ClínicaGestClínicaGest

Política de Privacidade

Como a ClínicaGest coleta, utiliza, armazena e protege os dados pessoais de clínicas, profissionais de saúde e pacientes, em conformidade com a LGPD (Lei nº 13.709/2018).

Atualizado em 21 de abril de 2026

A ClínicaGest Tecnologia Ltda. ("ClínicaGest") é controladora dos dados pessoais coletados na operação da Plataforma e adota práticas compatíveis com a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018), o Código de Ética Médica do CFM e a regulamentação da ANPD.

1. Dados coletados

1.1 Dados de cadastro

  • Nome completo, e-mail, telefone, CPF, sexo, data de nascimento e eventual nome social.
  • Para Profissionais: CRM/CRO, especialidades, foto, biografia, valores de consulta, agenda e clínicas onde atua.
  • Para Clínicas: razão social, endereço, contato e logotipo.

1.2 Dados de saúde (sensíveis)

  • Alergias, medicamentos em uso, doenças crônicas, cirurgias anteriores, histórico familiar, tipo sanguíneo, dados de saúde da mulher (gestação, amamentação, DUM, contraceptivos).
  • Anotações clínicas registradas pelo Profissional.

1.3 Dados operacionais e técnicos

  • Agendamentos, status, valores e formas de pagamento, histórico de consultas.
  • Endereço IP, tipo de dispositivo, navegador, logs de acesso, cookies de sessão.

2. Finalidades do tratamento

  • Operar o serviço de gestão de clínicas, agenda e marketplace de consultas.
  • Permitir comunicação entre Paciente e Profissional, lembretes e confirmações.
  • Processar pagamentos de assinaturas e (quando aplicável) consultas via Stripe.
  • Cumprir obrigações legais e regulatórias (CFM, ANPD, fiscais).
  • Prevenir fraudes, abusos e garantir a segurança da Plataforma.
  • Aprimorar continuamente o produto com base em métricas agregadas e anonimizadas.

3. Bases legais

Tratamos dados pessoais com fundamento em uma ou mais das seguintes bases legais (LGPD art. 7º e art. 11):

  • Execução de contrato com o titular ou medidas preliminares (cadastro, agendamento, cobrança).
  • Consentimento específico e destacado para dados sensíveis de saúde e para comunicações de marketing.
  • Cumprimento de obrigação legal ou regulatória (prontuário CFM, retenção fiscal).
  • Legítimo interesse para prevenção de fraudes e segurança da informação.
  • Tutela da saúdeem procedimentos realizados por profissionais de saúde, em situações de urgência (LGPD art. 11, II, "f").

4. WhatsApp e integração com Meta

A ClínicaGest integra-se com o WhatsApp Cloud API (Meta Platforms Ireland Limited) para permitir envio de mensagens, confirmações de agendamento e notificações via WhatsApp. Ao autorizar a conexão de um número WhatsApp, você consente com o seguinte:

4.1 Dados coletados via WhatsApp

  • Número de telefone registrado no WhatsApp Business (display_phone_number).
  • Conteúdo de mensagens enviadas e recebidas pelo app.
  • Status de entrega e leitura das mensagens (delivery reports, read-receipts).
  • Metadados técnicos: timestamp, identificadores de mensagem, tipos de mídia.

4.2 Processamento e armazenamento

  • Armazenamento de mensagens: Mensagens e seu conteúdo são armazenados no banco de dados da ClínicaGest pelo prazo de 90 dias para auditoria, segurança e cumprimento de obrigações legais. Após esse período, são anonimizadas.
  • Processamento pela Meta: A Meta processa dados conforme sua Política de Privacidade e Termos de Serviço do WhatsApp. A ClínicaGest atua como controladora conjunta ou processadora conforme o caso.

4.3 Consentimento para WhatsApp

Você consente expressamente com: (i) envio de mensagens via WhatsApp, (ii) armazenamento do número de telefone e histórico de mensagens, (iii) compartilhamento de dados com a Meta para operação da integração, e (iv) transferência de dados para servidores fora do Brasil conforme necessário. Você pode revogar este consentimento a qualquer momento desconectando o número WhatsApp nas configurações da Clínica.

5. Compartilhamento com terceiros

Compartilhamos dados estritamente com fornecedores essenciais à operação, sob contrato com cláusulas de proteção de dados:

  • Hospedagem em nuvem: Vercel Inc. (servidores fora do Brasil) e Neon (PostgreSQL gerenciado, região sa-east-1).
  • Autenticação: Better Auth e Google (login social).
  • Pagamentos: Stripe Inc.
  • E-mail transacional: Resend (verificação de cadastro, recuperação de conta).
  • Mapas e geocoding: Google Maps APIs.
  • Mensagens WhatsApp: Meta Platforms Ireland Limited (WhatsApp Cloud API).

Não vendemos dados pessoais e não os compartilhamos com terceiros para fins de publicidade.

6. Transferência internacional

Alguns provedores armazenam dados em servidores fora do Brasil (principalmente Estados Unidos e União Europeia). Garantimos o adequado grau de proteção mediante cláusulas contratuais padrão e selo de adequação reconhecido pela ANPD ou normas equivalentes.

7. Retenção

  • Conta ativa: dados mantidos enquanto a Conta estiver ativa.
  • Após exclusão: dados pessoais identificáveis são anonimizados em até 30 dias. Dados de saúde podem ser preservados pelo prazo previsto pelo CFM (em regra 20 anos para prontuários).
  • Logs de acesso: mantidos por 6 meses (Marco Civil da Internet, art. 15).
  • Dados fiscais: 5 anos (Código Tributário Nacional).

8. Segurança

Adotamos medidas técnicas e organizacionais compatíveis com o estado da arte:

  • Criptografia em trânsito (TLS 1.3) e em repouso.
  • Isolamento multi-tenant com filtros obrigatórios por clinic_id em toda consulta a dados clínicos.
  • Autenticação por senha (mín. 8 caracteres) ou OAuth Google com verificação de e-mail.
  • Logs de auditoria para acesso a dados sensíveis.
  • Backups diários e plano de recuperação de desastre revisado periodicamente.

9. Direitos do titular

Você pode exercer a qualquer momento os direitos previstos no art. 18 da LGPD: confirmação, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento e revogação de consentimento. Veja como exercer no documento Tratamento de Dados — LGPD.

10. Cookies

Utilizamos apenas cookies essenciais para autenticação, sessão e preferências (ex.: cookie active_clinic_id para multi-clínica). Não utilizamos cookies de terceiros para publicidade.

11. Encarregado pelo Tratamento de Dados (DPO)

Encarregado: dpo@clinicagest.com.br.

12. Alterações

Esta Política pode ser atualizada para refletir mudanças no serviço ou na legislação. Versões anteriores ficam disponíveis sob solicitação ao DPO. Alterações materiais serão comunicadas com 15 dias de antecedência.