Política de Privacidade

Última atualização: 17 de maio de 2026

1. Introdução

A MediPlat ("nós", "nosso" ou "Plataforma") é uma plataforma de gestão comercial para clínicas médicas operada pela Ibraeh LTDA (CNPJ 26.642.651/0001-79). Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018 — LGPD).

2. Controlador de Dados

O controlador dos dados pessoais é a clínica médica que utiliza a MediPlat como ferramenta de gestão. A MediPlat atua como operadora de dados, processando informações em nome da clínica contratante, conforme Acordo de Tratamento de Dados (DPA) anexado a cada contrato comercial.

3. Dados que Coletamos

Coletamos as seguintes categorias de dados:

  • Dados cadastrais: nome, email, telefone, CPF (quando necessário para identificação)
  • Dados de agendamento: data, horário, profissional, serviço, status
  • Dados comerciais: histórico de compras, oportunidades, interações com a clínica
  • Dados de uso: navegação na plataforma, preferências, métricas de desempenho
  • Dados públicos da waitlist: ao solicitar acesso ao beta, registramos nome, email, telefone, clínica, especialidade, finalidade declarada, versão dos termos aceitos, hash de IP, user agent e timestamp como evidência de consentimento

Importante: A MediPlat é uma plataforma comercial (CRM). Dados clínicos sensíveis como prontuários, diagnósticos, prescrições e exames não são armazenados na plataforma. Estas informações devem ser mantidas no sistema de prontuário eletrônico da clínica.

4. Dados Sensíveis de Saúde

A MediPlat não foi projetada para armazenar dados sensíveis de saúde no CRM. Informações como alergias, condições de saúde, tipo sanguíneo, prontuários, diagnósticos, prescrições e exames devem permanecer fora da plataforma, em sistemas clínicos apropriados mantidos pela clínica controladora.

Quando uma clínica utilizar integrações externas ou processos paralelos que envolvam dados sensíveis, esse tratamento deverá ocorrer sob responsabilidade da própria controladora, com base legal adequada e fora do escopo deste CRM.

5. Finalidades do Tratamento

Utilizamos seus dados para:

  • Gestão de agendamentos e confirmação de consultas
  • Comunicação operacional (lembretes, follow-ups, mensagens autorizadas pela clínica)
  • Gestão do relacionamento comercial (pipeline de vendas)
  • Geração de relatórios e métricas para a clínica
  • Melhoria contínua da plataforma
  • Cumprimento de obrigações legais e regulatórias

6. Bases Legais (Art. 7, LGPD)

O tratamento de dados é realizado com base nas seguintes hipóteses legais:

  • Consentimento: para comunicações de marketing e dados sensíveis de saúde, quando aplicável
  • Execução de contrato: para prestação dos serviços contratados pela clínica
  • Procedimentos preliminares relacionados a contrato (art. 7, V): para inscrição na waitlist do beta
  • Interesse legítimo: para melhoria da plataforma, segurança e comunicações operacionais (com avaliação de impacto disponível em RIPD-lite interno)
  • Obrigação legal: para cumprimento de normas do CFM, ANVISA e legislação tributária

7. Compartilhamento e Subprocessadores

Para operar a plataforma, a MediPlat utiliza serviços de terceiros (subprocessadores) que tratam dados pessoais em nosso nome e sob nossas instruções:

SubprocessadorFinalidadeLocal de processamento
SupabaseBanco de dados, autenticação, storageBrasil (sa-east-1) e Estados Unidos
VercelHospedagem e edge networkEstados Unidos / global
ResendEnvio de email transacionalEstados Unidos
CloudflareProteção de tráfego e CDNGlobal
Google AI (Gemini)Recursos de IA (direcionamento comercial)Estados Unidos / global
UpstashRate limiting e cache de sessãoEstados Unidos / global
PostHogTelemetria de produto (ativação e fricção)Estados Unidos / União Europeia
SentryMonitoramento de errosEstados Unidos
UptimeRobotMonitoramento de disponibilidade e status page públicaEstados Unidos
Backblaze B2Armazenamento de backupsEstados Unidos
Better Stack / AxiomRetenção de logs operacionaisEstados Unidos / União Europeia
AsaasProcessamento de pagamentos e emissão de NF-e (a partir de Sprint 87)Brasil

Parte dos subprocessadores realiza processamento fora do Brasil. Tais transferências internacionais ocorrem com base nas hipóteses do art. 33 da LGPD (execução de contrato, cumprimento de obrigação legal, ou cláusulas contratuais específicas com o provedor), sempre exigindo medidas mínimas de segurança equivalentes às adotadas no Brasil.

Os dados também podem ser compartilhados com a clínica contratante (como controladora dos dados de seus pacientes) e com autoridades públicas quando exigido por lei ou ordem judicial. Não vendemos, alugamos ou compartilhamos dados pessoais com terceiros para fins de marketing não autorizado.

8. Armazenamento e Segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados:

  • Criptografia em trânsito (TLS/HTTPS) e em repouso para PII sensível (CPF, email, telefone)
  • Isolamento de dados por clínica (multi-tenant com Row Level Security)
  • Controle de acesso baseado em papéis (RBAC), com permissões customizáveis por clínica
  • MFA obrigatório para perfis de administrador (owner, super_admin)
  • Registro de auditoria de ações sensíveis (criação, edição, eliminação)
  • Rate limiting em superfícies públicas e em login/reset de senha
  • Backups automatizados 2x/dia com retenção de 30 dias e testes periódicos de restauração
  • Monitoramento contínuo de erros (Sentry) e disponibilidade (UptimeRobot)
  • Servidores primários localizados na região sa-east-1 (São Paulo, Brasil)

9. Retenção de Dados

Os dados são retidos pelo período necessário para cumprir as finalidades descritas nesta política, respeitar obrigações legais (incluindo prazos do CFM e legislação tributária), ou até que o titular solicite a eliminação. Aplicamos os seguintes prazos numéricos mínimos:

  • Leads/contatos inativos: após 24 (vinte e quatro) meses sem nenhuma interação registrada, o registro é candidato à anonimização (PII substituída por hash, estatísticas agregadas preservadas)
  • Clínica que cancelou o serviço: os dados podem ser exportados em até 90 (noventa) dias após o encerramento contratual; após esse prazo, são eliminados ou anonimizados em definitivo
  • Inscrições na waitlist sem evolução para contrato: mantidas por até 24 (vinte e quatro) meses após a última interação ou pedido de remoção
  • Logs operacionais e telemetria: 30-90 dias conforme provedor, com minimização de PII na fonte
  • Audit log de ações sensíveis: mantido durante toda a vigência contratual + prazo regulatório aplicável (mínimo 5 anos para obrigações fiscais quando aplicável)

10. Direitos do Titular (Art. 18, LGPD)

Você tem direito a:

  • Confirmação da existência de tratamento
  • Acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários
  • Portabilidade dos dados
  • Eliminação dos dados tratados com consentimento
  • Informação sobre compartilhamento
  • Revogação do consentimento
  • Oposição a tratamento em desacordo com a LGPD

Para exercer seus direitos, entre em contato com a clínica que atende você ou diretamente conosco pelo email privacidade@mediplat.tech. Responderemos em até 15 dias a partir do recebimento da solicitação validada (art. 19, §1 da LGPD). Quando o atendimento depender de autorização da clínica controladora, mediaremos o contato e manteremos você informado do andamento.

11. Conformidade com CFM

A MediPlat respeita as diretrizes do Conselho Federal de Medicina, incluindo a Resolução CFM n. 2.336/2023 sobre publicidade médica. Todo conteúdo de mensagens e templates é filtrado para garantir conformidade com as normas do conselho.

12. Alterações nesta Política

Esta política pode ser atualizada periodicamente. Notificaremos sobre alterações significativas por email ou pela plataforma. A continuidade do uso após a notificação constitui aceitação das alterações.

13. Encarregado de Dados (DPO) e Contato

Em conformidade com o art. 41 da LGPD, designamos como Encarregado de Tratamento de Dados Pessoais (DPO):

  • Nome: Dr. Vital Araújo
  • Email: privacidade@mediplat.tech
  • Empresa responsável: Ibraeh LTDA — CNPJ 26.642.651/0001-79
  • Endereço: Av. Tancredo Neves 450, Sala 1601, Caminho das Árvores, Salvador/BA, CEP 41.820-020

O canal privacidade@mediplat.tech é exclusivo para assuntos de proteção de dados pessoais (LGPD). Solicitações enviadas serão respondidas em até 15 dias. Para suporte geral, utilize os canais comerciais regulares.

Designação ad interim durante o programa beta. A nomeação formal de DPO independente será reavaliada antes do lançamento público (Wave 3).