Política de Privacidade

Esta Política de Privacidade descreve como a Plataforma Apathos(“Plataforma”), de propriedade e operação da Apathos, trata os dados pessoais dos administradores de clínicas, profissionais de saúde e pacientes que utilizam o sistema.

A Apathos é uma plataforma SaaS multi-tenant para gestão de clínicas médicas e odontológicas, oferecendo funcionalidades de agenda, prontuário eletrônico, catálogo de produtos e serviços, controle financeiro, gestão de equipe e comunicação com pacientes.

Ao criar uma conta, cadastrar sua clínica ou utilizar qualquer funcionalidade da Plataforma, você concorda com as práticas descritas neste documento. Esta Política deve ser lida em conjunto com os Termos de Uso da Plataforma.

No âmbito da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), a Apathos atua em diferentes papéis conforme o contexto:

• Controladora dos dados de usuários da Plataforma (administradores, profissionais e equipe da clínica), determinando as finalidades e os meios do tratamento desses dados.
• Operadora dos dados de pacientes inseridos pelas clínicas clientes na Plataforma, processando esses dados conforme as instruções e finalidades determinadas pela clínica, que é a controladora.

Os responsáveis pelas clínicas (titulares da conta tenant) são os controladores dos dados de saúde de seus pacientes e respondem pelo cumprimento da LGPD em relação a esses dados.

Dados de usuários da Plataforma (administradores, profissionais e equipe):

• Nome completo, e-mail e telefone
• Dados profissionais: especialidade, categoria profissional e número de registro no conselho (CRM, CRO, etc.)
• Perfil de acesso e permissões dentro da clínica
• Logs de autenticação, ações realizadas e trilhas de auditoria
• Dados de pagamento e faturamento da assinatura (processados por gateway de pagamento certificado PCI-DSS)
• Endereço da clínica e dados do estabelecimento

Dados de pacientes (inseridos pela clínica):

• Nome completo, CPF, RG e data de nascimento
• Sexo, estado civil e profissão
• Endereço completo, telefone e e-mail
• Dados do responsável legal, quando aplicável
• Informações de saúde: anamneses, diagnósticos, planos de tratamento e prontuários eletrônicos
• Registros de agendamentos, comparecimentos e faltas
• Informações financeiras: cobranças, pagamentos e convênios
• Imagens clínicas e radiografias enviadas à Plataforma
• Histórico de comunicações enviadas pelo canal de WhatsApp

Dados coletados automaticamente:

• Endereço IP e dados de geolocalização aproximada
• Tipo de navegador, dispositivo e sistema operacional
• Páginas visitadas, funcionalidades utilizadas e duração das sessões
• Logs de erros e eventos de sistema para diagnóstico técnico

O tratamento de dados pessoais na Plataforma fundamenta-se nas seguintes bases legais previstas na LGPD:

• Execução de contrato (Art. 7º, V): para dados necessários à prestação dos serviços da Plataforma ao titular da conta, incluindo gestão de assinatura, autenticação e funcionalidades contratadas.
• Legítimo interesse (Art. 7º, IX): para análise de uso, segurança, prevenção a fraudes e melhoria contínua da Plataforma.
• Cumprimento de obrigação legal (Art. 7º, II): para retenção de logs, dados fiscais e registros exigidos por legislação vigente.
• Tutela da saúde (Art. 11, II, f): para tratamento de dados sensíveis de saúde, realizado sob responsabilidade da clínica como controladora dos dados de seus pacientes.
• Consentimento (Art. 7º, I / Art. 11, I): quando aplicável, para finalidades opcionais de comunicação ou integrações adicionais.

Os dados coletados são utilizados para as seguintes finalidades:

• Prestação dos serviços: gestão de agenda, prontuário, catálogo, equipe, financeiro e comunicação da clínica.
• Autenticação e controle de acesso: verificação de identidade, controle de sessões e aplicação das permissões definidas pelo administrador da clínica.
• Faturamento e cobrança: processamento de pagamentos de assinatura, emissão de notas fiscais e controle de inadimplência.
• Suporte técnico: diagnóstico de problemas, atendimento a chamados e acesso supervisionado ao ambiente do cliente quando autorizado.
• Segurança e auditoria: detecção de acessos não autorizados, registros de ações e prevenção a fraudes.
• Comunicação operacional: envio de notificações sobre a Plataforma, atualizações de serviço, alertas de segurança e informações sobre a assinatura.
• Melhoria do produto: análise agregada e anonimizada de uso para aprimoramento das funcionalidades.

Os dados de pacientes são processados exclusivamente para as finalidades determinadas pela clínica contratante e não são utilizados pela Apathos para nenhuma finalidade própria.

A Plataforma processa dados de saúde dos pacientes das clínicas, classificados como dados sensíveis nos termos do Art. 5º, II, da LGPD. Esses dados incluem:

• Diagnósticos, hipóteses diagnósticas e histórico clínico
• Anamneses e questionários de saúde
• Planos de tratamento e evoluções clínicas
• Imagens médicas e odontológicas
• Informações sobre condições de saúde preexistentes, medicamentos e alergias

A clínica é a controladora desses dados e responsável por obter as bases legais adequadas para seu tratamento (tutela da saúde, consentimento do paciente ou outra base prevista no Art. 11 da LGPD). A Apathos atua como operadora, garantindo que o acesso a esses dados seja restrito aos profissionais da clínica com as permissões correspondentes.

Os dados de saúde são armazenados com criptografia em repouso e em trânsito, e nunca são acessados pela equipe da Apathos sem autorização expressa da clínica, exceto em situações de suporte técnico previamente aprovadas e registradas em auditoria.

Os dados pessoais tratados na Plataforma podem ser compartilhados com:

• Provedores de infraestrutura: serviços de computação em nuvem, banco de dados e armazenamento de arquivos, operando sob acordos de confidencialidade e conformidade com a LGPD.
• Gateway de pagamento: processamento de transações da assinatura, certificado PCI-DSS, acessando apenas os dados necessários à cobrança.
• Serviço de e-mail transacional: envio de notificações, alertas e comunicações operacionais aos usuários.
• API do WhatsApp Business: quando a integração de WhatsApp estiver ativa na clínica, para envio e recebimento de mensagens com pacientes conforme configurado pelo administrador.
• Autoridades públicas: quando exigido por lei, ordem judicial ou regulamentação aplicável.

A Apathos não vende, aluga, cede nem compartilha dados pessoais com terceiros para fins publicitários ou comerciais não relacionados à prestação dos serviços.

Os dados de pacientes de uma clínica nunca são compartilhados com outras clínicas ou com terceiros sem autorização expressa da clínica controladora.

A Apathos adota medidas técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, perda, alteração ou destruição, incluindo:

• Criptografia de dados em trânsito (TLS/HTTPS) e em repouso
• Autenticação segura com tokens JWT e controle de sessão
• Controle de acesso baseado em perfis e permissões granulares por módulo
• Registro completo de auditoria de todas as ações realizadas por usuários e pela equipe de suporte
• Monitoramento contínuo de infraestrutura e detecção de anomalias
• Isolamento total de dados entre tenants (clínicas)
• Backups regulares com retenção e procedimentos de recuperação de desastres

Em caso de incidente de segurança que afete dados pessoais, a Apathos notificará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados nos prazos e condições previstos na LGPD.

Os dados pessoais são mantidos pelos seguintes prazos:

• Dados de usuários da Plataforma: enquanto a conta estiver ativa. Após cancelamento da assinatura, os dados são mantidos por até 90 dias para possibilitar reativação, e então anonimizados ou excluídos, salvo obrigação legal em contrário.
• Dados de pacientes: conforme determinado pela clínica controladora, respeitando os prazos mínimos exigidos pelo Conselho Federal de Medicina (CFM) e pelo Conselho Federal de Odontologia (CFO), que preveem retenção de prontuários por no mínimo 20 anos.
• Logs de auditoria: mantidos por no mínimo 5 anos para atender requisitos legais e de segurança.
• Dados fiscais e de faturamento: mantidos pelos prazos exigidos pela legislação tributária vigente (mínimo de 5 anos).

Após o período de retenção, os dados são anonimizados ou excluídos de forma segura.

Nos termos da LGPD, os titulares de dados pessoais têm os seguintes direitos:

• Confirmação e acesso: confirmar a existência do tratamento e acessar os dados pessoais mantidos sobre você.
• Correção: solicitar a retificação de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade: receber os dados em formato estruturado e interoperável, quando tecnicamente viável.
• Eliminação: solicitar a exclusão dos dados tratados com base no consentimento, respeitados os prazos legais de retenção.
• Informação sobre compartilhamento: ser informado sobre com quem seus dados foram compartilhados.
• Revogação do consentimento: retirar o consentimento a qualquer momento para finalidades que dependam dele.
• Oposição: opor-se a tratamentos realizados com base em legítimo interesse, nos casos previstos em lei.
• Revisão de decisões automatizadas: solicitar revisão de decisões tomadas exclusivamente por meios automatizados.

Usuários da Plataforma (profissionais e administradores) podem exercer esses direitos diretamente pelo painel de configurações da conta ou por solicitação ao suporte. Pacientes devem exercer seus direitos junto à clínica responsável pelo seu prontuário, que é a controladora dos dados.

Para exercer seus direitos, entre em contato pelo e-mail: [email protected].

A Plataforma utiliza cookies e armazenamento local do navegador para as seguintes finalidades:

• Autenticação: manutenção da sessão autenticada e tokens de renovação de acesso.
• Preferências do usuário: armazenamento de configurações de interface, como tema e idioma.
• Segurança: proteção contra ataques CSRF e rastreamento de sessões suspeitas.

A Plataforma não utiliza cookies de rastreamento de terceiros para fins publicitários. Os cookies essenciais de autenticação não podem ser desativados sem comprometer o funcionamento do sistema.

Os dados pessoais tratados na Plataforma são armazenados em servidores localizados no Brasil. Em casos em que provedores de infraestrutura ou serviços de suporte processem dados fora do território brasileiro, a Apathos adota as salvaguardas previstas na LGPD (cláusulas contratuais padrão, certificações ou decisões de adequação), garantindo nível equivalente de proteção.

A Plataforma não é destinada ao uso direto por menores de 18 anos. Dados de pacientes menores de idade podem ser inseridos pelas clínicas no cadastro de pacientes, com o responsável legal devidamente identificado. Nesses casos, a clínica é responsável por obter o consentimento do responsável legal, quando exigido.

A Apathos não coleta intencionalmente dados pessoais de crianças ou adolescentes como usuários da Plataforma.

Esta Política pode ser revisada periodicamente para refletir mudanças nos serviços, na legislação ou em nossas práticas de privacidade. Notificaremos os usuários sobre alterações materiais por e-mail ou por aviso destacado na Plataforma com antecedência mínima de 30 dias.

O uso contínuo da Plataforma após a entrada em vigor das alterações implica concordância com a nova versão da Política.

Para exercer seus direitos, esclarecer dúvidas ou registrar reclamações relacionadas ao tratamento de dados pessoais, entre em contato:

• E-mail: [email protected]
• Site: apathos.org

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelo site gov.br/anpd.