Política de Privacidade

Este Aviso de Privacidade da FREECORPS TECNOLOGIA DA INFORMACAO LTDA (operando como FreeCorps ou Clivio) ("nós", "nos" ou "nosso") descreve como e por que podemos acessar, coletar, armazenar, usar e/ou compartilhar ("processar") suas informações pessoais quando você utiliza nossos serviços ("Serviços"), incluindo quando você:

• Visita nosso site em https://clivio.com.br
• Usa o aplicativo móvel Clivio, quando essa experiência estiver disponível
• Interage conosco de outras formas relacionadas, incluindo vendas, marketing ou eventos

Resumo dos Pontos Principais

• Informações pessoais que processamos: Depende de como você interage conosco.
• Informações sensíveis: Podemos processar dados de saúde, consultas médicas e informações de pacientes fornecidas pelas clínicas com consentimento ou conforme permitido por lei.
• Coleta por terceiros: Podemos coletar informações fornecidas diretamente por você ou pela clínica controladora.
• Finalidade do processamento: Para fornecer, melhorar e administrar os Serviços, comunicar-se com você, para segurança/prevenção de fraudes e conformidade legal.
• Segurança: Processos organizacionais e técnicos adequados estão em vigor, embora 100% de segurança não possa ser garantida.
• Exclusão de conta: Existem fluxos distintos para contas de paciente e contas de membros de clínica, com tratamento por provedor de identidade e rotinas internas de backend.
• Retenção legal de dados de saúde: Registros médicos podem permanecer em retenção legal obrigatória (com mecanismos de soft delete) mesmo após solicitações de exclusão de conta.

1. Quais Informações Coletamos?

Informações que você nos fornece

Coletamos informações pessoais que você nos fornece voluntariamente ao se registrar nos Serviços, expressar interesse em obter informações sobre nós ou nossos produtos e Serviços, ao participar de atividades nos Serviços ou ao nos contatar.

Informações pessoais fornecidas por você: As informações pessoais que coletamos dependem do contexto de suas interações conosco e dos Serviços, das escolhas que você faz e dos produtos e recursos que você usa. Isso pode incluir:

• Nomes
• Números de telefone
• Endereços de e-mail
• Cargos
• Nomes de usuário
• Senhas
• Endereços de cobrança
• Dados de pacientes
• Informações relacionadas à saúde

Informações Sensíveis

Quando necessário, com seu consentimento ou conforme permitido por lei aplicável, processamos as seguintes categorias de informações sensíveis:

• Dados de saúde
• Dados de consultas médicas
• Informações de saúde de pacientes fornecidas pelas clínicas

Dados de Pagamento

Podemos coletar dados necessários para processar seu pagamento se você optar por fazer compras, como número do seu instrumento de pagamento e código de segurança associado. Todos os dados de pagamento são tratados e armazenados pela Stripe. Você pode encontrar o link para a política de privacidade deles aqui: https://stripe.com/privacy.

Informações Coletadas Automaticamente

Coletamos automaticamente certas informações quando você visita, usa ou navega pelos Serviços. Essas informações não revelam sua identidade específica (como seu nome ou informações de contato), mas podem incluir informações de dispositivo e uso, como:

• Endereço IP
• Características do navegador e dispositivo
• Sistema operacional
• Preferências de idioma
• URLs de referência
• Nome do dispositivo
• País e localização
• Informações sobre como e quando você usa nossos Serviços e outras informações técnicas

API do Google

Nosso uso de informações recebidas das APIs do Google seguirá a Política de Dados do Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado.

2. Como Processamos Suas Informações?

Processamos suas informações pessoais por diversos motivos, dependendo de como você interage com nossos Serviços, incluindo:

• Facilitar a criação e autenticação de contas e gerenciar contas de usuários
• Entregar e facilitar a prestação de serviços ao usuário
• Responder a consultas do usuário e oferecer suporte
• Enviar informações administrativas sobre nossos produtos e serviços, mudanças em nossos termos e políticas
• Permitir comunicações entre usuários
• Solicitar feedback e entrar em contato sobre seu uso dos Serviços
• Proteger nossos Serviços através de monitoramento e prevenção de fraudes
• Identificar tendências de uso para melhorar o marketing e a experiência do usuário
• Cumprir obrigações legais

3. Quando e Com Quem Compartilhamos Suas Informações Pessoais?

Podemos precisar compartilhar suas informações pessoais nas seguintes situações:

• Fornecedores e Prestadores de Serviços: Podemos compartilhar suas informações com terceiros que prestam serviços para nós ou em nosso nome, incluindo serviços em nuvem, análise de dados, ferramentas de monitoramento, ferramentas de design de produtos, serviços de autenticação, hospedagem e plataformas de IA.
• Transferências Comerciais: Podemos compartilhar ou transferir suas informações em conexão com, ou durante negociações de, qualquer fusão, venda de ativos da empresa, financiamento ou aquisição de todo ou parte de nossos negócios.
• Outros Usuários: Quando você compartilha informações pessoais ou interage em áreas públicas dos Serviços, essas informações podem ser visualizadas por todos os usuários e podem ser distribuídas publicamente fora dos Serviços.

Podemos processar e armazenar dados no Brasil e em outros países, incluindo os Estados Unidos. Quando houver transferência internacional, adotamos cláusulas contratuais padrão aprovadas pela ANPD e medidas adequadas de proteção (incluindo criptografia TLS 1.2+ em trânsito e AES-256 em repouso) para garantir um nível de segurança compatível com a legislação aplicável, conforme Artigos 33 a 36 da LGPD.

4. Usamos Cookies e Outras Tecnologias de Rastreamento?

Em resumo: Sim, podemos usar cookies e outras tecnologias de rastreamento para coletar e armazenar suas informações.

Podemos usar cookies e tecnologias de rastreamento similares (como web beacons e pixels) para acessar ou armazenar informações. Os usos específicos incluem:

• Segurança e autenticação
• Preferências do usuário
• Funcionalidades do site
• Análises e métricas (somente com consentimento)

Informações específicas sobre como usamos tais tecnologias e como você pode recusar certos cookies estão disponíveis em nosso Aviso de Cookies.

5. Oferecemos Produtos Baseados em Inteligência Artificial?

Em resumo: Sim, oferecemos produtos e recursos que usam tecnologias de inteligência artificial.

Nossos recursos de IA podem utilizar provedores e/ou gateways de IA, de acordo com a funcionalidade contratada e evolução técnica da plataforma.

• Transcrição de áudio: atualmente pode utilizar OpenAI (Whisper) em integração direta
• Funcionalidades de IA generativa e automação: podem utilizar provedores e gateways de IA compatíveis, conforme disponibilidade

As funções de IA que oferecemos incluem:

• Processamento de linguagem natural
• Geração de documentos por IA
• Automação por IA

Opção de exclusão: Os recursos de transcrição e automação são opcionais e podem ser desabilitados pela clínica/profissional de saúde.

Proteção de dados em IA: Os dados enviados para funcionalidades de IA são processados exclusivamente para execução da funcionalidade solicitada e não são utilizados para treinamento de modelos públicos ou compartilhados.

6. Como Lidamos com Logins Sociais?

Em resumo: Se você optar por se registrar ou fazer login em nossos Serviços usando uma conta de rede social, poderemos ter acesso a certas informações sobre você.

Nossos Serviços oferecem a opção de se registrar e fazer login usando detalhes de contas de redes sociais de terceiros (como seus logins do Facebook ou X). Quando você optar por fazer isso, receberemos certas informações do seu perfil do provedor de rede social, que podem incluir seu nome, endereço de e-mail, foto de perfil e lista de amigos, dependendo das configurações do provedor.

7. Por Quanto Tempo Mantemos Suas Informações?

Em resumo: Mantemos suas informações pelo tempo necessário para cumprir os propósitos descritos neste aviso de privacidade, a menos que seja exigido de outra forma por lei.

Só manteremos suas informações pessoais pelo tempo necessário para os propósitos estabelecidos neste aviso de privacidade, a menos que um período de retenção mais longo seja exigido por lei, normas aplicáveis ao setor de saúde ou por instruções do controlador (clínica). Podemos manter dados enquanto necessários para prestação dos Serviços, cumprimento de obrigações legais e regulatórias ou defesa de direitos.

Retenção de Dados de Saúde (Prontuário Médico)

A retenção de dados médicos seguirá instruções do controlador (clínica) e regulamentações aplicáveis do setor de saúde:

• Lei 13.787/2018: Estabelece que o prazo de conservação do prontuário é de 20 (vinte) anos a contar do último registro
• Resolução CFM 1.639/2002: Define regras para prontuários médicos, incluindo guarda e conservação
• Código de Ética Médica: Estabelece responsabilidades quanto à guarda de documentos médicos

O Clivio, como operadora de dados, seguirá as instruções da clínica (controladora) quanto à retenção de dados médicos, respeitando sempre os prazos mínimos legais aplicáveis. Dados de prontuário podem ser retidos mesmo após o encerramento da conta da clínica para cumprimento de obrigações legais.

Quando não tivermos mais necessidade comercial legítima de processar suas informações pessoais, excluiremos ou anonimizaremos essas informações.

8. Como Mantemos Suas Informações Seguras?

Em resumo: Nosso objetivo é proteger suas informações pessoais através de um sistema de medidas de segurança organizacionais e técnicas.

Implementamos medidas de segurança técnicas e organizacionais adequadas, projetadas para proteger a segurança de quaisquer informações pessoais que processamos. No entanto, apesar de nossos esforços para proteger suas informações, nenhuma transmissão eletrônica pela Internet ou tecnologia de armazenamento de informações pode ser garantida como 100% segura. Portanto, não podemos prometer ou garantir que hackers, criminosos cibernéticos ou outros terceiros não autorizados não conseguirão burlar nossa segurança e coletar, acessar, roubar ou modificar indevidamente suas informações.

Notificação de Incidentes de Segurança

Em caso de incidente de segurança relevante que possa acarretar risco ou dano relevante aos titulares de dados, notificaremos os controladores (clínicas) e, quando aplicável, a Autoridade Nacional de Proteção de Dados (ANPD), conforme exigido pelo Art. 48 da LGPD e em conformidade com os prazos legais aplicáveis.

A notificação conterá, no mínimo: a natureza dos dados afetados, as consequências do incidente, as medidas adotadas para mitigação e os contatos para informações adicionais.

9. Coletamos Informações de Menores?

Em resumo: Não direcionamos os Serviços para marketing a menores de 18 anos, mas dados de menores podem ser tratados em contexto assistencial pelas clínicas controladoras.

O Clivio é uma plataforma para gestão clínica. Em fluxos de atendimento de saúde, a clínica/profissional controladora pode cadastrar e tratar dados de pacientes menores de idade conforme a base legal aplicável e, quando exigido, com participação de responsável legal.

Se identificarmos uso indevido dos Serviços por menor para criação de conta sem representação adequada, poderemos restringir o acesso e adotar as medidas cabíveis.

10. Quais São Seus Direitos de Privacidade?

Em resumo: Você pode revisar, alterar ou solicitar encerramento/exclusão da sua conta, conforme seu tipo de usuário (paciente ou membro de clínica).

Retirada do Consentimento

Se estivermos processando suas informações pessoais com base no seu consentimento, você tem o direito de retirar seu consentimento a qualquer momento. Você pode retirar seu consentimento a qualquer momento entrando em contato conosco usando os detalhes de contato fornecidos abaixo.

No entanto, observe que isso não afetará a legalidade do processamento antes de sua retirada, nem afetará o processamento de suas informações pessoais conduzido com base em motivos de processamento legais além do consentimento.

Informações da Conta

Se você deseja revisar ou alterar informações da sua conta:

• Paciente: pode utilizar o Portal do Paciente para atualização de informações e solicitação de direitos
• Membro de clínica (administrativo/profissional): pode utilizar o portal administrativo e/ou as configurações pessoais da dashboard da clínica, conforme permissões

Quando a solicitação de exclusão é confirmada no portal aplicável, ela é encaminhada ao provedor de identidade (WorkOS), que dispara o evento correspondente para processamento pelas rotinas internas de backend do Clivio.

Após essa etapa, desativaremos ou excluiremos os dados aplicáveis dos bancos ativos. No entanto, poderemos reter dados quando exigido por lei, para prevenção a fraudes, defesa de direitos e cumprimento de obrigações regulatórias, especialmente em relação a dados de saúde sujeitos a retenção legal obrigatória.

11. Controles para Recursos "Não Rastrear"

A maioria dos navegadores da web e alguns sistemas operacionais móveis e aplicativos móveis incluem um recurso ou configuração "Não Rastrear" (DNT) que você pode ativar para sinalizar sua preferência de privacidade para não ter dados sobre suas atividades de navegação online monitorados e coletados.

Nesta fase, nenhum padrão tecnológico uniforme para reconhecer e implementar sinais DNT foi finalizado. Como tal, atualmente não respondemos a sinais de navegador DNT ou qualquer outro mecanismo que comunique automaticamente sua escolha de não ser rastreado online.

12. Aviso de Responsabilidade Médica

Importante: O Clivio é exclusivamente uma plataforma tecnológica. Todas as decisões médicas, diagnósticos e tratamentos são de responsabilidade exclusiva dos profissionais de saúde que utilizam a plataforma.

O Clivio não fornece aconselhamento médico, diagnóstico ou tratamento. A plataforma é uma ferramenta para auxiliar profissionais de saúde na gestão de suas clínicas e consultórios. Qualquer decisão clínica deve ser tomada pelo profissional de saúde qualificado com base em sua avaliação profissional do paciente.

13. Aviso Sobre Inteligência Artificial

Importante: Os recursos de IA oferecidos pelo Clivio são ferramentas de suporte apenas e não constituem aconselhamento médico, diagnóstico ou recomendação de tratamento.

A plataforma não garante a precisão dos resultados gerados por IA. A validação e o uso clínico de qualquer conteúdo gerado por inteligência artificial são de responsabilidade exclusiva do profissional de saúde. Os outputs de IA podem conter imprecisões, alucinações ou informações desatualizadas.

Os profissionais de saúde devem validar todo o conteúdo gerado por IA antes de utilizá-lo em qualquer contexto clínico. As funcionalidades de IA são projetadas para auxiliar, nunca substituir, o julgamento profissional qualificado. A responsabilidade final por qualquer decisão clínica, diagnóstico, prescrição ou tratamento permanece integralmente com o profissional de saúde devidamente habilitado.

O Clivio não se responsabiliza por decisões médicas baseadas em conteúdos gerados por IA sem a devida validação profissional.

14. Função no Processamento de Dados

Em resumo: O Clivio atua como Operadora de Dados Pessoais nos termos da LGPD. As clínicas e profissionais de saúde são os Controladoras de Dados.

Importante: O Clivio não utiliza dados de pacientes para fins próprios de marketing, publicidade ou monetização. Todos os dados de pacientes são processados exclusivamente para fornecimento dos Serviços contratados pela clínica.

Definição dos Papéis

De acordo com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e outras regulamentações aplicáveis:

• Controladora de Dados (Clínicas e Profissionais de Saúde): Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. São responsáveis por obter o consentimento adequado dos pacientes, definir as finalidades do tratamento e garantir os direitos dos titulares.
• Operadora de Dados (Clivio/FREECORPS): Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Tratamos dados exclusivamente conforme as instruções das clínicas contratantes e para fornecimento dos Serviços.

Responsabilidades do Controlador (Clínica)

A clínica é exclusivamente responsável pelo consentimento dos pacientes: O Clivio não obtém consentimento diretamente dos pacientes. A clínica/profissional de saúde deve:

• Obter base legal adequada para o tratamento de dados pessoais e sensíveis
• Obter consentimento específico e destacado dos pacientes quando necessário (Art. 7º, I e Art. 11, I da LGPD)
• Informar aos pacientes sobre como seus dados serão tratados
• Garantir o exercício dos direitos dos titulares (acesso, correção, eliminação, portabilidade, etc.)
• Realizar avaliações de impacto quando aplicável
• Notificar a ANPD em caso de incidentes de segurança

Compromissos da Operadora (Clivio)

O Clivio, como operadora, compromete-se a:

• Tratar dados apenas conforme instruções do controlador
• Implementar medidas de segurança técnicas e organizacionais
• Auxiliar o controlador no cumprimento de suas obrigações legais
• Notificar o controlador em caso de incidentes de segurança
• Eliminar dados após o término do contrato, salvo obrigação legal

Interação com Páginas Públicas de Clínicas

Quando o paciente interage com páginas públicas de clínicas hospedadas na plataforma (como páginas de agendamento), o tratamento de dados pessoais é realizado em nome e sob responsabilidade da clínica controladora. O Clivio atua exclusivamente como operadora de dados, processando informações conforme instruções da clínica.

Termo de Processamento de Dados (DPA)

Ao contratar os Serviços, a clínica concorda com o Termo de Processamento de Dados (DPA - Data Processing Agreement) disponível em https://clivio.com.br/dpa.

14A. Base Legal para Tratamento de Dados (LGPD)

O tratamento de dados pessoais através dos Serviços é realizado com base nas seguintes hipóteses legais previstas na LGPD:

Para Dados Pessoais Comuns

• Execução de Contrato (Art. 7º, V): Tratamento necessário para a execução do contrato de prestação de serviços entre a clínica e o Clivio.
• Legítimo Interesse (Art. 7º, IX): Para melhorias dos serviços, segurança e prevenção de fraudes.
• Consentimento (Art. 7º, I): Quando aplicável, com base no consentimento do titular.
• Cumprimento de Obrigação Legal (Art. 7º, II): Retenção de dados conforme exigências legais do setor de saúde.

Para Dados Pessoais Sensíveis (incluindo dados de saúde)

• Consentimento (Art. 11, I): Com consentimento específico e destacado do titular para finalidades específicas.
• Execução de Contrato (Art. 11, II, a): Quando necessário para execução de contrato onde o titular é parte.
• Proteção da Vida (Art. 11, II, d): Para tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde ou entidades sanitárias.
• Exercício Regular de Direitos (Art. 11, II, f): Para defesa em processos judiciais, administrativos ou arbitrais.

14B. Transferência Internacional de Dados

Os dados pessoais tratados através dos Serviços podem ser transferidos para países fora do Brasil, incluindo os Estados Unidos da América, onde estão localizados parte de nossos servidores e provedores de serviços.

Base Legal para Transferência Internacional

Todas as transferências internacionais são realizadas em conformidade com os Artigos 33 a 36 da LGPD, com base em:

• Cláusulas Contratuais Padrão (Art. 33, I): Utilização de Cláusulas Contratuais Padrão (Standard Contractual Clauses - SCCs) aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD).
• Cláusulas Contratuais Específicas (Art. 33, II): Contratos específicos com provedores de serviços que garantem nível adequado de proteção de dados.
• Selos, Certificados e Normas Técnicas (Art. 33, III): Utilização de provedores certificados conforme normas internacionais de segurança.

Medidas de Segurança para Transferências

• Criptografia: Dados são criptografados em trânsito (TLS 1.2+) e em repouso (AES-256)
• Controle de Acesso: Acesso restrito e baseado em necessidade ("need-to-know")
• Auditoria: Logs de acesso e transferências mantidos para fins de auditoria

15. Fazemos Atualizações Neste Aviso?

Em resumo: Sim, atualizaremos este aviso conforme necessário para permanecer em conformidade com as leis relevantes.

Podemos atualizar este aviso de privacidade de tempos em tempos. A versão atualizada será indicada por uma data "Última atualização" revisada no topo deste aviso de privacidade. Se fizermos alterações materiais a este aviso de privacidade, poderemos notificá-lo publicando um aviso proeminente de tais alterações ou enviando diretamente uma notificação. Encorajamos você a revisar este aviso de privacidade frequentemente para estar informado sobre como estamos protegendo suas informações.

16. Como Você Pode Nos Contatar Sobre Este Aviso?

Encarregado de Dados (DPO)

Para assuntos relacionados à proteção de dados pessoais, entre em contato com nosso Encarregado de Dados (Data Protection Officer - DPO) pelo e-mail: privacy@freecorps.com.br.

Se você tiver perguntas ou comentários sobre este aviso, você pode nos enviar um e-mail para privacy@freecorps.com.br ou contato@freecorps.com.br, ou por correio para:

17. Como Você Pode Revisar, Atualizar ou Excluir os Dados que Coletamos de Você?

Com base nas leis aplicáveis do seu país, você pode ter o direito de solicitar acesso às informações pessoais que coletamos de você, detalhes sobre como processamos essas informações, corrigir imprecisões ou excluir suas informações pessoais. Você também pode ter o direito de retirar seu consentimento para nosso processamento de suas informações pessoais.

Os canais variam conforme o tipo de usuário:

• Paciente: Portal do Paciente em https://clivio.com.br/patient-portal
• Membro de clínica: portal administrativo/configurações pessoais na dashboard da clínica (ou contato com o administrador da organização, quando aplicável)

Solicitações de exclusão de conta são executadas tecnicamente após o evento de exclusão do WorkOS, processado pelas rotinas internas de backend do Clivio.