Política de Privacidade — Luma
Última atualização: 2026-04-18
1. Quem somos
Luma é um serviço digital de diagnóstico de pele e acompanhamento de rotina. Controlador: [RAZÃO SOCIAL], CNPJ [•••], endereço [•••].
Encarregado de Dados (DPO): [Nome] — contato.dermoclub@gmail.com.
2. Dados que coletamos
- Identificação: email, senha (hash), nome (opcional).
- Respostas do quiz e resultado do diagnóstico.
- Foto facial (opcional): armazenada privadamente em bucket Cloudflare R2.
- Check-ins diários: completude de rotina, sensação da pele, humor, sono.
- Eventos de uso: páginas visitadas, cliques em CTAs críticos.
- Dados de sessão anônima: id temporário em cookie httpOnly.
3. Para que usamos
- Calcular seu tipo de pele e gerar sua rotina.
- Analisar a foto via provedor de IA (OpenRouter). A foto é enviada apenas para este fim; nunca para treino.
- Acompanhar sua evolução (Skin Score).
- Melhorar o serviço (métricas agregadas e anônimas).
4. Bases legais (LGPD)
- Execução de contrato (você usa o serviço).
- Consentimento (foto e comunicações de marketing — separados).
- Legítimo interesse (analítico agregado).
5. Compartilhamento
- OpenRouter: recebe a foto e devolve análise JSON. Não retém conforme política do provedor.
- Cloudflare R2: armazena a foto cifrada em repouso.
- Stripe / WOOVI (na fase final): processam pagamento.
- Resend (na fase final): envia emails transacionais.
6. Retenção
| Tipo | Retenção |
|---|---|
| Foto de anônima | 7 dias |
| Quiz de anônima | 30 dias |
| Dados de usuária com conta | Relacionamento + 90 dias pós-delete |
7. Seus direitos (LGPD art. 18)
- Acessar, corrigir, anonimizar, excluir, portar.
- Exportação automática:
/app/perfil→ "Exportar meus dados". - Exclusão:
/app/perfil→ "Deletar minha conta".
8. Segurança
Transporte TLS; senha em bcrypt 12 rounds; bucket privado; logs com mascaramento de PII.
9. Cookies
luma_session: sessão anônima pré-cadastro.next-auth.session-token: sessão autenticada.