Política de Privacidade — Aplicativo Bloomy

Última atualização: 30 de abril de 2026
Versão do documento: 1.0

A Bloomy ABA Therapy (“Bloomy”, “nós” ou “nosso”), pessoa jurídica de direito privado inscrita no CNPJ sob nº 20.384.928/0001-24, com sede na Rua Antonio de Barros, 2080, Vila Carrão, São Paulo — SP, CEP 03.401-001, valoriza a privacidade dos seus usuários e está comprometida com a proteção dos seus dados pessoais.

Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos as informações dos usuários do aplicativo móvel Bloomy (“Aplicativo”), destinado aos responsáveis legais (pais, mães e tutores) dos pacientes atendidos pela clínica.

Esta Política deve ser lida em conjunto com os demais documentos institucionais da Bloomy:

Termos de Uso

Contrato de Adesão aos Serviços Terapêuticos

Termo de Ciência e Consentimento Informado

Política de Cookies

Ao instalar, acessar e utilizar o Aplicativo, o usuário declara estar ciente e de acordo com os termos desta Política, observada a legislação aplicável, em especial a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018) e o Marco Civil da Internet (Lei nº 12.965/2014).

1. Quem somos e como nos contatar

Controlador dos dados	Bloomy ABA Therapy
CNPJ	20.384.928/0001-24
Endereço	Rua Antonio de Barros, 2080, Vila Carrão, São Paulo — SP, CEP 03.401-001
E-mail (Privacidade / Encarregado de Proteção de Dados)	contato@bebloomy.com.br
Site oficial	https://www.bloomy.com.br

Para qualquer dúvida, solicitação ou exercício de direitos previstos na LGPD, o usuário pode entrar em contato pelo e-mail contato@bebloomy.com.br.

2. A quem se destina o Aplicativo

O Aplicativo Bloomy é destinado aos responsáveis legais (maiores de 18 anos) dos pacientes que recebem atendimento terapêutico (terapia ABA — Applied Behavior Analysis) na clínica Bloomy.

O Aplicativo não é destinado ao uso direto por crianças ou adolescentes. Os dados de pacientes menores de idade são exibidos no Aplicativo exclusivamente ao respectivo responsável legal já cadastrado pela clínica, mediante autenticação.

3. Dados pessoais que coletamos

3.1. Dados fornecidos diretamente pelo usuário

Coletamos as informações que o responsável legal nos fornece ao se autenticar e utilizar o Aplicativo:

Dados cadastrais e de identificação: CPF, nome, e-mail e número de telefone (utilizados nos fluxos de login, recuperação de senha e identificação do responsável legal).

Dados de autenticação: senha de acesso (armazenada de forma criptografada) e token de sessão.

Aceite de termos: registro do aceite dos Termos de Uso, do Contrato de Adesão e do Termo de Ciência, incluindo data, hora, endereço IP e identificação do dispositivo.

3.2. Dados sensíveis dos pacientes (visualizados no Aplicativo)

O Aplicativo exibe ao responsável legal informações relativas ao(s) paciente(s) sob sua responsabilidade. Tais dados são considerados dados pessoais sensíveis, nos termos do art. 5º, II, da LGPD, e incluem:

Dados de identificação do paciente (nome, idade, foto de perfil, sala/unidade);

Informações sobre a condição de saúde, diagnóstico e plano terapêutico;

Dados de evolução, métricas terapêuticas, áreas, fases e programas de intervenção ABA;

Agenda de atendimentos, profissionais responsáveis e custom services;

Conteúdos educativos e comunicados (feeds) compartilhados pela clínica.

Esses dados não são gerados pelo responsável legal por meio do Aplicativo — eles são produzidos pela equipe terapêutica da Bloomy e apenas disponibilizados para visualização ao responsável legal autenticado.

3.3. Dados coletados automaticamente

Ao utilizar o Aplicativo, coletamos automaticamente:

Dados do dispositivo: modelo e nome do aparelho, sistema operacional e versão, identificador do dispositivo, idioma e fuso horário.

Token de notificação push (Firebase Cloud Messaging): identificador anônimo emitido pelo Google/Firebase, necessário para o envio de notificações.

Dados de uso e diagnóstico: logs técnicos de funcionamento, eventos de erro e relatórios de falhas (crash reports), via Sentry.

Endereço IP e dados básicos de conexão.

4. Permissões solicitadas pelo Aplicativo

Permissão	Plataforma	Finalidade
Internet	Android / iOS	Comunicação com os servidores da Bloomy.
Notificações (`POST_NOTIFICATIONS`)	Android / iOS	Exibir lembretes de atendimentos, recados e alertas da clínica.
Biometria (`USE_BIOMETRIC` / Face ID)	Android / iOS	Autenticação local para acesso ao Aplicativo (opcional).
Galeria de fotos (`NSPhotoLibraryUsageDescription`)	iOS	Permitir, opcionalmente, atualizar a foto de perfil do responsável legal.
Microfone (`NSMicrophoneUsageDescription`)	iOS	Reservada para funcionalidades de comunicação com a clínica que possam ser ativadas em versões futuras. Caso não autorizado, o Aplicativo continua funcionando normalmente.
Identificador de publicidade (`AD_ID`)	Android	Declaração exigida pelo Google Play em razão das bibliotecas Firebase. Não utilizamos esses identificadores para publicidade.
Distintivo de aplicativo (badge)	Android	Exibir o contador de notificações não lidas no ícone do Aplicativo.

A concessão das permissões acima é feita pelo próprio sistema operacional, e o usuário pode revogá-las a qualquer momento nas configurações do dispositivo, sem que isso impeça o uso geral do Aplicativo (algumas funcionalidades específicas, contudo, podem ficar indisponíveis).

5. Finalidades do tratamento de dados

Tratamos seus dados pessoais para as seguintes finalidades:

Autenticação e segurança: validar o acesso do responsável legal ao Aplicativo e proteger a conta contra acessos indevidos.
Prestação dos serviços terapêuticos: disponibilizar ao responsável legal informações sobre o atendimento, evolução e agenda do paciente.
Comunicação com o usuário: envio de notificações operacionais, lembretes de consultas e recados da clínica.
Suporte e atendimento: responder a dúvidas, solicitações e reclamações.
Aprimoramento do Aplicativo: identificar erros, falhas e oportunidades de melhoria por meio de relatórios de diagnóstico anonimizados.
Cumprimento de obrigações legais e regulatórias: atendimento à LGPD, ao Marco Civil da Internet e a obrigações fiscais, sanitárias e contratuais.
Defesa de direitos: exercício regular de direitos em processos judiciais, administrativos ou arbitrais.

6. Bases legais (LGPD)

Base legal	Aplicação
Execução de contrato (art. 7º, V)	Funcionamento das funcionalidades essenciais do Aplicativo, decorrentes do Contrato de Adesão.
Cumprimento de obrigação legal ou regulatória (art. 7º, II)	Manutenção de registros de aceite, logs de acesso e demais registros exigidos por lei.
Legítimo interesse (art. 7º, IX)	Prevenção a fraudes, segurança da informação e melhoria do Aplicativo.
Consentimento (art. 7º, I e art. 11, I)	Envio de notificações, uso de biometria, permissões opcionais e tratamento de dados sensíveis quando exigido.
Tutela da saúde (art. 11, II, “f”)	Tratamento de dados sensíveis de saúde dos pacientes, exclusivamente por profissionais habilitados ou serviços de saúde.
Proteção da vida ou da incolumidade física (art. 7º, IV; art. 11, II, “c”)	Quando aplicável a situações específicas relacionadas ao cuidado do paciente.

7. Compartilhamento de dados

A Bloomy não vende dados pessoais. Compartilhamos informações apenas nas seguintes hipóteses, sempre limitadas ao estritamente necessário:

Com a equipe terapêutica e administrativa da Bloomy, para a prestação dos serviços contratados.
Com prestadores de serviço (operadores) que atuam em nosso nome e estão sujeitos a obrigações contratuais de confidencialidade e proteção de dados, em especial:
- Google LLC / Firebase — autenticação, notificações push (Firebase Cloud Messaging) e configurações de aplicativo;
- Sentry — coleta de relatórios de erros e estabilidade do Aplicativo;
- Provedores de hospedagem em nuvem — armazenamento da base de dados da Bloomy;
- Google LLC (Play Store) e Apple Inc. (App Store) — distribuição do Aplicativo, conforme as políticas de cada loja.
Com autoridades públicas, mediante requisição legal, ordem judicial ou para cumprimento de obrigações legais.
Em caso de reorganização societária, observadas as exigências legais e contratuais quanto à proteção dos dados.

Alguns desses operadores podem armazenar dados em servidores localizados fora do Brasil. Nesses casos, garantimos que a transferência internacional ocorra apenas para países com nível adequado de proteção ou mediante cláusulas contratuais específicas, conforme o art. 33 da LGPD.

8. Armazenamento e segurança

8.1. Onde armazenamos

Os dados são armazenados em ambientes seguros, com controles técnicos e administrativos compatíveis com a sensibilidade das informações tratadas.

No dispositivo do usuário, dados como o token de sessão e preferências do Aplicativo são gravados em armazenamento local criptografado (Encrypted Shared Preferences no Android e Keychain no iOS).

8.2. Medidas de segurança

Adotamos, entre outras, as seguintes medidas:

Criptografia em trânsito (HTTPS/TLS) nas comunicações entre o Aplicativo e nossos servidores;

Criptografia em repouso de credenciais e tokens no dispositivo;

Controle de acesso baseado em autenticação por CPF e senha, com possibilidade de bloqueio adicional por biometria local;

Monitoramento de incidentes e registros de auditoria;

Política interna de acesso restrito, com base no princípio do “need-to-know”.

Nenhum sistema é totalmente livre de falhas. Caso ocorra um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, nos termos do art. 48 da LGPD.

9. Retenção e exclusão dos dados

Os dados pessoais são mantidos pelo tempo necessário ao cumprimento das finalidades descritas nesta Política, observados os seguintes prazos:

Categoria de dados	Prazo de retenção
Dados cadastrais do responsável legal (CPF, nome, e-mail, telefone)	Enquanto durar o vínculo contratual com a clínica e por até 5 (cinco) anos após o término, para fins de defesa em eventual processo judicial (art. 206, §5º, I do Código Civil).
Dados sensíveis de saúde do paciente	Mantidos pelo período exigido pela legislação sanitável aplicável (em regra, no mínimo 20 anos, conforme Resolução CFM nº 1.821/2007), independentemente do uso do Aplicativo.
Registros de acesso e logs de aplicação	6 (seis) meses, conforme art. 15 da Lei nº 12.965/2014 (Marco Civil da Internet).
Token de notificação push e dados do dispositivo	Enquanto o Aplicativo permanecer instalado e a conta ativa.
Relatórios de erros (Sentry)	90 dias, em regra, conforme política do operador.

Após esses prazos, os dados são excluídos ou anonimizados de forma segura, ressalvadas as hipóteses legais que autorizem ou exijam sua conservação (art. 16 da LGPD).

9.1. Como solicitar a exclusão da sua conta e dos seus dados

O responsável legal pode, a qualquer tempo, solicitar a exclusão da sua conta e dos seus dados pessoais por uma das seguintes formas:

Por e-mail: envie uma mensagem para contato@bebloomy.com.br com o assunto “Exclusão de conta — Aplicativo Bloomy”, informando seu nome completo e CPF cadastrado.
Pelo Aplicativo: ao realizar o logout em “Configurações”, os dados locais armazenados no dispositivo são apagados. Para a exclusão completa da conta nos servidores, é necessário enviar a solicitação pelo e-mail acima.

A solicitação será atendida em até 15 (quinze) dias, ressalvada a manutenção dos dados para os quais haja base legal específica de conservação (por exemplo, prontuários terapêuticos exigidos por norma sanitária, documentos contratuais e fiscais).

10. Direitos do titular dos dados

Nos termos do art. 18 da LGPD, o titular pode, a qualquer momento, solicitar:

Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
Portabilidade dos dados a outro fornecedor;
Eliminação dos dados tratados com base no consentimento;
Informação sobre as entidades públicas e privadas com as quais a Bloomy compartilha os dados;
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Revogação do consentimento, nos termos do art. 8º, §5º.

As solicitações podem ser feitas pelo e-mail contato@bebloomy.com.br. Para sua segurança, podemos solicitar informações adicionais para confirmar sua identidade antes de atender ao pedido.

11. Crianças e adolescentes

Os dados de pacientes crianças e adolescentes são tratados em seu melhor interesse, nos termos do art. 14 da LGPD e do Estatuto da Criança e do Adolescente (Lei nº 8.069/1990), e são fornecidos diretamente pelo responsável legal no momento da contratação dos serviços terapêuticos com a clínica.

O Aplicativo não promove cadastro de menores e exige autenticação prévia do responsável legal para visualização de quaisquer dados.

12. Cookies e tecnologias similares

O Aplicativo móvel não utiliza cookies de navegação. Para informações sobre o uso de cookies no site institucional www.bloomy.com.br, consulte a Política de Cookies.

13. Atualizações desta Política

Esta Política de Privacidade pode ser atualizada periodicamente para refletir alterações em nossas práticas, na legislação aplicável ou em funcionalidades do Aplicativo. A versão vigente estará sempre disponível em https://www.bloomy.com.br/politica-de-privacidade e a data da última revisão constará no topo do documento.

Em caso de alterações relevantes, o usuário será informado por meio do próprio Aplicativo, por e-mail ou por outros canais adequados.

14. Legislação aplicável e foro

Esta Política é regida pelas leis da República Federativa do Brasil. Fica eleito o foro da Comarca de São Paulo — SP para dirimir quaisquer controvérsias decorrentes desta Política, com renúncia a qualquer outro, por mais privilegiado que seja.

Bloomy ABA Therapy
CNPJ 20.384.928/0001-24
contato@bebloomy.com.br