LGPD — Lei Geral de Proteção de Dados

1. Encarregado pelo Tratamento de Dados Pessoais (DPO)

A Clinz nomeou um Encarregado pelo Tratamento de Dados Pessoais (DPO — Data Protection Officer), conforme exigido pelo art. 41 da LGPD, responsável por:

Aceitar reclamações e comunicações dos titulares de dados e da Autoridade Nacional de Proteção de Dados (ANPD), prestar esclarecimentos e adotar providências.

Receber comunicações da ANPD e adotar as providências cabíveis.

Orientar os colaboradores e contratados da Clinz sobre as práticas de proteção de dados.

Executar as demais atribuições determinadas pela Clinz ou previstas em normas complementares.

Canal de contato do DPO: privacidade@clinz.com.br

Endereço para correspondência: São Paulo/SP — Brasil (endereço completo disponível mediante solicitação ao DPO).

Prazo de resposta: até 15 (quinze) dias úteis, conforme legislação vigente.

2. Papéis no tratamento de dados

Controladora (dados de cadastro e conta): Clinz Tecnologia LTDA é a Controladora dos dados pessoais fornecidos pelo Usuário durante o cadastro, login e uso da Plataforma.

Operadora (dados clínicos de pacientes): A Clinz atua como Operadora em relação aos dados de pacientes inseridos pelo Usuário (clínica/profissional de saúde), que é o Controlador. O tratamento ocorre exclusivamente conforme as instruções do Controlador e nos limites da prestação do serviço.

Essa distinção é fundamental para definir responsabilidades: o Usuário (clínica) é responsável pela base legal e pelo consentimento necessário para tratar dados de seus pacientes; a Clinz é responsável por aplicar medidas técnicas e organizacionais de segurança adequadas.

3. Base legal para o tratamento

A Clinz fundamenta o tratamento de dados pessoais nas seguintes bases legais previstas no art. 7º da LGPD:

Execução de contrato (art. 7º, V): cadastro, autenticação, prestação do serviço de gestão clínica, suporte técnico e faturamento.

Cumprimento de obrigação legal ou regulatória (art. 7º, II): emissão de notas fiscais, retenção de prontuários médicos por 20 anos (Resolução CFM nº 1.821/2007), guarda de registros de acesso por 6 meses (Marco Civil da Internet).

Consentimento do titular (art. 7º, I): envio de e-mails de marketing, ativação de cookies analíticos e de marketing, funcionalidades opcionais que exigem consentimento específico.

Legítimo interesse do controlador (art. 7º, IX): análise agregada de uso para melhoria do produto, prevenção a fraudes, segurança da informação e desenvolvimento de funcionalidades baseadas em dados anonimizados. Sempre observado o teste de balanceamento, minimização e transparência.

4. Direitos do titular

Em conformidade com os arts. 17 a 22 da LGPD, garantimos ao titular dos dados pessoais os seguintes direitos:

Confirmação: direito de obter a confirmação da existência de tratamento de dados pessoais.

Acesso: direito de acessar seus dados pessoais tratados pela Clinz.

Correção: direito de solicitar a correção de dados incompletos, inexatos ou desatualizados.

Anonimização, bloqueio ou eliminação: direito de solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

Portabilidade: direito de solicitar a portabilidade dos dados a outro fornecedor de serviço, em formato estruturado e interoperável (CSV ou JSON).

Eliminação: direito de solicitar a eliminação dos dados tratados com base no consentimento, exceto nas hipóteses legais de retenção.

Informação sobre compartilhamento: direito de ser informado sobre as entidades com as quais seus dados foram compartilhados.

Revogação do consentimento: direito de revogar o consentimento a qualquer momento, de forma gratuita e facilitada.

Oposição: direito de se opor ao tratamento realizado com base em legítimo interesse, caso entenda haver violação à LGPD.

Revisão de decisões automatizadas: direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.

5. Como exercer seus direitos

O titular pode exercer seus direitos pelos seguintes canais:

E-mail: privacidade@clinz.com.br — informe o direito que deseja exercer, seus dados de identificação (nome e e-mail cadastrado) e, se aplicável, detalhes adicionais sobre a solicitação.

Painel da Plataforma: Configurações > Privacidade > Meus Dados — funcionalidades de exportação, exclusão e revogação de consentimento estão disponíveis diretamente na interface.

A Clinz confirmará o recebimento da solicitação em até 2 (dois) dias úteis e fornecerá resposta completa em até 15 (quinze) dias úteis, conforme previsto na legislação. Em casos de maior complexidade, o prazo poderá ser estendido mediante justificativa ao titular.

Para proteção do titular, poderemos solicitar verificação de identidade antes de processar a solicitação.

6. Prazos de retenção

A Clinz retém dados pessoais pelo período estritamente necessário ao cumprimento das finalidades descritas e das obrigações legais aplicáveis:

Dados clínicos e prontuários médicos: 20 (vinte) anos — Resolução CFM nº 1.821/2007.

Dados financeiros e fiscais: 5 (cinco) anos — legislação tributária brasileira.

Registros de acesso (logs): 6 (seis) meses — Marco Civil da Internet (Lei nº 12.965/2014, art. 15).

Dados de cadastro e conta: enquanto a conta estiver ativa e pelo período necessário após o encerramento para cumprimento de obrigações legais.

Dados de marketing (consentimento): até a revogação do consentimento pelo titular.

Após o encerramento da conta, os dados exportáveis ficam disponíveis por 30 dias. Dados não sujeitos a retenção legal são anonimizados e eliminados de forma segura em até 90 dias.

7. Medidas de segurança

A Clinz implementa medidas técnicas e organizacionais proporcionais ao risco, em conformidade com o art. 46 da LGPD:

Criptografia em trânsito (TLS 1.3) e em repouso (AES-256) para todos os dados armazenados.

Controle de acesso baseado em papéis (RBAC) com princípio do menor privilégio, segregação de ambientes e autenticação multifator (MFA).

Isolamento lógico de dados por tenant (arquitetura multi-tenancy), garantindo que cada clínica acesse apenas seus próprios dados.

Logs de auditoria completos e imutáveis, registrando todas as operações relevantes (criação, leitura, atualização, exclusão).

Backups criptografados diários com replicação geográfica e testes periódicos de restauração.

Monitoramento contínuo de vulnerabilidades, varreduras de segurança automatizadas e programa de atualização de dependências.

Plano de resposta a incidentes documentado, com simulações periódicas e responsabilidades definidas.

Treinamento periódico de colaboradores em proteção de dados e segurança da informação.

8. Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Clinz adotará as seguintes medidas:

Comunicação à ANPD em prazo razoável, conforme art. 48 da LGPD, informando: descrição da natureza dos dados afetados; informações sobre os titulares envolvidos; indicação das medidas técnicas e de segurança utilizadas; riscos relacionados ao incidente; medidas adotadas para reverter ou mitigar os efeitos do incidente.

Comunicação aos titulares afetados, indicando as medidas recomendadas para proteção de seus dados.

Registro interno do incidente com análise de causa raiz e implementação de melhorias para prevenir recorrência.

9. Cookies e tecnologias de rastreamento

A Plataforma utiliza cookies e tecnologias semelhantes, categorizados da seguinte forma:

Essenciais: autenticação, segurança (CSRF), preferências de sessão. Necessários para o funcionamento — não requerem consentimento.

Analíticos: Vercel Analytics, análise de uso agregada. Ativados somente com consentimento (opt-in).

Marketing: Google Tag Manager, Meta Pixel (quando configurados). Ativados somente com consentimento expresso (opt-in).

O Usuário pode gerenciar suas preferências de cookies pelo banner de consentimento exibido no primeiro acesso ou pelas configurações do navegador.

10. Autoridade Nacional de Proteção de Dados (ANPD)

Caso o titular entenda que o tratamento de seus dados pessoais pela Clinz viola a LGPD, poderá apresentar petição à Autoridade Nacional de Proteção de Dados (ANPD):

Site: https://www.gov.br/anpd

Recomendamos que o titular entre em contato conosco primeiro pelo e-mail privacidade@clinz.com.br para que possamos resolver a questão de forma ágil e satisfatória.

11. Contato

Clinz Tecnologia LTDA

CNPJ: XX.XXX.XXX/0001-XX

Encarregado (DPO): privacidade@clinz.com.br

Suporte geral: suporte@clinz.com.br

São Paulo/SP — Brasil