Termo de Processamento de Dados (DPA)

1. Partes

Este Termo de Processamento de Dados ("DPA") é celebrado entre:

• FREECORPS TECNOLOGIA DA INFORMACAO LTDA ("Operadora" ou "Clivio"), com sede na Rua Cecília Feres Zogbi 484, casa 20, Campinas, São Paulo, 13084-140, Brasil; e
• A clínica ou profissional de saúde contratante dos serviços do Clivio ("Controladora").

2. Definições

• Controladora: Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.
• Operadora: Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
• Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável.
• Dados Pessoais Sensíveis: Dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
• Tratamento: Toda ação realizada com dados pessoais, como coleta, armazenamento, consulta, uso, compartilhamento, arquivamento e exclusão.
• LGPD: Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

3. Objeto

Este DPA estabelece os termos e condições em que a Operadora realizará o tratamento de dados pessoais em nome da Controladora, exclusivamente para a prestação dos serviços de software como serviço (SaaS) oferecidos pelo Clivio.

4. Natureza e Finalidade do Tratamento

A Operadora tratará dados pessoais para as seguintes finalidades:

• Armazenamento e gestão de prontuários eletrônicos
• Agendamento de consultas e procedimentos
• Comunicação entre clínica e pacientes
• Geração de documentos médicos (prescrições, atestados, laudos)
• Relatórios e analytics para gestão da clínica
• Funcionalidades de inteligência artificial quando contratadas

O tratamento é realizado exclusivamente conforme as instruções da Controladora e nos termos da LGPD.

5. Tipos de Dados Tratados

5.1 Dados Pessoais Comuns

• Nome completo
• Endereço de e-mail
• Número de telefone
• Endereço residencial
• CPF
• Data de nascimento

5.2 Dados Pessoais Sensíveis

• Dados de saúde
• Histórico médico
• Informações sobre tratamentos e diagnósticos
• Prescrições medicamentosas

6. Obrigações da Operadora

A Operadora se compromete a:

• Tratar os dados pessoais apenas conforme as instruções da Controladora, exceto quando exigido por lei
• Implementar medidas de segurança técnicas e organizacionais adequadas para proteger os dados pessoais
• Notificar a Controladora prontamente em caso de incidente de segurança que possa acarretar risco aos titulares
• Garantir que seus funcionários e prestadores de serviço que tenham acesso a dados pessoais estejam sujeitos a obrigações de confidencialidade
• Auxiliar a Controladora no cumprimento de suas obrigações legais relacionadas à proteção de dados
• Após o término do contrato, eliminar os dados pessoais ou devolvê-los à Controladora, salvo obrigação legal de retenção
• Disponibilizar à Controladora todas as informações necessárias para demonstrar conformidade com a LGPD

7. Obrigações da Controladora

A Controladora se compromete a:

• Fornecer instruções claras e documentadas sobre o tratamento de dados
• Obter base legal adequada para o tratamento de dados pessoais e sensíveis
• Obter consentimento dos titulares quando necessário, de forma específica e destacada
• Informar aos titulares sobre o tratamento de seus dados pessoais
• Garantir o exercício dos direitos dos titulares (acesso, correção, eliminação, portabilidade, etc.)
• Realizar avaliações de impacto quando aplicável
• Notificar a ANPD em caso de incidentes de segurança quando exigido

8. Medidas de Segurança

A Operadora implementará as seguintes medidas de segurança técnicas e organizacionais:

• Criptografia: Dados criptografados em trânsito (TLS 1.2+) e em repouso (AES-256)
• Controle de Acesso: Acesso restrito baseado em necessidade ("need-to-know") e autenticação segura
• Logs de Auditoria: Registro de acessos e operações realizadas nos sistemas
• Backups: Cópias de segurança realizadas regularmente
• Monitoramento: Monitoramento contínuo de segurança
• Treinamento: Treinamento de equipe sobre proteção de dados

9. Suboperadores

A Operadora pode contratar suboperadores para auxiliar no processamento de dados. A Contratação de suboperadores está sujeita às seguintes condições:

• Os suboperadores devem oferecer garantias suficientes de implementação de medidas de segurança adequadas
• A Operadora permanece responsável perante a Controladora pelo cumprimento das obrigações do suboperador
• Contratos com suboperadores devem conter cláusulas de proteção de dados equivalentes a este DPA

9.1 Suboperadores Atuais

• Convex: Infraestrutura e banco de dados - EUA
• WorkOS: Autenticação e gerenciamento de identidade - EUA
• Stripe: Processamento de pagamentos - EUA
• Provedores/Gateways de IA: Funcionalidades de IA (incluindo transcrição por OpenAI/Whisper quando aplicável e demais integrações de IA conforme contratação) - EUA e/ou outras jurisdições conforme o provedor contratado
• Resend: Envio de e-mails transacionais - EUA
• SendGrid: Envio de e-mails transacionais (quando configurado pela Controladora via BYOK) - EUA
• PostHog: Analytics de produto e telemetria - EUA
• Vercel: Hospedagem e CDN - EUA

A lista atualizada de suboperadores pode ser solicitada através do e-mail privacy@freecorps.com.br.

10. Transferência Internacional de Dados

Os dados pessoais podem ser transferidos para países fora do Brasil, incluindo os Estados Unidos. As transferências internacionais são realizadas em conformidade com os Artigos 33 a 36 da LGPD, com base em:

• Cláusulas Contratuais Padrão (Standard Contractual Clauses - SCCs)
• Contratos específicos com provedores que garantem nível adequado de proteção
• Medidas técnicas de segurança complementares (criptografia, controle de acesso)

11. Notificação de Incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Operadora:

• Notificará a Controladora em até 48 (quarenta e oito) horas após a confirmação do incidente
• Fornecerá informações sobre a natureza dos dados afetados, as consequências e as medidas adotadas
• Cooperará com a Controladora nas medidas necessárias para mitigação dos impactos

12. Auditoria

A Operadora disponibilizará à Controladora, mediante solicitação formal, todas as informações necessárias para demonstrar conformidade com este DPA e a LGPD, incluindo:

• Relatórios de segurança
• Logs de acesso (mediante solicitação específica)
• Certificações de segurança aplicáveis
• Resultados de auditorias internas

13. Retenção e Eliminação de Dados

Após o término do contrato entre as partes, a Operadora procederá da seguinte forma:

• A Controladora terá 30 (trinta) dias para exportar seus dados através das ferramentas da plataforma ou mediante solicitação
• Após esse período, os dados podem ser eliminados dos sistemas ativos
• Dados de prontuário médico seguem retenção legal obrigatória, incluindo mecanismos de soft delete e guarda mínima conforme Lei 13.787/2018 (20 anos), além de instruções específicas da Controladora
• Dados necessários para cumprimento de obrigações legais ou defesa em processos podem ser retidos pelo período necessário

14. Vigência e Rescisão

Este DPA entra em vigor na data de contratação dos serviços do Clivio e permanece válido enquanto houver relação contratual entre as partes. O DPA pode ser rescindido:

• Por término do contrato principal de serviços
• Por acordo mútuo entre as partes
• Por violação grave de suas cláusulas

15. Legislação Aplicável e Foro

Este DPA é regido pelas leis do Brasil. Fica eleito o foro da Comarca de Campinas, Estado de São Paulo, para dirimir quaisquer disputas decorrentes deste instrumento.

16. Contato

Para questões relacionadas a este DPA ou proteção de dados, entre em contato com o Encarregado de Dados (DPO):