Política de Privacidade e Proteção de Dados

A MSL Technology and Commerce LLC ("MSL", "nós", "nossa"), empresa registrada no Estado da Flórida, Estados Unidos da América, opera o website www.ac-gestao.com sob a marca AC Gestão em Saúde e comercializa o acesso à plataforma de saúde mental Orienteme. A MSL atua exclusivamente como intermediadora de acesso. Não prestamos serviços clínicos, não empregamos psicólogos e não temos acesso a informações de saúde trocadas entre o usuário e os profissionais da plataforma Orienteme. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais, em conformidade com: • LGPD — Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, Brasil) • GDPR — General Data Protection Regulation (Regulamento UE 2016/679) • CCPA — California Consumer Privacy Act (para residentes da Califórnia, EUA) • Leis de privacidade aplicáveis do Estado da Flórida, Estados Unidos Ao utilizar nosso website ou contratar nossos serviços, você confirma que leu e compreendeu esta Política.

2.1 Dados fornecidos diretamente por você • Dados de identificação: nome completo, CPF ou documento equivalente, data de nascimento, nacionalidade • Dados de contato: endereço de e-mail, número de telefone/WhatsApp, cidade e país de residência • Dados de contratação: plano escolhido, data de início da assinatura, histórico de pagamentos • Dados de comunicação: mensagens enviadas via WhatsApp, e-mail ou formulários de contato 2.2 Dados coletados automaticamente • Dados de navegação: endereço IP, tipo de navegador, sistema operacional, páginas visitadas • Dados de sessão: tempo de permanência, origem do acesso (anúncio, busca orgânica, link direto) • Dados de cookies: preferências de idioma, configurações de moeda, identificadores de sessão • Dados de conversão: cliques em botões, preenchimento de formulários, interações com CTAs 2.3 Dados de pagamento Os dados de cartão de crédito e débito são processados exclusivamente pela Stripe Inc., conforme descrito na Seção 5. A MSL não armazena números de cartão, CVV ou dados bancários completos em nenhum momento. 2.4 Dados que NÃO coletamos A MSL não coleta, não acessa e não armazena: • Informações clínicas, diagnósticos ou histórico de saúde mental • Conteúdo de sessões de psicoterapia • Mensagens trocadas entre o usuário e os profissionais da plataforma Orienteme • Dados sensíveis conforme definidos pelo Art. 5º, II da LGPD (origem racial, convicção religiosa, opinião política, saúde ou vida sexual), exceto na medida estritamente necessária para a prestação do serviço

Nos termos da LGPD (Art. 7º) e do GDPR (Art. 6º), tratamos seus dados com base nas seguintes hipóteses legais: • Execução de contrato (Art. 7º, V — LGPD): Necessário para fornecer o acesso à plataforma contratado. Dados envolvidos: Nome, e-mail, dados de contratação, dados de pagamento. • Consentimento (Art. 7º, I — LGPD): Uso de cookies de marketing, envio de comunicações promocionais. Dados envolvidos: Dados de cookies, e-mail para marketing. • Interesse legítimo (Art. 7º, IX — LGPD): Segurança do site, prevenção a fraudes, análise de desempenho interno. Dados envolvidos: Logs de acesso, dados de sessão, IP. • Obrigação legal (Art. 7º, II — LGPD): Cumprimento de obrigações fiscais, contábeis e regulatórias. Dados envolvidos: Dados fiscais, histórico de transações.

Utilizamos seus dados pessoais exclusivamente para as seguintes finalidades: • Processar sua assinatura e liberar o acesso à plataforma Orienteme • Comunicar informações sobre seu plano, renovações e alterações de serviço • Processar pagamentos via Stripe e gerenciar cobranças recorrentes • Responder a dúvidas, solicitações de cancelamento e suporte via WhatsApp e e-mail • Enviar comunicações de marketing, quando você tiver dado consentimento explícito • Analisar o desempenho do website e otimizar a experiência de navegação • Medir a eficácia de campanhas publicitárias (com seu consentimento para cookies de marketing) • Prevenir fraudes, abusos e garantir a segurança do serviço • Cumprir obrigações legais e regulatórias aplicáveis Não utilizamos seus dados para tomada de decisões automatizadas que produzam efeitos significativos sobre você, sem revisão humana.

A MSL compartilha dados pessoais apenas com os terceiros estritamente necessários para a prestação do serviço, todos sujeitos a acordos de processamento de dados compatíveis com LGPD e GDPR: • Stripe Inc. (EUA): Processamento de pagamentos com cartão de crédito e débito, gestão de assinaturas recorrentes. Política: stripe.com/privacy • Meta Platforms Inc. (Facebook/Instagram) (EUA): Medição e otimização de anúncios pagos via Meta Pixel (somente com consentimento). Política: facebook.com/privacy/policy • Google LLC (Google Analytics) (EUA): Análise de tráfego e comportamento no website (somente com consentimento). Política: policies.google.com/privacy • WhatsApp Inc. (Meta) (EUA): Canal de atendimento ao cliente e suporte. Política: whatsapp.com/legal/privacy-policy • Orienteme (plataforma parceira) (Brasil): Criação e gestão do acesso do usuário à plataforma após confirmação da assinatura. Política: orienteme.com.br • Cloudflare Inc. (EUA): Proteção contra ataques, CDN e desempenho do website. Política: cloudflare.com/privacypolicy A MSL não vende, aluga ou cede dados pessoais a terceiros para fins comerciais próprios desses terceiros. Não compartilhamos dados com parceiros de publicidade além do Meta Pixel e Google Analytics, e sempre mediante consentimento prévio do usuário. Transferências internacionais de dados para os EUA são realizadas com base nas salvaguardas adequadas previstas na LGPD (Art. 33) e no GDPR (Capítulo V), incluindo cláusulas contratuais padrão e o EU-U.S. Data Privacy Framework quando aplicável.

Mantemos seus dados pessoais pelo tempo necessário para cumprir as finalidades descritas nesta Política, observando os seguintes prazos: • Dados cadastrais e de contratação: 5 anos após encerramento — Obrigações fiscais e contábeis (legislação brasileira e americana) • Dados de pagamento e transações: 5 anos após cada transação — Compliance financeiro e prevenção a fraudes • Logs de acesso ao website: 6 meses — Segurança e prevenção a abusos • Dados de cookies (análise e marketing): Até retirada do consentimento ou máximo 13 meses — Prazo máximo recomendado por CNIL/ANPD para cookies • Comunicações de suporte (WhatsApp/e-mail): 2 anos após último contato — Histórico de atendimento e resolução de disputas • Dados de campanhas publicitárias: 90 dias após encerramento da campanha — Otimização e análise de desempenho de anúncios Após o vencimento dos prazos acima, os dados são eliminados de forma segura ou anonimizados de modo irreversível. Você pode solicitar a eliminação antecipada de seus dados conforme previsto na Seção 7.

Nos termos da LGPD (Art. 18) e do GDPR (Arts. 15-22), você tem os seguintes direitos: • Direito de acesso: Solicitar confirmação de que tratamos seus dados e obter uma cópia deles • Direito de retificação: Corrigir dados incompletos, inexatos ou desatualizados • Direito de exclusão ("direito ao esquecimento"): Solicitar a eliminação dos seus dados, salvo quando a retenção for obrigatória por lei • Direito de portabilidade: Receber seus dados em formato estruturado, legível por máquina (JSON ou CSV) • Direito de oposição: Opor-se ao tratamento de seus dados com base em interesse legítimo ou para fins de marketing direto • Direito de revogação do consentimento: Retirar consentimento para cookies de marketing ou comunicações promocionais a qualquer momento • Direito à informação sobre compartilhamento: Saber com quais entidades compartilhamos seus dados • Direito de peticionar à ANPD: Apresentar reclamação à Autoridade Nacional de Proteção de Dados (Brasil) Como exercer seus direitos: Envie sua solicitação para: [email protected] Assunto do e-mail: "Solicitação de Direitos — LGPD" ou "Data Rights Request — GDPR" Responderemos em até 15 dias úteis (LGPD) ou 30 dias corridos (GDPR). Podemos solicitar verificação de identidade antes de processar a solicitação.

8.1 Tipos de cookies que utilizamos • Cookies essenciais: Necessários para o funcionamento do site (autenticação, sessão, preferência de moeda). Não requerem consentimento. • Cookies de análise (Google Analytics): Analisam como os visitantes utilizam o site. Ativados somente após consentimento. • Cookies de marketing (Meta Pixel): Medem conversões de anúncios e permitem segmentação em campanhas pagas. Ativados somente após consentimento. • Cookies de funcionalidade: Lembram preferências como idioma e localização. Ativados somente após consentimento. 8.2 Gerenciamento de consentimento Ao acessar nosso site pela primeira vez, você verá um banner de cookies onde poderá aceitar, recusar ou personalizar suas preferências. Você pode alterar suas escolhas a qualquer momento clicando em "Configurações de Cookies" no rodapé do site. Rejeitar cookies de marketing não afeta o funcionamento do site nem o acesso à plataforma Orienteme. 8.3 Cookies de terceiros • Google Analytics (Google LLC): Coleta dados de navegação anonimizados. Configurado com IP anonimizado e sem compartilhamento com outros produtos do Google. • Meta Pixel (Meta Platforms Inc.): Registra eventos de conversão (como cliques em botões e compras). Somente ativado com consentimento. Para gerenciar preferências de anúncios do Google, acesse: adssettings.google.com Para gerenciar preferências de anúncios da Meta, acesse: facebook.com/adpreferences

9.1 Comunicações de marketing Enviamos comunicações promocionais (e-mail, WhatsApp) apenas para usuários que tenham dado consentimento explícito. Jamais enviaremos spam nem compartilharemos seu contato com terceiros para fins de marketing de terceiros. 9.2 Como cancelar o recebimento (opt-out) • E-mail: Clique em "Cancelar inscrição" no rodapé de qualquer e-mail marketing, ou envie "CANCELAR" para [email protected] • WhatsApp: Responda "PARAR" a qualquer mensagem de marketing, ou informe nossa equipe de suporte • Cookies de marketing: Acesse as configurações de cookies no rodapé do site e desative cookies de marketing O opt-out de comunicações de marketing não cancela sua assinatura nem afeta o acesso à plataforma. Processamos solicitações de opt-out em até 10 dias úteis.

Nossos serviços são destinados exclusivamente a pessoas com 18 (dezoito) anos ou mais. Não coletamos intencionalmente dados pessoais de menores de idade. Caso identifiquemos que coletamos dados de um menor sem o consentimento dos pais ou responsáveis legais, eliminamos essas informações imediatamente e cancelamos o acesso associado. Se você acredita que coletamos dados de um menor, entre em contato imediatamente: [email protected] Para usuários entre 16 e 18 anos (onde permitido por lei local), o consentimento deve ser fornecido pelos pais ou responsáveis legais antes da contratação do serviço.

Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados pessoais contra acesso não autorizado, perda, divulgação ou destruição: • Transmissão de dados via HTTPS com certificado SSL/TLS • Senhas e tokens armazenados com hash (bcrypt) • Acesso interno aos dados restrito ao estritamente necessário (princípio do menor privilégio) • Dados de pagamento processados pela Stripe, certificada PCI DSS Nível 1 • Revisões periódicas de segurança e controle de acesso • Backups criptografados com retenção conforme prazos da Seção 6 Nenhum sistema é 100% seguro. Em caso de incidente, adotaremos as medidas descritas na Seção 12.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, adotaremos o seguinte procedimento: • Contenção e investigação imediata do incidente pela equipe técnica • Notificação à ANPD (Autoridade Nacional de Proteção de Dados do Brasil) em até 72 horas da ciência do incidente, conforme Art. 48 da LGPD • Notificação às autoridades de proteção de dados da UE em até 72 horas, conforme Art. 33 do GDPR, quando aplicável • Comunicação aos titulares afetados em prazo razoável, com descrição da natureza dos dados afetados, riscos potenciais e medidas adotadas • Registro interno do incidente, medidas corretivas e lições aprendidas Para reportar uma vulnerabilidade de segurança: [email protected] com assunto "Incidente de Segurança"

Como empresa americana que presta serviços a brasileiros e europeus, realizamos transferências internacionais de dados. Essas transferências são realizadas com as seguintes salvaguardas: • Para os Estados Unidos: com base no EU-U.S. Data Privacy Framework e nas cláusulas contratuais padrão da Comissão Europeia (SCCs), conforme aplicável • Para o Brasil: cumprimento integral da LGPD, com base no Art. 33, incisos II e V (cláusulas contratuais específicas e políticas globais corporativas) Todos os subprocessadores internacionais listados na Seção 5 mantêm certificações de adequação ou cláusulas contratuais equivalentes.

A MSL Technology and Commerce LLC designou um ponto de contato para questões de privacidade e proteção de dados: • Cargo: Encarregado de Proteção de Dados (DPO) / Data Protection Officer • E-mail: [email protected] • Empresa: MSL Technology and Commerce LLC • Endereço: Estado da Flórida, Estados Unidos da América • Prazo de resposta: 15 dias úteis (LGPD) / 30 dias corridos (GDPR) Você também pode exercer seus direitos junto à Autoridade Nacional de Proteção de Dados do Brasil (ANPD) em: gov.br/anpd

Esta Política é regida pelas leis do Estado da Flórida, Estados Unidos da América, sem prejuízo da aplicação da LGPD aos titulares brasileiros e do GDPR aos titulares residentes na União Europeia. Eventuais disputas relacionadas a esta Política serão submetidas à jurisdição dos tribunais do Estado da Flórida, ressalvada a competência da ANPD para questões regulatórias referentes à LGPD. Nada nesta cláusula limita os direitos dos titulares de dados perante as autoridades regulatórias de seu país de residência.

Podemos atualizar esta Política periodicamente para refletir mudanças em nossas práticas, na legislação aplicável ou nos serviços oferecidos. Em caso de alterações relevantes, notificaremos os usuários por e-mail com pelo menos 15 dias de antecedência antes da entrada em vigor das mudanças. A versão vigente sempre estará disponível em: www.ac-gestao.com/privacidade O uso continuado do serviço após a data de vigência das alterações constitui aceitação da Política atualizada.

Para exercer seus direitos, esclarecer dúvidas ou reportar incidentes de privacidade: • E-mail geral: [email protected] • E-mail de privacidade: [email protected] • Website: www.ac-gestao.com • WhatsApp (suporte): Disponível via ícone no site MSL Technology and Commerce LLC · AC Gestão em Saúde www.ac-gestao.com · [email protected]