Onix

1. Identificação do Controlador

Razão Social: Naga Medical Ltda

Nome Fantasia: Onix — Harmonização Facial e Dermocosméticos

CNPJ: 45.188.118/0001-23

Endereço: Rua Vergueiro, 2087 — Vila Mariana, São Paulo/SP — CEP 04101-000

Encarregado de Proteção de Dados (DPO): Setor de Compliance — Naga Medical Ltda

E-mail: privacidade@onixhof.com

Telefone: (11) 97494-7448

2. Legislação Aplicável

Esta Política de Privacidade foi elaborada em conformidade com a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), a Lei Federal nº 12.965/2014 (Marco Civil da Internet), o Decreto nº 8.771/2016 (regulamentação do Marco Civil) e o Código de Defesa do Consumidor (Lei nº 8.078/1990), além das orientações do Guia Orientativo da ANPD sobre Cookies e Proteção de Dados Pessoais.

3. Definições

Para os fins desta Política, consideram-se:

Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável (Art. 5º, I — LGPD).
Titular: pessoa natural a quem se referem os dados pessoais (Art. 5º, V).
Controlador: pessoa jurídica a quem competem as decisões referentes ao tratamento de dados pessoais — neste caso, a Naga Medical Ltda.
Tratamento: toda operação realizada com dados pessoais, como coleta, armazenamento, uso, compartilhamento ou eliminação (Art. 5º, X).
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados (Art. 5º, XII).
Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares e a ANPD (Art. 5º, VIII).
ANPD: Autoridade Nacional de Proteção de Dados, órgão responsável por zelar pela proteção de dados pessoais no Brasil.
Cookies: pequenos arquivos de texto armazenados no dispositivo do usuário pelo navegador, utilizados para diversas finalidades técnicas e analíticas.

4. Dados Pessoais Coletados

Coletamos dados pessoais de acordo com o princípio da necessidade (Art. 6º, III — LGPD), limitando-nos ao mínimo necessário para cada finalidade. Os dados são organizados nas seguintes categorias:

4.1. Dados de Cadastro

Nome completo
CPF ou CNPJ
E-mail
Telefone / WhatsApp
Registro profissional (CRM, CRO, CRBM, CREFITO ou equivalente)
Endereço de entrega (logradouro, número, complemento, bairro, cidade, estado, CEP)
Credenciais de acesso (senha armazenada em formato hash, nunca em texto plano)

4.2. Dados de Transações

Histórico de pedidos e valores
Forma de pagamento utilizada (PIX, cartão de crédito)
Status e rastreamento de entregas
Produtos adicionados ao carrinho
Cupons de desconto aplicados
Dados de notas fiscais eletrônicas (NFe)

4.3. Dados de Navegação e Analytics

Coletados somente mediante consentimento prévio (opt-in), conforme nosso banner de cookies:

Endereço IP
Tipo de dispositivo (desktop, tablet, celular)
Navegador e sistema operacional (User-Agent)
Páginas visitadas e tempo de permanência
Interações com produtos (visualizações, buscas, favoritos)
Comportamento no checkout (etapas, abandono)
URL de origem (referrer)

4.4. Dados do Consultor (Vendedor)

Vínculo consultor-cliente (qual vendedor atende qual cliente)
Carrinhos compartilhados e comissões
Metas e atividades de venda

5. Finalidades e Bases Legais do Tratamento

Cada tratamento de dados está amparado por uma base legal prevista no Art. 7º da LGPD. Apresentamos abaixo as finalidades e suas respectivas bases:

Finalidade	Dados Utilizados	Base Legal (Art. 7º)
Processar pedidos e entregas	Cadastro, endereço, pagamento	Execução de contrato (V)
Emissão de notas fiscais	Nome, CPF/CNPJ, endereço	Cumprimento de obrigação legal (II)
Autenticação e segurança da conta	E-mail, senha (hash), IP, tokens	Legítimo interesse (IX)
Verificação de elegibilidade profissional	Registro profissional	Execução de contrato (V)
Prevenção a fraudes e segurança	IP, dispositivo, padrões de acesso	Legítimo interesse (IX)
Atendimento ao cliente via consultor	Cadastro, pedidos, carrinho	Execução de contrato (V)
Analytics e melhoria da experiência	Navegação, interações, dispositivo	Consentimento (I)
Envio de comunicações de marketing	E-mail, telefone, preferências	Consentimento (I)
Cumprimento de obrigações fiscais e contábeis	Dados de transações, NFe	Obrigação legal (II)
Exercício regular de direitos em processos	Dados necessários ao caso	Exercício regular de direitos (VI)

6. Compartilhamento de Dados

Seus dados pessoais poderão ser compartilhados com terceiros nas seguintes hipóteses, sempre respeitando o princípio da necessidade e mediante contratos que garantam a proteção dos dados:

Sistema ERP (Bling): sincronização de pedidos, contatos e notas fiscais para gestão operacional.
Processadores de pagamento (Rede e Asaas): processamento de transações PIX e cartão de crédito. As credenciais de pagamento são armazenadas de forma criptografada (AES-256-GCM) e nunca são acessíveis em texto plano.
Operadores logísticos e Correios: nome, endereço e telefone do destinatário para efetuar a entrega.
Consultores/vendedores vinculados: dados necessários ao atendimento comercial do cliente (nome, histórico de pedidos, carrinho).
Autoridades públicas: quando exigido por lei, ordem judicial ou determinação da ANPD.

Não vendemos, alugamos ou comercializamos seus dados pessoais a terceiros em nenhuma hipótese.

7. Cookies e Tecnologias de Rastreamento

Utilizamos cookies e tecnologias similares conforme o Guia Orientativo da ANPD sobre Cookies e Proteção de Dados Pessoais (outubro/2022). Ao acessar nosso site, você verá um banner de consentimento que permite aceitar, rejeitar ou personalizar o uso de cookies não essenciais.

7.1. Categorias de Cookies

Categoria	Obrigatório?	Descrição
Essenciais	Sim (sempre ativo)	Necessários para autenticação, segurança, carrinho de compras e funcionamento básico do site. Não podem ser desabilitados.
Funcionais	Não	Permitem lembrar preferências de navegação e personalizar a experiência. Ativados por padrão, mas podem ser desabilitados.
Analytics	Não	Ajudam a entender como você navega no site. Coletam dados como páginas visitadas, tempo de navegação e interações. Desativados por padrão — requerem consentimento explícito.
Marketing	Não	Utilizados para exibir anúncios e conteúdo relevante. Atualmente não utilizamos cookies de marketing. Desativados por padrão.

7.2. Cookies e Tecnologias Utilizados

Nome	Tipo	Categoria	Finalidade	Duração
app_token	Cookie HttpOnly	Essencial	Autenticação do usuário (JWT)	5 minutos
app_refresh	Cookie HttpOnly	Essencial	Renovação automática de sessão	24h / 30 dias
csrf_token	Cookie	Essencial	Proteção contra ataques CSRF	1 hora
selected_region	Cookie	Essencial	Exibir preços da sua região	30 dias
consent_preferences	Cookie	Essencial	Armazenar suas preferências de cookies	6 meses
Carrinho	localStorage	Essencial	Persistir itens no carrinho de compras	Persistente
app_ws_token	Cookie	Essencial	Notificações em tempo real (WebSocket)	Sessão
analytics_session_id	localStorage	Analytics	Identificação anônima de sessão	30 minutos

7.3. Como Gerenciar Cookies

Você pode gerenciar suas preferências de cookies a qualquer momento através do link "Configurar Cookies" disponível no rodapé de todas as páginas do site, ou acessando Minha Conta → Privacidade. Também é possível configurar seu navegador para bloquear ou alertar sobre cookies, embora isso possa afetar o funcionamento de algumas funcionalidades essenciais.

8. Armazenamento e Retenção de Dados

Armazenamos seus dados pelo tempo necessário para cumprir as finalidades para as quais foram coletados, observados os prazos legais obrigatórios. Após o término do período de retenção, os dados são eliminados ou anonimizados de forma irreversível.

Tipo de Dado	Prazo de Retenção	Justificativa
Dados de conta (cadastro)	Enquanto a conta estiver ativa + 7 dias após solicitação de exclusão	Execução de contrato + grace period para cancelamento
Dados de transações (pedidos, NFe)	5 anos mínimo (indefinido)	Obrigação fiscal e contábil (CTN Art. 173)
Analytics — eventos gerais	24 meses	Após: anonimização automática (Art. 12 — LGPD)
Analytics — comportamento detalhado	12 meses	Eliminados automaticamente após o período
Analytics — presença (heartbeats)	90 dias	Eliminados automaticamente após o período
Analytics anonimizado	Indefinido	Dados anonimizados não são dados pessoais
Registros de consentimento	Indefinido	Prova legal (Art. 8, §2 — LGPD)
Registros de acesso (logs)	6 meses	Marco Civil da Internet (Art. 15)
Dados de segurança (eventos)	12 meses	Prevenção a fraudes e incidentes

9. Segurança dos Dados

Empregamos medidas técnicas e organizacionais apropriadas para proteger seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição, incluindo:

Criptografia em trânsito: todas as comunicações são protegidas por HTTPS/TLS.
Criptografia em repouso: credenciais de pagamento são criptografadas com AES-256-GCM. Senhas são armazenadas em formato hash (bcrypt), impossibilitando a recuperação do texto original.
Autenticação segura: tokens JWT de curta duração (5 minutos), com renovação automática via refresh tokens. Suporte a autenticação em duas etapas (2FA) por TOTP, e-mail ou WhatsApp.
Proteção contra ataques: proteção CSRF em todas as operações, limitação de taxa (rate limiting) em endpoints sensíveis, detecção de atividade suspeita e bloqueio automático.
Controle de acesso: sistema de permissões granular baseado em papéis (RBAC), com princípio do menor privilégio.
Monitoramento: registro de eventos de segurança, alertas automáticos para atividades críticas e auditoria contínua.

Embora adotemos padrões rigorosos de segurança, nenhum sistema é completamente inviolável. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados conforme Art. 48 da LGPD.

10. Seus Direitos como Titular

Conforme o Art. 18 da LGPD, você pode exercer, a qualquer momento e de forma gratuita, os seguintes direitos sobre seus dados pessoais:

Confirmação da existência de tratamento de dados pessoais.
Acesso aos dados pessoais que mantemos sobre você.
Correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade dos dados a outro fornecedor de serviço, em formato estruturado (JSON).
Eliminação dos dados tratados com base no seu consentimento, exceto nas hipóteses de conservação previstas no Art. 16 da LGPD.
Informação sobre as entidades públicas e privadas com as quais compartilhamos dados.
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa negativa.
Revogação do consentimento a qualquer momento, por procedimento gratuito e facilitado.
Oposição ao tratamento de dados realizado com fundamento em hipóteses diversas do consentimento, caso o tratamento não esteja em conformidade com a LGPD.

10.1. Como Exercer Seus Direitos

Você pode exercer seus direitos de três formas:

Pela plataforma: acesse Minha Conta → Privacidade para exportar seus dados, gerenciar consentimentos ou solicitar exclusão.
Por e-mail: envie sua solicitação para privacidade@onixhof.com, informando seu nome completo e CPF para identificação.
Pelo rodapé do site: clique em "Configurar Cookies" para gerenciar suas preferências de cookies a qualquer momento.

10.2. Prazo de Resposta

Responderemos às suas solicitações em até 15 (quinze) dias úteis, contados a partir da data de recebimento da solicitação, conforme Art. 19, II da LGPD. Em casos complexos, o prazo poderá ser estendido mediante justificativa e comunicação prévia.

10.3. Consequências da Revogação

A revogação do consentimento não afeta a licitude do tratamento realizado anteriormente. Ao revogar o consentimento para cookies de analytics, você deixará de ser rastreado, porém poderemos perder a capacidade de personalizar recomendações e melhorar sua experiência de compra. Os serviços essenciais da plataforma (compras, conta, entregas) continuarão funcionando normalmente.

11. Proteção de Dados de Menores

Nossos serviços são destinados exclusivamente a profissionais da saúde e estética devidamente habilitados, com idade mínima de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de crianças ou adolescentes (menores de 18 anos). Caso tenhamos conhecimento de que dados de um menor foram coletados inadvertidamente, procederemos à sua eliminação imediata.

12. Transferência Internacional de Dados

Seus dados pessoais são armazenados e processados em servidores localizados no Brasil. Eventualmente, dados poderão ser processados por prestadores de serviço com infraestrutura no exterior (como processadores de pagamento), sempre com garantias contratuais de proteção equivalente à LGPD, nos termos do Art. 33, II (cláusulas contratuais específicas) da LGPD.

13. Alterações nesta Política

Esta Política de Privacidade poderá ser atualizada periodicamente para refletir mudanças em nossas práticas, na legislação ou nas orientações da ANPD. Quando realizarmos alterações substanciais:

Atualizaremos a data e a versão no topo desta página.
Seu consentimento de cookies será automaticamente renovado — o banner de consentimento reaparecerá para que você revise e aceite as novas condições.
Poderemos notificá-lo por e-mail ou aviso em destaque no site.

Recomendamos que você consulte esta página periodicamente para se manter informado.

14. Contato

Para exercer seus direitos, esclarecer dúvidas ou registrar reclamações sobre o tratamento de seus dados pessoais, entre em contato com nosso Encarregado de Proteção de Dados:

Encarregado (DPO): Naga Medical Ltda

E-mail: privacidade@onixhof.com

WhatsApp: (11) 97494-7448

Endereço: Rua Vergueiro, 2087 — Vila Mariana, São Paulo/SP — CEP 04101-000

Caso não obtenha resposta satisfatória, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) através do site www.gov.br/anpd.

15. Vigência e Foro

Esta Política de Privacidade entra em vigor na data de sua publicação e permanece válida por prazo indeterminado. Para dirimir quaisquer controvérsias decorrentes desta Política, fica eleito o foro da Comarca de São Paulo, Estado de São Paulo, com renúncia expressa a qualquer outro, por mais privilegiado que seja.