Política de Privacidade
AVISO DE EMERGÊNCIA: A Klinivo NÃO é um serviço de emergência médica.
Em caso de emergência, ligue imediatamente para o 192 (SAMU) ou dirija-se ao pronto-socorro mais próximo.
Sintomas que requerem atendimento de emergência incluem:
- Dor no peito ou dificuldade respiratória
- Perda de consciência
- Sangramento intenso ou incontrolável
- Sinais de AVC (rosto caído, fraqueza nos braços, fala arrastada)
- Pensamentos suicidas ou de autolesão
Não utilize a plataforma Klinivo para emergências médicas.
1. Aviso de Emergência
A Klinivo é uma plataforma de gestão de consultórios médicos e não substitui o atendimento de emergência. Se você ou alguém próximo estiver em situação de risco de vida, ligue para o 192 (SAMU — Serviço de Atendimento Móvel de Urgência) ou dirija-se ao pronto-socorro mais próximo. A plataforma destina-se exclusivamente a consultas agendadas, tanto presenciais quanto por telemedicina, e não dispõe de recursos para atendimento de urgência.
2. Introdução e Identidade do Controlador
2.1 Quem Somos
A Klinivo é uma plataforma de gestão de consultórios médicos com inteligência artificial, desenvolvida e operada pela HC Desenvolvimento de Softwares Ltda. (nome de fantasia "Tech Rocks"), pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 06.871.228/0001-33, com sede na cidade de Belo Horizonte, Estado de Minas Gerais, Brasil.
Nossa missão é permitir que médicos dediquem mais tempo aos seus pacientes e menos à burocracia, oferecendo ferramentas inteligentes para agendamento, documentação clínica, telemedicina, prescrições digitais e prontuário eletrônico.
2.2 Identidade do Controlador
| Informação | Dados |
|---|---|
| Razão Social | HC Desenvolvimento de Softwares Ltda. |
| Nome de Fantasia | Tech Rocks |
| Nome Comercial (marca) | Klinivo |
| CNPJ | 06.871.228/0001-33 |
| Sede | Belo Horizonte — MG, Brasil |
| E-mail jurídico | legal@klinivo.co |
| Website | https://www.klinivo.co |
2.3 Encarregado de Proteção de Dados (DPO)
Nos termos do art. 41 da LGPD, a Klinivo designou um Encarregado pelo tratamento de dados pessoais. Para exercer seus direitos ou esclarecer dúvidas sobre privacidade:
- E-mail do Encarregado: legal@klinivo.co
- Prazo de resposta: 15 (quinze) dias úteis, conforme art. 18, §5º da LGPD
O Encarregado atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
2.4 Compromisso com a Privacidade
Levamos a privacidade a sério. Esta Política de Privacidade explica, de forma clara e acessível, como coletamos, utilizamos, armazenamos, compartilhamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e demais normas aplicáveis.
3. Escopo e Aplicabilidade
3.1 A Quem Se Aplica
Esta política se aplica a todos os usuários da plataforma Klinivo no Brasil, incluindo:
- Pacientes que utilizam o portal do paciente, agendam consultas ou participam de atendimentos
- Médicos e profissionais de saúde (provedores) que utilizam a plataforma para gestão clínica
- Funcionários de clínicas (secretárias, gestores, administradores) que operam a plataforma
- Visitantes do site institucional
3.2 Tipos de Organização
A Klinivo opera com dois modelos de organização, que impactam a estrutura de controle de dados:
| Tipo | Descrição | Responsável pelo Faturamento |
|---|---|---|
| Organização PÚBLICA | Médicos independentes que se cadastram de forma autônoma | O próprio médico (provedor) |
| Organização PRIVADA | Clínicas e empresas de saúde com múltiplos profissionais | O proprietário da organização (cargo OWNER) |
Em ambos os casos, a HC Desenvolvimento de Softwares Ltda. atua como controladora dos dados pessoais no que se refere à infraestrutura e ao funcionamento da plataforma. O médico ou a clínica atua como co-controlador no que se refere às decisões clínicas e ao tratamento de dados de saúde de seus pacientes.
3.3 Modelo de Negócio
A Klinivo oferece uma plataforma base gratuita com funcionalidades essenciais e planos pagos nomeados (Grátis → Essential → Pro → Premium) para médicos autônomos — cada plano superior inclui tudo o que está nos planos inferiores. Não há contratação de módulos avulsos.
Plataforma Base Gratuita:
- Agendamento de consultas
- Prontuário eletrônico (EMR)
- Notas SOAP manuais
- Check-in e lista de espera
- Portal do paciente
- Prescrições digitais (plataforma própria com banco ANVISA de 53 mil+ medicamentos)
- 1 (uma) secretária por provedor
Planos pagos (médicos autônomos):
| Plano | Preço (BRL) | O que adiciona |
|---|---|---|
| Grátis | R$ 0 | Núcleo completo + telemedicina 1 a 1 + lembretes por e-mail + 1 secretária |
| Essential | R$ 169/mês | Lembretes por WhatsApp e SMS (1.000/mês) |
| Pro | R$ 399/mês | Smart Intake + AI Scribe, consultas ilimitadas |
| Premium | R$ 599/mês | Mesmos recursos, para consultórios de alto volume |
Automatização e Analítica são exclusivos Enterprise e apenas disponíveis via contrato negociado para organizações PRIVADAS.
A telemedicina 1 a 1 está incluída em todos os planos (núcleo gratuito). É possível subir ou descer de plano a qualquer momento, sem contratos de longo prazo.
4. Dados que Coletamos
Coletamos apenas os dados estritamente necessários para prestar nossos serviços, observando o princípio da minimização (LGPD, art. 6º, III). Os dados são organizados nas categorias abaixo.
4.1 Dados Pessoais de Identificação
Quando você cria uma conta ou é cadastrado por sua clínica:
| Dado | Finalidade |
|---|---|
| Nome completo | Identificação no sistema e no prontuário |
| Nome social/preferido | Tratamento respeitoso conforme identidade do paciente (Lei nº 8.726/2016 e Resolução CFM 2.265/2019) |
| Data de nascimento | Adequação do tratamento à faixa etária e verificação de identidade |
| Documento nacional de identificação (tipo conforme país do consultório) — CPF (Brasil), SSN (EUA), DNI/NIE (Espanha), NIF (Portugal), NINO (Reino Unido), Passaporte (pacientes internacionais) | Identificação inequívoca, prescrições digitais, identificação fiscal quando aplicável, conformidade regulatória. Campo obrigatório — armazenado de forma íntegra (sem máscaras) com criptografia em repouso; mascaramento aplicado apenas na exibição para perfis de menor privilégio (STAFF, SECRETARY, MANAGER) |
| Tipo de documento nacional | Identifica o tipo do documento (CPF, SSN, DNI, NIE, NIF, NINO, PASSPORT) para validação específica por país |
| Número do SUS (CNS) | Identificação no Sistema Único de Saúde (opcional) |
| Acesso à conta, confirmações, comunicações | |
| Telefone | Lembretes de consulta, contato direto pela clínica |
| Tipo sanguíneo (formato estruturado: A+, A-, B+, B-, AB+, AB-, O+, O-) | Segurança em transfusões e decisões clínicas de emergência. Base legal: Art. 11, II, "f" da LGPD (tutela da saúde). Campo opcional, validado por padrão regex e por restrição CHECK no banco de dados (chk_patient_blood_type) |
| Dados do contato de emergência (nome, telefone, relação) | Contato em caso de emergência clínica. Opcional — se você fornecer qualquer um destes campos, nome e telefone tornam-se obrigatórios (regra aplicada por validador @ValidEmergencyContact no DTO e por restrição chk_patient_emergency_contact_complete no banco de dados). Base legal: Art. 7º, VII e Art. 11, II, "e" da LGPD (proteção da vida ou incolumidade física). Você é responsável por informar a pessoa indicada de que seus dados foram fornecidos à Klinivo para fins de contato em emergência (LGPD Art. 9º — transparência sobre dados de terceiros) |
| Nome da mãe | Identificação no padrão de saúde brasileiro (RNDS, CNS), prevenção de homônimos. Opcional |
| Raça/cor (autodeclarada) | Vigilância epidemiológica e equidade em saúde (Política Nacional de Saúde Integral). Opcional |
| Identidade de gênero (administrativo) | Identificação administrativa e tratamento respeitoso |
| Sexo biológico (uso clínico) | Relevância clínica para decisões de tratamento e prescrição |
| Pronomes de tratamento (opcional) | Comunicação respeitosa conforme preferência do paciente, coletado via Honorífico |
| Endereço | Registro cadastral, quando exigido pela clínica |
4.2 Dados Sensíveis de Saúde
Durante suas consultas, seu médico registra dados clínicos que são considerados dados pessoais sensíveis nos termos do art. 5º, II da LGPD:
| Dado | Finalidade |
|---|---|
| Histórico médico | Continuidade do cuidado e decisões clínicas seguras |
| Sintomas relatados | Diagnóstico e tratamento |
| Notas SOAP (Subjetivo, Objetivo, Avaliação, Plano) | Documentação clínica padronizada |
| Prescrições | Registro do tratamento prescrito |
| Sinais vitais | Monitoramento de saúde |
| Alergias | Segurança em prescrições e interações medicamentosas |
| Resultados de exames | Acompanhamento clínico |
| Fotografias clínicas | Documentação visual de sintomas (quando enviadas pelo paciente) |
| Documentos enviados (exames, laudos, receitas, imagens) | Organização do prontuário e continuidade do cuidado |
| Documentos recebidos por WhatsApp | Quando você envia um documento/foto pelo WhatsApp ao seu médico, ele é armazenado de forma segura no prontuário; o WhatsApp é apenas o meio de transporte, e a cópia original na mensagem é descartada após o armazenamento |
| Texto extraído de documentos (OCR) e classificação por IA | Tornar documentos digitalizados pesquisáveis e organizá-los automaticamente por categoria (tratamento — não requer consentimento adicional) |
| Questionários de saúde mental (PHQ-9, GAD-7) | Rastreio de depressão e ansiedade, somente com consentimento |
Documentos e imagens clínicas são armazenados de forma criptografada (AES-256) e retidos permanentemente conforme a obrigação legal de guarda do prontuário (CFM Res. 1.821/2007; mínimo de 20 anos, Lei 13.787/2018). A leitura por OCR e a classificação por IA de documentos são realizadas com base na tutela da saúde (Art. 11, II, "f" da LGPD) — não exigem consentimento adicional, são realizadas de forma transparente e o texto extraído herda a mesma retenção do documento.
O sexo biológico é coletado como dado clínico distinto da identidade de gênero. É processado com base no Art. 11, II, "f" da LGPD (tutela da saúde) porque é medicamente necessário para dosagem precisa de medicamentos, intervalos de referência laboratorial e protocolos de rastreamento apropriados à idade. Você pode se recusar a fornecer essa informação, embora isso possa limitar a precisão de certas funcionalidades de apoio à decisão clínica.
4.3 Dados de Dispositivo e Uso
Coletamos automaticamente dados técnicos para garantir a segurança e o funcionamento da plataforma:
| Dado | Finalidade |
|---|---|
| Endereço IP | Segurança, prevenção de fraudes |
| Tipo de navegador e sistema operacional | Compatibilidade técnica |
| Páginas acessadas e funcionalidades utilizadas | Melhoria do produto |
| Data e hora de acesso | Auditoria de segurança |
| Identificadores de sessão | Manutenção da sessão autenticada |
| Relatórios de erro (Sentry) | Identificação e correção de problemas técnicos |
| Eventos de uso (PostHog) | Análise de produto (sem dados de saúde) |
Proteções de privacidade em dados de uso:
- PostHog e Sentry NÃO recebem dados de saúde protegidos
- IDs de usuário são pseudonimizados (organization_id + role, não e-mail pessoal)
- Todos os campos de formulário são automaticamente mascarados em gravações de sessão
- Telas clínicas utilizam mascaramento CSS adicional (classe
.patient-data)
5. Como Coletamos os Dados
5.1 Coleta Direta
Dados que você nos fornece voluntariamente:
- Preenchimento de formulários de cadastro e perfil
- Informações clínicas relatadas durante consultas
- Respostas a questionários de intake e saúde mental
- Fotografias enviadas durante o intake inteligente
- Mensagens enviadas pelo chat da plataforma
- Feedback em pesquisas de satisfação (NPS)
5.2 Coleta Automatizada
Dados coletados automaticamente durante o uso da plataforma:
- Cookies essenciais e funcionais
- Dados de navegação e dispositivo
- Logs de acesso e segurança
- Gravações de áudio durante consultas com IA ativa (com consentimento)
- Eventos de uso da plataforma (analytics)
5.3 Integrações de Terceiros
Dados recebidos de serviços integrados:
| Integração | Dados Recebidos | Finalidade |
|---|---|---|
| AWS Cognito | Tokens de autenticação | Login e gestão de identidade |
| Stripe | Confirmação de pagamento, status da assinatura | Faturamento dos planos |
6. Base Legal para o Tratamento
A LGPD (art. 7º) estabelece 10 (dez) bases legais para o tratamento de dados pessoais. Para dados pessoais sensíveis de saúde, aplicam-se as bases do art. 11. Abaixo, detalhamos quais bases legais utilizamos e para quais finalidades.
6.1 Bases Legais para Dados Pessoais (Art. 7º)
| Base Legal | Artigo | Quando Utilizamos | Exemplos |
|---|---|---|---|
| Consentimento | Art. 7º, I | Funcionalidades opcionais, marketing | Ativação de módulos de IA, envio de newsletters |
| Obrigação legal ou regulatória | Art. 7º, II | Cumprimento de leis e regulamentos | Retenção de prontuário (CFM), dados fiscais, Marco Civil da Internet |
| Execução de políticas públicas | Art. 7º, III | Quando aplicável | Notificações compulsórias de saúde pública |
| Estudos por órgão de pesquisa | Art. 7º, IV | Dados anonimizados | Estatísticas agregadas de saúde (sem identificação) |
| Execução de contrato | Art. 7º, V | Prestação do serviço contratado | Cadastro, agendamento, consultas, pagamentos |
| Exercício regular de direitos | Art. 7º, VI | Defesa em processos | Registros de auditoria, logs de acesso |
| Proteção da vida | Art. 7º, VII | Situações de risco | Triagem de emergência, alertas de segurança |
| Tutela da saúde | Art. 7º, VIII | Prestação de serviços de saúde | Prontuário, sintomas, diagnósticos, prescrições |
| Interesse legítimo | Art. 7º, IX | Segurança e melhoria do serviço | Logs de acesso, análises de uso, prevenção de fraudes |
| Proteção do crédito | Art. 7º, X | Quando aplicável | Cobranças de assinaturas em atraso |
6.2 Bases Legais para Dados Sensíveis de Saúde (Art. 11)
O art. 11 da LGPD restringe o tratamento de dados pessoais sensíveis — incluindo dados de saúde — às seguintes hipóteses:
Com consentimento do titular (Art. 11, I):
- Funcionalidades de IA que processam dados clínicos (transcrição, SOAP automático, intake inteligente)
- Questionários de saúde mental (PHQ-9, GAD-7)
- Upload de fotografias clínicas
Sem consentimento, nas hipóteses do Art. 11, II:
- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde (alínea "f"): Registro no prontuário eletrônico, documentação clínica, prescrições, acompanhamento do tratamento
- Obrigação legal ou regulatória (alínea "a"): Retenção permanente de prontuário eletrônico digital (CFM Resolução 1.821/2007), notificações compulsórias de saúde pública
- Proteção da vida ou incolumidade física (alínea "e"): Triagem de emergência, alertas de interações medicamentosas
Importante: Você não precisa consentir para o tratamento básico de saúde necessário ao seu atendimento médico. Porém, funcionalidades de IA que vão além do registro clínico tradicional requerem seu consentimento explícito, que pode ser revogado a qualquer momento.
7. Como Utilizamos Seus Dados
7.1 Plataforma Base (Gratuita)
| Finalidade | Dados Utilizados | Base Legal |
|---|---|---|
| Criação e gestão de conta | Nome, e-mail, telefone, CPF | Execução de contrato |
| Agendamento de consultas | Dados de identificação, preferências de horário | Execução de contrato |
| Prontuário eletrônico | Dados clínicos completos | Tutela da saúde |
| Prescrições digitais | Dados clínicos, CPF | Tutela da saúde + obrigação legal |
| Check-in e lista de espera | Nome, horário da consulta | Execução de contrato |
| Portal do paciente | Dados de identificação, histórico de consultas | Execução de contrato |
| Lembretes de consulta (plataforma base) | Nome, telefone, e-mail, horário | Execução de contrato |
7.2 Módulos de IA (Consentimento Necessário)
| Módulo | Dados Utilizados | Finalidade | Base Legal |
|---|---|---|---|
| AI Scribe | Áudio da consulta, texto da transcrição | Transcrição em tempo real, geração de SOAP | Consentimento |
| Smart Intake | Respostas do paciente, fotografias clínicas | Coleta inteligente de sintomas pré-consulta | Consentimento |
| Telemedicina | Vídeo e áudio da consulta | Consulta médica por videoconferência | Consentimento + tutela da saúde |
| Lembretes | Telefone, nome, horário da consulta | Notificações por WhatsApp e SMS | Consentimento |
| Automatização (apenas Enterprise) | Dados de agendamento, status de consultas | Automação de fluxos de trabalho organizacionais | Execução de contrato (organização) |
| Analítica (apenas Enterprise) | Dados agregados de atendimento (sem identificação individual) | Relatórios e painéis organizacionais | Interesse legítimo da organização |
7.3 Analítica e Melhoria do Produto
Utilizamos dados de uso de forma agregada e anonimizada para melhorar a plataforma. Nenhum dado de saúde é incluído nas análises de produto. Utilizamos:
- PostHog: Análise de produto (eventos de uso, funis de conversão) — dados pseudonimizados
- Sentry: Monitoramento de erros técnicos — sem dados de saúde
8. Tratamento Específico de IA
8.1 Transparência sobre Modelos de IA
A Klinivo utiliza modelos de inteligência artificial para potencializar suas funcionalidades clínicas. Informamos de forma transparente quais modelos são utilizados:
| Modelo | Provedor | Finalidade | Localização do Processamento |
|---|---|---|---|
| Claude (Anthropic) | AWS Bedrock | Geração de texto clínico, SOAP, intake, resumos | us-east-1 (Virgínia) |
| Groq Whisper | Groq, Inc. | Transcrição de áudio em tempo real | EUA |
| pyannote (diarização) | pyannote.audio (no serviço de IA) | Separação de interlocutores em gravações de um único microfone | us-east-1 (Virgínia) |
8.2 Como a IA Processa Seus Dados
O processamento de dados por IA segue um fluxo controlado e transparente:
- Ativação pelo usuário — Funcionalidades de IA são opcionais e ativadas mediante consentimento explícito
- Minimização de identificadores — Identificadores diretos são removidos dos metadados enviados aos provedores de IA (o áudio é referenciado por identificadores internos, sem nome no arquivo). O contexto clínico necessário para gerar a documentação pode acompanhar a requisição, sempre sob cláusulas contratuais que proíbem retenção e treinamento
- Processamento — O modelo de IA gera a transcrição ou o resumo clínico estruturado
- Revisão humana obrigatória — Nenhum conteúdo gerado por IA é salvo no prontuário sem revisão e aprovação do médico
- Exclusão de áudio — Gravações de áudio são automaticamente excluídas em 24 horas; apenas o texto transcrito permanece
8.3 Supervisão Humana
Em conformidade com os princípios do PL 2.338/2023 (Marco Legal de Inteligência Artificial, em tramitação) e as melhores práticas internacionais:
- A IA NÃO substitui o julgamento clínico do médico
- A IA NÃO realiza diagnósticos autônomos — apenas sugere e auxilia na documentação
- A IA NÃO prescreve tratamentos — prescrições são responsabilidade exclusiva do médico
- Todas as saídas de IA passam por revisão humana antes de serem incorporadas ao prontuário
- Um indicador visual na interface informa quando a IA está ativa durante a consulta
8.4 Seus Direitos sobre IA (LGPD Art. 20)
Nos termos do art. 20 da LGPD, você tem direito a:
- Saber quando a IA é utilizada — indicador visual na interface da plataforma
- Solicitar revisão humana — de qualquer conteúdo ou decisão gerada por IA
- Recusar o uso de IA — a plataforma funciona integralmente sem funcionalidades de IA
- Entender a lógica — explicamos como cada funcionalidade de IA processa seus dados
- Revogar o consentimento — a qualquer momento, nas configurações da conta ou contatando o Encarregado
8.5 Limitações dos Modelos de IA
- Modelos de IA podem gerar conteúdo impreciso ou incompleto
- Transcrições podem conter erros, especialmente com sotaques regionais ou terminologia técnica
- Nenhum modelo de IA utilizado pela Klinivo treina com dados dos pacientes
- Provedores de IA têm contratos que proíbem a retenção ou o uso de dados para treinamento
9. Compartilhamento de Dados e Terceiros
9.1 Suboperadores (Operadores de Dados)
Compartilhamos dados com parceiros de tecnologia estritamente necessários para a operação da plataforma. Todos os suboperadores possuem contratos de tratamento de dados:
| Suboperador | Dados Compartilhados | Finalidade | Localização | Certificações |
|---|---|---|---|---|
| AWS (Amazon Web Services) | Todos os dados (criptografados), incluindo IA via AWS Bedrock | Infraestrutura de nuvem, armazenamento, autenticação (Cognito) e processamento de IA (Bedrock/Claude) | us-east-1 (Virgínia, EUA) | SOC 2, ISO 27001, CSA STAR |
| Groq, Inc. | Áudio de consulta (referenciado por identificador interno) | Transcrição de áudio em tempo real | EUA | SOC 2 Type II |
| Stripe | Nome, e-mail, valor, dados de pagamento | Processamento de pagamentos e assinaturas | EUA | PCI DSS Nível 1 |
| Twilio | Telefone, nome do paciente, horário da consulta | Envio de lembretes por WhatsApp e SMS | EUA | SOC 2, ISO 27001 |
| PostHog | Eventos de uso (pseudonimizados, sem dados de saúde) | Análise de produto | UE (Frankfurt) | SOC 2, GDPR |
| Sentry | Dados de erro técnico (sem dados de saúde) | Monitoramento de erros | EUA | SOC 2 |
9.2 Proteções no Compartilhamento
- Minimização de identificadores no envio à IA — identificadores diretos são removidos dos metadados; o áudio é referenciado por identificadores internos (sem nome no arquivo)
- Nenhum dado clínico é compartilhado com Stripe ou Twilio — apenas dados necessários para suas funções específicas
- PostHog e Sentry não recebem dados de saúde — apenas dados técnicos e de uso
- Todos os suboperadores têm contratos de tratamento de dados (Data Processing Agreements)
- Nenhum parceiro pode usar seus dados para treinamento de IA — proibido contratualmente
9.3 Quando Podemos Compartilhar sem Seu Consentimento
Nos termos da LGPD, poderemos compartilhar dados sem consentimento quando:
- Houver obrigação legal ou regulatória (ex.: notificações compulsórias de saúde pública)
- For necessário para a proteção da vida ou incolumidade física do titular ou de terceiro
- For solicitado por autoridade judicial ou administrativa competente
- For necessário para a execução de contrato do qual o titular seja parte
10. Transferências Internacionais de Dados
10.1 Localização da Infraestrutura
A infraestrutura principal da Klinivo opera na região us-east-1 (Virgínia, EUA) da AWS. Banco de dados, armazenamento de arquivos e processamento principal são realizados nos Estados Unidos, em conformidade com as salvaguardas adequadas previstas na LGPD (Art. 33). A LGPD não exige residência de dados no Brasil — apenas nível adequado de proteção, que a AWS satisfaz por meio de certificações SOC 2, ISO 27001 e cláusulas contratuais padrão.
10.2 Transferências para o Exterior
Os seguintes suboperadores processam dados fora do Brasil:
| Destino | Dados Transferidos | Finalidade | Salvaguarda |
|---|---|---|---|
| EUA (AWS us-east-1) | Banco de dados, arquivos e contexto clínico para IA (Bedrock) | Infraestrutura e processamento de IA | Cláusulas contratuais padrão + SOC 2 / ISO 27001 |
| EUA (Groq) | Áudio de consulta (sem identificadores diretos nos metadados) | Transcrição em tempo real | DPA + SOC 2 Type II |
| EUA (Stripe) | Dados de pagamento | Processamento de pagamentos | PCI DSS + cláusulas contratuais padrão |
| EUA (Twilio) | Telefone, nome, horário | Envio de notificações | DPA + SOC 2 |
| EUA (Sentry) | Dados de erro técnico | Monitoramento de erros | DPA + SOC 2 |
| UE (PostHog) | Eventos de uso | Análise de produto | Cláusulas contratuais padrão + DPA |
10.3 Salvaguardas para Transferências Internacionais
Em conformidade com o art. 33 da LGPD, as transferências internacionais são realizadas com base em:
- Cláusulas contratuais padrão (SCCs) — celebradas com todos os suboperadores no exterior
- Garantias contratuais de nível adequado de proteção — exigidas de cada suboperador, conforme art. 33, II e IX da LGPD
- Certificações de segurança — SOC 2, ISO 27001, PCI DSS conforme aplicável
- Criptografia em trânsito e em repouso — todos os dados transferidos utilizam TLS 1.3 e AES-256
- Proibição de uso para treinamento — contratos proíbem provedores de IA de utilizar dados para treinar modelos
11. Retenção de Dados
11.1 Prontuário Eletrônico — Retenção PERMANENTE
Em conformidade com a Resolução CFM 1.821/2007, o prontuário eletrônico digital deve ser mantido de forma permanente. A resolução estabelece que prontuários em meio eletrônico, quando elaborados e armazenados de acordo com as normas do CFM, têm caráter de retenção permanente — diferentemente de prontuários em papel, que possuem prazo de 20 anos.
Os seguintes dados são retidos permanentemente:
- Registros do paciente (identificação vinculada ao prontuário)
- Notas SOAP e documentação clínica
- Prescrições
- Histórico de sinais vitais
- Respostas de intake (quando vinculadas ao prontuário)
- Histórico de consultas
11.2 Demais Categorias de Dados
| Categoria | Período de Retenção | Justificativa Legal |
|---|---|---|
| Dados de pagamento e fiscais | 5 anos | Código Tributário Nacional, legislação fiscal |
| Registros de consentimento | 7 anos (imutável) | LGPD Art. 7º, I — comprovação do consentimento |
| Documentos legais | 7 anos (imutável) | Preservação de evidências contratuais |
| Logs de acesso à aplicação | 6 meses | Marco Civil da Internet (Lei 12.965/2014, art. 15) |
| Cache de sessão de IA | 90 dias | Otimização de performance |
| Logs de sistema e erro | 30 dias | Segurança e depuração |
| Gravações de áudio | 24 horas | Minimização de dados — exclusão automática |
| Dados de perfil de usuário | Duração da conta + 7 anos | Vinculação com prontuários clínicos |
| Eventos de análise de produto | 1 ano | Melhoria do produto |
| Respostas NPS | 2 anos | Melhoria da qualidade do atendimento |
11.3 O Que Acontece Após o Período de Retenção
- Prontuário eletrônico: Retido permanentemente conforme CFM 1.821/2007
- Gravações de áudio: Excluídas automaticamente por política de ciclo de vida do S3 + Lambda de limpeza
- Cache de IA: Expirado automaticamente via atributo TTL no DynamoDB
- Demais dados: Excluídos permanentemente ou anonimizados, conforme a categoria
11.4 Encerramento da Conta e Transferência de Custódia
O dever de guarda permanente do prontuário é do médico ou da clínica (controlador dos dados clínicos); a HC Desenvolvimento de Softwares Ltda. (Klinivo) atua como operador que armazena esses dados por conta do controlador enquanto durar a relação contratual. Quando uma conta é encerrada (cancelamento, inatividade ou sucessão):
- Janela de exportação de 90 dias — disponibilizamos a exportação completa e estruturada de todo o prontuário e dados clínicos (portabilidade, LGPD Art. 18, V), com avisos prévios em 30, 7 e 1 dia antes do encerramento.
- Encerramento da custódia operacional ativa — após a janela, deixamos de manter os dados em ambiente de produção. O dever de guarda permanente passa a ser exercido pelo próprio controlador, que recebeu a exportação integral.
- Exclusão vs. arquivamento — dados fora de qualquer prazo legal são excluídos em definitivo; dados ainda sob retenção obrigatória (prontuário, consentimentos, dados fiscais dentro do prazo) não são excluídos — são transferidos para arquivamento de baixa frequência (cold storage) sob custódia do controlador ou entregues a ele. Registramos de forma auditável o que foi excluído, arquivado ou mantido.
- Contas gratuitas inativas (sem login por mais de 12 meses e que nunca contrataram plano pago) seguem o mesmo fluxo; contas gratuitas com prontuário ou registros clínicos efetivos nunca são excluídas — seus dados sob retenção legal são preservados em arquivamento e disponibilizados para exportação.
- Falecimento ou sucessão — o sucessor legal (espólio, novo responsável técnico ou CRM) assume a guarda; mediante solicitação formal a
legal@klinivo.co, realizamos a exportação integral para o sucessor, com aviso mínimo de 60 dias aos pacientes.
11.4 Registros Clínicos Assistidos por IA
Registros clínicos contendo conteúdo gerado por IA (por exemplo, notas SOAP incorporando texto de transcrição) são retidos pelo período mínimo exigido pela regulamentação médica aplicável (7 anos no Brasil conforme CFM 1.821/2007). Solicitações de exclusão de dados removem gravações de áudio brutas, dados de sessão de IA e predições em cache, porém registros clínicos finalizados são retidos e claramente marcados como "assistidos por IA" pelo período de retenção legalmente obrigatório.
11.5 Logs de Auditoria de IA
Os logs de auditoria de IA são anonimizados (identificadores pessoais removidos) em vez de excluídos, preservando a trilha de auditoria necessária para responsabilização regulatória enquanto remove qualquer vínculo com o indivíduo.
11.6 Registros de Consentimento
Os registros de consentimento são retidos por 7 anos após o encerramento da conta como prova de base legal de processamento, conforme o princípio de responsabilização do Artigo 8 da LGPD.
12. Seus Direitos
12.1 Direitos Garantidos pela LGPD (Art. 18)
A LGPD garante a você, titular dos dados, os seguintes direitos:
| Direito | Descrição | Como Exercer |
|---|---|---|
| Confirmação de tratamento (I) | Saber se tratamos seus dados pessoais | Contate o Encarregado |
| Acesso (II) | Obter cópia de todos os seus dados pessoais | Portal do paciente ou Encarregado |
| Correção (III) | Corrigir dados incompletos, inexatos ou desatualizados | Edite no portal do paciente diretamente (nome, e-mail, telefone, foto) ou contate o Encarregado. Alterações de e-mail estão sujeitas a verificação de unicidade — se o endereço já estiver em uso por outro paciente da mesma organização, a alteração é rejeitada (HTTP 409 Conflict) |
| Anonimização, bloqueio ou eliminação (IV) | Solicitar tratamento de dados excessivos ou desnecessários | Contate o Encarregado |
| Portabilidade (V) | Receber seus dados em formato estruturado e interoperável | Exportação via portal ou Encarregado |
| Eliminação (VI) | Solicitar exclusão de dados tratados com base no consentimento | Contate o Encarregado |
| Informação sobre compartilhamento (VII) | Saber com quais entidades públicas e privadas seus dados são compartilhados | Esta política + Encarregado |
| Informação sobre não consentir (VIII) | Ser informado sobre a possibilidade de não fornecer consentimento e suas consequências | Contate o Encarregado |
| Revogação do consentimento (IX) | Retirar consentimento dado anteriormente, a qualquer momento | Configurações da conta ou Encarregado |
12.2 Direito de Petição à ANPD
Nos termos do art. 18, §1º da LGPD, você pode apresentar petição à Autoridade Nacional de Proteção de Dados (ANPD) caso considere que seus direitos não foram adequadamente atendidos:
- Website da ANPD: https://www.gov.br/anpd
- Canal do cidadão: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados
12.3 Prazos de Resposta
- Prazo geral: 15 (quinze) dias úteis, contados da data do requerimento do titular (art. 18, §5º)
- Confirmação de recebimento: Imediata (automática)
- Solicitações complexas: Quando a complexidade exigir prazo adicional, comunicaremos a justificativa
12.4 Processo de Exclusão de Dados
Você pode solicitar a exclusão dos seus dados a qualquer momento:
Como funciona:
- Solicitação — pelo portal do paciente (seção Privacidade) ou e-mail para legal@klinivo.co
- Período de carência de 30 dias — durante o qual você pode cancelar a solicitação
- Verificação de obrigações legais — identificação de dados que não podem ser excluídos por força de lei
- Execução programada — após o período de carência, a exclusão é processada automaticamente
- Confirmação — e-mail confirmando a conclusão da exclusão
O que é excluído:
- Preferências de contato e notificação
- Dados de perfil não vinculados a obrigações legais
- Consentimentos de IA (revogados, impedindo processamento futuro)
- Sessões de chat e histórico de conversas com IA
- Arquivos de áudio e fotografias não vinculadas ao prontuário
O que NÃO pode ser excluído:
- Prontuário eletrônico (retenção permanente — CFM 1.821/2007)
- Registros de transações fiscais (5 anos — legislação fiscal)
- Logs de auditoria (anonimizados — sem dados pessoais identificáveis)
Nesses casos, seus dados de identificação são anonimizados, mas o conteúdo clínico é preservado conforme exigência legal.
12.5 Direito de Arrependimento (CDC Art. 49)
Para contratações realizadas online (módulos de IA e pacotes), você tem o direito de desistir da contratação no prazo de 7 (sete) dias corridos a partir da data da contratação ou da disponibilização do serviço, o que for posterior, conforme o art. 49 do Código de Defesa do Consumidor (Lei 8.078/1990). Para exercer este direito, entre em contato com legal@klinivo.co.
12.6 Autoatendimento para Direito de Correção
Você pode exercer seu direito de correção (LGPD Art. 18, III) diretamente pelo portal do paciente, sem necessidade de solicitação ao Encarregado, para os seguintes dados:
- Nome completo
- E-mail (sujeito a regra de unicidade — ver 12.1)
- Telefone primário e secundário
- Foto de perfil
A alteração é aplicada imediatamente e registrada em trilha de auditoria (updatedAt, updatedBy, e campo version para controle de concorrência otimista) para preservar a cronologia das retificações. Dados clínicos (prontuário, prescrições, sinais vitais) permanecem editáveis apenas pelo profissional de saúde, preservando a integridade do registro médico.
13. Privacidade de Menores
13.1 Consentimento Parental Obrigatório (LGPD Art. 14)
O tratamento de dados pessoais de crianças e adolescentes será realizado em seu melhor interesse, nos termos do art. 14 da LGPD:
- Menores de 18 anos: Para fins de tratamento de dados de saúde, o consentimento deve ser fornecido por pelo menos um dos pais ou pelo responsável legal. Esta regra é aplicada de forma uniforme em todas as jurisdições onde a Klinivo opera (Brasil, Portugal, Espanha, Reino Unido), constituindo salvaguarda clínica reforçada acima do mínimo legal de cada jurisdição
- Criação de conta: A conta do menor deve ser criada e gerenciada pelo responsável legal
- Funcionalidades de IA: A ativação de funcionalidades de IA para menores requer consentimento específico do responsável legal
- Dados clínicos: O registro clínico do menor segue as mesmas regras de retenção permanente aplicáveis a adultos
13.2 Dados do Responsável Legal Coletados Obrigatoriamente
Para qualquer paciente menor de 18 anos, coletamos obrigatoriamente os dados abaixo do responsável legal no momento do cadastro. A ausência de qualquer campo obrigatório resulta em rejeição do cadastro pelo servidor (HTTP 400, mensagem patient.guardian.required.for.minor) — não se trata de validação apenas no frontend, e sim de regra aplicada nas camadas de aplicação e banco de dados:
| Dado do Responsável | Finalidade | Obrigatório |
|---|---|---|
| Nome completo | Identificação inequívoca do consentidor | Sim |
| Documento de identificação (CPF, NIF, DNI/NIE, NINO, SSN ou Passaporte) | Comprovação de identidade do responsável (LGPD Art. 14, §5º) | Sim |
| Tipo do documento (CPF, NIF, DNI, NIE, NINO, SSN, PASSPORT) | Validação específica por tipo de documento | Sim |
| Telefone | Confirmação do consentimento e contato em situações clínicas | Sim |
| Grau de parentesco/relação legal (MAE, PAI, AVO, TIO, TUTOR_LEGAL, OUTRO) | Comprovação do vínculo legal | Sim |
Carimbo temporal do consentimento (guardian_consent_at) |
Evidência imutável da data e hora em que o consentimento foi prestado. Atribuído exclusivamente pelo servidor via timeProvider.nowOffsetUtc() no momento em que o responsável marca a opção de consentimento — não é fornecido pelo cliente, evitando antedatação e garantindo integridade evidenciária do consentimento parental nos termos do art. 14 da LGPD |
Atribuído pelo servidor |
Uma restrição CHECK no banco de dados (chk_patient_guardian_consent_implies_info) impede que o carimbo temporal exista sem os demais campos do responsável preenchidos — preservando a cadeia de evidência exigida pela LGPD.
13.3 Verificação de Idade
- A data de nascimento é solicitada no cadastro
- O servidor calcula a idade no momento da gravação e aplica a regra do responsável legal para menores de 18 anos
- O responsável legal tem acesso integral aos dados do menor pelo portal do paciente
13.4 Melhor Interesse
Em conformidade com o princípio do melhor interesse da criança e do adolescente (LGPD, art. 14, caput), coletamos apenas os dados estritamente necessários para a prestação do serviço de saúde, e os dados de menores recebem camada adicional de proteção no controle de acesso.
14. Medidas de Segurança
14.1 Medidas Técnicas
| Medida | Implementação |
|---|---|
| Criptografia em repouso | AES-256 para banco de dados (Aurora), armazenamento de arquivos (S3), cache (DynamoDB) e backups |
| Criptografia em trânsito | TLS 1.3 para todas as comunicações entre cliente e servidor |
| Isolamento multi-tenant | Filtro Hibernate por organization_id — dados de uma organização nunca são acessíveis por outra |
| Autenticação | AWS Cognito com suporte a autenticação multifator (MFA) |
| Controle de acesso | 8 papéis de usuário (RBAC) com permissões granulares por papel e escopo |
| Monitoramento | CloudWatch para logs, alertas de segurança e detecção de anomalias |
| Backup | Backups automáticos criptografados com recuperação point-in-time |
| Imutabilidade de documentos legais | S3 Object Lock em modo COMPLIANCE para consentimentos e documentos jurídicos |
| Trilha de auditoria por registro | Cada registro do paciente carrega carimbos createdAt/updatedAt (UTC), atribuição createdBy/updatedBy (UUID Cognito do usuário responsável) e campo version para bloqueio otimista contra alterações concorrentes |
| Integridade nas modificações | O bloqueio otimista rejeita atualizações concorrentes (HTTP 409 Conflict), preservando a cronologia de edições e impedindo perda silenciosa de dados quando dois usuários editam simultaneamente |
| Restrições de integridade no banco de dados | Constraints CHECK no PostgreSQL aplicam regras de validação clínica e de consentimento independentemente da camada de aplicação: chk_patient_blood_type (formato A+/A-/B+/B-/AB+/AB-/O+/O-), chk_patient_emergency_contact_complete (completude do contato de emergência), chk_patient_guardian_consent_implies_info (consentimento parental requer dados completos do responsável), chk_patient_guardian_relationship (vínculos legais permitidos) |
14.2 Medidas Organizacionais
- Acesso a dados pessoais limitado ao estritamente necessário para cada função (princípio do menor privilégio)
- Auditoria de acessos registrada automaticamente
- Política de resposta a incidentes de segurança documentada
- Revisão periódica de acessos e permissões
14.3 Notificação de Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Klinivo se compromete a:
- Contenção imediata — Ação em até 4 horas após a detecção
- Investigação — Determinação do escopo e impacto em até 48 horas
- Notificação à ANPD — Em prazo razoável, conforme art. 48 da LGPD (meta interna: 72 horas)
- Notificação aos titulares — Se houver risco significativo aos seus direitos e liberdades, em até 72 horas
A notificação incluirá:
- Descrição da natureza dos dados pessoais afetados
- Informações sobre os titulares envolvidos
- Indicação das medidas técnicas e de segurança adotadas
- Riscos relacionados ao incidente
- Medidas que o titular pode adotar para mitigar efeitos
15. Cookies e Rastreamento
15.1 Tipos de Cookies Utilizados
| Tipo | Finalidade | Obrigatório | Exemplos |
|---|---|---|---|
| Essenciais | Manter sessão autenticada, segurança CSRF | Sim | Token JWT, preferências de sessão |
| Funcionais | Lembrar preferências de idioma e configurações | Não | Idioma selecionado, tema visual |
| Analíticos | Entender padrões de uso da plataforma | Não | PostHog (eventos anonimizados) |
15.2 Gerenciamento de Cookies
Você pode gerenciar cookies nas configurações do seu navegador. A desativação de cookies essenciais pode impedir o funcionamento adequado da plataforma.
15.3 Tecnologias Similares
Utilizamos também:
- Armazenamento local (localStorage) — para preferências de interface
- Tokens de sessão — para autenticação segura via AWS Cognito
Não utilizamos cookies de publicidade ou rastreamento de terceiros para fins de marketing direcionado.
16. Alterações a Esta Política
16.1 Mecanismo de Notificação
Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, na legislação ou na plataforma.
- Alterações significativas (que afetem seus direitos ou o tratamento de dados sensíveis): Você será notificado por e-mail com no mínimo 30 (trinta) dias de antecedência, e poderemos solicitar novo consentimento
- Alterações menores (correções, melhorias de redação, ajustes regulatórios): Atualizamos a data e publicamos a nova versão na plataforma
- Histórico de versões: Todas as alterações são registradas e publicadas com nova data de vigência
16.2 Sua Concordância
O uso continuado da plataforma após a publicação de alterações constitui aceitação da política atualizada. Para alterações significativas que requeiram novo consentimento, o acesso a funcionalidades afetadas será condicionado à concordância expressa.
17. Contato e Reclamações
17.1 Encarregado de Proteção de Dados (DPO)
Para exercer seus direitos, esclarecer dúvidas ou registrar reclamações relacionadas à privacidade:
| Canal | Dados |
|---|---|
| legal@klinivo.co | |
| Assunto sugerido | "Solicitação de Direito LGPD — [seu nome]" |
| Prazo de resposta | 15 dias úteis |
17.2 Autoridade Nacional de Proteção de Dados (ANPD)
Se você não estiver satisfeito com a resposta da Klinivo, ou se considerar que seus direitos não foram adequadamente atendidos, você tem o direito de apresentar petição à ANPD:
| Canal | Dados |
|---|---|
| Website | https://www.gov.br/anpd |
| Canal do cidadão | https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados |
| Petição online | Via plataforma Gov.br |
17.3 Órgãos de Defesa do Consumidor
Você também pode recorrer aos órgãos de defesa do consumidor:
| Canal | Dados |
|---|---|
| Procon | https://www.procon.sp.gov.br (ou Procon do seu estado) |
| consumidor.gov.br | https://www.consumidor.gov.br |
| Telefone Procon | 151 |
| Juizado Especial Cível | Para causas de até 40 salários mínimos (sem necessidade de advogado até 20 SM) |
17.4 Legislação Aplicável
Esta Política de Privacidade está em conformidade com as seguintes normas:
| Norma | Disposição |
|---|---|
| LGPD — Lei nº 13.709/2018 | Lei Geral de Proteção de Dados |
| Marco Civil da Internet — Lei nº 12.965/2014 | Direitos e deveres no uso da internet |
| Código de Defesa do Consumidor — Lei nº 8.078/1990 | Proteção ao consumidor (art. 49: direito de arrependimento) |
| Resolução CFM 1.821/2007 | Retenção permanente de prontuário eletrônico digital |
| Resolução CFM 2.314/2022 | Regulamentação da telemedicina |
| PL 2.338/2023 | Marco Legal de Inteligência Artificial (em tramitação — adotamos princípios de transparência e supervisão humana) |
17.5 Foro
Fica eleito o foro da comarca de Belo Horizonte — MG para dirimir eventuais controvérsias decorrentes desta Política de Privacidade, sem prejuízo de qualquer outro foro competente, inclusive o do domicílio do consumidor.
Esta Política de Privacidade entrou em vigor em 5 de abril de 2026 e foi atualizada pela última vez em 13 de junho de 2026.
Versão 1.1
HC Desenvolvimento de Softwares Ltda. — CNPJ 06.871.228/0001-33
Belo Horizonte — MG, Brasil