DPA · Termo de Tratamento de Dados

• Controladora: a clínica titular da conta, responsável pelas decisões sobre os dados.
• Operadora: FyreTech, CNPJ 48.265.352/0001-03, que opera o ClinPRO.
• Titulares: pacientes da clínica cujos dados são tratados.
• Dados pessoais: qualquer informação que identifique ou possa identificar um titular.
• Dados sensíveis: conforme art. 5º, II da LGPD, incluindo dados de saúde.

Pelo presente, a Controladora autoriza a Operadora a tratar os dados pessoais e sensíveis dos titulares estritamente para as finalidades de operação da plataforma ClinPRO: atendimento via IA, qualificação, agendamento, follow-up, pós-atendimento, geração de relatórios e suporte.

• Tratar os dados somente conforme as instruções da Controladora
• Manter os dados protegidos com criptografia AES-256 em repouso e TLS 1.3 em trânsito
• Hospedar os dados em servidores localizados no Brasil
• Manter audit log de acessos por no mínimo 6 meses
• Backup diário com retenção de 30 dias
• Comunicar incidentes de segurança em até 24h após detecção
• Apoiar a Controladora no atendimento a requisições de titulares (art. 18 LGPD)
• Devolver ou eliminar os dados ao fim do contrato, conforme escolha da Controladora
• Submeter-se a auditorias razoáveis mediante aviso prévio de 30 dias

• Obter consentimento informado dos titulares quando exigido por lei
• Manter política de privacidade atualizada e acessível aos titulares
• Indicar um Encarregado de Dados (DPO) se sua escala/atividade exigir
• Definir finalidade e instruir a Operadora sobre tratamento
• Atender requisições de titulares em até 15 dias úteis
• Manter a integridade dos dados inseridos na plataforma

A Controladora autoriza a Operadora a contratar os seguintes sub-operadores estritamente necessários à operação:

• Supabase / AWS São Paulo · hospedagem de banco e arquivos
• Evolution API · bridge com WhatsApp
• Anthropic / OpenAI / Blackbox AI · modelos de IA conversacional e transcrição
• Stripe / Pagar.me · processamento de pagamento
• Vercel · hospedagem da aplicação

Mudanças relevantes na lista de sub-operadores serão comunicadas com 30 dias de antecedência.

Quando a Operadora precisar fazer transferência internacional (por exemplo, em chamadas a modelos de IA hospedados fora do Brasil), garante que tal transferência seja feita conforme art. 33 da LGPD · para países com nível adequado de proteção ou mediante cláusulas contratuais específicas.

Em caso de incidente envolvendo dados pessoais, a Operadora:

• Comunica a Controladora em até 24h após detecção, por e-mail
• Apoia a Controladora na avaliação de impacto
• Apoia a comunicação à ANPD e aos titulares afetados se necessário
• Implementa medidas mitigatórias imediatamente

Quando um titular contatar a Operadora diretamente exercendo direitos (art. 18 LGPD), a Operadora encaminha à Controladora em até 5 dias úteis. A Operadora apoia a Controladora tecnicamente · exportação de dados em CSV, eliminação, anonimização · sem custo adicional.

Este DPA vigora enquanto vigorar a assinatura do ClinPRO. Após cancelamento, a Operadora mantém os dados por 30 dias para facilitar reativação. Após esse prazo, os dados são eliminados, exceto registros agregados/anonimizados retidos para fins estatísticos e auditoria.

Foro eleito: comarca de São Paulo / SP.

Ao usar o ClinPRO de forma continuada, a Controladora declara estar ciente e aceitar os termos deste DPA. Versão impressa disponível mediante solicitação a dpo@clinpro.com.br.