Política de Privacidade
Última atualização: 29 de abril de 2026
Em vigor a partir de 29 de maio de 2026 (após o prazo de 30 dias previsto na Seção 15).
O Bokkai está em conformidade com a Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018. Esta política descreve como coletamos, usamos, compartilhamos e protegemos suas informações pessoais, incluindo a base legal de cada tratamento, os papéis do Bokkai e dos profissionais cadastrados, decisões automatizadas e tratamento de dados sensíveis em campos livres.
1. Informações que Coletamos
Coletamos diferentes tipos de informações conforme sua interação com o Bokkai:
Informações fornecidas por você:
- Nome completo, e-mail e telefone ao criar uma conta
- Informações do negócio (nome, segmento, endereço) — para profissionais
- Fotos de perfil e imagens de serviços
- Conteúdo de avaliações e comentários
- Informações de agendamentos (data, serviço, horário)
- Dados de assinatura no marketplace (vínculo cliente↔profissional, status, histórico de cobranças) — quando aplicável
- Notas livres de agendamento (podem incluir dados sensíveis quando o profissional for de saúde — ver Seção 11)
Informações coletadas automaticamente:
- Endereço IP e dados de navegação
- Tipo de dispositivo e sistema operacional
- Páginas visitadas e tempo de acesso
- Dados de uso e interação com a plataforma
- Logs técnicos de erro (com PII automaticamente removida)
2. Base Legal do Tratamento (LGPD — Art. 7º)
Em conformidade com o Art. 7º da LGPD, cada tratamento de dados realizado pelo Bokkai possui uma base legal específica:
| Finalidade | Base Legal |
|---|---|
| Criar e gerenciar sua conta | Execução de contrato (Art. 7º, V) |
| Processar agendamentos e enviar confirmações | Execução de contrato (Art. 7º, V) |
| WhatsApp transacional (confirmação, lembrete, aprovação de booking) | Execução de contrato (Art. 7º, V) |
| WhatsApp de marketing (campanhas, aniversário, retorno) | Consentimento (Art. 7º, I) |
| Processar pagamentos e assinaturas (Stripe + Stripe Connect) | Execução de contrato (Art. 7º, V) |
| Enviar comunicações operacionais sobre o Serviço | Legítimo interesse (Art. 7º, IX) |
| Comunicações de marketing por e-mail | Consentimento (Art. 7º, I) |
| Análise de uso e melhoria do produto | Legítimo interesse (Art. 7º, IX) |
| Prevenir fraudes e garantir segurança | Legítimo interesse (Art. 7º, IX) |
| Cumprir obrigações legais e regulatórias | Obrigação legal (Art. 7º, II) |
| Cookies essenciais (autenticação) | Execução de contrato (Art. 7º, V) |
| Cookies analíticos e de preferências | Consentimento (Art. 7º, I) |
| Tratamento de dados sensíveis em notas de agendamento (saúde) | Tutela da saúde / consentimento do titular ao profissional (Art. 11, II, “a” ou “f” LGPD) |
3. Papéis do Bokkai no Tratamento de Dados (LGPD Art. 5º)
Em relação a cada categoria de dado, o Bokkai exerce um dos seguintes papéis. A identificação correta do papel é importante para você saber a quem dirigir solicitações sobre seus direitos.
| Categoria de dado | Papel do Bokkai |
|---|---|
| Dados do profissional (perfil, plano, métricas) | Controlador |
| Dados de uso (IP, navegação, telemetria) | Controlador |
| Dados do cliente final cadastrados pelo profissional (nome, e-mail, telefone, histórico, notas) | Operador — o profissional é o controlador |
| Dados de assinatura no marketplace (vínculo, cobranças, status) | Co-controlador com o profissional (operação compartilhada via Stripe Connect) |
| Dados de pagamento Bokkai → profissional | Controlador (responsabilidade fiscal) |
Reflexo prático para clientes finais: se você é cliente de um profissional cadastrado e quer exercer seus direitos LGPD sobre seus dados de cliente (acesso, correção, exclusão), o destinatário primário da solicitação é o profissional. O Bokkai, na qualidade de operador, executa as instruções do profissional. Se preferir, você pode encaminhar a solicitação ao DPO do Bokkai (Seção 16) e nós a transmitiremos ao profissional responsável.
4. Como Usamos suas Informações
Utilizamos as informações coletadas para:
- Fornecer, manter e melhorar o Serviço
- Processar agendamentos e enviar confirmações e lembretes (e-mail e WhatsApp)
- Operar o marketplace de assinaturas (intermediar cobranças e repasses)
- Autenticar usuários e proteger suas contas
- Enviar comunicações sobre o Serviço (atualizações, alertas de segurança, cobrança)
- Personalizar a experiência na plataforma
- Analisar métricas de uso para aprimorar o produto
- Cumprir obrigações legais e regulatórias
- Prevenir fraudes e abusos na plataforma
5. Compartilhamento de Dados
O Bokkai não vende seus dados pessoais a terceiros. Podemos compartilhar informações nas seguintes situações:
- Entre profissional e cliente: ao confirmar um agendamento, o profissional recebe nome, e-mail e telefone do cliente. No marketplace de assinaturas, recebe adicionalmente o histórico de cobrança e o status da assinatura. O cliente, por sua vez, recebe os dados de contato do profissional
- Provedores de serviço (operadores subordinados): empresas que nos auxiliam na operação da plataforma, sob acordos de confidencialidade e contratos de processamento de dados — listados na tabela abaixo
- Cumprimento legal: quando exigido por lei, ordem judicial ou autoridades regulatórias, incluindo a ANPD
- Proteção de direitos: quando necessário para proteger os direitos, propriedade ou segurança do Bokkai, de usuários ou do público
Processadores de dados terceiros utilizados:
| Fornecedor | Finalidade | País |
|---|---|---|
| Supabase | Banco de dados, autenticação e armazenamento | EUA / Brasil* |
| Stripe, Inc. | Processamento de pagamentos (planos Bokkai e marketplace de assinaturas via Stripe Connect) | EUA |
| Resend | Envio de e-mails transacionais | EUA |
| WhatsApp Business API (Meta) | Envio de mensagens transacionais e de marketing | EUA / Irlanda |
| n8n | Orquestração de campanhas de WhatsApp e webhooks de aprovação | UE / Brasil** |
| Sentry | Monitoramento de erros server-side (com PII removida automaticamente) | EUA |
| Upstash | Cache e controle de acesso (Redis) | EUA / UE |
| Vercel | Hospedagem e entrega da aplicação | EUA / Global |
| Brasil API / ViaCEP | Validação de CEP e endereço | Brasil |
* O Supabase pode disponibilizar região de hospedagem no Brasil (sa-east-1). Consulte nossa equipe para mais detalhes sobre a região ativa.
** Quando hospedado pela equipe Bokkai, o n8n roda em infraestrutura selecionada conforme melhor região operacional.
6. Comunicações via WhatsApp e Marketing
O Bokkai utiliza o WhatsApp Business para envio automatizado de mensagens. As mensagens se dividem em duas categorias:
- Mensagens transacionais — confirmação de agendamento, lembrete de horário, aprovação de booking pelo profissional. São essenciais à execução do contrato (Art. 7º, V LGPD) e independem de consentimento adicional.
- Mensagens de marketing — campanhas de reativação, promoção relâmpago, lembrete de retorno e mensagem de aniversário. Só são enviadas mediante consentimento específico do cliente final, manifestado por opt-in claro e separado.
Revogação: a qualquer momento, respondendo “SAIR” ou “PARAR” à mensagem ou nas configurações da conta. A revogação não afeta as mensagens transacionais necessárias à prestação do serviço.
Cadeia de tratamento: as mensagens são geradas pelo Bokkai a partir dos dados do cliente, orquestradas pelo n8n e entregues pela WhatsApp Business API (Meta). Custos de telefonia eventualmente cobrados pela operadora do destinatário são de responsabilidade do destinatário.
7. Transferência Internacional de Dados
Alguns de nossos provedores de serviço estão localizados ou operam infraestrutura fora do Brasil, o que implica transferência internacional de dados pessoais, nos termos do Art. 33 da LGPD.
Essas transferências são realizadas com as seguintes salvaguardas:
- Contratos específicos de processamento de dados (DPA) com cláusulas equivalentes às exigidas pela LGPD
- Provedores certificados em padrões internacionais de segurança (ISO 27001, SOC 2) e/ou submetidos a regulações de proteção de dados equivalentes (GDPR europeu, CCPA americano)
- Transmissão sempre realizada mediante criptografia TLS/SSL
Para mais informações ou para exercer seus direitos em relação a transferências internacionais, entre em contato pelo e-mail do DPO indicado na Seção 16.
8. Armazenamento e Segurança
Seus dados são armazenados em servidores seguros por meio do Supabase, com infraestrutura em nuvem. Adotamos as seguintes medidas de segurança, sob auditoria periódica:
- Transmissão de dados criptografada via TLS/SSL
- Senhas armazenadas com hash criptográfico seguro (bcrypt)
- Controle de acesso a nível de linha (Row Level Security) no banco de dados
- Verificação de origem (CSRF) e limitação de taxa (rate-limiting) em todos os endpoints
- Monitoramento contínuo via Sentry, com remoção automática de cookies, tokens e cabeçalhos sensíveis dos eventos enviados
- Backups regulares dos dados (criptografados em repouso)
- Verificação de assinatura HMAC em todos os webhooks externos (Stripe, n8n, WhatsApp)
Embora adotemos medidas rigorosas, nenhum sistema é 100% inviolável. Em caso de incidente de segurança que afete seus dados, notificaremos você e a Autoridade Nacional de Proteção de Dados (ANPD) no prazo razoável após a ciência do incidente, conforme Art. 48 da LGPD e Resolução CD/ANPD nº 15/2024.
9. Cookies
Utilizamos cookies e tecnologias similares. Ao acessar a plataforma pela primeira vez, você será informado sobre o uso de cookies e poderá gerenciar suas preferências:
- Cookies essenciais: necessários para o funcionamento da plataforma (autenticação, sessão). Não requerem consentimento, pois são indispensáveis para a prestação do serviço
- Cookies analíticos: para entender como os usuários interagem com a plataforma e melhorar a experiência. Requerem consentimento prévio
- Cookies de preferências: para lembrar suas configurações e personalizar sua experiência. Requerem consentimento prévio
Você pode revogar seu consentimento a qualquer momento nas configurações da conta ou do navegador. A recusa de cookies não essenciais não impedirá o uso das funcionalidades principais da plataforma.
10. Decisões Automatizadas (LGPD Art. 20)
A plataforma toma algumas decisões de forma exclusivamente automatizada para garantir segurança e operação. Você tem direito a solicitar revisão humana dessas decisões pelo e-mail do DPO. As decisões automatizadas atualmente em uso são:
| Decisão | Critério | Reversível? |
|---|---|---|
| Bloqueio temporário por excesso de tentativas (rate-limit) | N requisições em janela de tempo por IP | Sim — desbloqueia automaticamente |
| Lockout de OTP após 5 tentativas erradas | Contador de tentativas inválidas | Sim — solicitar novo código |
| Conversão automática de plano vencido em plano gratuito | 30 dias de inadimplência (Termos §7.8) | Sim — reativação em até 90 dias |
| Validação de cupom de desconto | Vigência, limites de uso, status ativo | N/A (resultado binário) |
| Bloqueio antifraude no marketplace | Sinais Stripe Radar + regras internas | Sim — contestar pelo DPO |
Essas decisões não são, em regra, definidoras do perfil pessoal, profissional, de consumo, de crédito ou outros aspectos da personalidade do titular. Para solicitação de revisão humana, escreva ao DPO (contato@bokkai.com.br) com descrição do caso. Resposta em até 15 dias úteis.
11. Dados Sensíveis em Campos Livres (LGPD Art. 11)
Determinados profissionais cadastrados (clínicas, dentistas, terapeutas, profissionais de saúde, estética avançada) podem registrar dados sensíveis de saúde de seus clientes em campos livres de notas dos agendamentos.
Papel do Bokkai: armazenamos esses dados em infraestrutura criptografada (em trânsito e em repouso), sem tratá-los para qualquer finalidade própria — sem analytics, sem marketing, sem leitura automatizada. Atuamos exclusivamente como operador.
Papel do profissional: é o controlador dos dados sensíveis e responde por (i) coleta sob base legal adequada do Art. 11 LGPD (em geral, consentimento específico ou tutela da saúde — Art. 11, II); (ii) finalidade lícita, específica e informada; (iii) limitação ao mínimo necessário (Art. 6º, III); (iv) cumprimento de eventuais exigências regulatórias do conselho de classe (CFM, CRO, COREN etc.).
Recomendação ao profissional: evite registrar nas notas informações sensíveis que não sejam estritamente necessárias ao agendamento. Sistemas próprios de prontuário eletrônico (PEP) certificados pela SBIS-CFM podem ser mais adequados para o registro clínico contínuo.
12. Cliente Menor de Idade Agendado por Responsável
É comum que pais ou responsáveis legais agendem serviços para menores de idade (ex.: consulta pediátrica, corte de cabelo, atendimento odontológico). Nesses casos:
- O cadastro deve ser feito pelo responsável legal, que declara ter autoridade para fornecer os dados do menor
- O Bokkai trata esses dados sob base legal de execução de contrato com o responsável (Art. 7º, V LGPD), c/c Art. 14 LGPD para tratamento de dados de crianças e adolescentes
- O responsável poderá exercer todos os direitos do titular em nome do menor, incluindo acesso, correção, eliminação e portabilidade
- Não coletamos intencionalmente dados pessoais diretamente de menores de 18 anos para fins de cadastro de profissional
Se identificar coleta de dados de menor sem consentimento do responsável, entre em contato imediatamente pelo e-mail do DPO.
13. Seus Direitos (LGPD)
Em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), você tem os seguintes direitos, exercíveis mediante solicitação ao DPO em prazo de até 15 (quinze) dias úteis:
- Acesso: solicitar confirmação de que tratamos seus dados e obter uma cópia deles
- Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade com a LGPD
- Portabilidade: solicitar a transferência dos seus dados a outro fornecedor de serviço, em formato estruturado e interoperável
- Eliminação: solicitar a exclusão completa de sua conta e dados pessoais. Já implementado na plataforma — você pode excluir sua conta a qualquer momento nas configurações
- Informação: sobre os terceiros com quem compartilhamos seus dados (veja Seção 5)
- Revogação do consentimento: a qualquer momento, sem prejuízo das atividades realizadas com base no consentimento anterior
- Oposição: se discordar de algum tratamento realizado com base em legítimo interesse
- Revisão de decisões automatizadas: conforme Seção 10
Atenção: caso você seja cliente de um profissional cadastrado, seus dados de cliente são controlados pelo profissional. Veja a Seção 3 para saber a quem dirigir cada solicitação.
14. Retenção de Dados
Mantemos seus dados pessoais pelo tempo necessário para fornecer o Serviço e cumprir nossas obrigações legais:
- Dados de conta ativa: mantidos durante toda a vigência da relação contratual
- Após exclusão da conta: dados pessoais identificáveis são removidos dos sistemas ativos em até 30 dias
- Backups técnicos: podem reter dados por até 90 dias adicionais após a exclusão, sendo automaticamente sobrescritos no ciclo de backup
- Dados fiscais e contábeis: retidos pelo prazo legal de 5 anos, conforme exigência do Código Tributário Nacional
- Dados de pagamento e transações Stripe: 5 anos após a última transação, conforme Lei 9.430/1996 e Decreto 3.000/1999
- Logs de acesso: retidos por 6 meses, conforme Art. 15 do Marco Civil da Internet (Lei 12.965/2014)
- Eventos de auditoria de assinatura (subscription_events): 5 anos, para reconciliação financeira e investigação de fraudes
- Dados anonimizados: poderão ser retidos por prazo indeterminado para fins estatísticos, pois não permitem identificação do titular
15. Alterações nesta Política
Podemos atualizar esta Política de Privacidade periodicamente. Notificaremos você sobre quaisquer alterações significativas por e-mail ou por aviso em destaque na plataforma, com antecedência mínima de 30 (trinta) dias. A data da “Última atualização” no início desta página indica quando esta política foi revisada pela última vez. O uso continuado do Serviço após a publicação das alterações constitui aceitação da política revisada.
16. Contato do DPO (Encarregado de Dados)
Em conformidade com a LGPD (Art. 41), designamos um Encarregado pelo Tratamento de Dados Pessoais (DPO). Para exercer seus direitos, esclarecer dúvidas sobre esta política ou comunicar qualquer incidente relacionado à proteção de seus dados, entre em contato:
Nome fantasia: Bokkai App
Razão social: 66.479.851 GABRIEL GOMES RIBEIRO
Natureza jurídica: Microempreendedor Individual (MEI)
CNPJ: 66.479.851/0001-77
Encarregado (DPO): Gabriel Gomes Ribeiro
E-mail DPO: contato@bokkai.com.br
E-mail geral: contato@bokkai.com.br
Prazo de resposta: até 15 dias úteis
Horário de atendimento: Segunda a sexta, das 9h às 18h (horário de Brasília)
Você também pode registrar reclamações diretamente na Autoridade Nacional de Proteção de Dados (ANPD) pelo portal gov.br/anpd.