DentFlow
DentFlow
Voltar ao site
Informacoes legais da empresa ainda nao configuradas. Configure em /platform-admin/integracao-whatsapp

Política de Privacidade

Versao: v1-2026-06-09Vigencia: 09/06/2026Atualizado em: 09/06/2026

Política de Privacidade da DentFlow

Versão: v1-2026-06-09 Data de vigência: 09 de junho de 2026

Esta Política descreve como a DentFlow trata dados pessoais de seus clientes (clínicas odontológicas) e usuários (administradores, dentistas, recepcionistas das clínicas). O tratamento de dados de pacientes das clínicas é objeto do Contrato de Tratamento de Dados (DPA), no qual a DentFlow atua como operador (art. 5º, VII da LGPD) por conta e ordem da Clínica.

Resumo em linguagem simples

  • Coletamos apenas o necessário para operar a plataforma e cumprir nossos contratos.
  • Não vendemos seus dados.
  • Hospedamos seus dados no Brasil (Supabase sa-east-1). Alguns processadores como Stripe e OpenAI são internacionais, e existem garantias contratuais para isso.
  • Você tem direito de acessar, corrigir, exportar e excluir seus dados a qualquer momento.
  • Em caso de incidente de segurança, comunicamos a ANPD e você em até 72 horas.
  • Nosso Encarregado de Dados (DPO) é Wagner Lima, dpo@dentflow.app.

1. Quem somos

A DentFlow é operada por [RAZAO SOCIAL DA DENTFLOW - configure em /platform-admin/integracao-whatsapp], CNPJ [CNPJ DA DENTFLOW - configure em /platform-admin/integracao-whatsapp], com sede em [ENDERECO COMPLETO DA DENTFLOW - configure em /platform-admin/integracao-whatsapp].

Esta Política é regida pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 - "LGPD") e pelo Marco Civil da Internet (Lei nº 12.965/2014).

2. Dados que coletamos

Coletamos as seguintes categorias de dados, conforme a finalidade específica:

2.1. Dados de cadastro da Clínica

  • Razão Social, CNPJ, endereço comercial
  • Nome do responsável legal, e-mail e telefone de contato
  • Dados bancários e de pagamento (processados pelo Stripe; não armazenamos números completos de cartão)

Base legal: Execução de contrato (LGPD art. 7º, V) e cumprimento de obrigação legal/regulatória (art. 7º, II).

2.2. Dados dos Usuários da Plataforma

  • Nome completo, e-mail, telefone, papel na clínica (administrador, dentista, recepcionista, assistente, comercial)
  • CPF (opcional, requerido apenas para funcionalidades específicas como emissão de notas)
  • Especialidade (para dentistas)
  • Senha (armazenada com hash bcrypt; nunca em texto puro)

Base legal: Execução de contrato (art. 7º, V) e legítimo interesse (art. 7º, IX) para segurança e prevenção a fraudes.

2.3. Dados de uso e telemetria

  • Endereço IP, tipo de navegador, sistema operacional, identificadores de sessão
  • Páginas visitadas, ações realizadas, timestamps
  • Logs de erro (sem dados pessoais identificáveis nos campos de erro)

Base legal: Legítimo interesse (art. 7º, IX) para segurança, prevenção a fraudes e melhoria do serviço.

2.4. Dados de comunicação com a equipe DentFlow

  • Conteúdo de e-mails, tickets de suporte e mensagens trocadas com nossa equipe
  • Gravações eventuais de chamadas, sempre com aviso prévio

Base legal: Legítimo interesse (art. 7º, IX) para prestação de suporte.

2.5. Dados de Pacientes (tratamento como operador)

Dados de pacientes inseridos pela Clínica na Plataforma (anamnese, prontuário, contato, agendamentos, histórico de comunicação WhatsApp) são tratados pela DentFlow exclusivamente como operador por conta e ordem da Clínica, conforme o Contrato de Tratamento de Dados (DPA). A Clínica é o controlador destes dados.

3. Como usamos seus dados

Utilizamos os dados coletados para:

  • Operar a Plataforma e prestar os serviços contratados
  • Processar pagamentos e emitir cobranças
  • Enviar comunicações transacionais (lembretes de cobrança, alertas de segurança, atualizações importantes)
  • Enviar comunicações de marketing relacionadas à DentFlow (com base no consentimento; sempre com opção de descadastramento)
  • Atender solicitações de suporte
  • Prevenir fraudes e abusos
  • Cumprir obrigações legais (fiscais, regulatórias, judiciais)
  • Realizar análises agregadas para melhorar a Plataforma (sem identificação individual)

4. Compartilhamento de dados e subprocessadores

A DentFlow não vende dados pessoais. Compartilhamos dados apenas com:

4.1. Subprocessadores

Para operar a Plataforma utilizamos os seguintes subprocessadores. A lista completa, com finalidades específicas e localização, está em dentflow.app/subprocessadores:

  • Supabase (banco de dados, autenticação) — Estados Unidos com região primária sa-east-1 (Brasil)
  • Stripe (processamento de pagamentos) — Estados Unidos; certificação PCI-DSS Nível 1
  • Meta Platforms (entrega de mensagens WhatsApp Business) — Estados Unidos
  • OpenAI (geração de respostas por IA) — Estados Unidos; configurado com Zero Data Retention
  • Resend (envio de e-mails transacionais) — Estados Unidos
  • Vercel (hospedagem da aplicação) — Estados Unidos com edge sa-east-1
  • Sentry (monitoramento de erros) — Estados Unidos; sem coleta de dados pessoais identificáveis

4.2. Autoridades

Compartilhamos dados com autoridades públicas quando: (i) há determinação judicial ou administrativa válida; (ii) há requisição da Autoridade Nacional de Proteção de Dados (ANPD) nos termos do art. 55-J da LGPD; (iii) há necessidade de defesa em processo judicial ou administrativo.

4.3. Sucessão empresarial

Em caso de fusão, aquisição ou venda de ativos da DentFlow, dados podem ser transferidos ao adquirente, sempre com manutenção das garantias desta Política e mediante notificação prévia aos clientes ativos.

5. Transferências internacionais

Alguns subprocessadores listados acima estão sediados fora do Brasil. Estas transferências internacionais ocorrem com base nos seguintes mecanismos previstos no art. 33 da LGPD:

  • Execução de contrato com o titular (art. 33, V) para subprocessadores essenciais à prestação do serviço (Stripe para pagamentos, Meta para WhatsApp)
  • Cláusulas-padrão contratuais com nossos subprocessadores, garantindo nível de proteção equivalente ao brasileiro
  • Compromissos formais de proteção firmados com cada subprocessador (Data Processing Agreements em padrão internacional)

6. Retenção de dados

Mantemos seus dados pelo prazo necessário para as finalidades descritas:

| Categoria | Prazo de retenção | |---|---| | Dados de cadastro e fiscais | 5 anos após o encerramento da conta (art. 195, § 1º do CTN; art. 1.194 do Código Civil) | | Dados de pagamento | Conforme exigência do Stripe e legislação tributária | | Logs de acesso e auditoria | 6 meses após coleta (art. 15 do Marco Civil da Internet) | | Dados de Pacientes (operador) | Conforme DPA com a Clínica; geralmente 30 dias após encerramento + período de retenção médica de 20 anos (Resolução CFO nº 118/2012) se a Clínica solicitar arquivamento | | Comunicações de marketing | Até a revogação do consentimento + 5 anos para fins de comprovação | | Comunicações com suporte | 2 anos após o último contato |

Decorridos os prazos, os dados são excluídos ou anonimizados de forma irreversível.

7. Seus direitos como titular (LGPD art. 18)

Você tem direito a:

  • Confirmação da existência de tratamento dos seus dados (art. 18, I)
  • Acesso aos dados que mantemos (art. 18, II)
  • Correção de dados incompletos, inexatos ou desatualizados (art. 18, III)
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD (art. 18, IV)
  • Portabilidade dos dados a outro fornecedor (art. 18, V), observados os segredos comercial e industrial
  • Eliminação dos dados tratados com base no consentimento (art. 18, VI)
  • Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados (art. 18, VII)
  • Informação sobre a possibilidade de não fornecer consentimento e suas consequências (art. 18, VIII)
  • Revogação do consentimento, quando for a base legal (art. 18, IX)
  • Revisão de decisões automatizadas que afetem seus interesses (art. 20)

Como exercer: envie e-mail para dpo@dentflow.app identificando-se e descrevendo a solicitação. Respondemos em até 15 dias, prorrogáveis por mais 15 dias mediante justificativa nos termos do art. 19 da LGPD.

Direito de reclamar à ANPD. Você também pode apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados em anpd.gov.br, sem prejuízo de tentar resolver primeiro conosco.

8. Segurança da informação

Adotamos medidas técnicas e administrativas razoáveis para proteger seus dados, em conformidade com o art. 46 da LGPD:

  • Criptografia em trânsito: TLS 1.3 em todas as comunicações
  • Criptografia em repouso: AES-256 no banco de dados (provido pelo Supabase)
  • Controle de acesso: autenticação por e-mail e senha; segregação de acesso por papel; isolamento multi-tenant via Row Level Security (RLS) no banco de dados
  • Logs de auditoria: registramos alterações em credenciais sensíveis (tabela platform_settings_audit) com hash dos valores anteriores e novos
  • Princípio do menor privilégio: acesso de engenharia a dados de produção restrito ao mínimo necessário, com registro e revisão periódica
  • Atualizações de segurança: dependências monitoradas com varredura automatizada de vulnerabilidades

Nenhum sistema é 100% seguro. Em caso de incidente, seguimos o protocolo descrito na Seção 9.

9. Notificação de incidentes (LGPD art. 48)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a DentFlow comunicará:

  • A ANPD em prazo razoável, idealmente em até 72 horas da confirmação do incidente
  • Os titulares afetados com indicação da natureza dos dados envolvidos, medidas técnicas adotadas, riscos relacionados e providências sugeridas

Para incidentes envolvendo dados de pacientes (DentFlow como operador), comunicaremos a Clínica (controlador) em até 72 horas. A notificação à ANPD e aos titulares-pacientes é responsabilidade da Clínica, com nosso suporte técnico.

10. Inteligência Artificial e decisões automatizadas

10.1. A Plataforma utiliza modelos de IA (LLMs) para gerar respostas a mensagens recebidas no WhatsApp das Clínicas e sugerir agendamentos.

10.2. Dados enviados à IA. Mensagens recebidas no WhatsApp da Clínica são enviadas à OpenAI para processamento. Configuramos o Zero Data Retention da OpenAI, o que significa que estes dados não são utilizados para treinamento dos modelos e são descartados após o processamento.

10.3. Direito de revisão humana (art. 20 da LGPD). Pacientes em interação com a IA podem, a qualquer momento, solicitar atendimento humano ou contestar uma decisão automatizada (agendamento sugerido, recusa de horário). A Clínica é responsável por atender este direito, e a Plataforma oferece mecanismo de escalonamento humano que aciona a Clínica.

10.4. Limites da IA. A IA não realiza diagnóstico clínico, não emite prescrição, não substitui consulta presencial e não toma decisões que produzam efeitos jurídicos diretos ao paciente sem revisão da Clínica.

11. Cookies e tecnologias semelhantes

Utilizamos apenas cookies estritamente necessários para autenticação e funcionamento da Plataforma. Não utilizamos cookies de publicidade comportamental nem rastreamento de terceiros para fins de marketing.

E-mails transacionais enviados pelo Resend podem conter pixels de rastreamento para confirmação de entrega e abertura. Este tracking é usado exclusivamente para fins operacionais (confirmar que avisos críticos foram lidos) e pode ser desativado mediante solicitação.

12. Encarregado de Dados (DPO)

Em cumprimento ao art. 41 da LGPD, indicamos:

Nome: Wagner Lima E-mail: dpo@dentflow.app Atribuições:

  • Aceitar reclamações e comunicações de titulares
  • Receber comunicações da ANPD
  • Orientar funcionários e contratados sobre práticas de proteção de dados
  • Executar demais atribuições previstas no art. 41, § 2º da LGPD

13. Atualizações desta Política

13.1. Esta Política pode ser atualizada para refletir mudanças legais, novas funcionalidades ou melhorias de transparência.

13.2. Mudanças materiais (alterações em bases legais, novas finalidades de tratamento, novos subprocessadores essenciais) serão comunicadas com antecedência mínima de 30 dias por e-mail e por aviso na Plataforma.

13.3. A versão vigente é sempre a publicada em dentflow.app/privacidade, com data de "última atualização" e "data de vigência" no topo do documento.

14. Contato

| Assunto | Canal | |---|---| | Exercício de direitos LGPD | dpo@dentflow.app | | Suporte geral | suporte@dentflow.app | | Comunicação de incidentes de segurança | dpo@dentflow.app (assunto: INCIDENTE) | | Reclamações à autoridade competente | anpd.gov.br |

Este documento foi elaborado com auxílio de inteligência artificial. Antes de utilizá-lo em produção, recomenda-se revisão por advogado habilitado no Brasil, especialmente em matéria de Direito Digital e LGPD.

Versao v1-2026-06-09 - Vigente a partir de 09/06/2026
Termos de ServicoDPASubprocessadores Voltar ao site