Política de Privacidade

Esta Política de Privacidade ("Política") descreve como o Centurion Club ("Plataforma"), de propriedade da Negócios de Alto Valor LTDA ("Controlador", "nós"), pessoa jurídica de direito privado inscrita no CNPJ/MF sob o nº 48.680.390/0001-14, com sede na Alameda Rio Negro, Nº 503, Sala 2020, Alphaville Centro Industrial e Empresarial, Barueri/SP, CEP 06.454-000, trata os dados pessoais de seus usuários ("Titular", "Aluno", "você").

Para os efeitos desta Política, consideram-se:

• Plataforma: o sistema Centurion Club, acessível em centurionclub.com.br, app.centurionclub.com.br e admin.centurionclub.com.br, incluindo trilhas, cursos, aulas, diagnósticos, materiais, gamificação e funcionalidades de comunidade.
• Tenant: a instância organizacional dentro da plataforma. O Centurion Club opera como tenant principal; clientes B2B futuros poderão operar tenants próprios.
• Aluno: pessoa natural com cadastro ativo na Plataforma que consome conteúdo educacional, realiza diagnósticos e interage com trilhas de aprendizado.
• Dados Pessoais: toda informação relacionada a pessoa natural identificada ou identificável, nos termos do Art. 5º, I, da LGPD.
• Dados Sensíveis: dados sobre origem racial, convicção religiosa, opinião política, dados de saúde, vida sexual, dados genéticos ou biométricos, entre outros listados no Art. 5º, II, da LGPD.
• Diagnóstico: avaliação estruturada respondida pelo Aluno que gera um plano de ação personalizado com base em sua área de atuação e estágio do negócio.

Esta Política aplica-se a todos os serviços prestados pela Plataforma, incluindo cadastro, consumo de conteúdo, execução de diagnósticos, downloads de materiais, gamificação e comunicações operacionais.

2.1 Dados fornecidos diretamente pelo Titular

• Nome completo, endereço de e-mail, telefone, foto de perfil (cadastro).
• Profissão, cidade, estado, país (perfil profissional).
• Respostas a diagnósticos e avaliações.
• Configurações de notificação e preferências de uso.
• Comunicações enviadas ao suporte ou à equipe pedagógica via canais oficiais.

2.2 Dados coletados automaticamente

• Endereço IP, tipo de navegador, sistema operacional, resolução de tela e dados de dispositivo.
• Dados de uso: aulas iniciadas, aulas concluídas, frequência de acesso, progresso em trilhas, materiais baixados, tempo de sessão.
• Eventos de interação registrados na tabela de eventos para fins de produto e analytics (sem conteúdo sensível).
• Métricas de gamificação: XP acumulado, badges conquistadas, streak de estudos.
• Dados de origem (UTM) quando o Titular chega à Plataforma via campanha de marketing.

2.3 Dados potencialmente sensíveis

A Plataforma é utilizada por profissionais liberais — incluindo profissionais de saúde, advogados e consultores — que lidam com informações confidenciais de terceiros. O Controlador reconhece que respostas a diagnósticos podem incidentalmente conter informações sensíveis sobre o negócio do Aluno. Esses dados são tratados com isolamento por tenant, criptografia em repouso e acesso restrito.

• Prestação do serviço: entregar acesso a trilhas, cursos, aulas, materiais e diagnósticos, controlar matrículas e progresso de aprendizado.
• Personalização: recomendar trilhas, aulas e materiais com base no perfil profissional e nas respostas a diagnósticos.
• Gamificação: calcular XP, conceder badges, manter streaks e exibir progresso.
• Melhoria do produto: análise agregada e anonimizada de padrões de uso para aprimorar a Plataforma. Dados individuais nunca são utilizados para esta finalidade sem anonimização.
• Segurança: detecção e prevenção de fraudes, acessos não autorizados e uso indevido.
• Cumprimento legal: atender obrigações legais, fiscais e requisições de autoridades competentes, incluindo a ANPD.
• Comunicação operacional: notificações de serviço, alertas de segurança, e-mails de boas-vindas, atualizações de conteúdo e comunicações sobre alterações nos Termos ou nesta Política.
• Faturamento: emitir cobranças, processar pagamentos via gateway e manter registros fiscais pelo prazo legal.
• Marketing: envio de comunicações sobre novos conteúdos, eventos e ofertas, com consentimento opt-in e opt-out facilitado.

O tratamento de dados fundamenta-se nas seguintes bases legais (Art. 7º da LGPD):

• Execução de contrato (Art. 7º, V): para a prestação do serviço educacional contratado, incluindo controle de matrícula, progresso e entrega de conteúdo.
• Consentimento (Art. 7º, I): para envio de comunicações de marketing, cookies analíticos não essenciais e funcionalidades opcionais. Revogável a qualquer momento.
• Legítimo interesse (Art. 7º, IX): para melhoria da qualidade do serviço, segurança da Plataforma e prevenção de fraudes, com balanceamento documentado contra os direitos dos Titulares.
• Cumprimento de obrigação legal (Art. 7º, II): para atender exigências fiscais (CTN Art. 173) e contábeis aplicáveis.

A Plataforma pode utilizar modelos de inteligência artificial de terceiros para funcionalidades específicas, como geração de planos personalizados a partir de diagnósticos e recomendação de conteúdo.

Garantia de não-treinamento: nenhum dado pessoal, resposta de diagnóstico ou conteúdo inserido pelo Aluno é utilizado para treinar, ajustar ou melhorar modelos de IA — sejam próprios ou de terceiros. Os provedores de IA utilizados operam sob contratos empresariais que expressamente proíbem esta utilização.

Decisões automatizadas: a Plataforma não toma decisões com efeitos jurídicos significativos baseadas unicamente em tratamento automatizado. Recomendações e planos gerados servem como sugestão; o Aluno mantém controle final sobre suas escolhas.

A Plataforma pode integrar-se a serviços de terceiros para funcionalidades específicas (gateway de pagamento, envio de e-mails transacionais, analytics, comunicações de marketing).

Quando aplicável, credenciais e tokens de acesso são armazenados em cofre criptografado (AES-256-GCM) e nunca acessíveis em texto claro pela equipe. O Controlador não se responsabiliza por alterações ou indisponibilidades em serviços de terceiros.

Os dados pessoais podem ser compartilhados com as seguintes categorias de destinatários, exclusivamente para as finalidades descritas:

• Provedores de infraestrutura: Supabase (banco de dados, autenticação, storage), Cloudflare (CDN, edge runtime, proteção DDoS).
• Provedores de pagamento: gateways contratados para processar cobranças e gerenciar assinaturas.
• Provedores de e-mail: serviços de envio de e-mails transacionais e de marketing.
• Autoridades competentes: quando exigido por lei, ordem judicial ou requisição formal da ANPD.

A Plataforma utiliza os seguintes subprocessadores:

Esta lista é atualizada sempre que houver adição, remoção ou substituição. Alterações relevantes serão comunicadas com antecedência mínima de 30 dias.

Dados armazenados: dados primários do banco relacional são hospedados em infraestrutura com presença no Brasil sempre que possível.

Dados processados internacionalmente: alguns provedores (CDN, e-mail) operam em infraestrutura global. As transferências são realizadas com base no Art. 33 da LGPD, mediante cláusulas contratuais padrão, garantias técnicas como criptografia em trânsito (TLS 1.3) e contratos que proíbem o uso de dados para treinamento de modelos ou finalidades não autorizadas.

10.1 Medidas técnicas

• Criptografia em trânsito: TLS 1.3 em todas as comunicações.
• Criptografia em repouso: AES-256-GCM para credenciais sensíveis e chaves de integração.
• Isolamento por tenant: Row Level Security (RLS) ativo em 100% das tabelas. Dados de um tenant são matematicamente inacessíveis para outros tenants.
• Autenticação: Supabase Auth com hashing bcrypt, política de senha forte (mínimo 8 caracteres com maiúscula, minúscula, número e caractere especial) e rate limiting.
• Headers de segurança: HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options.
• Auditoria: registro de ações administrativas em log auditável com timestamps imutáveis.

10.2 Medidas organizacionais

• Política de acesso mínimo necessário (least privilege) para toda a equipe.
• Processo documentado de resposta a incidentes de segurança.
• Revisão periódica de permissões de acesso à infraestrutura.

Em conformidade com o Art. 46, §2º da LGPD, a Plataforma foi projetada com proteção de dados como princípio fundamental:

• Isolamento por tenant implementado na camada de banco de dados.
• Criptografia ativada por padrão em todos os dados sensíveis.
• Coleta mínima de dados — apenas o necessário para a prestação do serviço.
• Credenciais de integrações armazenadas exclusivamente em cofre criptografado, sem visualização em texto claro.

• Dados de conta e perfil: mantidos durante a vigência do contrato e por 5 anos após o cancelamento (CTN Art. 173).
• Progresso de aprendizado e diagnósticos: mantidos durante a vigência. Excluídos em até 30 dias após solicitação ou cancelamento.
• Logs de segurança e auditoria: mantidos por 2 anos para fins de investigação e conformidade.
• Dados de faturamento: mantidos por 5 anos conforme obrigação fiscal.
• Backups: dados excluídos são removidos dos backups automáticos em até 30 dias.

O Titular tem direito a:

• Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados.
• Correção: solicitar correção de dados incompletos, inexatos ou desatualizados — diretamente pelo painel de Perfil.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade: receber seus dados em formato estruturado (JSON, CSV) no prazo de 15 dias úteis.
• Eliminação dos dados tratados com base em consentimento.
• Informação sobre compartilhamento com entidades públicas e privadas.
• Revogação do consentimento a qualquer momento, de forma gratuita e facilitada.

Como exercer seus direitos

• Painel de Perfil: acesso direto a edição e atualização de dados pessoais.
• E-mail ao DPO: dpo@centurionclub.com.br — para solicitações formais de portabilidade, eliminação completa ou informações sobre compartilhamento.

Solicitações por e-mail serão atendidas no prazo de 15 dias úteis (Art. 19 da LGPD).

O Titular tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses. A Plataforma não toma decisões com efeitos jurídicos significativos de forma exclusivamente automatizada; recomendações geradas por IA podem ser revisadas mediante contato com o DPO.

Em conformidade com o Art. 38 da LGPD, o Controlador mantém atualizado um Relatório de Impacto à Proteção de Dados Pessoais que aborda o tratamento de dados pela Plataforma, com atenção ao potencial tratamento incidental de dados sensíveis em diagnósticos. O RIPD está disponível para consulta pela ANPD e, em versão resumida, para Titulares que o solicitem formalmente ao DPO.

• Cookies essenciais: utilizados para autenticação, manutenção de sessão e segurança. Não podem ser desativados sem prejudicar o funcionamento da Plataforma.
• Cookies analíticos: coletam dados agregados sobre uso da Plataforma (páginas visitadas, tempo de permanência), sem compartilhamento com terceiros para publicidade.
• Cookies de marketing: utilizados apenas com consentimento explícito do Titular, para mensuração de campanhas próprias.

A Plataforma não utiliza pixels de rastreamento comportamental por terceiros nem tecnologias destinadas a exibir anúncios personalizados na Plataforma.

A Plataforma é destinada exclusivamente a pessoas maiores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso seja identificada coleta inadvertida, procederemos à exclusão imediata, conforme Art. 14 da LGPD. Contato: dpo@centurionclub.com.br.

Em conformidade com o Art. 48 da LGPD, comprometemo-nos a comunicar à ANPD e aos Titulares afetados, no prazo de 72 horas a partir do conhecimento, qualquer incidente de segurança que possa acarretar risco ou dano relevante. Mantemos registro interno de todos os incidentes pelo prazo mínimo de 5 anos, disponível para inspeção pela ANPD.

O Encarregado de Proteção de Dados pode ser contatado pelos seguintes meios:

• E-mail: dpo@centurionclub.com.br
• Endereço postal: Alameda Rio Negro, Nº 503, Sala 2020, Alphaville Centro Industrial e Empresarial, Barueri/SP, CEP 06.454-000

Esta Política pode ser atualizada periodicamente. O Controlador notificará os Titulares sobre alterações relevantes por meio de aviso dentro da Plataforma, e-mail para o endereço cadastrado e publicação da versão atualizada em centurionclub.com.br/privacidade, com data de vigência e histórico de alterações.

Alterações que ampliem o escopo de tratamento ou modifiquem as bases legais exigirão novo consentimento antes de entrar em vigor.

Esta Política é regida pela legislação brasileira, em especial pela Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), pelo Marco Civil da Internet (Lei 12.965/2014), pelo Código de Defesa do Consumidor (Lei 8.078/1990) quando aplicável, e por regulamentações da ANPD.

Fica eleito o Foro da Comarca de Barueri, Estado de São Paulo, para dirimir quaisquer questões oriundas desta Política, com renúncia expressa a qualquer outro, por mais privilegiado que seja.