Política de Privacidade
Última atualização: 26 de junho de 2026. Versão 1.1.
1. Quem trata os seus dados
O ClinicaOS é um software de gestão de clínicas operado por TUCUPI DIGITAL LTDA, inscrita no CNPJ 27.593.173/0001-17, com sede na Av. Doutor Alexandre Rasgulaeff, 4370, SLJ, Parque Residencial Cidade Nova, Maringá/PR, CEP 87.023-060. Nesta política, "ClinicaOS", "nós" ou "plataforma" se referem a essa empresa.
Há dois papéis distintos no tratamento de dados, nos termos da LGPD (Lei 13.709/2018):
- Dados de pacientes inseridos por uma clínica usuária (prontuário, agenda, faturamento): a clínica é a controladora desses dados e o ClinicaOS atua como operador, tratando-os por conta e ordem da clínica. As regras desse relacionamento ficam no contrato e no acordo de tratamento de dados (DPA) entre a clínica e o ClinicaOS.
- Dados de quem se cadastra ou interage com a plataforma (profissionais, leads, visitantes do site): aqui o ClinicaOS é o controlador.
2. Dados que coletamos
- Cadastro e conta: nome, e-mail, telefone, senha (armazenada de forma cifrada) e dados da clínica.
- Pacientes (inseridos pela clínica): nome, CPF, data de nascimento, contato, endereço, convênio e número de carteirinha, além de agendamentos.
- Dados de saúde (sensíveis): prontuário (evolução, hipóteses, CID), prescrições, pedidos e resultados de exames e laudos. Veja a seção 6.
- Leads e ferramentas públicas: nome e WhatsApp informados na calculadora de precificação ou em formulários de contato, e o e-mail em listas de interesse.
- Comunicação: mensagens trocadas por WhatsApp e e-mail relacionadas ao serviço.
- Uso e segurança: registros de acesso, endereço IP, dados do dispositivo e eventos de uso para operar, proteger e melhorar a plataforma.
3. Para que usamos e com qual base legal
- Fornecer e operar o serviço contratado (execução de contrato).
- Cumprir obrigações legais e regulatórias, incluindo a guarda de prontuário (obrigação legal).
- Tratar dados de saúde para a finalidade de tutela da saúde, pela clínica e por seus profissionais, na forma do art. 11 da LGPD.
- Enviar o resultado da calculadora e comunicações de marketing quando você consente de forma explícita (consentimento), que pode ser revogado a qualquer momento.
- Garantir segurança, prevenir fraude e melhorar a plataforma (legítimo interesse), sempre que não prevalecerem os seus direitos.
4. Com quem compartilhamos
Não vendemos dados pessoais. Compartilhamos apenas o necessário com fornecedores que atuam como operadores, sob contrato e com obrigações de segurança, nas seguintes categorias:
- Infraestrutura, banco de dados e autenticação: Supabase.
- E-mail transacional: Resend.
- Recursos de inteligência artificial: Anthropic (modelos Claude) e OpenAI (transcrição de áudio, voz e busca semântica), usados para apoiar funções como sugestão de CID, transcrição de consultas e organização de informações.
- Mensagens por WhatsApp: provedores de API de WhatsApp (Evolution API e/ou WhatsApp Cloud API da Meta), quando a clínica ativa esse canal.
- Meios de pagamento: gateways de pagamento (como Asaas, Mercado Pago, Stripe e PagSeguro), conforme o provedor configurado.
- Segurança e prevenção a abuso: Cloudflare (proteção anti-bot dos formulários públicos).
- Compartilhamento entre clínicas (opcional, mediante consentimento do paciente): quando o paciente autoriza expressamente, duas clínicas cadastradas na plataforma podem consultar mutuamente o histórico clínico desse paciente para fins de continuidade do cuidado. Esse compartilhamento não é automático — ocorre somente após consentimento específico, destacado e revogável do paciente (LGPD art. 11, I; art. 8º), que pode ser cancelado a qualquer momento sem prejuízo ao atendimento. Cada acesso é auditado e rastreado. Cada clínica permanece controladora dos dados que coletou; o ClinicaOS atua como operador de ambas nessa operação.
Nosso banco de dados e a infraestrutura principal (Supabase) ficam no Brasil(região de São Paulo). Parte dos demais fornecedores trata dados fora do Brasil— em especial Anthropic e OpenAI (Estados Unidos), usados nos recursos de inteligência artificial. Essas transferências internacionais se apoiam nas hipóteses do art. 33 da LGPD, mediante garantias contratuais adequadas com cada fornecedor, incluindo as Cláusulas-Padrão Contratuaisaprovadas pela Resolução CD/ANPD nº 19/2024 (art. 33, II, "b"). Quando um serviço permite escolher data center no Brasil, optamos por essa configuração para evitar a transferência internacional. Também podemos compartilhar dados para cumprir ordem legal ou regulatória. Esta lista pode ser atualizada; a versão vigente é sempre a publicada nesta página.
5. Uso de inteligência artificial
Alguns recursos usam inteligência artificial para apoiar a prática clínica e a organização de informações — por exemplo, sugestão de CID, transcrição de consultas e rascunhos de texto. Esses recursos funcionam como apoio à decisão: não há decisão automatizada com efeitos jurídicos sobre o paciente (art. 20 da LGPD); a conduta e a responsabilidade são sempre do profissional de saúde. Os provedores de IA tratam os dados apenas para gerar a resposta solicitada e, conforme os termos de uso de suas APIs corporativas, não os utilizam para treinar seus modelos. Quando o conteúdo enviado à IA pode conter dados sensíveis, aplicamos anonimização prévia sempre que tecnicamente possível.
6. Dados sensíveis de saúde
Dados de saúde recebem proteção reforçada. O acesso é restrito por perfil (por exemplo, a recepção não acessa o conteúdo clínico) e controlado por políticas de segurança no banco de dados. A guarda do prontuário segue o prazo mínimo definido pela regulação aplicável à medicina, hoje de 20 anos a contar do último registro (Resolução CFM 1.821/2007), independentemente de pedidos de exclusão de outros dados.
7. Por quanto tempo guardamos
- Prontuário e dados clínicos: pelo prazo legal de guarda (ver seção 6).
- Dados de conta e faturamento: enquanto durar a relação e pelos prazos legais aplicáveis.
- Leads e contatos de marketing: até que você peça a remoção ou revogue o consentimento.
8. Seus direitos
Você pode, a qualquer momento, solicitar:
- confirmação de que tratamos seus dados e acesso a eles;
- correção de dados incompletos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
- portabilidade dos dados;
- informação sobre com quem compartilhamos;
- revogação do consentimento, quando for a base usada.
Para dados de paciente sob a guarda de uma clínica, o pedido deve ser dirigido à clínica (controladora); o ClinicaOS a apoia no atendimento. Para os demais casos, fale com nosso Encarregado (seção 10).
Atenderemos seu pedido em até 15 dias, conforme o art. 19 da LGPD. Caso entenda que seus direitos não foram atendidos, você pode reclamar à Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd.
9. Segurança
Adotamos medidas técnicas e organizacionais para proteger os dados, como cifragem em trânsito, controle de acesso por perfil, isolamento entre clínicas e registro de auditoria. Nenhum sistema é totalmente imune a incidentes; se ocorrer um incidente relevante, agimos conforme a LGPD.
10. Encarregado (DPO) e contato
O Encarregado pela Proteção de Dados (DPO) é a Tucupi Digital Ltda(CNPJ 27.593.173/0001-17), responsável por receber comunicações dos titulares e da Autoridade Nacional de Proteção de Dados (ANPD), nos termos do art. 41 da LGPD e da Resolução CD/ANPD nº 18/2024. Para exercer direitos ou tirar dúvidas sobre privacidade, fale com o Encarregado pelo e-mail privacidade@clinicaos.cloud. Responderemos em até 15 dias (art. 19 da LGPD). Você também pode contatar a ANPD em gov.br/anpd.
11. Cookies
Usamos apenas cookies necessários ao funcionamento da plataforma — não usamos cookies de publicidade nem rastreamento de terceiros para marketing. São eles:
- Autenticação (Supabase): mantêm você conectado com segurança durante a sessão, por exemplo os tokens de acesso e de renovação.
- Preferências: guardam escolhas de interface, como o tema claro ou escuro.
- Segurança anti-bot (Cloudflare Turnstile): definidos apenas nos formulários públicos, para distinguir pessoas de robôs.
Você pode gerenciar ou apagar cookies nas configurações do seu navegador; desativar os cookies de autenticação, porém, impede o uso das áreas que exigem login.
12. Crianças e adolescentes
Quando uma clínica atende pacientes menores de idade, os dados desse paciente são tratados sob a responsabilidade da clínica (controladora), no melhor interesse do menor, para a finalidade de tutela da saúde (art. 11 da LGPD) e de guarda do prontuário (obrigação legal). O cadastro e os consentimentos relacionados a finalidades opcionais são feitos pelo responsável legal, na forma do art. 14 da LGPD. Não realizamos perfilamento publicitário de crianças ou adolescentes, nem usamos seus dados para finalidade diversa do cuidado em saúde. A plataforma é operada por profissionais e equipe das clínicas (maiores de idade); o paciente menor não acessa o sistema diretamente — quem o representa é o responsável legal.
13. Alterações desta política
Podemos atualizar esta política. Mudanças relevantes serão comunicadas pelos canais usuais. A data no topo indica a última versão.