerando legislação local;
- Compromisso do operador de aplicar nível equivalente de proteção;
- Minimização do volume e categoria de dados transferidos.
Dados sensíveis de saúde NÃO são transferidos para fora do Brasil sem mecanismo adicional de proteção formalmente documentado.
9. Tempo de retenção
- Dados de cadastro: enquanto a conta estiver ativa + 6 meses após exclusão (para resposta a eventuais solicitações pós-encerramento);
- Dados fiscais: 5 anos (obrigação tributária);
- Dados de transação financeira: conforme exigência da Receita Federal e dos intermediadores de pagamento, até 10 anos para fins de auditoria;
- Dados de navegação: 26 meses;
- Dados sensíveis de saúde: enquanto a conta estiver ativa OU até revogação expressa do consentimento, o que ocorrer primeiro;
- Logs de segurança: 12 meses (Marco Civil da Internet, Lei 12.965/2014).
10. Segurança da informação
Adotamos medidas técnicas e administrativas razoáveis para proteger seus dados:
- Criptografia em trânsito (TLS 1.3);
- Criptografia em repouso para dados sensíveis (AES-256);
- Senhas armazenadas em formato hash (bcrypt);
- Controle de acesso por privilégio mínimo;
- Auditoria de acessos a dados sensíveis;
- Backups regulares com retenção controlada;
- WAF (Web Application Firewall) e proteção contra bots;
- Plano de resposta a incidentes.
11. Direitos do titular (LGPD art. 18)
Como titular dos seus dados pessoais, você tem direito a:
- Confirmar a existência de tratamento;
- Acessar os dados que tratamos sobre você;
- Corrigir dados incompletos, inexatos ou desatualizados;
- Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portar seus dados para outro fornecedor (quando aplicável);
- Eliminar dados tratados com base em consentimento (sujeito às obrigações legais de retenção);
- Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados;
- Informação sobre a possibilidade de não consentir e suas consequências;
- Revogar consentimento, mediante manifestação expressa, a qualquer tempo;
- Apresentar reclamação à ANPD (Autoridade Nacional de Proteção de Dados).
Para exercer qualquer desses direitos, envie email para privacy@evidenshealth.com. Responderemos em até 15 dias úteis, conforme art. 19 da LGPD.
12. Menores de idade
A Evidens Health não direciona seus produtos a menores de 18 anos e não coleta intencionalmente dados de menores. Se identificarmos cadastro de menor, encerraremos a conta e eliminaremos os dados, salvo retenção legal obrigatória.
Se você é responsável legal por menor cujos dados tenham sido coletados, contate-nos imediatamente em privacy@evidenshealth.com.
13. Notificação de incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos à ANPD e aos titulares afetados em prazo razoável, conforme o art. 48 da LGPD e regulamentação da ANPD.
14. Alterações desta Política
Esta Política pode ser atualizada para refletir mudanças regulatórias, técnicas ou organizacionais. Mudanças significativas serão comunicadas por email ou aviso na plataforma com antecedência razoável.
O histórico de versões é mantido para fins de auditoria.
15. Contato com o DPO
Para qualquer dúvida, reclamação ou exercício de direito relacionado a dados pessoais:
Marcio Luis Almeida dos Anjos — OAB/SP nº 354.374
Encarregado de Tratamento de Dados (DPO) — Evidens Health
Email: privacy@evidenshealth.com
Para casos sensíveis, indique no assunto: "Solicitação LGPD"
Você também pode reportar a ANPD — Autoridade Nacional de Proteção de Dados: www.gov.br/anpd
Última atualização: 12 de maio de 2026 · Versão 2.0