AURELIANLuxury Clinic CRM
RASCUNHO — documento pendente de revisão jurídica. Não constitui aconselhamento legal.

Política de Privacidade

Última atualização: 2026-05-25

1. Papéis

A clínica contratante é a Controladora dos dados de seus pacientes. A operadora da plataforma ClinicCRM (“Aurelian”) trata esses dados em nome da clínica e é Controladora dos dados de cadastro dos usuários da plataforma.

Cada clínica deve fornecer aos seus pacientes o aviso de privacidade próprio.

2. Dados que tratamos

Usuários da plataforma: nome, e-mail, telefone, papel/permissões, credenciais de autenticação e logs de acesso.

Pacientes (dados pessoais e sensíveis de saúde): identificação (nome, CPF, nascimento, contato, responsável de menores), dados de saúde (prontuário, exames, fotos, procedimentos, agendamentos), comunicação (WhatsApp e atendimento), financeiro e metadados de consentimento (data, IP, versão do termo).

3. Finalidades e bases legais (LGPD Art. 7 e 11)

Prestação do serviço (execução de contrato); tratamento de dados de saúde (tutela da saúde por profissionais e/ou consentimento); comunicação/atendimento; faturamento (obrigação legal); segurança e auditoria (legítimo interesse).

Recursos de IA e ações de marketing (ex.: bonificação de aniversário) dependem de base legal específica (consentimento ou legítimo interesse com opt-out).

4. Compartilhamento e sub-processadores

Supabase (banco, autenticação e armazenamento — região Brasil); OpenAI e Google/Gemini (IA, somente com opt-in — servidores nos EUA); Resend (e-mail); AbacatePay (pagamentos); n8n (automações); WhatsApp/Meta (mensagens).

Não vendemos dados pessoais.

5. Transferência internacional (LGPD Art. 33)

Os dados de paciente são armazenados no Brasil. Quando a clínica habilita IA, trechos de comunicação (anonimizados quando possível) podem ser processados por OpenAI/Google nos EUA, com salvaguardas contratuais. Esse processamento é opcional e exige consentimento.

6. Retenção

Prontuário e dados de saúde são retidos pelo prazo legal mínimo (20 anos, CFM Res. 1.821/2007), de forma desidentificada quando aplicável. Dados fiscais pelo prazo legal. Demais dados pelo tempo necessário, depois eliminados ou anonimizados.

7. Direitos do titular (LGPD Art. 18)

Confirmação e acesso, correção, portabilidade (exportação), eliminação ou anonimização, informação sobre compartilhamento e revogação de consentimento.

A plataforma oferece exportação (JSON/PDF) e anonimização completa do paciente; a eliminação respeita as retenções legais (nesses casos, anonimizamos). Solicitações pelo canal indicado pela sua clínica.

8. Segurança (LGPD Art. 46)

Isolamento multi-tenant por RLS, controle de acesso por papéis (RBAC), MFA para administradores, criptografia em trânsito e em repouso, segredos cifrados e trilha de auditoria. Incidentes são notificados conforme o Art. 48.

9. Cookies

Usamos apenas cookies estritamente necessários (sessão/autenticação). Não usamos cookies de publicidade ou rastreamento.

10. Encarregado (DPO) e contato

Encarregado(a) pelo Tratamento de Dados: [NOME] — [E-MAIL DO DPO]. Contato da empresa: [E-MAIL] — [ENDEREÇO] — [CNPJ]. Esta política pode ser atualizada; mudanças relevantes serão comunicadas.

Voltar ao login