Política de Privacidade
Última atualização: 20 de junho de 2026
Esta política foi elaborada em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e aplica-se ao tratamento de dados pessoais e dados sensíveis de saúde realizados pelo sistema Prontio.
1. Dados Coletados
O Prontio coleta e trata as seguintes categorias de dados:
- Dados pessoais dos pacientes: nome, CPF, RG, data de nascimento, sexo, estado civil, telefone, e-mail, endereço completo e convênio médico.
- Dados sensíveis de saúde (Art. 5°, II): prontuários médicos (evoluções clínicas), receitas médicas, solicitações de exames, atestados e encaminhamentos.
- Dados dos profissionais: nome, e-mail, papel/função na clínica e registros de acesso ao sistema.
- Dados financeiros: registros de transações (receitas e despesas) vinculados à clínica.
- Dados de uso: logs de acesso ao sistema, endereço IP, user-agent do navegador, páginas visitadas, horário de uso e ações realizadas. Estes dados são coletados automaticamente para fins de segurança, auditoria e melhoria do serviço.
2. Base Legal para Tratamento (Art. 7° e Art. 11)
O tratamento de dados pessoais no Prontio fundamenta-se nas seguintes bases legais:
- Tutela da saúde (Art. 7°, VIII e Art. 11, II, "f"): para dados sensíveis de saúde tratados por profissionais de saúde no exercício de suas atividades.
- Execução de contrato (Art. 7°, V): para dados necessários à prestação dos serviços contratados.
- Obrigação legal/regulatória (Art. 7°, II): para cumprimento de normas do CFM, incluindo a guarda de prontuários por 20 anos.
- Legítimo interesse (Art. 7°, IX): para registros de auditoria e segurança do sistema.
3. Direitos do Titular (Art. 18)
O titular dos dados pessoais tem direito a, mediante requisição:
- Confirmação e acesso: confirmar a existência e acessar seus dados pessoais.
- Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados.
- Anonimização ou eliminação: solicitar a anonimização ou eliminação de dados desnecessários ou excessivos.
- Portabilidade: solicitar a portabilidade dos dados a outro fornecedor (exportação em CSV).
- Informação sobre compartilhamento: saber com quais entidades seus dados são compartilhados.
- Revogação do consentimento: revogar o consentimento a qualquer momento, quando aplicável.
Nota importante: A eliminação de prontuários médicos está sujeita ao prazo legal de guarda de 20 anos (Resolução CFM nº 1.821/2007), não podendo ser realizada antes deste prazo.
4. Segurança dos Dados
O Prontio adota medidas técnicas e organizacionais para proteger os dados pessoais:
- Criptografia em trânsito: todas as comunicações são protegidas por HTTPS/TLS.
- Criptografia em repouso (AES-256): o banco de dados é hospedado na infraestrutura Supabase/AWS, que aplica criptografia AES-256 para dados armazenados (at-rest) e criptografia TLS para dados em trânsito (in-transit).
- Controle de acesso: cada clínica acessa apenas os seus próprios dados. O isolamento entre clínicas é assegurado por controles de acesso em nível de banco de dados e por escopo de aplicação que restringe cada requisição aos dados da clínica correspondente.
- Papéis e permissões: acesso granular por função (profissional de saúde, gestor, financeiro, secretária).
- Registros de auditoria: todas as operações sensíveis são registradas com identificação do usuário, data/hora e ação realizada.
- Autenticação segura: autenticação via e-mail/senha com tokens seguros gerenciados pelo Supabase Auth.
5. Cookies e Rastreamento
O Prontio utiliza apenas cookies essenciais para o funcionamento do sistema:
- Cookies de sessão e autenticação: gerenciados pelo Supabase Auth, são necessários para manter a sessão do usuário ativa e garantir a segurança do acesso. Estes cookies são estritamente funcionais e não armazenam dados pessoais além do identificador de sessão.
- Ausência de cookies de marketing/tracking: o Prontio não utiliza cookies de terceiros para fins de marketing, publicidade ou rastreamento comportamental. Não são empregadas ferramentas de analytics de terceiros que coletem dados dos usuários.
6. Retenção e Eliminação de Dados
- Prontuários médicos: 20 anos após o último registro (Resolução CFM nº 1.821/2007).
- Dados financeiros: 5 anos, conforme legislação tributária.
- Registros de auditoria: 5 anos para fins de segurança e conformidade.
- Dados cadastrais: mantidos enquanto o vínculo com a clínica estiver ativo, podendo ser eliminados mediante solicitação.
7. Compartilhamento de Dados
Os dados pessoais tratados no Prontio não são comercializados ou compartilhados com terceiros para fins de marketing. O compartilhamento ocorre apenas:
- Entre profissionais da mesma clínica, conforme seus papéis e permissões.
- Com prestadores de serviço (subprocessadores), cada um para uma finalidade específica: infraestrutura e banco de dados (Supabase/AWS), hospedagem (Vercel), envio de e-mails (Resend), processamento de pagamentos de assinatura (Stripe), teleconsulta por vídeo (Daily.co), mensageria (Meta/WhatsApp) e assinatura digital (BirdID/VIDaaS). A relação completa e atualizada, com finalidade e localização de cada um, consta no Acordo de Tratamento de Dados (DPA).
- Quando exigido por ordem judicial ou autoridade competente.
8. Transferência Internacional de Dados
O Prontio utiliza infraestrutura de nuvem gerenciada (Supabase, sobre Amazon Web Services), que adota práticas de segurança reconhecidas no setor, incluindo criptografia em repouso (AES-256) e em trânsito (TLS) e backups diários criptografados. O banco de dados principal está atualmente hospedado em data center da Amazon Web Services nos Estados Unidos. Como esse armazenamento envolve transferência internacional de dados pessoais, ela é regida pelos arts. 33 a 36 da LGPD e amparada por cláusulas-padrão contratuais de proteção aplicáveis ao tratamento, com previsão de adoção das cláusulas-padrão da ANPD (Resolução CD/ANPD nº 19/2024). Outros subprocessadores também operam servidores fora do país: Resend, Stripe e Daily.co (Estados Unidos) e Meta/WhatsApp (operação global).
9. Contato do Encarregado (DPO)
Para exercer seus direitos como titular de dados ou esclarecer dúvidas sobre esta política, entre em contato através dos seguintes canais:
- Canal Prontio: e-mail privacidade@prontio.com.br
- Canal da clínica: entre em contato com o encarregado de proteção de dados (DPO) indicado pela clínica responsável pelo seu atendimento.
10. Alterações nesta Política
Esta política pode ser atualizada periodicamente. As alterações entrarão em vigor após publicação no Sistema. Recomendamos a revisão periódica desta página.