Pular para o conteúdo

Política de Privacidade

Como coletamos, usamos, armazenamos e protegemos seus dados pessoais — conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018).

event Última atualização: 7 de maio de 2026 · Versão 2.0

A Livel Online respeita sua privacidade. Esta política descreve, em linguagem clara, quais dados pessoais coletamos, por que coletamos, com quem compartilhamos, por quanto tempo guardamos e como você pode exercer seus direitos como titular dos dados, conforme a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

1. Quem é o controlador dos seus dados

O controlador dos dados pessoais tratados nesta plataforma é:

  • Razão social: Livel Online
  • CNPJ: 37.885.466/0001-21
  • Endereço: Rua Chopin, 271, Prado, Belo Horizonte, MG, Brasil
  • E-mail de contato: [email protected]
  • WhatsApp: (31) 8229-8727

2. Definições importantes

  • Dado pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável (ex.: nome, e-mail, CPF, endereço).
  • Dado pessoal sensível: dado sobre origem racial, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico, quando vinculado a pessoa natural.
  • Tratamento: qualquer operação realizada com dados pessoais (coleta, uso, armazenamento, transferência, eliminação etc.).
  • Titular: a pessoa natural a quem se referem os dados (você).
  • Controlador: a Livel Online, que toma decisões sobre o tratamento.
  • Operador / sub-processador: empresa que trata dados em nome do controlador (ver seção 5).
  • Encarregado (DPO): pessoa responsável por intermediar a relação entre você, a Livel e a ANPD.
  • ANPD: Autoridade Nacional de Proteção de Dados, órgão regulador da LGPD.

3. Dados que coletamos

Coletamos apenas o necessário para entregar nossos serviços. Os dados podem ser fornecidos por você ou gerados pelo uso da plataforma.

3.1. Dados de cadastro e contrato

  • Nome completo
  • E-mail
  • Telefone / WhatsApp
  • CPF (necessário para emissão de nota fiscal)
  • Endereço completo (apenas para entrega do kit FitBox físico)

3.2. Dados de pagamento

  • Número do pedido, valor, forma de pagamento (cartão, PIX, boleto)
  • ID do cliente e ID do pagamento no nosso processador (Asaas)
  • Não armazenamos número do cartão, CVV nem validade — esses dados ficam exclusivamente com o Asaas, certificado PCI-DSS. Recebemos apenas um token que permite cobranças futuras autorizadas (ex.: 1-clique em ofertas pós-compra).

3.3. Dados de uso da aplicação (app.livel.com.br)

  • Objetivo declarado (emagrecer, ganhar força, voltar a treinar etc.)
  • Nível de comprometimento (iniciante, intermediário, avançado)
  • Programa de treino escolhido e progresso (treinos concluídos, sequência de dias, pontuação)
  • Indicação de dor ou limitação física (autodeclarada, opcional)
  • Identificação de gênero (autodeclarada, opcional, para personalização do conteúdo)
  • Confirmações de presença em aulas ao vivo
  • Histórico de aulas assistidas e conteúdo da biblioteca acessado
Os campos das categorias 3.1 a 3.3 acima podem incluir dados pessoais sensíveis (ex.: indicação de dor) na acepção do Art. 5º, II, da LGPD. Tratamos esses dados apenas com o seu consentimento expresso coletado durante o onboarding e exclusivamente para personalizar o conteúdo do programa de treino.

3.4. Dados técnicos coletados automaticamente

  • Endereço IP
  • User-agent (navegador, sistema operacional, dispositivo)
  • Logs de acesso (data, hora, página acessada, código de resposta)
  • Cookies e identificadores similares (ver seção 9)

4. Finalidades e base legal

Cada coleta tem uma finalidade específica e uma base legal correspondente, conforme o Art. 7º (dados comuns) e Art. 11 (dados sensíveis) da LGPD.

Categoria de dado Finalidade Base legal
Cadastro (nome, e-mail, telefone) Identificar você, criar e gerenciar sua conta Execução de contrato (Art. 7º, V)
CPF Emissão de documento fiscal e identificação inequívoca Cumprimento de obrigação legal (Art. 7º, II) + Execução de contrato
Endereço de entrega Envio do kit FitBox físico Execução de contrato (Art. 7º, V)
Dados de pagamento Processar a compra e gerar comprovantes Execução de contrato (Art. 7º, V)
Dados de uso do app (treinos, progresso) Entregar o serviço, personalizar programas, gamificação Execução de contrato (Art. 7º, V)
Indicação de dor / objetivo de saúde (sensível) Adaptar o treino para evitar lesão e maximizar resultados Consentimento expresso (Art. 11, I)
E-mails transacionais (compra, recuperação de senha) Confirmar operações que você iniciou Execução de contrato (Art. 7º, V)
E-mails e WhatsApp de marketing Promoções, novidades, recuperação de carrinho abandonado Consentimento (Art. 7º, I) — opt-out a qualquer momento
Cookies de mensuração de conversão Avaliar desempenho de campanhas (sem perfilamento individual) Legítimo interesse (Art. 7º, IX)
Logs e dados técnicos Segurança, prevenção a fraude, auditoria Legítimo interesse (Art. 7º, IX) + Cumprimento de obrigação legal

5. Sub-processadores (com quem compartilhamos)

Para entregar nossos serviços, utilizamos fornecedores que tratam dados pessoais em nosso nome, sob nossas instruções e com obrigações contratuais de confidencialidade e segurança. Nunca vendemos seus dados.

Fornecedor Finalidade Dados tratados Localização
Asaas Processamento de pagamentos (cartão, PIX, boleto), tokenização PCI-DSS Nome, CPF, e-mail, telefone, endereço, valor, dados de cartão (somente Asaas) Brasil
Brevo (Sendinblue) Envio de e-mails transacionais e marketing Nome, e-mail, conteúdo do e-mail União Europeia
Sellflux CRM e automação de comunicação (WhatsApp / e-mail) Nome, e-mail, telefone, eventos de comportamento (carrinho, compra, treino concluído) Brasil
Meta (Facebook Pixel + Conversions API) Mensuração de conversão de campanhas pagas (Instagram, Facebook) E-mail, telefone, nome (todos com hash SHA-256), IP, user-agent EUA / global
Google (GA4 + Tag Manager) Análise de tráfego do site E-mail (hash), eventos de página, IP anonimizado EUA / global
Supabase (banco de dados / autenticação) Armazenamento estruturado de dados, autenticação de contas Todos os dados estruturados da aplicação EUA (AWS — região us-east)
Vercel Hospedagem da aplicação web e API Logs de acesso, IPs, payloads de requisições Global (CDN)

Para transferências internacionais aplicáveis (Meta, Google, Supabase, Vercel), utilizamos como mecanismo legal as cláusulas-padrão contratuais e/ou contratos de processamento de dados (DPA) com cada fornecedor — conforme Art. 33 da LGPD.

6. Seus direitos como titular (Art. 18, LGPD)

Você tem o direito de, a qualquer momento e sem custo:

  1. Confirmar a existência de tratamento dos seus dados
  2. Acessar os dados que tratamos sobre você
  3. Corrigir dados incompletos, inexatos ou desatualizados
  4. Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  5. Portabilidade dos dados a outro fornecedor de serviço (Art. 18, V)
  6. Eliminação dos dados pessoais tratados com seu consentimento (Art. 18, VI)
  7. Informação sobre com quem compartilhamos seus dados (esta seção 5)
  8. Informação sobre a possibilidade de não fornecer consentimento e suas consequências
  9. Revogação do consentimento, quando o tratamento for baseado em consentimento (Art. 8º, §5º)
  10. Oposição a tratamento realizado com fundamento em legítimo interesse (Art. 18, §2º)

7. Como exercer seus direitos

Você pode exercer qualquer um dos direitos acima das seguintes formas:

  • Pelo próprio app em app.livel.com.br/perfil — onde você pode editar seu nome, atualizar dados, baixar uma cópia das suas informações e, em breve, eliminar sua conta diretamente.
  • Por e-mail ao nosso Encarregado de Dados (DPO): [email protected] com o assunto “LGPD — exercício de direitos”. Resposta em até 15 dias conforme Art. 19 da LGPD.

Para garantir sua segurança, podemos solicitar comprovação de identidade antes de atender pedidos de exclusão ou portabilidade.

8. Por quanto tempo guardamos seus dados

Categoria Tempo de retenção Justificativa
Dados de pagamento (CPF, valor, produto, nota fiscal) 5 anos após a transação Obrigação fiscal — Código Tributário Nacional
Conta e dados de uso do app Até 2 anos após a última atividade Necessidade contratual e suporte ao titular
Endereço de entrega 2 anos após a entrega Garantia, suporte pós-venda e troca
Logs de e-mails transacionais 6 meses Diagnóstico de entrega e suporte
Eventos de marketing (Sellflux, Meta) Até 2 anos ou até a revogação do consentimento Legítimo interesse + opt-out a qualquer momento
Logs técnicos (IP, user-agent) 6 meses Segurança e auditoria

Quando você solicita a eliminação da sua conta, os dados são apagados imediatamente da base ativa. Cópias em backup criptografado são automaticamente sobrescritas no ciclo regular de rotação (até 30 dias).

9. Cookies e tecnologias similares

Usamos cookies e tecnologias similares (localStorage, pixels) para:

  • Cookies essenciais: manter sua sessão de login, lembrar o conteúdo do carrinho. Sem eles, o site não funciona.
  • Cookies de mensuração: contar quantas pessoas visitam cada página, taxa de conversão, performance de campanhas. Não criam perfis individuais.
  • Cookies de marketing: Meta Pixel e similares, para mostrar anúncios mais relevantes para você no Instagram e Facebook.

Você pode gerenciar as preferências de cookies a qualquer momento clicando em “Sua privacidade importa” no rodapé do site, ou bloqueando cookies pelas configurações do seu navegador. O bloqueio dos cookies essenciais pode impedir o funcionamento de partes do site.

10. Como protegemos seus dados

Levamos segurança a sério. Aplicamos medidas técnicas e organizacionais proporcionais ao risco, conforme Art. 46 da LGPD, contra acesso não autorizado, perda, alteração, destruição ou divulgação indevida.

10.1. Medidas técnicas em vigor

  • Criptografia em trânsito: todo o tráfego entre você, o site e nossos servidores usa HTTPS/TLS 1.3. Sem conexões em texto claro.
  • Criptografia em repouso: a base de dados é armazenada com criptografia AES-256 pelo provedor de infraestrutura (Supabase / AWS).
  • Senhas com hash forte: nunca armazenamos senhas em texto claro. Usamos algoritmos de hash adequados (bcrypt) com salt único por usuário.
  • Sem armazenamento de dados de cartão: número do cartão, CVV e validade nunca chegam aos nossos sistemas. São tratados exclusivamente pelo Asaas, certificado PCI-DSS Nível 1.
  • Tokens de autenticação com expiração curta e renovação automática (JWT). Tokens de administrador exigem assinatura HMAC-SHA256 e expiram em 8 horas.
  • Controle de acesso a nível de linha (RLS): mesmo dentro do banco de dados, regras impedem que um usuário leia dados de outro.
  • Princípio do privilégio mínimo: cada serviço recebe apenas a permissão estritamente necessária. Chaves administrativas ficam isoladas no servidor — nunca são expostas ao navegador.
  • Validação rigorosa de entradas: todos os formulários e APIs validam tipo, formato e limites de cada campo antes de tocar no banco. Uploads de imagem são validados pelos magic bytes reais do arquivo, não pelo nome.
  • Idempotência em pagamentos: webhooks de pagamento usam chave atômica em banco para garantir que cada evento é processado uma única vez, mesmo sob concorrência.
  • Trilha de auditoria imutável de todas as operações administrativas críticas (com IP, user-agent, identidade do operador e timestamp).
  • Limitação de tentativas (rate limiting) em login, recuperação de senha e endpoints sensíveis — bloqueio progressivo de IPs com comportamento abusivo.
  • Backups diários automatizados com retenção de 30 dias, em datacenter geograficamente separado.
  • Atualização contínua de dependências e patches de segurança. Auditoria periódica do código por terceiros.
  • Monitoramento ativo de logs e alertas em tempo real para detectar acessos anômalos.
  • Selo Reclame Aqui Verificada — auditoria independente de transparência e atendimento.

10.2. Medidas organizacionais

  • Acesso aos dados restrito a colaboradores com necessidade de uso (need-to-know).
  • Contratos de confidencialidade com todos os colaboradores e fornecedores.
  • Treinamento periódico em proteção de dados.
  • Revisão periódica de permissões e remoção imediata de acessos quando um colaborador deixa a equipe.

10.3. Plano de resposta a incidentes

Apesar de todas as medidas, nenhuma plataforma na internet é 100% imune. Se ocorrer um incidente de segurança que possa acarretar risco ou dano relevante a você, agimos da seguinte forma:

  1. Detecção e contenção em até 24 horas a partir da identificação.
  2. Notificação à ANPD em até 72 horas, conforme Art. 48 da LGPD.
  3. Notificação direta a você, por e-mail, com explicação do que aconteceu, dos dados envolvidos, das medidas tomadas e das ações que recomendamos.
  4. Análise de causa raiz e implementação de correções permanentes.
  5. Comunicação pública quando o incidente afetar um número significativo de titulares.

11. Crianças e adolescentes

Nossos serviços são destinados a pessoas com 18 anos ou mais. Não coletamos intencionalmente dados de crianças (até 12 anos) ou adolescentes (13 a 17 anos). Se você é responsável legal e identifica que uma criança ou adolescente sob sua guarda forneceu dados sem o seu consentimento, entre em contato pelo e-mail do DPO para que possamos eliminá-los imediatamente.

12. Transferência internacional de dados

Alguns dos nossos sub-processadores estão fora do Brasil (ver seção 5). Quando ocorre transferência internacional, ela se baseia nas hipóteses do Art. 33 da LGPD — em particular:

  • cláusulas-padrão contratuais com cada fornecedor;
  • contratos de processamento de dados (DPA) que asseguram nível de proteção compatível com a LGPD;
  • execução de contrato com você, quando aplicável.

13. Mudanças nesta política

Podemos atualizar esta política para refletir mudanças nos nossos serviços, na legislação ou em recomendações da ANPD. Quando a alteração for relevante, avisaremos com destaque no site e/ou por e-mail antes da entrada em vigor. A versão e a data de cada atualização ficam sempre indicadas no topo desta página.

14. Contato — Encarregado de Dados (DPO)

Para qualquer dúvida sobre esta política, exercício de direitos ou suspeita de incidente, fale com o nosso Encarregado:

  • E-mail: [email protected]
  • Assunto sugerido: “LGPD — [tipo do pedido]”
  • Prazo de resposta: até 15 dias corridos (Art. 19, LGPD)

Você também pode peticionar diretamente à ANPD — Autoridade Nacional de Proteção de Dados em gov.br/anpd caso entenda que seus direitos foram violados.

Livel Online · CNPJ 37.885.466/0001-21 · Rua Chopin, 271, Prado, Belo Horizonte, MG.
Esta política substitui qualquer versão anterior. Versão 2.0 — vigente desde 7 de maio de 2026.

Sua privacidade importa

Utilizamos cookies para melhorar sua experiência. Ao continuar, você concorda com a nossa política. Veja a seção 9 desta página para detalhes.