Política de Privacidade

Secretaria.io é uma plataforma de atendimento e agendamento via WhatsApp para profissionais de saúde e bem-estar.

Esta política descreve como tratamos dados pessoais conforme a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD").

Encarregado de Dados (DPO): [Nome do DPO] — dpo@secretaria.io

A LGPD distingue dois papéis no tratamento de dados:

• Profissional contratante (médico, podólogo, terapeuta etc.) é o Controlador dos dados de seus pacientes/clientes. Decide quais dados coleta, para qual finalidade e por quanto tempo.
• Secretaria.io é o Operador: processa os dados em nome do Profissional, conforme suas instruções e esta política.

Em relação aos dados do próprio Profissional (cadastro na plataforma, dados de pagamento, configurações), a Secretaria.io atua como Controladora.

Dados do Profissional (contratante)

• Nome, telefone, e-mail
• Dados de pagamento (processados pelos gateways Stripe e Asaas)
• Configurações de negócio (serviços, horários, perfil profissional)
• Conteúdo de mensagens trocadas via plataforma
• Tokens de acesso ao Google Calendar (quando autorizado)

Dados de clientes do Profissional

• Nome, telefone, mensagens trocadas via WhatsApp
• Histórico de agendamentos e atendimentos
• Fotos do tratamento (categoria de dado sensível, Art. 11 da LGPD) — tratadas somente mediante consentimento expresso do titular
• Anotações clínicas registradas pelo Profissional
• Endereço de IP e user-agent ao clicar em links rastreáveis (`secretaria.io/go/*`)

• Operar o serviço de agendamento e comunicação via WhatsApp
• Manter prontuário digital de clientes para acompanhamento clínico do Profissional
• Enviar lembretes automáticos de consultas, pedidos de avaliação e mensagens transacionais
• Cumprir obrigações legais e regulatórias
• Aprimorar a plataforma (com dados anonimizados ou agregados)

Tratamos dados pessoais com base nas seguintes hipóteses da LGPD:

• Consentimento (Art. 7º, I e Art. 11º, I) — para fotos de tratamento e outras finalidades específicas
• Execução de contrato (Art. 7º, V) — para operar o serviço contratado pelo Profissional
• Cumprimento de obrigação legal (Art. 7º, II) — quando exigido por lei ou autoridade competente
• Legítimo interesse (Art. 7º, IX) — para prevenção de fraude, segurança e melhoria do serviço
• Tutela da saúde por profissional de saúde (Art. 11º, II, "f") — quando aplicável ao Profissional registrado

Fotos do corpo do cliente (pés, unhas, lesões etc.) são dados sensíveis de saúde. Tratamento exige consentimento expresso, específico e destacado.

O fluxo é:

1. Quando o Profissional envia a primeira foto de um cliente, o sistema dispara automaticamente uma mensagem ao cliente via WhatsApp pedindo autorização
2. O cliente lê os termos resumidos e responde SIM ou NÃO
3. Se autorizado, fotos ficam armazenadas no prontuário digital, com acesso apenas do Profissional
4. Se negado, as fotos são excluídas em até 24 horas
5. Após 14 dias sem resposta, o sistema considera não-autorizado e exclui as fotos pendentes
6. O titular pode revogar o consentimento a qualquer momento

Não vendemos dados. Compartilhamos apenas com:

• Provedores de infraestrutura: Supabase (banco e storage, AWS US-East), Evolution API (WhatsApp), Anthropic (modelo de IA — apenas conteúdo das mensagens necessárias para gerar resposta, sem identificadores explícitos)
• Gateways de pagamento: Stripe (EUA) e Asaas (Brasil), apenas dados necessários para processar pagamentos do Profissional
• Google Calendar: quando o Profissional autoriza o vínculo, agendamentos são sincronizados com a agenda Google dele
• Autoridades competentes: mediante ordem judicial ou requisição legal

Alguns dados podem ser tratados fora do Brasil (servidores AWS nos EUA, Anthropic, Stripe). Garantimos que esses fornecedores adotam padrões de segurança e privacidade compatíveis com a LGPD.

• Dados de Profissional: enquanto durar o contrato + 5 anos para fins fiscais
• Dados de cliente do Profissional: definido pelo Profissional (controlador) — recomendação 5 anos pós-último atendimento, alinhado com prontuário
• Mensagens e logs: 12 meses, exceto se necessário para defesa em processo
• Fotos com consentimento revogado: excluídas em até 24 horas

Você pode, a qualquer momento, solicitar:

• Confirmação de tratamento de seus dados
• Acesso aos dados
• Correção de dados incompletos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários
• Portabilidade dos dados
• Eliminação dos dados tratados com consentimento
• Informação sobre com quem compartilhamos
• Revogação do consentimento
• Oposição ao tratamento, quando feito sem consentimento

Para exercer, envie e-mail para dpo@secretaria.io com sua solicitação. Respondemos em até 15 dias.

• Transmissão de dados sob HTTPS (TLS 1.2+)
• Armazenamento criptografado em repouso
• Controle de acesso por perfil (apenas o Profissional vê dados dos próprios clientes)
• Logs de auditoria de acessos a dados sensíveis
• Backups regulares com retenção controlada

Utilizamos cookies essenciais para autenticação (sessão do Profissional). Não usamos cookies de marketing ou de terceiros sem consentimento.

Em caso de incidente que possa acarretar risco aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme o Art. 48 da LGPD.

Esta política pode ser atualizada. Mudanças relevantes serão comunicadas com antecedência aos usuários ativos.

Para dúvidas, exercício de direitos ou denúncias:

• E-mail DPO: dpo@secretaria.io
• Razão social: [Razão Social — CNPJ a preencher]
• Endereço: [Endereço a preencher]