ProntuPele

Política de Privacidade

Data de vigência: 05 de novembro de 2025
Última atualização: 05 de novembro de 2025

1. Introdução

A presente Política de Privacidade descreve como a FLATMAP TECNOLOGIA E SERVICOS LTDA, inscrita no CNPJ sob o nº 41.148.835/0001-70, com sede na Rua Monsenhor Alves, 290, Centro, Batatais/SP, CEP 14.300-085, operadora da plataforma ProntuPele, coleta, usa, armazena, compartilha e protege os dados pessoais de seus usuários.

Esta política aplica-se a todos os usuários da plataforma ProntuPele, incluindo profissionais de saúde, equipes de clínicas estéticas e pacientes, e está em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018) e demais normas aplicáveis.

Ao utilizar nossos serviços, você concorda com os termos desta Política de Privacidade. Recomendamos a leitura atenta deste documento.

2. Definições

  • Controlador de Dados: FLATMAP TECNOLOGIA E SERVICOS LTDA
  • Plataforma: ProntuPele - sistema de gestão para clínicas estéticas
  • Usuários: Profissionais de saúde, equipes administrativas e pacientes
  • Dados Pessoais: Informações relacionadas a pessoa natural identificada ou identificável
  • Dados Sensíveis: Dados pessoais sobre saúde, biometria e outros dados especialmente protegidos
  • Tratamento: Qualquer operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, etc.)
  • Encarregado (DPO): Pessoa responsável pela comunicação entre o controlador e os titulares de dados

3. Controlador de Dados e Encarregado (DPO)

Controlador de Dados:

FLATMAP TECNOLOGIA E SERVICOS LTDA
CNPJ: 41.148.835/0001-70
Endereço: Rua Monsenhor Alves, 290, Centro, Batatais/SP, CEP 14.300-085

Encarregado de Dados (DPO):

Gabriel Ozeas
E-mail: contato@prontupele.com.br

O Encarregado de Dados está disponível para esclarecer dúvidas sobre esta política e sobre o tratamento de dados pessoais realizados pela plataforma.

4. Dados Pessoais Coletados

4.1 Dados de Profissionais e Equipes de Clínicas

Ao se cadastrar como profissional ou membro da equipe, coletamos:

  • Nome completo
  • Endereço de e-mail
  • Senha (criptografada)
  • Número de telefone
  • Função profissional (administrador, equipe, visualização)
  • Registro profissional (conselho e número)
  • Especializações

4.2 Dados de Clínicas

Para cadastro de clínicas, coletamos:

  • Razão social ou nome do profissional
  • Nome fantasia
  • CNPJ ou CPF
  • Documentos (RG, inscrições estadual e municipal)
  • Endereço completo
  • Telefone, e-mail e WhatsApp
  • Website
  • Logotipo
  • Horários de funcionamento
  • Registros ANVISA e vigilância sanitária
  • Regime tributário e taxas

4.3 Dados de Pacientes

Para cadastro e atendimento de pacientes, coletamos:

Dados de Identificação e Contato:

  • Nome completo e nome preferido
  • CPF
  • Data de nascimento
  • Gênero
  • Foto de perfil (opcional)
  • Telefones (principal, secundário, WhatsApp)
  • Endereço de e-mail
  • Endereço completo
  • Contato de emergência (nome e telefone)
  • Preferências de comunicação

⚕️ Dados Sensíveis de Saúde (Art. 11, LGPD):

Os dados abaixo são considerados dados sensíveis pela LGPD e exigem consentimento explícito e específico do titular. Estes dados são essenciais para a prestação de serviços de saúde estéticos e são tratados com o máximo rigor de segurança.

  • Histórico médico completo
  • Tipo de pele
  • Preocupações estéticas principais
  • Tratamentos anteriores
  • Contraindicações e restrições
  • Medicamentos em uso
  • Alergias
  • Respostas de anamnese (questionários clínicos)
  • Registros de consultas e avaliações
  • Registros de sessões e procedimentos realizados
  • Evoluções clínicas e acompanhamentos
  • Fotografias clínicas (antes, durante e depois dos procedimentos)
  • Prescrições e recomendações médicas
  • Informações sobre lotes de produtos utilizados (rastreabilidade ANVISA)

4.4 Dados de Consentimento

Para fins de conformidade legal e evidência, coletamos:

  • Data e hora do consentimento LGPD
  • Consentimentos específicos (marketing, WhatsApp, fotos clínicas)
  • Endereço IP no momento do consentimento
  • Informações do dispositivo (navegador, sistema operacional)
  • Assinatura digital com hash criptográfico
  • Geolocalização (cidade e país)
  • ID de mensagens WhatsApp (para consentimentos via WhatsApp)

4.5 Dados Financeiros

Para gestão financeira da clínica, coletamos:

  • Valores de transações
  • Métodos de pagamento utilizados
  • Datas de pagamento e vencimento
  • Status de pagamentos
  • Números de referência externa
  • Informações para emissão de recibos

Nota: A plataforma NÃO armazena números de cartões de crédito, senhas bancárias ou outros dados sensíveis de pagamento. Os registros financeiros são apenas para controle administrativo da clínica.

5. Base Legal para Tratamento de Dados

O tratamento de dados pessoais pela plataforma ProntuPele fundamenta-se nas seguintes bases legais previstas na LGPD:

Art. 7º, I - Consentimento

Mediante fornecimento de consentimento expresso e inequívoco pelo titular para coleta e tratamento de dados pessoais gerais.

Art. 11, I - Consentimento Específico para Dados Sensíveis

Mediante fornecimento de consentimento específico e destacado pelo titular para tratamento de dados sensíveis de saúde, necessários para a prestação de serviços de saúde estéticos.

Art. 7º, V - Execução de Contrato

Para execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.

Art. 7º, VI - Exercício Regular de Direitos

Para exercício regular de direitos em processo judicial, administrativo ou arbitral, incluindo a defesa de interesses em processos.

Art. 7º, II - Cumprimento de Obrigação Legal

Para cumprimento de obrigação legal ou regulatória pelo controlador, incluindo normas do Conselho Federal de Medicina (CFM), Conselhos Regionais de Farmácia (CRF) e ANVISA.

Art. 11, II, (f) - Tutela da Saúde

Para garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos relacionados à saúde.

6. Finalidades do Tratamento de Dados

Os dados pessoais coletados são utilizados exclusivamente para as seguintes finalidades:

6.1 Prestação de Serviços de Saúde Estéticos

  • Criação e manutenção de prontuários eletrônicos
  • Registro de anamneses, consultas, procedimentos e evoluções clínicas
  • Acompanhamento do histórico de saúde do paciente
  • Prescrições e recomendações terapêuticas
  • Documentação fotográfica para fins clínicos
  • Rastreabilidade de produtos e lotes (conformidade ANVISA)

6.2 Gestão de Agenda e Comunicação

  • Agendamento de consultas e procedimentos
  • Envio de lembretes automáticos (WhatsApp, SMS, e-mail)
  • Confirmações de agendamentos
  • Notificações de cancelamento ou reagendamento
  • Gestão de lista de espera
  • Sincronização com Google Calendar

6.3 Gestão Administrativa e Financeira

  • Controle de pagamentos e recibos
  • Emissão de relatórios financeiros
  • Gestão de planos de pagamento e parcelamentos
  • Exportação de dados para contabilidade

6.4 Conformidade Legal e Regulatória

  • Cumprimento de obrigações legais (LGPD, CFM, CRF, ANVISA)
  • Auditoria e logs de acesso aos dados
  • Evidências de consentimento e termos aceitos
  • Defesa em processos judiciais ou administrativos

6.5 Autenticação e Segurança

  • Autenticação de usuários (login com Google OAuth ou e-mail/senha)
  • Gestão de sessões de usuários
  • Prevenção de fraudes e acessos não autorizados
  • Verificação de identidade

6.6 Comunicação e Marketing (mediante consentimento específico)

  • Envio de e-mails marketing (apenas com consentimento)
  • Comunicação sobre novidades e promoções via WhatsApp (apenas com consentimento)

Nota: Você pode revogar o consentimento para comunicações de marketing a qualquer momento.

7. Compartilhamento de Dados com Terceiros

A ProntuPele não vende, aluga ou comercializa dados pessoais. Compartilhamos dados apenas nas seguintes situações, sempre respeitando os princípios da finalidade, adequação e necessidade:

7.1 Google (Google Cloud Platform)

Finalidade: Autenticação (Google OAuth), armazenamento de arquivos (Google Cloud Storage), sincronização de calendário (Google Calendar API).

Dados compartilhados:

  • Google OAuth: e-mail, nome, ID da conta Google
  • Cloud Storage: arquivos (fotos clínicas, documentos, PDFs, logotipos)
  • Google Calendar: informações de consultas (data, hora, paciente, tipo de consulta)

Política de Privacidade do Google: https://policies.google.com/privacy

7.2 Meta (WhatsApp Business Cloud API)

Finalidade: Comunicação com pacientes via WhatsApp (lembretes, confirmações, envio de links de consentimento).

Dados compartilhados:

  • Número de telefone WhatsApp do paciente
  • Nome do paciente
  • Informações de agendamentos (data, hora)
  • Mensagens de texto (templates pré-aprovados)

Importante: O envio de mensagens via WhatsApp só ocorre após o consentimento explícito do paciente.

Política de Privacidade do WhatsApp: https://www.whatsapp.com/legal/privacy-policy

7.3 Resend (Serviço de E-mail Transacional)

Finalidade: Envio de e-mails transacionais (verificação de e-mail, convites para equipe).

Dados compartilhados:

  • Endereço de e-mail do destinatário
  • Nome do destinatário
  • Tokens de verificação (criptografados, com validade temporária)

Política de Privacidade do Resend: https://resend.com/legal/privacy-policy

7.4 Autoridades Públicas

Podemos compartilhar dados pessoais com autoridades policiais, judiciais ou regulatórias quando houver requisição legal, ordem judicial ou para cumprimento de obrigação legal ou regulatória.

7.5 Dentro da Clínica

Os dados de pacientes são compartilhados entre os membros da equipe da clínica (de acordo com as permissões de cada função) para fins de prestação de serviços de saúde. O acesso é controlado por sistema de permissões (ADMIN, STAFF, VIEW_ONLY).

8. Transferência Internacional de Dados

⚠️ Importante: Alguns dos nossos prestadores de serviços (Google Cloud Storage, Google Cloud Platform) podem armazenar dados em servidores localizados fora do Brasil, incluindo nos Estados Unidos.

Garantias e Salvaguardas (Art. 33, LGPD):

  • Cláusulas Contratuais Padrão: Os prestadores de serviços com quem trabalhamos (Google, Meta, Resend) adotam cláusulas contratuais padrão aprovadas por autoridades de proteção de dados internacionais.
  • Certificações de Segurança: Nossos prestadores possuem certificações ISO 27001, SOC 2 e outras certificações de segurança da informação reconhecidas internacionalmente.
  • Criptografia: Todos os dados transferidos internacionalmente são criptografados em trânsito (SSL/TLS) e em repouso.
  • Limitação de Acesso: Apenas dados necessários para a finalidade específica são transferidos, respeitando o princípio da necessidade.

Ao utilizar nossos serviços, você consente com a transferência internacional de dados pessoais nas condições descritas acima, sempre com as garantias adequadas de proteção.

9. Prazo de Armazenamento de Dados

Armazenamos os dados pessoais pelo tempo necessário para cumprir as finalidades para as quais foram coletados, respeitando prazos legais e regulatórios aplicáveis:

Prontuários Eletrônicos e Dados Clínicos

Prazo: 20 (vinte) anos a partir da última consulta ou procedimento, conforme exigido pelo Conselho Federal de Medicina (Resolução CFM nº 1.821/2007) e legislação aplicável à documentação médica.

Dados de Cadastro e Autenticação

Prazo: Enquanto a conta estiver ativa. Após exclusão da conta, os dados cadastrais são mantidos pelo prazo legal de prescrição (10 anos) para defesa de direitos.

Dados Financeiros

Prazo: 5 (cinco) anos, conforme legislação tributária e contábil brasileira.

Logs de Auditoria e Consentimentos

Prazo: 6 (seis) meses a 5 (cinco) anos, conforme natureza do log e requisitos legais de auditoria.

Dados de Marketing (com consentimento)

Prazo: Até a revogação do consentimento pelo titular ou por 2 (dois) anos de inatividade, o que ocorrer primeiro.

Rastreabilidade de Produtos (Lotes ANVISA)

Prazo: Conforme regulamentação ANVISA aplicável ao tipo de produto (geralmente 5 anos ou mais).

Importante: Mesmo após a exclusão de conta, dados clínicos podem ser mantidos pelo prazo legal de 20 anos para cumprimento de obrigação regulatória do profissional de saúde. Neste caso, os dados são anonimizados sempre que possível, preservando apenas o necessário para fins legais.

10. Direitos dos Titulares de Dados

Em conformidade com o Art. 18 da LGPD, você possui os seguintes direitos em relação aos seus dados pessoais:

✓ Confirmação e Acesso (Art. 18, I e II)

Você pode confirmar a existência de tratamento e acessar seus dados pessoais a qualquer momento através da plataforma ou solicitando ao DPO.

✓ Correção (Art. 18, III)

Você pode solicitar a correção de dados incompletos, inexatos ou desatualizados diretamente na plataforma ou através do DPO.

✓ Anonimização, Bloqueio ou Eliminação (Art. 18, IV)

Você pode solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. Importante: Dados clínicos podem ter limitações de exclusão devido a obrigações legais de retenção de prontuários médicos.

✓ Portabilidade (Art. 18, V)

Você pode solicitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto. Fornecemos exportação em formato PDF (prontuários) e CSV (dados financeiros). Exportação em formato estruturado (JSON) pode ser solicitada ao DPO.

✓ Informação sobre Compartilhamento (Art. 18, VII)

Você tem direito a informações sobre as entidades públicas e privadas com as quais compartilhamos seus dados, conforme descrito na Seção 7 desta política.

✓ Revogação do Consentimento (Art. 18, IX)

Você pode revogar seu consentimento a qualquer momento. A revogação não afeta a licitude do tratamento realizado antes da revogação. Para revogar consentimentos específicos (marketing, WhatsApp), acesse as configurações da plataforma ou entre em contato com o DPO.

✓ Oposição ao Tratamento (Art. 18, § 2º)

Você pode se opor a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD.

✓ Petição à ANPD (Art. 18, VIII)

Você tem direito de peticionar em relação aos seus dados contra o controlador perante a Autoridade Nacional de Proteção de Dados (ANPD).

Como Exercer Seus Direitos

Para exercer qualquer um dos direitos acima, entre em contato com nosso Encarregado de Dados:

E-mail: contato@prontupele.com.br
Assunto: "LGPD - Exercício de Direitos"
Prazo de Resposta: Responderemos sua solicitação em até 15 (quinze) dias úteis.

11. Medidas de Segurança

A ProntuPele adota medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra destruição, perda, alteração, comunicação ou acesso não autorizado:

🔐 Criptografia

  • • Senhas criptografadas com bcryptjs (12 rounds)
  • • SSL/TLS para dados em trânsito
  • • Assinaturas digitais com hash SHA-256

🔒 Controle de Acesso

  • • Autenticação obrigatória (OAuth ou senha)
  • • Sistema de permissões por função
  • • Sessões com expiração automática

📊 Auditoria e Logs

  • • Logs de acesso aos dados sensíveis
  • • Rastreamento de ações (criação, modificação, exclusão)
  • • Registro de consentimentos com evidências

💾 Backup e Recuperação

  • • Backups diários automáticos
  • • Armazenamento redundante
  • • Planos de recuperação de desastres

🛡️ Infraestrutura Segura

  • • Servidores em ambiente controlado
  • • Firewalls e proteção DDoS
  • • Monitoramento 24/7

👥 Políticas Internas

  • • Treinamento de equipe em LGPD
  • • Acordos de confidencialidade
  • • Princípio da necessidade (least privilege)

⚠️ Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme determinado pelo Art. 48 da LGPD, informando:

  • Descrição da natureza dos dados afetados
  • Informações sobre os titulares envolvidos
  • Medidas técnicas e de segurança utilizadas
  • Riscos relacionados ao incidente
  • Motivos da demora, se houver
  • Medidas adotadas para reverter ou mitigar efeitos

12. Cookies e Tecnologias de Rastreamento

A plataforma ProntuPele utiliza cookies e tecnologias similares de forma limitada e estritamente necessária para o funcionamento do sistema:

🍪 Cookies Essenciais (Necessários)

Finalidade: Autenticação e manutenção de sessão de usuário

Tipo: Cookies de sessão (NextAuth)

Descrição: Cookies HTTP-only e seguros utilizados para manter você autenticado enquanto usa a plataforma. Sem estes cookies, não seria possível utilizar o sistema.

📊 Cookies de Analytics e Marketing

Não utilizamos cookies de rastreamento, analytics (Google Analytics, Facebook Pixel) ou marketing de terceiros.

💾 LocalStorage

Utilizamos LocalStorage do navegador apenas para armazenar preferências locais de interface (como preferências de som e tema). Nenhum dado pessoal sensível é armazenado em LocalStorage.

Gestão de Cookies: Você pode configurar seu navegador para bloquear cookies. No entanto, o bloqueio de cookies essenciais impedirá o funcionamento adequado da plataforma.

13. Dados de Crianças e Adolescentes

🔞 Restrição de Idade

A plataforma ProntuPele é destinada exclusivamente a usuários maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de crianças ou adolescentes.

Pacientes Menores de Idade: Quando um profissional de saúde registra informações de pacientes menores de idade, é responsabilidade do profissional obter o consentimento dos pais ou responsáveis legais, conforme exigido pelo Art. 14 da LGPD e pela legislação aplicável.

Se tomarmos conhecimento de que coletamos inadvertidamente dados de menores de 18 anos sem consentimento parental apropriado, tomaremos medidas para excluir essas informações o mais rápido possível.

14. Alterações nesta Política de Privacidade

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas, legislação aplicável ou funcionalidades da plataforma.

Notificação de Alterações:

  • Alterações substanciais que afetem significativamente seus direitos serão comunicadas por e-mail ou notificação destacada na plataforma
  • Alterações menores (correções, esclarecimentos) serão publicadas diretamente nesta página
  • A data de "Última atualização" no topo desta política sempre indicará quando a última modificação foi feita

Recomendamos a revisão periódica desta Política de Privacidade para se manter informado sobre como protegemos seus dados.

15. Contato e Reclamações

📧 Entre em Contato

Para dúvidas, solicitações ou reclamações relacionadas a esta Política de Privacidade ou ao tratamento de dados pessoais:

Encarregado de Dados (DPO)

Nome: Gabriel Ozeas
E-mail: contato@prontupele.com.br
Endereço: Rua Monsenhor Alves, 290, Centro, Batatais/SP, CEP 14.300-085
Prazo de resposta: Até 15 (quinze) dias úteis

🏛️ Autoridade Nacional de Proteção de Dados (ANPD)

Você também tem o direito de apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD) caso não esteja satisfeito com nossa resposta:

Site: https://www.gov.br/anpd
Canal de Atendimento: Disponível no site oficial da ANPD

16. Consentimento

Ao utilizar a plataforma ProntuPele, você declara ter lido, compreendido e concordado com os termos desta Política de Privacidade.

Para dados sensíveis de saúde, um consentimento específico e destacado é solicitado no momento do cadastro do paciente, em conformidade com o Art. 11 da LGPD.

Você pode revogar seu consentimento a qualquer momento, conforme descrito na Seção 10 (Direitos dos Titulares).

FLATMAP TECNOLOGIA E SERVICOS LTDA
CNPJ: 41.148.835/0001-70
Rua Monsenhor Alves, 290, Centro, Batatais/SP, CEP 14.300-085
contato@prontupele.com.br

Documento elaborado em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018)