Política de Privacidade
CNPJ: 65.152.133/0001-29
Última atualização: Março de 2026 | Versão: 3.0
1. Introdução
1.1 Nosso Compromisso
O PromentisAI ("nós", "nosso" ou "Plataforma") está comprometido com a proteção da privacidade e segurança dos seus dados pessoais. Esta Política de Privacidade explica como coletamos, usamos, armazenamos, compartilhamos e protegemos suas informações.
1.2 Conformidade Legal
Estamos em conformidade com:
- Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018
- Marco Civil da Internet - Lei nº 12.965/2014
- Código de Defesa do Consumidor - Lei nº 8.078/1990
- Demais normas de proteção de dados aplicáveis no Brasil
1.3 Controlador e Operador de Dados
Para fins de LGPD:
- Dados de Clientes (Clínicas): O PromentisAI atua como Controlador dos dados dos profissionais que contratam a plataforma.
- Dados de Pacientes: O PromentisAI atua como Operador dos dados de pacientes, sendo o Cliente (clínica) o Controlador desses dados.
2. Dados que Coletamos
2.1 Dados de Cadastro (Clínicas e Profissionais)
Quando você cria uma conta, coletamos:
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome completo | Identificação e personalização | Execução de contrato |
| Comunicação, login e recuperação | Execução de contrato | |
| Telefone/WhatsApp | Suporte e integração | Execução de contrato |
| CPF/CNPJ | Emissão de notas fiscais | Obrigação legal |
| Nome da clínica | Configuração da conta | Execução de contrato |
| CRM/Conselho | Validação profissional (opcional) | Consentimento |
| Senha | Autenticação (hash bcrypt) | Execução de contrato |
2.2 Dados de Pacientes (Processados pelo Cliente)
Como Operador, processamos os seguintes dados inseridos pelo Cliente:
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome do paciente | Agendamento e comunicação | Tutela da saúde* |
| Telefone/WhatsApp | Lembretes e confirmações | Tutela da saúde* |
| Data de nascimento | Identificação | Tutela da saúde* |
| CPF (mascarado) | Identificação única | Tutela da saúde* |
| Comunicações (opcional) | Consentimento | |
| Histórico de consultas | Gestão de agendamentos | Tutela da saúde* |
* A base legal "Tutela da saúde" é de responsabilidade do Cliente (Controlador).
Informações de saúde são consideradas dados sensíveis pela LGPD (Art. 11). O PromentisAI NÃO coleta nem armazena prontuários médicos, diagnósticos, exames ou informações clínicas. O Cliente é responsável por garantir base legal adequada para dados de seus pacientes.
2.3 Dados de Uso e Navegação
Coletamos automaticamente:
- Dados de acesso: Endereço IP, navegador, dispositivo, sistema operacional
- Dados de navegação: Páginas visitadas, tempo de permanência, cliques
- Dados de desempenho: Erros, velocidade de carregamento
- Dados de interação: Funcionalidades utilizadas, frequência de uso
- Logs de auditoria: Ações realizadas na plataforma (para segurança)
2.4 Dados de Pagamento
Os dados de cartão de crédito são processados diretamente pelo nosso parceiro Pagar.me (Grupo Stone), certificado PCI DSS Level 1. Os dados de cartão são tokenizados e NÃO são armazenados em nossos servidores. Armazenamos apenas tokens seguros para cobranças recorrentes.
2.5 Dados de Conversas com IA
As interações com nossos agentes de IA são processadas para:
- Execução do agendamento: Interpretar e executar solicitações
- Melhoria do serviço: Treinar e aprimorar modelos (dados anonimizados)
- Auditoria e suporte: Resolver problemas reportados
As conversas são armazenadas de forma criptografada e podem ser eliminadas mediante solicitação.
3. Como Usamos seus Dados
3.1 Finalidades Principais
- Prestação do Serviço: Operar a Plataforma, processar agendamentos, enviar lembretes
- Comunicação: Enviar notificações importantes, atualizações e suporte
- Cobrança: Processar pagamentos e emitir notas fiscais
- Segurança: Prevenir fraudes, detectar abusos e proteger a Plataforma
- Melhoria: Desenvolver e aprimorar funcionalidades
- Compliance: Cumprir obrigações legais e regulatórias
- Marketing: Enviar novidades e ofertas (apenas com consentimento)
3.2 O que NÃO Fazemos
- NÃO vendemos seus dados pessoais para terceiros
- NÃO compartilhamos dados para fins publicitários de terceiros
- NÃO acessamos dados de pacientes sem necessidade operacional
- NÃO usamos dados de saúde para perfilamento ou marketing
- NÃO treinamos modelos de IA com dados identificáveis de pacientes
4. Dados Obtidos via Google APIs (Google Sign-In e Google Calendar)
O uso e a transferência para qualquer outro aplicativo de informações recebidas das APIs do Google pelo PromentisAI estarão em conformidade com a Política de Dados de Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado (Limited Use).
PromentisAI's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
4.1 Dados do Google que Acessamos
Quando você opta por conectar sua conta Google ao PromentisAI, solicitamos acesso aos seguintes escopos específicos:
| Escopo (Scope) | Dado Acessado | Finalidade |
|---|---|---|
| openid | Identificador único da conta Google | Autenticação (login com Google) |
| userinfo.email | Endereço de e-mail da conta Google | Identificação do usuário e login |
| userinfo.profile | Nome e foto de perfil | Personalizar a experiência na Plataforma |
| calendar.readonly | Eventos existentes no Google Calendar | Exibir bloqueios de agenda para evitar conflitos de horário |
| calendar.events | Criação e gestão de eventos no Google Calendar | Criar eventos de consultas agendadas no calendário do profissional |
4.2 Como Usamos os Dados do Google
Os dados obtidos das APIs do Google são utilizados exclusivamente para as seguintes finalidades:
- Login via Google (Sign-In): Seu e-mail e nome são usados para autenticar sua identidade e criar/acessar sua conta na Plataforma.
- Sincronização de Agenda: Os eventos do Google Calendar são lidos para mostrar bloqueios de horário na agenda do profissional, evitando conflitos de agendamento. Novos eventos são criados no Google Calendar quando consultas são agendadas pela Plataforma.
NÃO utilizamos dados do Google para nenhuma outra finalidade além das descritas acima.
4.3 Uso Limitado (Limited Use) — Compromissos
Em conformidade com os requisitos de Uso Limitado da Política de Dados de Usuário dos Serviços de API do Google, o PromentisAI:
- NÃO transfere dados do Google para terceiros, exceto quando necessário para fornecer ou melhorar funcionalidades visíveis ao usuário, por motivos de segurança, para cumprir leis aplicáveis, ou como parte de fusão/aquisição com consentimento prévio do usuário.
- NÃO utiliza dados do Google para veicular anúncios, incluindo retargeting, publicidade personalizada ou baseada em interesses.
- NÃO utiliza dados do Google para determinar capacidade creditícia ou para fins de empréstimo.
- NÃO vende dados do Google para terceiros, corretores de dados ou revendedores de informações.
- NÃO permite que humanos leiam os dados do Google, exceto com consentimento afirmativo do usuário, por necessidade de segurança, para cumprir leis aplicáveis, ou quando os dados são agregados e anonimizados para operações internas.
4.4 Armazenamento e Retenção de Dados do Google
| Dado | Armazenamento | Retenção |
|---|---|---|
| E-mail e nome (login) | Banco de dados criptografado | Enquanto a conta estiver ativa |
| Tokens OAuth (refresh/access) | Banco de dados criptografado | Até desconexão ou revogação pelo usuário |
| Eventos do Calendar | Não armazenados permanentemente — consultados em tempo real via API | Dados em cache temporário, sem persistência |
4.5 Como Revogar o Acesso aos Dados do Google
Você pode revogar o acesso do PromentisAI aos seus dados do Google a qualquer momento:
- Via Plataforma: Acesse Configurações → Integrações → Google Calendar → Desconectar
- Via Google: Acesse myaccount.google.com/permissions e remova o PromentisAI da lista de aplicativos conectados
Ao revogar o acesso:
- Os tokens OAuth serão imediatamente invalidados
- A sincronização com o Google Calendar será interrompida
- Eventos previamente criados no Google Calendar não serão removidos automaticamente
- Os dados de login (e-mail e nome) permanecerão vinculados à conta na Plataforma para fins de identificação, mas podem ser excluídos mediante solicitação
4.6 Segurança dos Dados do Google
Os dados obtidos via APIs do Google são protegidos com as mesmas medidas de segurança descritas na Seção 6 desta Política, incluindo:
- Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
- Tokens OAuth armazenados com criptografia
- Acesso restrito sob o princípio do menor privilégio
- Monitoramento contínuo e logs de auditoria
5. Compartilhamento de Dados
5.1 Com Quem Compartilhamos
| Parceiro | Finalidade | Dados Compartilhados |
|---|---|---|
| Pagar.me (Stone) | Processamento de pagamentos | Dados de cobrança (tokenizados) |
| Google Cloud / Azure | Hospedagem e infraestrutura | Todos os dados (criptografados) |
| OpenAI / Anthropic | Processamento de linguagem natural | Mensagens de chat (sem identificação) |
| WhatsApp (Meta) | Envio de mensagens | Telefone, mensagens |
| SendGrid / SES | Envio de e-mails | E-mail, nome |
| Google Calendar | Sincronização de agenda | Eventos de agendamento |
Todos os parceiros assinam acordos de processamento de dados (DPA) e comprometem-se com medidas de segurança adequadas.
5.2 Transferência Internacional
Alguns de nossos provedores de infraestrutura e IA operam servidores fora do Brasil. A transferência internacional segue as salvaguardas previstas na LGPD (Art. 33), incluindo cláusulas contratuais padrão e certificações de adequação.
5.3 Autoridades e Determinações Legais
Podemos compartilhar dados quando legalmente obrigados, incluindo:
- Ordens judiciais
- Requisições de autoridades competentes (Polícia, MP, ANPD)
- Para exercer ou defender direitos em processos judiciais
6. Armazenamento e Segurança
6.1 Onde Armazenamos
- Servidores principais no Brasil (Google Cloud - São Paulo)
- Backups redundantes em data centers certificados
- Certificações: SOC 2 Type II, ISO 27001, PCI DSS
6.2 Medidas de Segurança Técnicas
| Medida | Descrição |
|---|---|
| Criptografia em Trânsito | TLS 1.3 para todas as conexões |
| Criptografia em Repouso | AES-256 para dados armazenados |
| Hashing de Senhas | bcrypt com salt único |
| Firewall e WAF | Proteção contra ataques comuns |
| Proteção DDoS | Via Cloudflare/GCP Shield |
| Monitoramento | 24/7 com alertas automáticos |
| MFA | Autenticação multi-fator disponível |
| Logs de Auditoria | Registro de todas as ações críticas |
6.3 Medidas Organizacionais
- Acesso restrito baseado em necessidade (princípio do menor privilégio)
- Treinamento de equipe em proteção de dados
- Políticas internas de segurança da informação
- Revisões periódicas de segurança
- Plano de resposta a incidentes
7. Seus Direitos (LGPD)
7.1 Direitos Garantidos
Como titular de dados, você tem direito a:
| Direito | Descrição |
|---|---|
| Confirmação | Saber se tratamos seus dados |
| Acesso | Obter cópia dos seus dados pessoais |
| Correção | Corrigir dados incompletos ou incorretos |
| Anonimização/Bloqueio | Solicitar anonimização de dados desnecessários |
| Portabilidade | Receber seus dados em formato estruturado |
| Eliminação | Solicitar exclusão de dados (com exceções legais) |
| Informação | Saber com quem compartilhamos seus dados |
| Revogação | Revogar consentimento a qualquer momento |
| Oposição | Opor-se a tratamento em certas situações |
7.2 Como Exercer seus Direitos
- Via Plataforma: Configurações → Privacidade → Meus Dados
- Via E-mail: dpo@promentisai.com
Prazo de Resposta: Até 15 dias úteis, conforme LGPD.
7.3 Limitações
Alguns direitos podem ser limitados quando:
- Houver obrigação legal de retenção dos dados
- A eliminação prejudicar direitos de terceiros
- Os dados forem necessários para defesa em processos judiciais
8. Retenção de Dados
8.1 Períodos de Retenção
| Tipo de Dado | Período | Motivo |
|---|---|---|
| Dados de conta ativa | Durante a assinatura | Execução do contrato |
| Dados após cancelamento | 30 dias | Possível reativação |
| Notas fiscais | 5 anos | Obrigação fiscal |
| Logs de segurança | 1 ano | Segurança e auditoria |
| Conversas com IA | 90 dias ou até solicitação | Suporte e melhoria |
| Dados de pacientes* | Conforme instruções do Cliente | Cliente é o Controlador |
* O Cliente pode solicitar eliminação de dados de pacientes a qualquer momento.
9. Cookies e Tecnologias Similares
9.1 Tipos de Cookies Utilizados
| Tipo | Finalidade | Duração |
|---|---|---|
| Essenciais | Autenticação, sessão, segurança | Sessão |
| Funcionais | Lembrar preferências (idioma, tema) | 1 ano |
| Analíticos | Métricas de uso (Google Analytics) | 2 anos |
9.2 Gerenciamento de Cookies
Você pode gerenciar cookies através das configurações do seu navegador. A recusa de cookies essenciais pode impactar funcionalidades da Plataforma.
10. Menores de Idade
A Plataforma é destinada a profissionais de saúde e empresas. Não coletamos intencionalmente dados de menores de 18 anos. Caso tome conhecimento de dados de menores em nossa base, notifique-nos imediatamente para eliminação.
11. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Alterações significativas serão comunicadas:
- Por e-mail cadastrado
- Por notificação na Plataforma
- Com antecedência mínima de 30 dias
O uso continuado após as alterações constitui aceitação da nova Política.
12. Incidentes de Segurança
Em caso de incidente de segurança que envolva dados pessoais:
- Notificaremos a ANPD em até 72 horas (quando aplicável)
- Comunicaremos os titulares afetados
- Tomaremos medidas para mitigar danos
- Documentaremos o ocorrido e ações tomadas
13. Contato e DPO
Para dúvidas sobre privacidade, exercer seus direitos ou reclamações:
- E-mail do DPO: dpo@promentisai.com
- Suporte Geral: suporte@promentisai.com
- Endereço: Rio de Janeiro - RJ, Brasil
13.1 Autoridade Nacional
Caso não esteja satisfeito com nossa resposta, você pode reclamar junto à:
ANPD - Autoridade Nacional de Proteção de Dados
www.gov.br/anpd