Política de Privacidade

1. Quem Somos

O Ensino Bilin (CNPJ 39.300.316/0001-34) é dedicado à prestação de serviços educacionais complementares, de caráter livre e não formal, voltados ao desenvolvimento bilíngue por meio de atividades pedagógicas baseadas em metodologia de imersão linguística, realizadas de forma presencial ou online, conforme ajustado entre as partes. Esta Política de Privacidade explica como coletamos, usamos, armazenamos e protegemos seus dados pessoais ao utilizar nossa plataforma (app.ensinobilin.com).

Controlador de dados: ENSINO BILIN
Encarregado (DPO): Damaris Luiza Viana Rotert — atendimento@ensinobilin.com

2. Dados que Coletamos

2.1 Dados de Cadastro (Leads)

Ao preencher o formulário de interesse, coletamos:

• Nome completo do responsável e da criança
• E-mail e telefone de contato
• Idade da criança
• Endereço (para planejamento logístico de aulas em domicílio)
• Instagram (opcional - para facilitar contato e comunicação com a família)
• Faixa de renda familiar (opcional - para recomendar o melhor plano para sua família)

Base legal: Consentimento (Art. 7, I da LGPD).

2.2 Dados de Alunos

Ao matricular um aluno, coletamos:

• Nome completo do aluno e dos responsáveis
• CPF do responsável (para contratos e notas fiscais)
• Endereço completo (para aulas em domicílio)
• Telefone e e-mail dos responsáveis
• Data de nascimento e alergias/restrições médicas relevantes
• Foto do aluno (opcional - para identificação pelo professor)

Base legal: Execução de contrato (Art. 7, V da LGPD) e consentimento específico do responsável legal para dados sensíveis (Art. 11, I).

2.3 Dados de Professores

Para professores cadastrados na plataforma:

• Nome completo, e-mail, telefone
• CPF e chave PIX (para pagamento de remuneração)
• Endereço (para cálculo de distâncias e logística)
• Disponibilidade de horários

Base legal: Execução de contrato de prestação de serviços (Art. 7, V da LGPD).

2.4 Dados de Autenticação

Utilizamos login via Google OAuth e Microsoft Entra ID. Recebemos apenas seu nome e e-mail do provedor de autenticação. Não temos acesso à sua senha do Google ou Microsoft.

Base legal: Execução de contrato (Art. 7, V da LGPD).

2.5 Dados de Cobrança

Processamos pagamentos via Stripe, utilizando componentes tokenizados (Stripe Elements). Os dados completos do cartão são processados diretamente pela Stripe conforme padrões PCI-DSS — não armazenamos dados brutos de cartão em nossos servidores. Armazenamos apenas tokens de referência e e-mail de cobrança.

Base legal: Execução de contrato (Art. 7, V da LGPD).

2.6 Dados de Navegação

Ao utilizar a plataforma, podemos coletar automaticamente:

• Endereço IP e User-Agent do navegador (registrados no log de auditoria para segurança)
• Geolocalização aproximada (somente com seu consentimento expresso, via navegador, para autopreenchimento de endereço)
• Dados de verificação CAPTCHA via Cloudflare Turnstile (para proteção contra bots no formulário de cadastro)

Base legal: Interesse legítimo para segurança (Art. 7, IX da LGPD), observado o teste de balanceamento, e consentimento para geolocalização (Art. 7, I).

3. Como Usamos Seus Dados

Utilizamos seus dados pessoais para:

• Prestação de serviços: agendamento de aulas, gestão de matrículas, controle de frequência e comunicação sobre aulas
• Cobrança: emissão de faturas, processamento de pagamentos e gestão financeira
• Comunicação: envio de notificações sobre aulas, cancelamentos, reagendamentos e avisos importantes via WhatsApp e notificações push
• Contratos digitais: geramos matrículas e contratos para assinatura digital via Autentique
• Logística: cálculo de distâncias e rotas para alocação de professores via Google Maps/Routes API
• Segurança: detecção de acessos não autorizados, proteção contra fraudes e auditoria de ações
• Melhorias: análise agregada e anonimizada para melhorar nossos serviços

4. Compartilhamento de Dados

Compartilhamos seus dados apenas com os seguintes terceiros, estritamente para as finalidades descritas:

Não vendemos, alugamos ou compartilhamos seus dados pessoais para fins de marketing de terceiros.

5. Proteção dos Dados

Adotamos medidas técnicas e organizacionais compatíveis com o porte e a natureza dos dados tratados. Essas medidas são avaliadas periodicamente para garantir sua efetividade.

• Criptografia em trânsito: toda comunicação entre seu navegador e nossos servidores utiliza HTTPS/TLS com certificados válidos
• Criptografia em repouso: dados sensíveis (CPF, telefone, endereço, chave PIX, alergias) são criptografados no banco de dados utilizando algoritmos de criptografia reconhecidos. Essa implementação é auditada periodicamente
• Dados de pagamento: utilizamos Stripe Elements para tokenização de cartões. Os dados completos do cartão são processados diretamente pela Stripe conforme padrões PCI-DSS. Não armazenamos dados brutos de cartão — apenas tokens de referência fornecidos pela Stripe
• Autenticação segura: utilizamos OAuth 2.0 (Google, Microsoft) para autenticação. Suas credenciais de login não são armazenadas em nossos servidores. Sessões são gerenciadas via tokens seguros com expiração automática
• Proteções contra ataques: implementamos CSRF tokens, rate limiting, Content Security Policy e validação de entrada para proteção contra ataques comuns
• Log de auditoria: ações administrativas e acessos são registrados para detecção de anomalias
• Controle de acesso: usuários possuem níveis de acesso distintos (pais, professores, administradores) com permissões granulares

6. Retenção e Exclusão de Dados

6.1 Período de Retenção

Mantemos seus dados pessoais enquanto houver relação contratual ativa. Após o encerramento da relação, seus dados são mantidos pelo prazo necessário conforme a natureza dos dados:

• Dados fiscais (notas fiscais, recibos, comprovantes de pagamento): 5 anos, conforme Código Tributário Nacional
• Dados contratuais (contratos, termos de matrícula): 2 anos após encerramento, para defesa em eventuais disputas
• Dados pedagógicos (feedback, registros de frequência): 2 anos após encerramento
• Logs de auditoria (registros de acesso e ações): anonimizados após o período de retenção configurado
• Fotos de alunos: excluídas mediante solicitação do responsável ou no encerramento da matrícula
• Dados de leads (visitantes que não se matricularam): excluídos ou anonimizados após o período de retenção configurado

Após os prazos especificados, dados são anonimizados ou excluídos permanentemente, exceto quando a lei exigir retenção adicional.

6.2 Arquivamento e Exclusão Automática

Registros arquivados (leads finalizados, alunos inativos, professores desligados) são movidos para uma área de "lixeira" e automaticamente excluídos após o período configurado de retenção. Fotos armazenadas são removidas junto com o registro.

6.3 Exclusão sob Solicitação (Direito ao Apagamento)

Você pode solicitar a exclusão dos seus dados a qualquer momento através da plataforma ou entrando em contato conosco. Ao processar a exclusão:

• Dados pessoais são anonimizados ou removidos permanentemente, na medida do possível
• Fotos armazenadas são excluídas, quando aplicável
• Registros de auditoria são anonimizados (mantemos a estrutura para segurança, mas buscamos remover dados identificáveis)
• Sessões e tokens de acesso são revogados
• Dados em serviços de terceiros (Stripe, Autentique) seguem as políticas de retenção dos respectivos provedores

A exclusão será processada em prazo razoável, observadas as exigências legais aplicáveis.

7. Seus Direitos (LGPD Art. 18)

Você tem os seguintes direitos em relação aos seus dados pessoais:

• Confirmação e acesso: saber se tratamos seus dados e obter cópia deles
• Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade com a LGPD
• Portabilidade: solicitar a transferência dos seus dados a outro fornecedor de serviço, nos termos da regulamentação aplicável
• Eliminação: solicitar a exclusão dos dados tratados com base no consentimento
• Informação sobre compartilhamento: saber com quais entidades públicas e privadas compartilhamos seus dados
• Revogação do consentimento: revogar o consentimento a qualquer momento

Para exercer qualquer desses direitos, entre em contato pelo e-mail atendimento@ensinobilin.com ou utilize a funcionalidade de solicitação LGPD disponível na plataforma.

8. Cookies e Armazenamento Local

Utilizamos os seguintes mecanismos de armazenamento no navegador:

• Cookie de sessão: necessário para manter seu login ativo (expira ao final da sessão ou após período de inatividade)
• localStorage: utilizado para cache temporário de localização (para autopreenchimento de endereço). Buscamos remover esses dados ao fazer logout.

Não utilizamos cookies de publicidade, rastreamento ou analytics de terceiros. Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma (como sessão de login). Ferramentas de segurança (como Cloudflare) podem processar sinais técnicos (IP, user agent) para proteção contra ataques, sem uso de cookies de rastreamento.

9. Dados de Crianças e Adolescentes

Nosso serviço atende crianças e adolescentes menores de idade. Conforme Art. 14 da LGPD, coletamos e tratamos dados de menores observando as seguintes práticas:

• Consentimento do responsável legal: coletamos dados de menores exclusivamente com consentimento informado e específico do responsável legal, solicitado de forma destacada antes de qualquer coleta
• Guarda compartilhada: em situações de guarda compartilhada, quando identificamos essa situação, buscamos obter consentimento de ambos os responsáveis
• Dados mínimos necessários: coletamos apenas o estritamente necessário para a prestação do serviço educacional: nome, idade, alergias/restrições médicas relevantes e foto para identificação pelo professor
• Melhor interesse da criança: não utilizamos dados de menores para profiling, discriminação de preço ou finalidades que não sejam educacionais
• Registro de consentimento: mantemos registro de quem consentiu e quando consentiu, para fins de conformidade com a LGPD
• Transição para maioridade: ao atingir 18 anos, o usuário pode gerenciar seus dados de forma independente. Notificamos o responsável e o usuário sobre essa mudança

10. Transferência Internacional de Dados

Seus dados podem ser processados por provedores localizados fora do Brasil, incluindo Cloudflare, Google, Microsoft, Stripe e Meta, nos Estados Unidos e outros países. Essas transferências internacionais são protegidas por:

• Cláusulas contratuais padrão (SCCs): nossos provedores adotam cláusulas contratuais padrão conforme GDPR e LGPD Art. 33, que estabelecem garantias de proteção equivalentes às exigidas no Brasil
• Medidas técnicas e organizacionais: provedores implementam criptografia, controle de acesso e auditoria de segurança
• Conformidade regulatória: provedores declaram conformidade com a LGPD e regulamentações da ANPD

Você pode solicitar informações detalhadas sobre os mecanismos de proteção em transferências internacionais entrando em contato pelo e-mail atendimento@ensinobilin.com.

11. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente. Alterações significativas serão comunicadas por e-mail ou notificação na plataforma, podendo ser solicitada nova aceitação quando aplicável. A data de "última atualização" no topo desta página indica quando a política foi revisada pela última vez.

12. Contato e Reclamações

Para dúvidas, solicitações ou reclamações sobre o tratamento dos seus dados pessoais:

• E-mail: atendimento@ensinobilin.com
• WhatsApp: (48) 99210-5010

Se você não estiver satisfeito com nossa resposta, você pode registrar uma reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.