Política de Privacidade

Atende AI Médico é um produto operado pela Ricardo De Abreu Rocha Ltda, pessoa jurídica de direito privado inscrita no CNPJ sob nº [a preencher], com sede em [endereço], doravante denominada “Atende AI”, “nós”, “Plataforma” ou “Operadora”.

Esta Política de Privacidade descreve como tratamos dados pessoais nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — “LGPD”) e demais legislações aplicáveis.

A Atende AI é uma plataforma SaaS multi-tenantque fornece infraestrutura de atendimento via WhatsApp para consultórios médicos e clínicas (“Clientes”).

No tratamento de dados de pacientes que se comunicam com um Cliente através da Plataforma:

• O Cliente (médico ou clínica) é o Controlador dos dados pessoais e dados sensíveis de saúde dos pacientes, determinando finalidades e meios do tratamento;
• A Atende AI atua como Operadora, realizando o tratamento em nome do Controlador conforme suas instruções e nos termos do contrato de prestação de serviços.

Pacientes devem exercer seus direitos diretamente junto ao Cliente (Controlador). A Atende AI auxiliará o Controlador no cumprimento dessas solicitações na medida de sua função operacional.

Tratamos as seguintes categorias de dados:

3.1 Dados de Clientes (médico/clínica)

• Nome, e-mail e senha (criptografada) de acesso ao painel;
• Razão social, CNPJ e endereço comercial;
• CRM, RQE e dados profissionais (quando informados);
• Informações de configuração (preços, horários, biografia, etc.);
• Tokens de acesso à WhatsApp Business Platform da Meta.

3.2 Dados de pacientes (usuários finais)

• Número de telefone WhatsApp e nome de exibição (conforme fornecidos pelo próprio paciente ao iniciar a conversa);
• Conteúdo das mensagens trocadas: texto, áudio (com transcrição), imagem, documentos PDF;
• Dados sensíveis de saúde potencialmente contidos nas mensagens (queixas clínicas, procedimentos de interesse, exames anexados, etc.);
• Data, hora e status de entrega das mensagens.

Tratamos esses dados para:

• Prestar o serviço de atendimento ao Cliente (LGPD art. 7º, V — execução de contrato);
• Tratar dados sensíveis de saúdecontidos nas mensagens (LGPD art. 11, II, “a” — consentimento específico e destacado do paciente, registrado na primeira interação);
• Garantir a segurança da Plataforma, prevenção a fraudes e cumprimento de obrigações legais (LGPD art. 7º, II e VI);
• Melhorar a Plataforma de forma agregada e anonimizada (LGPD art. 12).

Para operar a Plataforma, compartilhamos dados estritamente necessários com os seguintes operadores subcontratados:

• Meta Platforms, Inc. / WhatsApp LLC — infraestrutura de mensageria via WhatsApp Business Cloud API;
• Anthropic PBC — processamento de linguagem natural (assistente virtual) via API Claude;
• OpenAI, LLC — transcrição automática de mensagens de áudio (Whisper);
• Supabase Inc. — hospedagem do banco de dados e armazenamento de arquivos de mídia;
• Vercel Inc. — hospedagem da aplicação web.

Cada um desses operadores recebe apenas o subconjunto de dados necessário à respectiva função, mediante contrato com cláusulas de proteção de dados e padrões internacionais de segurança (SOC 2 Type II, GDPR/LGPD).

Não vendemos dados pessoais a terceiros e não compartilhamos dados de saúde com nenhum operador que não tenha vínculo direto com a finalidade contratada.

Alguns operadores subcontratados (Meta, Anthropic, OpenAI, Vercel, Supabase) podem manter servidores fora do Brasil. Essas transferências ocorrem com base em cláusulas contratuais padrão e em países que oferecem grau de proteção adequado, conforme art. 33 da LGPD.

Mantemos dados pessoais pelo prazo necessário ao cumprimento da finalidade ou conforme determinado pelo Cliente Controlador. Como padrão:

• Conversas de pacientes: 12 meses após a última interação, salvo configuração diferente pelo Controlador;
• Dados de cadastro do Cliente: pelo tempo da relação contratual + 5 anos para cumprimento de obrigações fiscais e legais;
• Logs de auditoria e segurança: 6 meses;
• Tokens de acesso revogados: imediatamente após revogação.

Após esses prazos, os dados são excluídos ou anonimizados de forma irreversível.

Adotamos medidas técnicas e administrativas, incluindo:

• Criptografia em trânsito (TLS 1.3) e em repouso (AES-256);
• Isolamento de dados por workspace via Row-Level Security (RLS) no banco de dados;
• Autenticação multifator opcional para administradores;
• Controles de acesso baseados em papel (super-admin, médico, secretária);
• Trilha de auditoria de acessos sensíveis;
• Plano de resposta a incidentes com notificação à ANPD e aos titulares conforme prazos legais.

Pacientes (titulares de dados) podem exercer, junto ao Cliente Controlador, os seguintes direitos:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários;
• Portabilidade dos dados;
• Eliminação dos dados tratados com consentimento, ressalvadas as hipóteses de retenção legal;
• Informações sobre compartilhamentos;
• Revogação do consentimento, com efeito a partir da revogação;
• Oposição a tratamentos baseados em outras bases que não o consentimento, quando houver descumprimento.

O paciente pode também solicitar a saída do canal de atendimento a qualquer momento enviando “PARAR”, “SAIR” ou “CANCELAR” no próprio WhatsApp.

Encarregado pelo tratamento de dados pessoais da Atende AI:
Ricardo de Abreu Rocha
E-mail: dpo@atendeaimedico.com

Utilizamos cookies estritamente necessários para a operação do painel web (sessão de autenticação). Não utilizamos cookies de publicidade ou rastreamento entre sites.

Esta Política pode ser atualizada periodicamente. Alterações substantivas serão comunicadas com pelo menos 30 dias de antecedência aos Clientes Controladores, que se responsabilizam por comunicar seus pacientes quando aplicável.

Esta Política rege-se pela legislação brasileira. Fica eleito o foro da Comarca de [a preencher conforme contrato social], com renúncia expressa a qualquer outro, por mais privilegiado que seja.