Política de Privacidade

1. Controlador e Encarregado (DPO)

Controlador: Clinz Tecnologia LTDA, CNPJ XX.XXX.XXX/0001-XX, com sede em São Paulo/SP.

Para questões envolvendo dados pessoais de cadastro e conta do Usuário, a Clinz atua como Controladora. Para dados de pacientes inseridos pelo Usuário na Plataforma, a Clinz atua como Operadora, sendo o Usuário (clínica/profissional) o Controlador.

Encarregado pelo Tratamento de Dados Pessoais (DPO): privacidade@clinz.com.br. Todas as solicitações referentes a direitos de titulares devem ser encaminhadas a este e-mail.

2. Dados pessoais coletados

Dados de cadastro: nome completo, e-mail, telefone, CPF ou CNPJ, nome da clínica, especialidade, CRM/CRO (quando aplicável).

Dados de faturamento: informações de pagamento processadas pelo gateway (Stripe). A Clinz NÃO armazena números completos de cartão de crédito.

Dados de uso: endereço IP, tipo de navegador, sistema operacional, páginas acessadas, cliques, tempo de sessão, funcionalidades utilizadas e logs de acesso (data, hora, ação realizada).

Dados clínicos (inseridos pelo Usuário): prontuários, anamneses, evoluções, imagens, prescrições, agendamentos, dados de pacientes. Estes dados são de responsabilidade do Usuário (Controlador), cabendo à Clinz apenas o papel de Operadora.

Dados de comunicação: mensagens enviadas ao suporte, feedbacks e respostas a pesquisas de satisfação.

3. Finalidade do tratamento

Os dados pessoais são tratados para as seguintes finalidades: (i) prestação e manutenção do serviço contratado (execução de contrato — art. 7º, V, LGPD); (ii) faturamento, cobrança e emissão de notas fiscais (obrigação legal — art. 7º, II); (iii) comunicações operacionais (alertas de sistema, atualizações, avisos de segurança); (iv) suporte técnico e atendimento ao cliente; (v) melhoria contínua da Plataforma, incluindo análise de uso e desenvolvimento de novas funcionalidades (legítimo interesse — art. 7º, IX); (vi) prevenção a fraudes e segurança da Plataforma (legítimo interesse); (vii) cumprimento de obrigações legais e regulatórias; (viii) envio de comunicações de marketing, somente mediante consentimento prévio (opt-in — art. 7º, I).

Dados anonimizados e agregados poderão ser utilizados para fins estatísticos e treinamento de modelos de inteligência artificial, sem possibilidade de identificação individual.

4. Bases legais para o tratamento

O tratamento de dados pessoais pela Clinz fundamenta-se nas seguintes bases legais previstas na LGPD:

Execução de contrato (art. 7º, V): para a prestação do serviço de gestão clínica contratado pelo Usuário.

Cumprimento de obrigação legal ou regulatória (art. 7º, II): para emissão de documentos fiscais, retenção de prontuários médicos (Resolução CFM nº 1.821/2007) e atendimento a determinações de autoridades competentes.

Consentimento do titular (art. 7º, I): para envio de comunicações de marketing, cookies analíticos e funcionalidades opcionais.

Legítimo interesse (art. 7º, IX): para melhoria da Plataforma, prevenção a fraudes, análise agregada de uso e segurança da informação, sempre observado o teste de balanceamento e proporcionalidade.

5. Compartilhamento de dados

A Clinz NÃO vende, aluga ou comercializa dados pessoais. O compartilhamento ocorre exclusivamente nas seguintes hipóteses:

Processadores de infraestrutura (sub-operadores): Vercel (hospedagem e CDN), Neon (banco de dados PostgreSQL), Cloudflare (DNS e segurança), Amazon Web Services/Cloudflare R2 (armazenamento de arquivos). Todos sujeitos a contratos de processamento de dados (DPA) e medidas adequadas de segurança.

Gateway de pagamento: Stripe, para processamento de transações financeiras, sujeito à PCI-DSS.

Serviços de e-mail transacional: para envio de notificações operacionais (ex.: confirmação de agendamento, recuperação de senha).

Autoridades competentes: quando exigido por lei, regulamento ou determinação judicial/administrativa.

Em caso de fusão, aquisição ou reorganização societária da Clinz, os dados poderão ser transferidos ao sucessor, mantidas as garantias desta Política.

6. Transferência internacional de dados

Alguns dos processadores utilizados pela Clinz possuem servidores localizados fora do Brasil (Estados Unidos). Nesses casos, a transferência internacional é realizada com base em: (i) cláusulas contratuais padrão (SCCs); (ii) certificações de segurança dos processadores; (iii) garantias previstas no art. 33 da LGPD.

A Clinz prioriza a utilização de regiões de armazenamento localizadas na América do Sul sempre que disponíveis.

7. Cookies e tecnologias de rastreamento

Cookies essenciais: necessários para o funcionamento da Plataforma (autenticação, sessão, segurança CSRF). Não requerem consentimento.

Cookies analíticos: utilizados para análise de uso e melhoria da experiência (ex.: Vercel Analytics). Ativados somente mediante consentimento do Usuário (banner de cookies).

Cookies de marketing: utilizados por ferramentas de terceiros (Google Tag Manager, Meta Pixel) para mensuração de campanhas publicitárias. Ativados somente mediante consentimento expresso (opt-in).

O Usuário pode gerenciar suas preferências de cookies a qualquer momento por meio do banner de consentimento ou das configurações do navegador. A desativação de cookies essenciais pode comprometer o funcionamento da Plataforma.

8. Retenção e eliminação de dados

Dados de cadastro e conta: mantidos enquanto a conta estiver ativa e pelo período necessário ao cumprimento de obrigações legais após o encerramento.

Dados clínicos (prontuários): retenção mínima de 20 (vinte) anos, conforme Resolução CFM nº 1.821/2007, mesmo após o cancelamento da conta.

Dados financeiros e fiscais: retenção de 5 (cinco) anos para fins tributários.

Logs de acesso: retenção de 6 (seis) meses, conforme Marco Civil da Internet (Lei nº 12.965/2014).

Após o cancelamento da assinatura, os dados exportáveis ficam disponíveis para download por 30 (trinta) dias. Decorrido esse prazo, os dados não sujeitos a retenção legal serão anonimizados e eliminados de forma segura em até 90 (noventa) dias.

9. Direitos do titular

Nos termos dos arts. 17 a 22 da LGPD, o titular dos dados pessoais tem direito a:

Confirmação da existência de tratamento de dados pessoais.

Acesso aos dados pessoais tratados pela Clinz.

Correção de dados incompletos, inexatos ou desatualizados.

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

Portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa, em formato estruturado e interoperável.

Eliminação dos dados pessoais tratados com base no consentimento, exceto nas hipóteses de retenção legal.

Informação sobre as entidades públicas e privadas com as quais os dados foram compartilhados.

Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

Revogação do consentimento a qualquer momento.

Para exercer seus direitos, envie um e-mail para privacidade@clinz.com.br com a identificação do direito desejado e dados para confirmação de identidade. A Clinz responderá em até 15 (quinze) dias úteis, conforme previsto na legislação.

10. Segurança da informação

A Clinz adota medidas técnicas e organizacionais robustas para proteger os dados pessoais contra acesso não autorizado, perda, alteração ou destruição, incluindo:

Criptografia em trânsito (TLS 1.3) e em repouso (AES-256).

Controle de acesso baseado em papéis (RBAC) com princípio do menor privilégio.

Autenticação multifator (MFA) disponível para todos os usuários.

Logs de auditoria completos com rastreabilidade de ações.

Backups criptografados diários com replicação geográfica.

Isolamento lógico de dados por tenant (arquitetura multi-tenancy segura).

Monitoramento contínuo de vulnerabilidades e atualizações de segurança.

Testes de segurança periódicos e plano de resposta a incidentes.

11. Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, a Clinz comunicará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme art. 48 da LGPD, informando a natureza dos dados afetados, os riscos relacionados, as medidas adotadas e as recomendações para mitigação de danos.

12. Dados de menores de idade

A Clinz não coleta intencionalmente dados pessoais de menores de 18 anos para fins de cadastro de Usuário. Dados de pacientes menores de idade poderão ser inseridos na Plataforma pelo Usuário (profissional de saúde), que assume integral responsabilidade pela observância do art. 14 da LGPD (tratamento de dados de crianças e adolescentes) e pela obtenção do consentimento do responsável legal.

13. Alterações nesta Política

Esta Política de Privacidade poderá ser atualizada periodicamente para refletir mudanças nas nossas práticas, na legislação ou nos serviços oferecidos.

Alterações relevantes serão comunicadas por e-mail e/ou banner na Plataforma com no mínimo 30 (trinta) dias de antecedência. A data da última atualização será sempre indicada no topo desta página.

14. Legislação aplicável e foro

Esta Política é regida exclusivamente pela legislação brasileira, em especial a Lei nº 13.709/2018 (LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990). Fica eleito o foro da Comarca de São Paulo/SP para dirimir quaisquer questões relativas a esta Política.

15. Contato

Clinz Tecnologia LTDA

CNPJ: XX.XXX.XXX/0001-XX

Encarregado (DPO): privacidade@clinz.com.br

Suporte geral: suporte@clinz.com.br

São Paulo/SP — Brasil