Política de Privacidade e Termos de Uso

1. Introdução e Definições

A presente Política de Privacidade e Termos de Uso ("Documento") rege a relação entre o BudApp ("Plataforma", "nós" ou "nosso"), operado pela ONI Solutions ("Controladora"), e os usuários ("Titular", "você" ou "Usuário") que acessam ou utilizam a plataforma disponível em bud.app.br.

Este Documento foi elaborado em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei n.º 13.709/2018), o Marco Civil da Internet (Lei n.º 12.965/2014), o Código de Defesa do Consumidor (Lei n.º 8.078/1990) e demais legislações brasileiras aplicáveis.

Ao acessar ou utilizar a Plataforma, o Usuário declara ter lido, compreendido e concordado com todos os termos aqui dispostos. Caso não concorde, deverá cessar imediatamente o uso da Plataforma.

1.1. Definições

Termo	Definição
Plataforma	O sistema BudApp, acessível via bud.app.br, incluindo todas as funcionalidades web e APIs.
Controladora	ONI Solutions, pessoa jurídica responsável pelas decisões referentes ao tratamento de dados pessoais.
Titular	Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Associação	Entidade associativa de cannabis medicinal que utiliza a Plataforma para gestão de suas operações.
Paciente	Pessoa natural cadastrada na Plataforma como associado de uma Associação para acesso a fitoterápicos canábicos.
Operador	Usuário com credenciais de acesso que opera a Plataforma em nome de uma Associação.
Dados Pessoais	Informação relacionada a pessoa natural identificada ou identificável, nos termos do art. 5º, I, da LGPD.
Dados Pessoais Sensíveis	Dados sobre saúde, incluindo prescrições médicas e laudos, nos termos do art. 5º, II, da LGPD.
Tratamento	Toda operação realizada com dados pessoais, incluindo coleta, armazenamento, uso, compartilhamento e eliminação.

2. Dados Pessoais Coletados

2.1. Dados do Operador (Usuário da Plataforma)

Nome completo e endereço de e-mail (obtidos via provedor de autenticação Azure AD B2C)
Identificador único de autenticação (OID)
Perfil de acesso (Associação ou Parceiro)
Registros de acesso (logs), incluindo endereço IP, data e hora, conforme art. 15 do Marco Civil da Internet

2.2. Dados do Paciente (cadastrados pela Associação)

Nome completo, CPF, data de nascimento, endereço
Dados de contato (telefone, e-mail)
Status de filiação (Ativo, Inativo, Arquivado)

2.3. Dados Pessoais Sensíveis (Saúde)

Atenção: A Plataforma trata dados pessoais sensíveis relacionados à saúde, conforme art. 11 da LGPD, exclusivamente para as finalidades descritas neste Documento.

Prescrições médicas (incluindo nome do médico prescritor, CRM e data de validade)
Laudos médicos e liminares judiciais
Histórico de dispensação de fitoterápicos canábicos
Documentos digitalizados (upload de arquivos de prescrição e laudo)

2.4. Dados Financeiros

Registros de contribuições (valor, tipo, status de pagamento)
Links de pagamento via PIX gerados por integração com o serviço Lytex
A Plataforma não coleta nem armazena dados de cartão de crédito, dados bancários ou credenciais de pagamento do Paciente. O processamento de pagamento é integralmente realizado pelo provedor terceirizado (Lytex).

2.5. Dados de Produção e Estoque

Registros de lotes de matéria-prima (fornecedor, peso, certificados de análise)
Registros de produção (vinculação de insumo a produto final)
Movimentações de estoque (entradas, saídas, dispensações)

2.6. Dados do Formulário de Contato

Nome, e-mail, assunto e mensagem enviados através do formulário público em bud.app.br
Esses dados são enviados por e-mail ao time de atendimento e não são armazenados na base de dados da Plataforma.

3. Finalidades do Tratamento

Os dados pessoais são tratados para as seguintes finalidades específicas:

Finalidade	Dados Envolvidos	Base Legal (LGPD)
Autenticação e controle de acesso	E-mail, OID, perfil	Art. 7º, V — Execução de contrato
Cadastro e gestão de pacientes associados	Dados pessoais do paciente	Art. 7º, V — Execução de contrato
Curadoria documental (prescrições e laudos)	Dados sensíveis de saúde	Art. 11, II, "a" — Cumprimento de obrigação legal
Controle de validade de prescrições	Datas, nome do prescritor	Art. 11, II, "a" — Cumprimento de obrigação legal
Gestão financeira de contribuições	Valores, status, links PIX	Art. 7º, V — Execução de contrato
Rastreabilidade de estoque e produção	Lotes, movimentações, COAs	Art. 7º, II — Cumprimento de obrigação legal
Dispensação controlada de fitoterápicos	Paciente, produtos, quantidades	Art. 11, II, "a" — Tutela da saúde
Geração de métricas no painel (Dashboard)	Dados agregados e anonimizados	Art. 7º, IX — Legítimo interesse
Registro de logs de acesso	IP, data/hora, ação	Art. 7º, II — Marco Civil da Internet
Atendimento a solicitações de contato	Nome, e-mail, mensagem	Art. 7º, I — Consentimento

4. Base Legal para o Tratamento

O tratamento de dados pessoais pela Plataforma fundamenta-se nas seguintes bases legais previstas na LGPD:

Execução de contrato (art. 7º, V): para operações diretamente relacionadas à prestação do serviço contratado pela Associação.
Cumprimento de obrigação legal ou regulatória (art. 7º, II e art. 11, II, "a"): para a manutenção de registros exigidos pela legislação sanitária, fiscal e pelo Marco Civil da Internet.
Tutela da saúde (art. 11, II, "f"): para o tratamento de dados sensíveis de saúde estritamente necessários à dispensação controlada de fitoterápicos.
Legítimo interesse (art. 7º, IX): para geração de métricas agregadas que melhorem a operação da Plataforma, sempre respeitando os direitos e liberdades do Titular.
Consentimento (art. 7º, I): para o envio de mensagens pelo formulário de contato.

Dados sensíveis de saúde: O tratamento de prescrições, laudos e histórico de dispensação ocorre exclusivamente para cumprimento de obrigação legal/regulatória e tutela da saúde do Paciente, conforme art. 11 da LGPD. A Controladora não utiliza esses dados para finalidades comerciais, publicitárias ou de perfilamento.

5. Compartilhamento de Dados

Os dados pessoais poderão ser compartilhados com os seguintes destinatários, exclusivamente para as finalidades descritas:

Destinatário	Finalidade	Dados Compartilhados
Microsoft Azure	Infraestrutura de hospedagem e autenticação (Azure AD B2C)	Todos os dados armazenados na Plataforma
Lytex	Processamento de links de pagamento PIX	Identificador da contribuição, nome do paciente, valor
Resend	Envio de e-mails de contato	Nome, e-mail e mensagem do formulário

A Controladora não vende, aluga ou comercializa dados pessoais de Usuários ou Pacientes a terceiros, sob nenhuma circunstância.

Os dados poderão ser compartilhados com autoridades públicas quando houver requisição legal, ordem judicial ou determinação de autoridade competente, nos termos da legislação brasileira.

6. Armazenamento e Segurança

6.1. Infraestrutura

Os dados são armazenados em servidores Microsoft Azure, localizados em datacenters com certificações de segurança internacionais (ISO 27001, SOC 1/2/3).
A comunicação entre o navegador e a Plataforma é protegida por criptografia TLS/HTTPS.
Os dados em repouso são protegidos pela criptografia nativa da infraestrutura Azure.

6.2. Controle de Acesso

Autenticação: via Azure AD B2C com suporte a autenticação multifator (MFA).
Isolamento multi-tenant: cada Associação possui ambiente de dados completamente isolado. Não há acesso cruzado entre organizações.
Controle por perfil: o sistema implementa permissões granulares por papel (Associação e Parceiro), restringindo funcionalidades conforme o perfil do Operador.

6.3. Retenção de Dados

Os dados pessoais são mantidos pelo período necessário ao cumprimento das finalidades descritas neste Documento.
Os registros de acesso (logs) são mantidos pelo prazo mínimo de 6 (seis) meses, conforme art. 15 do Marco Civil da Internet.
Dados de pacientes inativos ou arquivados permanecem disponíveis para fins de auditoria e cumprimento de obrigação legal, podendo ser eliminados mediante solicitação formal, desde que não haja impedimento legal.
Ao encerramento do contrato com a Associação, os dados poderão ser eliminados ou devolvidos, conforme solicitação formal e na ausência de obrigação legal de retenção.

6.4. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares, a Controladora compromete-se a:

Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e os Titulares afetados, conforme art. 48 da LGPD;
Adotar medidas técnicas e organizacionais para mitigar os efeitos do incidente;
Documentar o incidente e as providências adotadas.

7. Direitos do Titular

Nos termos dos artigos 17 a 22 da LGPD, o Titular de dados pessoais tem direito a:

Acesso

Confirmação da existência de tratamento e acesso aos dados pessoais.

Correção

Correção de dados incompletos, inexatos ou desatualizados.

Anonimização

Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.

Portabilidade

Portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa.

Eliminação

Eliminação dos dados tratados com consentimento, exceto nas hipóteses de retenção legal.

Informação

Informação sobre entidades públicas e privadas com as quais houve compartilhamento.

Revogação

Revogação do consentimento a qualquer tempo, sem comprometer tratamentos anteriores.

Oposição

Oposição ao tratamento realizado em desconformidade com a LGPD.

Para exercer qualquer desses direitos, o Titular deve entrar em contato pelos canais indicados na Seção 14 deste Documento. As solicitações serão atendidas no prazo de até 15 (quinze) dias úteis, conforme art. 19, II, da LGPD.

8. Cookies e Tecnologias de Rastreamento

A Plataforma utiliza cookies estritamente necessários para o funcionamento do sistema:

Cookie	Tipo	Finalidade	Duração
Sessão de autenticação	Estritamente necessário	Manter o Operador autenticado durante a sessão	Sessão
Anti-falsificação (CSRF)	Estritamente necessário	Proteção contra ataques de falsificação de requisição	Sessão
Preferência de tema	Funcional	Armazenar a preferência de tema claro/escuro	Persistente

A Plataforma não utiliza cookies de rastreamento, analytics, publicidade ou de terceiros para fins de perfilamento ou marketing.

9. Termos de Uso da Plataforma

9.1. Objeto

A Plataforma é um sistema de gestão (SaaS) destinado exclusivamente a associações de cannabis medicinal legalmente constituídas no Brasil, para gerenciamento de pacientes, documentação, contribuições, estoque, produção e dispensação de fitoterápicos canábicos.

9.2. Cadastro e Acesso

O acesso à Plataforma requer credenciais de autenticação fornecidas pela Controladora.
O Usuário é responsável por manter a confidencialidade de suas credenciais e por todas as atividades realizadas com sua conta.
O Usuário deve notificar imediatamente a Controladora sobre qualquer uso não autorizado de sua conta.

9.3. Uso Adequado

O Usuário compromete-se a:

Utilizar a Plataforma exclusivamente para as finalidades previstas e em conformidade com a legislação brasileira;
Inserir informações verdadeiras, completas e atualizadas;
Não tentar acessar dados de outras Associações ou explorar vulnerabilidades do sistema;
Não utilizar robôs, scrapers ou mecanismos automatizados para acessar a Plataforma sem autorização;
Não reproduzir, distribuir ou modificar qualquer conteúdo da Plataforma sem autorização expressa.

9.4. Suspensão e Encerramento

A Controladora reserva-se o direito de suspender ou encerrar o acesso do Usuário, mediante aviso prévio de 30 (trinta) dias, nas seguintes hipóteses:

Violação dos Termos de Uso ou da legislação aplicável;
Uso indevido ou abusivo da Plataforma;
Inadimplência contratual;
Determinação judicial ou de autoridade competente.

Em caso de suspensão, os dados do Usuário serão mantidos pelo prazo legal aplicável. Após o encerramento, os dados poderão ser eliminados conforme a Seção 6.3.

9.5. Disponibilidade

A Controladora empenhará esforços razoáveis para manter a Plataforma disponível 24 horas por dia, 7 dias por semana, mas não garante disponibilidade ininterrupta. Manutenções programadas serão comunicadas com antecedência razoável.

10. Responsabilidades e Limitações

10.1. Da Controladora

Manter a infraestrutura tecnológica em condições adequadas de segurança e disponibilidade;
Tratar os dados pessoais em conformidade com a LGPD e demais legislações aplicáveis;
Responder a incidentes de segurança conforme a Seção 6.4;
Atender às solicitações dos Titulares nos prazos legais.

10.2. Da Associação (Operador)

A Associação atua como Controladora conjunta dos dados dos Pacientes que cadastra na Plataforma;
É responsabilidade da Associação obter o consentimento ou informar seus Pacientes sobre o tratamento de dados na Plataforma;
A Associação é responsável pela veracidade e licitude dos dados que insere;
A Associação responde pelo uso que seus Operadores fazem da Plataforma.

10.3. Limitação de Responsabilidade

A Controladora não será responsável por:

Danos decorrentes de uso indevido das credenciais de acesso pelo Usuário;
Dados incorretos ou desatualizados inseridos pela Associação;
Indisponibilidade da Plataforma causada por fatores fora de seu controle razoável (caso fortuito, força maior, indisponibilidade de provedores terceirizados);
Decisões médicas ou clínicas tomadas com base em informações exibidas na Plataforma.

11. Propriedade Intelectual

Todo o conteúdo da Plataforma — incluindo, mas não se limitando a, código-fonte, design, layout, logotipos, ícones, textos e funcionalidades — é de propriedade exclusiva da ONI Solutions ou de seus licenciadores, protegido pela legislação brasileira de propriedade intelectual (Lei n.º 9.610/1998 e Lei n.º 9.279/1996).

A utilização da Plataforma não confere ao Usuário qualquer direito de propriedade intelectual sobre o sistema ou seus componentes.

12. Isenção de Responsabilidade Médica

Aviso importante: A Plataforma é uma ferramenta de gestão administrativa e operacional. Não constitui serviço de saúde, não fornece diagnósticos, não prescreve tratamentos e não substitui orientação médica profissional.

Todas as decisões clínicas relacionadas ao uso de cannabis medicinal devem ser tomadas exclusivamente por profissionais de saúde habilitados. A Plataforma limita-se a armazenar e organizar documentação e registros para fins de gestão e compliance.

13. Alterações neste Documento

A Controladora reserva-se o direito de alterar este Documento a qualquer tempo, para refletir mudanças na legislação, nas funcionalidades da Plataforma ou nas práticas de tratamento de dados.

Alterações relevantes serão comunicadas aos Usuários por meio de aviso na Plataforma ou por e-mail. O uso continuado da Plataforma após a publicação das alterações constitui aceitação dos novos termos.

Versões anteriores deste Documento estarão disponíveis mediante solicitação ao Encarregado de Dados.

14. Contato e Encarregado de Dados (DPO)

Para exercer seus direitos, esclarecer dúvidas ou fazer reclamações referentes ao tratamento de dados pessoais, entre em contato:

Controladora ONI Solutions

E-mail do DPO / Encarregado onisolutions@outlook.com

Website bud.app.br

O Titular também tem o direito de peticionar à Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que o tratamento de seus dados pessoais viola a LGPD.

Política de Privacidadee Termos de Uso