Política de Privacidade

Controladora do serviço

Dados coletados

Coletamos dados informados em formulários, onboarding, uso autenticado, suporte, faturamento e operação da plataforma para validar responsáveis, configurar clínicas, operar a assinatura, prestar suporte e cumprir obrigações contratuais, fiscais e legais.

Integração com Google Calendar

Quando um profissional autenticado escolhe conectar o Google Calendar, a Clinvya redireciona o usuário para a tela de consentimento OAuth do Google e solicita apenas as permissões necessárias para operar a integração de agenda: identificação básica da conta Google usada para associar a conexão ao profissional autenticado, e permissão para criar, ler, atualizar, excluir e sincronizar eventos no Google Calendar desse profissional.

A Clinvya usa dados de usuário do Google apenas para conectar a agenda do profissional, exibir o status da conexão, criar ou atualizar eventos de agenda relacionados a compromissos da Clinvya, importar eventos externos do Google Calendar como bloqueios de disponibilidade quando a sincronização estiver habilitada, processar notificações de alteração do Google Calendar e manter a confiabilidade da sincronização. Para atendimentos de paciente, a Clinvya minimiza o que é enviado ao Google Calendar usando título genérico como "Consulta Clinvya" e identificadores técnicos; nomes de pacientes, telefones, notas clínicas, anamnese, transcrições, dados financeiros e conteúdo de prontuário não são enviados ao Google Calendar por padrão.

Dados do Google Calendar podem ser processados por provedores contratados de infraestrutura, segurança, observabilidade e suporte da Clinvya estritamente para operar e proteger o serviço. A Clinvya não vende dados de usuário do Google e não usa dados de usuário do Google para publicidade, pontuação de crédito ou treinamento de modelos públicos de IA.

Access tokens e refresh tokens OAuth são armazenados de forma protegida, não são expostos em respostas de API, logs, analytics ou ferramentas de suporte, e são usados apenas para as operações de agenda autorizadas. A validação de webhooks usa identificadores técnicos de canal e tokens secretos para que notificações do Google Calendar possam ser aceitas sem expor conteúdo clínico.

O profissional pode desconectar o Google Calendar pela área de configurações. Ao desconectar, a Clinvya remove os tokens OAuth armazenados localmente, interrompe o registro de webhook ativo quando possível e deixa de executar novas sincronizações do Google Calendar para aquela conexão. Registros operacionais e vínculos históricos de agenda podem ser mantidos quando necessário para auditoria, segurança, obrigações legais, contratuais ou suporte, conforme a Política de Retenção e Exclusão. Usuários e clientes também podem solicitar exclusão pelo contato de privacidade indicado nesta Política.

Papéis perante a LGPD: Controlador e Operador

Para fins da Lei nº 13.709/2018 (LGPD), em relação aos dados pessoais de pacientes, profissionais, equipe e demais titulares inseridos pelo Cliente ou seus Usuários na plataforma, o Cliente atua como Controlador e a Clinvya atua como Operadora, processando tais dados estritamente conforme as instruções legítimas do Cliente, os Termos de Uso, esta Política e o DPA quando aplicável.

Como Controlador, cabe ao Cliente definir finalidades, bases legais, autorizações, consentimentos, informação aos titulares, atendimento aos direitos dos titulares e eventual comunicação à ANPD em caso de incidente envolvendo seus dados.

Em relação aos dados próprios da Clinvya — cadastro do Cliente, contatos comerciais, dados de cobrança, logs técnicos, telemetria operacional, métricas de uso anonimizadas, dados de marketing com consentimento e demais dados necessários à prestação do serviço e ao funcionamento da plataforma — a Clinvya atua como Controladora, com finalidades, bases legais e medidas adequadas descritas nesta Política.

Direitos do titular

Titulares de dados podem exercer os direitos previstos na LGPD, incluindo confirmação da existência de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento e revogação de consentimento, quando aplicável.

Solicitações relativas a dados de pacientes inseridos pelo Cliente devem, em regra, ser direcionadas diretamente ao Cliente Controlador, pelos canais por ele indicados. A Clinvya cooperará razoavelmente com o Cliente para viabilizar o atendimento dessas solicitações no contexto operacional da plataforma.

Solicitações relativas aos dados próprios tratados pela Clinvya como Controladora podem ser enviadas para [email protected]. Em ambos os casos, a Clinvya poderá adotar medidas razoáveis para confirmar a identidade do solicitante antes de atender ao pedido.

IA, subprocessadores e retenção

Recursos de IA podem apoiar transcrição, organização de informações clínicas, resumos assistidos e documentação. Dados de clientes não são usados para treinar modelos públicos, e o uso de IA é regido pela Política de Uso de IA.

Provedores enterprise e subprocessadores podem apoiar hospedagem, segurança, observabilidade, IA, e-mail, analytics com consentimento e pagamentos. Retenção, exclusão, exportação e anonimização estão descritas na Política de Retenção e Exclusão e podem depender de obrigações legais ou contratuais.

Após o encerramento da assinatura, observada a janela de exportação prevista nos Termos de Uso (cláusula 30.2) e as obrigações legais e regulatórias aplicáveis, a Clinvya poderá excluir, anonimizar ou bloquear os dados conforme a Política de Retenção.

Incidentes de segurança

Em caso de incidente de segurança envolvendo dados tratados na plataforma, a Clinvya cooperará razoavelmente com o Cliente para a apuração, contenção e comunicação aplicável, observados os papéis de cada parte perante a LGPD e os procedimentos previstos nos Termos de Uso (cláusula 32.1).

O Cliente compromete-se a notificar a Clinvya sem demora injustificada sobre incidentes que possam afetar a segurança, privacidade, integridade ou disponibilidade dos dados, pelos canais oficiais.

Segurança e LGPD

Tratamos dados conforme princípios da LGPD, com controles de acesso, finalidade definida, registros técnicos, separação de permissões e medidas de segurança proporcionais ao serviço. Detalhes adicionais estão descritos na Política de Segurança.

Atualizações desta Política

Esta Política poderá ser atualizada para refletir mudanças legais, regulatórias, operacionais, de produto ou de governança. A versão e data de vigência indicadas acima identificam a edição em vigor. Quando alterações relevantes forem realizadas, a Clinvya poderá comunicar o Cliente pelos canais oficiais.