Política de Privacidade
1. Quem somos
O Recibo Saúde Fácil é uma extensão para o navegador Google Chrome desenvolvida de forma independente por uPaiva, voltada a profissionais de saúde autônomos no Brasil. Esta ferramenta não é oficial e não possui qualquer vínculo com a Receita Federal do Brasil, o Gov.br, o Mercado Pago ou o WhatsApp.
Controlador dos dados: uPaiva
E-mail de contato (DPO/Privacidade): suporte@upaiva.com.br
2. Escopo desta política
Esta política descreve quais dados a extensão trata, onde eles ficam, com quem podem ser compartilhados e quais são os seus direitos sob a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).
A política se aplica exclusivamente ao uso da extensão. Não cobre os sites de terceiros que você visita (Receita Federal, WhatsApp Web etc.), que possuem suas próprias políticas.
3. Dados tratados pela extensão
3.1. Dados que ficam somente no seu navegador (armazenamento local)
A extensão usa chrome.storage.local para guardar localmente:
- Dados do profissional: nome, profissão, CPF/CNPJ, endereço comercial, telefone, e-mail;
- Dados de pacientes: nome, CPF, telefone, e-mail, observações;
- Atendimentos: data, serviço, valor, forma de pagamento, status do recibo;
- Histórico: importações de planilhas, exportações, log de atividade;
- Preferências: consentimento LGPD, mascaramento de CPF, modo escuro;
- Licença comercial: código RSF1..., e-mail vinculado, dispositivo ativado.
Esses dados não saem do seu navegador por padrão. A extensão não envia conteúdo de pacientes ou atendimentos para servidores próprios em nenhum momento.
3.2. Dados enviados ao backend (apenas para pagamento e licença)
Quando você inicia uma compra de plano pago ou ativa uma licença, os seguintes dados são enviados ao backend hospedado em beautiful-laughter-production-ba79.up.railway.app (operado pela uPaiva via Railway):
| Dado | Finalidade | Base legal LGPD |
|---|---|---|
| Nome completo | Identificar o comprador no Mercado Pago | Execução de contrato (art. 7º, V) |
| Enviar o código de licença após o pagamento | Execução de contrato (art. 7º, V) | |
| Plano escolhido | Calcular o valor a cobrar | Execução de contrato (art. 7º, V) |
deviceId (UUID aleatório gerado localmente) | Limitar a licença a no máximo 2 dispositivos | Legítimo interesse (art. 7º, IX) |
deviceLabel (apelido do dispositivo) | Mostrar ao usuário quais dispositivos estão ativos | Legítimo interesse (art. 7º, IX) |
| Código de licença | Validar a ativação | Execução de contrato (art. 7º, V) |
O deviceId é um identificador anônimo gerado pela extensão, não é serial de hardware nem identifica você como pessoa. O backend armazena apenas um hash HMAC desse identificador.
3.3. Dados tratados por terceiros (sub-operadores)
| Empresa | Finalidade | Dados acessados |
|---|---|---|
| Mercado Pago | Processar o pagamento | Nome, e-mail, dados do cartão/PIX |
| Railway | Hospedar o backend | Logs técnicos do servidor |
| Supabase | Banco de dados | Nome, e-mail, plano, código, hash do dispositivo |
| Resend | Enviar e-mail com a licença | Nome, e-mail, código de licença |
Políticas próprias: Mercado Pago · Railway · Supabase · Resend.
4. O que a extensão NÃO faz
Para ficar absolutamente claro, a extensão não:
- ❌ Lê suas conversas no WhatsApp Web (só captura texto que você seleciona manualmente);
- ❌ Coleta sua senha do Gov.br ou Receita Federal;
- ❌ Burla captcha, autenticação ou qualquer mecanismo de segurança oficial;
- ❌ Envia recibos automaticamente — todo envio depende do seu clique no sistema oficial;
- ❌ Envia dados de pacientes para servidores próprios;
- ❌ Vende, compartilha ou monetiza dados pessoais com terceiros;
- ❌ Usa cookies de rastreamento, analytics ou publicidade;
- ❌ Faz fingerprinting do navegador.
5. Permissões do navegador
| Permissão | Por quê |
|---|---|
storage | Salvar pacientes, atendimentos e configurações no chrome.storage.local |
activeTab | Detectar quando você está na página do Carnê-Leão para oferecer preenchimento |
sidePanel | Mostrar o painel lateral com assistente de atendimento |
cav.receita.fazenda.gov.br | Preencher campos do Carnê-Leão. Você sempre confere e clica em enviar. |
web.whatsapp.com | Mostrar botão "Criar atendimento" quando você seleciona texto no WhatsApp Web |
beautiful-laughter-production-ba79.up.railway.app | Chamar o backend para criar checkout e ativar licença |
6. Seus direitos como titular (LGPD art. 18)
Você tem direito a, a qualquer momento e gratuitamente:
- Confirmar a existência de tratamento dos seus dados;
- Acessar os dados que tratamos sobre você;
- Corrigir dados incompletos, inexatos ou desatualizados;
- Anonimizar, bloquear ou eliminar dados desnecessários;
- Portabilidade: exportar seus dados em formato JSON (disponível na aba "Privacidade" da extensão);
- Eliminar dados tratados com base no seu consentimento;
- Informações sobre compartilhamento com entidades públicas ou privadas;
- Revogar o consentimento a qualquer momento.
Para exercer qualquer direito, envie um e-mail para suporte@upaiva.com.br com o assunto "LGPD — [seu direito]". Respondemos em até 15 dias úteis.
7. Retenção e exclusão de dados
- Dados locais (no seu navegador): ficam armazenados enquanto você usar a extensão. Você pode apagar a qualquer momento na aba "Privacidade" → "Apagar todos os dados".
- Dados do backend (pedidos e licenças): retidos por 5 anos após a última atividade da licença, para fins fiscais e de antifraude (Lei nº 8.078/90, art. 27 + LGPD art. 16, II). Após esse período são anonimizados.
- Desinstalação: ao desinstalar a extensão, todos os dados locais são removidos pelo próprio Chrome.
8. Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados:
- Comunicação com o backend somente via HTTPS (TLS 1.2+);
- Token do Mercado Pago fica apenas no servidor, nunca na extensão;
- Chave privada de licença (ECDSA P-256) fica apenas no servidor;
- Dispositivos são armazenados como hash HMAC, não como ID puro;
- Webhook do Mercado Pago é validado por assinatura;
- Rate limit em checkout, webhook e ativação;
- CPF mascarado por padrão na interface (você precisa clicar para revelar);
- Banco de dados com Row Level Security habilitado.
9. Menores de idade
A extensão é voltada a profissionais de saúde e não é direcionada a menores de 18 anos. Não tratamos dados pessoais de menores intencionalmente. Se um responsável identificar que dados de menor foram inseridos por engano, pode solicitar exclusão por suporte@upaiva.com.br.
10. Transferência internacional de dados
Os serviços terceirizados (Railway, Supabase, Resend, Mercado Pago) podem armazenar dados em servidores fora do Brasil. Todos esses operadores aderem a padrões internacionais de segurança e à LGPD por meio de cláusulas contratuais padrão (LGPD art. 33, II).
11. Cookies e tecnologias similares
A extensão não usa cookies. Não há analytics, pixel de rastreamento, fingerprinting ou tecnologias de identificação cruzada.
O único identificador persistente é o deviceId (UUID aleatório gerado localmente), usado apenas para limitar o número de dispositivos por licença.
12. Alterações nesta política
Esta política pode ser atualizada. A versão e a data no topo do documento indicam a última revisão. Mudanças relevantes serão comunicadas via:
- Aviso dentro da extensão (banner na aba "Privacidade");
- E-mail aos titulares de licença ativa.
13. Contato e Encarregado (DPO)
uPaiva — Encarregado de Proteção de Dados
E-mail: suporte@upaiva.com.br
Resposta: até 15 dias úteis
Para reclamações que não conseguimos resolver, você também pode procurar a Autoridade Nacional de Proteção de Dados (ANPD) em https://www.gov.br/anpd.