Contrato de Processamento de Dados (DPA)

1. Definições

Para os fins deste DPA, aplicam-se as definições do Art. 5° da LGPD, em especial:

• Controlador: a clínica contratante, pessoa natural ou jurídica, a quem competem as decisões referentes ao tratamento de dados pessoais dos pacientes.
• Operador: o Prontio, pessoa jurídica que realiza o tratamento de dados pessoais em nome do Controlador.
• Titular: pessoa natural a quem se referem os dados pessoais (paciente ou profissional da clínica).
• Dados pessoais: informação relacionada a pessoa natural identificada ou identificável (Art. 5°, I).
• Dados pessoais sensíveis: dados sobre saúde, entre outros (Art. 5°, II).
• Incidente de segurança: qualquer acesso não autorizado, destruição, perda, alteração, comunicação ou difusão acidental ou ilícita de dados pessoais.
• Subprocessador (suboperador): terceiro contratado pelo Operador para realizar parte do tratamento em nome do Controlador.

2. Objeto e Finalidade do Tratamento

O Operador tratará dados pessoais e dados pessoais sensíveis exclusivamente para a execução do serviço de gestão de consultório médico contratado, que inclui:

• Armazenamento e disponibilização de cadastro de pacientes, agenda, prontuários eletrônicos, receitas, exames, atestados, encaminhamentos, laudos e transações financeiras.
• Emissão e assinatura digital de documentos clínicos quando aplicável.
• Envio de comunicações transacionais e lembretes aos pacientes (e-mail, SMS, WhatsApp), conforme configuração e autorização do Controlador.
• Geração de relatórios, estatísticas e rotinas de backup e recuperação.
• Registro de auditoria (logs) para fins de segurança e rastreabilidade.

O Operador não utilizará os dados pessoais para finalidades próprias, marketing direto a titulares, enriquecimento de bases de dados ou qualquer finalidade diversa das instruções do Controlador, salvo quando exigido por obrigação legal.

3. Natureza e Duração do Tratamento

O tratamento é realizado de forma automatizada, em nuvem, e terá duração correspondente à vigência do contrato comercial entre o Controlador e o Operador, sem prejuízo das obrigações legais de retenção (em especial, o prazo mínimo de 20 (vinte) anos para prontuários médicos conforme Resolução CFM nº 1.821/2007).

4. Categorias de Titulares e Dados

Titulares: pacientes, profissionais de saúde, colaboradores administrativos da clínica e responsáveis legais, quando aplicável.

Categorias de dados pessoais: dados cadastrais (nome, CPF, RG, data de nascimento, contato, endereço), dados de convênio, dados financeiros (transações, guias, valores), dados de uso do sistema (IP, user-agent, logs de acesso).

Categorias de dados pessoais sensíveis (Art. 5°, II): dados de saúde, incluindo evoluções clínicas, diagnósticos, hipóteses diagnósticas, prescrições medicamentosas, solicitações e resultados de exames, atestados, laudos, alergias, medicamentos em uso, doenças crônicas e cirurgias anteriores.

5. Obrigações do Operador (Prontio)

O Operador, conforme Art. 39 da LGPD, compromete-se a:

• Realizar o tratamento de dados pessoais estritamente conforme as instruções documentadas do Controlador, notificando-o imediatamente caso tais instruções violem a LGPD ou outra norma aplicável.
• Adotar medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração ou comunicação indevida (Art. 46 LGPD).
• Garantir que as pessoas autorizadas a tratar dados pessoais estejam sob compromisso de confidencialidade.
• Auxiliar o Controlador, na medida do possível, no atendimento das requisições de titulares previstas no Art. 18 da LGPD (acesso, correção, anonimização, portabilidade, eliminação e revogação de consentimento).
• Manter registro das operações de tratamento realizadas, disponibilizando-o ao Controlador mediante requisição.
• Comunicar ao Controlador, em prazo razoável, qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares (cláusula 9).
• Ao término do contrato, devolver ou eliminar os dados pessoais tratados, exceto aqueles cuja retenção seja exigida por lei (cláusula 11).
• Permitir e contribuir para auditorias de conformidade conduzidas pelo Controlador, mediante aviso prévio razoável (cláusula 10).

6. Obrigações do Controlador (Clínica)

• Obter e manter as bases legais adequadas (consentimento, execução de contrato, tutela da saúde, obrigação legal) para o tratamento dos dados inseridos no Sistema, inclusive dados pessoais sensíveis.
• Coletar o consentimento do titular quando esta for a base legal aplicável, mantendo prova da obtenção.
• Garantir que os colaboradores da clínica usem credenciais individuais, não compartilhem senhas e respeitem os papéis e permissões configurados.
• Atender, em primeira instância, às requisições dos titulares previstas no Art. 18 da LGPD, acionando o Operador para suporte técnico quando necessário.
• Nomear um Encarregado de Proteção de Dados (DPO) e divulgar seu contato aos titulares (Art. 41 LGPD).
• Comunicar à Autoridade Nacional de Proteção de Dados (ANPD) os incidentes de segurança que possam gerar risco ou dano relevante aos titulares (Art. 48 LGPD).
• Responsabilizar-se pela exatidão, licitude e pertinência dos dados inseridos no Sistema.

7. Medidas Técnicas e Organizacionais de Segurança

O Operador adota, no mínimo, as seguintes medidas de segurança:

• Criptografia em trânsito: toda comunicação com o Sistema é protegida por TLS 1.3.
• Criptografia em repouso: base de dados hospedada com criptografia AES-256 (Supabase/AWS).
• Isolamento multi-tenant: Row Level Security (RLS) em todas as tabelas sensíveis, com políticas que garantem o acesso exclusivo de cada clínica aos seus próprios dados.
• Controle de acesso: autenticação por e-mail/senha com hash bcrypt; autenticação em dois fatores obrigatória para papéis administrativos (superadmin, gestor, financeiro); lockout progressivo contra força bruta.
• Segregação de funções: 6 papéis com permissões granulares, avaliadas em nível de aplicação e de banco.
• Registro de auditoria: log estruturado de operações sensíveis com identificação de usuário, IP, data/hora e recurso.
• Sanitização de logs: mascaramento automático de CPF, e-mail, telefone e tokens antes da gravação em log.
• Backups: diários com retenção mínima de 30 dias e point-in-time recovery.
• Headers HTTP de segurança: CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
• Assinatura digital ICP-Brasil: integração com BirdID e VIDaaS para certificados e-CPF, em conformidade com a MP 2.200-2/2001.

8. Subprocessadores Autorizados

O Controlador autoriza o Operador a contratar os seguintes subprocessadores, que atuam sob obrigações contratuais de proteção de dados equivalentes às deste DPA:

Transferências internacionais, quando aplicáveis, são realizadas com base no Art. 33 da LGPD, com garantias contratuais de proteção equivalente. O Operador notificará o Controlador com antecedência mínima de 30 (trinta) dias sobre alteração ou inclusão de novos subprocessadores, facultando-lhe o direito de objetar por motivos razoáveis.

9. Notificação de Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Operador notificará o Controlador sem atraso injustificado, e em qualquer hipótese no prazo máximo de 48 (quarenta e oito) horas a contar do momento em que tomar conhecimento do incidente.

A notificação conterá, sempre que possível:

• Descrição da natureza do incidente.
• Categorias e número aproximado de titulares e de registros afetados.
• Medidas técnicas e organizacionais adotadas para conter o incidente.
• Avaliação dos riscos e providências para mitigar eventuais danos.
• Nome e contato do Encarregado ou outro ponto de contato.

A comunicação à ANPD e aos titulares, quando cabível, é responsabilidade do Controlador (Art. 48 LGPD), com suporte do Operador.

10. Auditoria e Demonstração de Conformidade

O Operador colocará à disposição do Controlador, mediante requisição razoável, as informações necessárias para demonstrar o cumprimento das obrigações previstas neste DPA, permitindo auditorias ou inspeções conduzidas pelo Controlador ou por auditor por ele indicado, mediante aviso prévio de, no mínimo, 30 (trinta) dias e sob compromisso de confidencialidade. As auditorias serão realizadas em horário comercial e sem comprometer a disponibilidade do Sistema a outros clientes.

11. Devolução e Eliminação de Dados

Ao término do contrato comercial, por qualquer motivo, o Operador, a critério do Controlador, devolverá todos os dados pessoais tratados em formato estruturado (CSV/JSON) ou os eliminará em prazo não superior a 90 (noventa) dias, exceto quanto àqueles cuja retenção seja exigida por lei — em especial os prontuários médicos, sujeitos ao prazo mínimo de 20 (vinte) anos previsto na Resolução CFM nº 1.821/2007, hipótese em que permanecerão sob custódia segregada e inacessível para fins diversos do cumprimento da obrigação legal.

12. Responsabilidade e Indenização

Cada parte responde pelos danos que causar ao titular em decorrência de descumprimento deste DPA ou da LGPD, nos termos dos Arts. 42 a 45. O Operador não responde por danos causados por instruções ilegais do Controlador, ato ou omissão exclusiva do Controlador ou terceiros, ou por violação cometida pelo próprio titular.

13. Vigência

Este DPA vigora enquanto o Operador tratar dados pessoais em nome do Controlador, permanecendo aplicáveis após o término do contrato comercial as obrigações de confidencialidade, devolução/eliminação de dados e cooperação em requisições de autoridades.

14. Disposições Gerais

• Este DPA prevalece sobre disposições conflitantes dos Termos de Uso no que tange à proteção de dados pessoais.
• Alterações substanciais serão comunicadas ao Controlador com antecedência mínima de 30 (trinta) dias.
• A invalidade de qualquer cláusula não afetará as demais.
• Fica eleito o foro da comarca de Vitória/ES para dirimir controvérsias decorrentes deste DPA, com renúncia a qualquer outro, por mais privilegiado que seja.

15. Contatos

• Proteção de dados / DPO: privacidade@prontio.com.br
• Reporte de incidentes: seguranca@prontio.com.br