Política de Privacidade

A Avarly é uma plataforma SaaS de gestão para negócios de serviço (barbearias, salões de beleza, personal trainers e academias), desenvolvida e operada por Jhonatan Guimarães (CPF: 171.062.257-11), com sede em Cariacica, Espírito Santo, Brasil. Para contato: contato@avarly.com.br. Nota: assim que o CNPJ estiver regularizado, esta política será atualizada com os dados empresariais completos.

Coletamos os seguintes dados pessoais, com suas respectivas finalidades: • Dados de cadastro (nome completo, e-mail, telefone, nome do negócio): criação e gerenciamento de conta, comunicações transacionais e suporte ao contratante. • Dados dos clientes finais (nome, telefone, histórico de agendamentos): inseridos pelos contratantes para gestão dos atendimentos do negócio. A Avarly atua como operadora desses dados — veja seção 5. • Dados de pagamento da assinatura Avarly: processados diretamente pelo Stripe. Não armazenamos dados de cartão. Recebemos apenas confirmação de pagamento e dados de faturamento. • Dados de cobrança via Stripe Connect: o contratante cria conta própria no Stripe para cobrar seus clientes finais via cartão. A Avarly não acessa nem armazena dados de cartão dos clientes finais nesse fluxo — esses dados trafegam diretamente entre o cliente final e o Stripe sob a conta Connect do contratante. • Dados de cobrança via Pix: chave Pix, nome do recebedor, cidade, valor e identificador de transação (txId), fornecidos pelo contratante para geração do payload EMV (padrão Banco Central). O QR Code é renderizado via serviço público qrserver.com. Nenhuma credencial bancária é armazenada pela Avarly. A confirmação do pagamento ocorre fora da plataforma, diretamente no banco do recebedor. • Dados técnicos (IP, dispositivo, navegador, logs de acesso e alterações): segurança, prevenção de fraudes, rastreabilidade e melhoria do serviço. • Dados de uso da plataforma (funcionalidades acessadas, frequência): melhoria de produto e personalização, com base em interesse legítimo. Dados sensíveis: contratantes de academias e personal trainers podem inserir dados de saúde de clientes (condições físicas, lesões, restrições). Esses dados são tratados sob responsabilidade do contratante, que deve ter base legal adequada (ex.: consentimento expresso). A Avarly recomenda inseri-los apenas quando estritamente necessário. Menores de 18 anos: a Avarly não coleta intencionalmente dados de menores. Caso identificado, os dados serão excluídos imediatamente. Contato: contato@avarly.com.br.

Utilizamos seus dados para: • Criar e gerenciar sua conta na plataforma • Processar pagamentos e gerenciar assinaturas • Enviar comunicações transacionais (confirmações, lembretes, notificações do sistema) • Melhorar funcionalidades e corrigir problemas técnicos • Cumprir obrigações legais e regulatórias Não utilizamos seus dados para fins incompatíveis com as finalidades declaradas acima sem nova comunicação e, quando necessário, novo consentimento.

O tratamento de dados pessoais realizado pela Avarly está fundamentado nas seguintes bases legais previstas na Lei Geral de Proteção de Dados (Lei nº 13.709/2018): • Execução de contrato (art. 7º, V): para prestação dos serviços contratados • Consentimento (art. 7º, I): para envio de comunicações de marketing, quando aplicável — revogável a qualquer momento • Legítimo interesse (art. 7º, IX): para segurança da plataforma e prevenção de fraudes • Cumprimento de obrigação legal (art. 7º, II): quando exigido por lei

A Avarly exerce dois papéis distintos conforme a LGPD, dependendo da categoria de dados: Controladora: a Avarly é controladora dos dados pessoais dos contratantes (dados de cadastro, dados técnicos e dados da assinatura do plano Avarly). Isso significa que a Avarly define as finalidades e os meios de tratamento desses dados. Operadora: a Avarly é operadora dos dados dos clientes finais inseridos pelos contratantes na plataforma (nomes, telefones, histórico de agendamentos, dados de cobrança via Pix). Nesses casos, o contratante é o controlador e a Avarly processa os dados exclusivamente conforme suas instruções, sem utilizá-los para finalidades próprias. Compartilhamento com fornecedores: não vendemos dados. Compartilhamos apenas com os seguintes suboperadores, vinculados contratualmente à proteção dos dados: • Stripe — processamento de pagamentos da assinatura do Avarly (EUA) • Stripe Connect — infraestrutura para pagamentos entre contratantes e seus clientes finais (EUA). O contratante cria conta própria no Stripe Connect e sujeita-se aos termos do Stripe diretamente. • Firebase / Google Cloud — armazenamento de dados e autenticação (EUA) • Cloudinary — armazenamento de imagens (EUA) • Resend — envio de e-mails transacionais (EUA) • Evolution API — envio de mensagens WhatsApp • qrserver.com — renderização da imagem do QR Code Pix (EUA). Recebe apenas o payload EMV codificado, sem dados pessoais identificáveis. Não há integração bancária: o payload é gerado localmente pela Avarly seguindo o padrão EMV do Banco Central, sem conexão com PSPs ou APIs bancárias. Transferência internacional: Stripe, Firebase, Cloudinary e qrserver.com operam nos EUA. A transferência é fundamentada no art. 33 da LGPD, mediante cláusulas contratuais padrão e/ou adequação reconhecida.

A plataforma envolve três fluxos financeiros distintos, cada um com tratamento de dados diferente: Fluxo 1 — Assinatura do Avarly (Contratante → Avarly): Os dados de cartão de crédito são coletados e processados exclusivamente pelo Stripe. A Avarly recebe apenas confirmação de pagamento e dados de faturamento (valor, data, status). Não armazenamos números de cartão. Fluxo 2 — Assinatura de planos criados pelo contratante (Cliente final → Contratante via Stripe Connect): O contratante cria conta própria no Stripe Connect e é responsável pelo tratamento dos dados de pagamento de seus clientes finais. A Avarly não tem acesso aos dados de cartão dos clientes finais. Os dados trafegam diretamente entre o cliente final e o Stripe, sob a conta Connect do contratante. Fluxo 3 — Pix estático (Cliente final → Contratante): A Avarly gera localmente um payload EMV seguindo o padrão do Banco Central, utilizando dados fornecidos pelo contratante: chave Pix, nome do recebedor, cidade e valor. Nenhuma conexão bancária ou credencial de PSP é utilizada. A imagem do QR Code é renderizada via serviço público qrserver.com (EUA), para o qual são enviados apenas o payload EMV codificado — sem dados pessoais identificáveis individualmente. A liquidação do pagamento ocorre integralmente fora da plataforma Avarly, diretamente entre o pagador e o banco do contratante. A Avarly não recebe notificações de pagamento, não confirma recebimentos e não tem acesso ao saldo ou histórico bancário do contratante. A responsabilidade pela verificação do recebimento é exclusiva do contratante.

Mantemos seus dados pelo tempo necessário para a prestação dos serviços e cumprimento de obrigações legais. Após o encerramento da conta, os dados são excluídos em até 90 dias, exceto quando a lei exigir retenção por período maior (por exemplo, dados fiscais são retidos por 5 anos conforme legislação tributária vigente).

Conforme a LGPD, você tem direito a: • Confirmar a existência de tratamento de seus dados • Acessar seus dados pessoais • Corrigir dados incompletos, inexatos ou desatualizados • Solicitar anonimização, bloqueio ou exclusão de dados desnecessários • Portabilidade dos dados a outro fornecedor — fornecida em formato estruturado e legível por máquina (CSV ou JSON), em até 15 dias após a solicitação • Revogar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente • Obter informações sobre as entidades com as quais compartilhamos seus dados • Solicitar revisão humana de decisões tomadas de forma automatizada que afetem seus interesses (art. 20 LGPD) Para exercer seus direitos, entre em contato: contato@avarly.com.br Prazo de resposta: responderemos às solicitações em até 15 (quinze) dias, conforme art. 19 da LGPD. Caso não obtenha resposta satisfatória, você poderá recorrer à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd

Utilizamos dois tipos de cookies: • Cookies essenciais: necessários para o funcionamento da plataforma (autenticação, segurança e sessão). Não podem ser desativados sem comprometer o serviço. • Cookies analíticos: utilizados para entender como o sistema é usado e melhorar a experiência. Seu uso está condicionado ao seu consentimento, coletado por meio do banner de cookies exibido no primeiro acesso. Você pode gerenciar ou retirar seu consentimento para cookies analíticos a qualquer momento nas configurações de cookies da plataforma, ou configurando seu navegador para recusar cookies. A desativação de cookies essenciais pode afetar o funcionamento de recursos da plataforma.

A plataforma Avarly utiliza processos automatizados em algumas situações, como: • Bloqueio de acesso por inadimplência detectada automaticamente • Geração de relatórios e métricas de desempenho do negócio • Envio automático de lembretes de agendamento para clientes finais Nos casos em que uma decisão automatizada possa afetar diretamente seus interesses ou direitos, você tem o direito de solicitar revisão humana dessa decisão, conforme o art. 20 da LGPD. Para exercer esse direito, entre em contato: contato@avarly.com.br.

Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo: • Criptografia em trânsito (HTTPS/TLS) e em repouso • Autenticação segura com controle de acesso por perfil • Logs de auditoria: registramos acessos, alterações e operações relevantes nos dados, garantindo rastreabilidade para fins de segurança e resolução de disputas. Esses logs são retidos por até 12 meses. • Monitoramento contínuo de atividades suspeitas Em caso de incidente de segurança que afete seus dados, você será notificado conforme os prazos e requisitos exigidos pela LGPD. Quando aplicável, a ANPD também será comunicada no prazo legal.

Podemos atualizar esta política periodicamente. Quando fizer alterações significativas, notificaremos por e-mail ou aviso na plataforma com antecedência mínima de 15 dias. O uso continuado do serviço após a data de vigência das alterações implica aceitação das novas condições.

Nos termos do art. 41 da LGPD, designamos como Encarregado pelo Tratamento de Dados Pessoais (DPO): Nome: Jhonatan Guimarães E-mail: contato@avarly.com.br Endereço: Cariacica, ES, Brasil O Encarregado é responsável por receber comunicações dos titulares de dados e da ANPD, além de orientar os colaboradores e operadores sobre as práticas de proteção de dados adotadas pela Avarly.