← Início

Última atualização: 02 de maio de 2026

Política de Privacidade

Esta Política descreve como o Atenda coleta, usa, armazena e compartilha dados pessoais. Aplicam-se a todos os Usuários (profissionais titulares da conta) e indiretamente aos Clientes registrados pelos Usuários, conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018).

1. Papéis

  • Controlador: o profissional titular do tenant (você). Define a finalidade do tratamento dos dados clínicos.
  • Operador: o Atenda. Trata os dados em nome do Controlador, segundo suas instruções.

2. Dados que coletamos

  • Do Usuário: nome, email, telefone, registro profissional, dados de contato e de autenticação.
  • Dos Clientes: dados pessoais (nome, CPF, endereço, contato), dados sensíveis de saúde (queixa, anamnese, prontuário, histórico de sessões), dados financeiros (pagamentos), histórico de comunicação WhatsApp.
  • De uso: logs de acesso, IP, ações executadas (audit trail), métricas técnicas para diagnóstico (latência, erros).

3. Bases legais

Tratamos os dados com fundamento em: execução de contrato (uso da plataforma), cumprimento de obrigação legal (retenção de prontuário pelo conselho de classe), legítimo interesse (segurança e prevenção a fraude) e consentimento (gravação de áudio para IA, marketing).

4. Finalidade e uso

  • Prestar o serviço de gestão de atendimentos.
  • Gerar relatórios e análises operacionais.
  • Processar pagamentos via Asaas (apenas o pagador autorizado).
  • Enviar comunicações WhatsApp e email iniciadas pelo Usuário (lembretes, confirmações, cobranças).
  • Garantir segurança e conformidade legal.

5. Compartilhamento

Os dados podem ser compartilhados com:

  • Supabase (banco e armazenamento) — infraestrutura.
  • OpenAI — apenas quando o Usuário utiliza IA clínica; áudio é descartado após processamento.
  • Asaas — apenas dados necessários para gerar cobrança PIX.
  • 360dialog — apenas o número de WhatsApp e o conteúdo da mensagem quando o Usuário escolhe enviar pela API.
  • Resend — endereço de email de destino para notificações transacionais.
  • Vercel e Inngest — execução do código.
  • Sentry — diagnóstico de erros sem dados pessoais sensíveis (PII desabilitado por padrão).

Não vendemos dados a terceiros para fins de marketing.

6. Segurança

  • Criptografia em trânsito (HTTPS/TLS) e at-rest (Supabase).
  • Segredos por tenant (Asaas, 360dialog) cifrados com AES-256-GCM.
  • Isolamento entre tenants via Row-Level Security em todas as tabelas.
  • 2FA TOTP disponível para todos os Usuários.
  • Trilha de auditoria imutável das ações sensíveis.
  • Snapshots semanais do tenant para recuperação.

7. Retenção

Dados clínicos são mantidos pelo prazo configurado pelo Usuário em /configuracoes/lgpd/retencao (mínimo 5 anos por exigência do CFP; outros conselhos podem requerer mais). Outros dados (auditoria, logs) seguem política de 30 dias a 5 anos conforme tipo.

8. Direitos do titular (LGPD)

O titular pode, a qualquer momento, solicitar:

  • Acesso e portabilidade dos próprios dados — exportação JSON em /configuracoes/lgpd.
  • Correção de dados incompletos ou inexatos.
  • Anonimização ou exclusão de dados, observados os prazos legais de retenção.
  • Revogação do consentimento concedido.

Solicitações via formulário em /configuracoes/lgpd (para Usuários) ou por escrito para o Encarregado de Dados do Controlador (titular do tenant).

9. Encarregado (DPO)

Cada Controlador (tenant) é responsável por designar e divulgar seu Encarregado de Dados aos titulares. O Atenda, na qualidade de Operador, mantém canal interno para incidentes de segurança.

10. Atualizações

Esta política pode ser atualizada. Mudanças materiais serão comunicadas por email ou no painel. O uso continuado implica aceitação.

Este texto é uma minuta e não substitui aconselhamento jurídico. Recomendamos revisão por advogado especializado em LGPD antes de uso comercial.