Política de Privacidade da nexclinica
Última atualização: 29 de maio de 2026
Versão: 1.0
1. Quem somos e a quem esta Política se aplica
A STEADFAST TECH LTDA, sociedade empresária limitada inscrita no CNPJ sob o nº 57.639.468/0001-48, com sede na QS 03, Lotes 03 a 09, Estrada Parque Contorno (EPCT, Pistão Sul), Brasília/DF, CEP 71953-000 (“nexclinica”, “nós”), é a desenvolvedora e fornecedora da plataforma de software de gestão de clínicas e atendimento por inteligência artificial comercializada sob a marca nexclinica (a “Plataforma”).
Esta Política de Privacidade (“Política”) descreve como tratamos dados pessoais e se aplica a duas situações distintas, com papéis jurídicos diferentes sob a LGPD:
- Parte I, o site
nexclinica.com.br: quando você visita nosso site institucional, preenche o formulário de contato ou fala conosco. Aqui, a nexclinica atua como Controladora dos dados. - Parte II, a Plataforma (produto SaaS): quando uma clínica contrata e utiliza a Plataforma para atender seus pacientes. Aqui, a clínica contratante é a Controladora dos dados de seus pacientes, e a nexclinica atua como Operadora, tratando os dados em nome e conforme as instruções da clínica.
Por que essa distinção importa. No site, decidimos as finalidades do tratamento (é nossa responsabilidade). No produto, quem decide as finalidades é a clínica; nós executamos o tratamento sob contrato. As responsabilidades de cada parte estão detalhadas na Parte II e no contrato de prestação de serviços firmado com cada clínica.
A nexclinica encontra-se em fase beta, atualmente focada no atendimento de balcão via agentes de inteligência artificial no WhatsApp. As funcionalidades e os tratamentos descritos nesta Política podem evoluir; alterações relevantes serão comunicadas conforme a Seção 13.
2. Definições
Adotamos as definições da LGPD (art. 5º), com destaque para:
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
- Dado pessoal sensível: dado sobre saúde, vida sexual, dado genético ou biométrico, origem racial/étnica, convicção religiosa, opinião política, entre outros (art. 5º, II). Dados de saúde de pacientes são dados sensíveis e recebem proteção reforçada.
- Titular: a pessoa natural a quem os dados se referem (você, visitante; o paciente; o profissional usuário).
- Controlador: quem decide sobre o tratamento.
- Operador: quem trata os dados em nome do Controlador.
- Tratamento: qualquer operação com dados pessoais (coleta, uso, armazenamento, compartilhamento, eliminação etc.).
- ANPD: Autoridade Nacional de Proteção de Dados.
3. Dados que coletamos no site
| Categoria | Dados | Como coletamos |
|---|---|---|
| Dados de contato (lead) | Nome, número de WhatsApp e nome da clínica | Você fornece ao preencher o formulário “até 60 dias de graça” ou ao nos chamar no WhatsApp |
| Dados de comunicação | Conteúdo das mensagens que você nos envia, e-mails de retorno | Quando você interage conosco |
| Dados de navegação | Endereço IP, identificadores de dispositivo/navegador, páginas visitadas, origem do acesso (campanha/UTM), data e hora | Automaticamente, por meio de cookies e tecnologias similares |
Não coletamos dados de saúde no site. Não solicite, no formulário ou no WhatsApp comercial, informações de saúde suas ou de terceiros. Esse canal é destinado a contato comercial.
4. Finalidades e bases legais (site)
| Finalidade | Base legal (LGPD) |
|---|---|
| Responder ao seu contato e conduzir procedimentos preliminares relacionados a eventual contratação, iniciados a seu pedido | Procedimentos preliminares a contrato, a pedido do titular (art. 7º, V) |
| Enviar comunicações estritamente relacionadas ao seu pedido de contato e à oferta | Procedimentos preliminares a contrato (art. 7º, V) |
| Enviar novidades e comunicações de marketing não solicitadas | Legítimo interesse (art. 7º, IX), com opção de descadastro (opt-out) em todas as mensagens; ou consentimento (art. 7º, I), quando o canal ou a legislação setorial exigir |
| Medir audiência e desempenho do site (analytics) | Consentimento (art. 7º, I), gerenciado via banner de cookies |
| Veicular e mensurar anúncios (Google Ads) | Consentimento (art. 7º, I) |
| Garantir segurança, prevenir fraudes e abusos | Legítimo interesse (art. 7º, IX) |
| Guardar registros de acesso à aplicação | Cumprimento de obrigação legal (Marco Civil da Internet, art. 15; art. 7º, II) |
| Atender solicitações de autoridades e exercer direitos em processos | Cumprimento de obrigação legal (art. 7º, II) e exercício regular de direitos (art. 7º, VI) |
5. Cookies e tecnologias de rastreamento
O site utiliza cookies essenciais, de desempenho/análise (Google Analytics 4) e de publicidade (Google Ads), além de armazenamento local do navegador para funcionalidades da página. Os cookies não essenciais somente são ativados mediante o seu consentimento. O detalhamento e as opções de gerenciamento estão na Política de Cookies.
6. Com quem compartilhamos os dados do site
Para operar o site e nosso processo comercial, contamos com prestadores que atuam como nossos operadores, sob contrato e dever de confidencialidade:
| Prestador | Finalidade | Local |
|---|---|---|
| Vercel Inc. | Hospedagem do site | Estados Unidos |
| Resend (Plaid Labs/Resend, Inc.) | Envio e recebimento dos e-mails de notificação de leads | Estados Unidos |
| Google LLC | Analytics e gestão de anúncios (Google Analytics, Google Ads) | Estados Unidos |
| Meta Platforms, Inc. (WhatsApp) | Comunicação com você quando opta por falar no WhatsApp | Estados Unidos / global |
Também poderemos compartilhar dados com autoridades públicas quando exigido por lei ou ordem judicial, e com assessores (jurídico, contábil) sob dever de sigilo. Não vendemos seus dados pessoais.
7. Transferência internacional (site)
Alguns dos prestadores acima estão localizados nos Estados Unidos, o que caracteriza transferência internacional de dados. Realizamos essas transferências com base em garantias contratuais adequadas (art. 33, II, da LGPD): cláusulas contratuais específicas e/ou cláusulas-padrão, na forma da Resolução CD/ANPD nº 19/2024 e dos instrumentos de proteção de dados de cada prestador. Assim, asseguramos padrão de proteção compatível com a LGPD.
8. Por quanto tempo guardamos (site)
- Dados de lead (contato comercial): mantidos enquanto durar a tratativa. Encerradas as tratativas sem contratação, podem ser conservados por até 24 (vinte e quatro) meses a contar do último contato, para eventual retomada; nesse período, a manutenção do contato apoia-se em legítimo interesse (art. 7º, IX), com opção de descadastro a qualquer momento. Você pode solicitar a exclusão a qualquer tempo.
- Conteúdo de comunicações (mensagens e e-mails de retorno): até 24 meses após o último contato.
- Cookies e dados de navegação: conforme a vigência de cada cookie, detalhada na Política de Cookies.
- Registros de acesso à aplicação: pelo prazo legal do Marco Civil da Internet (mínimo de 6 meses).
- Dados tratados com base em consentimento: até a revogação do consentimento, ressalvada a conservação autorizada pelo art. 16 da LGPD.
Esta Parte descreve, de forma transparente, como a Plataforma trata os dados quando uma clínica a utiliza. A clínica contratante é a Controladora desses dados e é responsável pela base legal e pelo relacionamento com o titular (paciente). A nexclinica atua como Operadora (art. 39 da LGPD), nos termos do contrato e do respectivo Acordo de Tratamento de Dados (DPA).
9. Papéis e responsabilidades
- A clínica (Controladora) decide quais dados trata, para quê, e é responsável por: possuir base legal válida; obter os consentimentos necessários dos pacientes, inclusive para o uso do componente de IA e para transferências internacionais; e atender, em primeira linha, aos direitos dos pacientes.
- A nexclinica (Operadora) trata os dados estritamente conforme as instruções documentadas da clínica, mantém medidas de segurança e auxilia a clínica no cumprimento de suas obrigações.
10. Dados tratados na Plataforma e bases legais
| Categoria do titular | Dados | Finalidade | Base legal (responsabilidade da clínica) |
|---|---|---|---|
| Paciente | Dados cadastrais: nome, CPF, data de nascimento, telefone, e-mail, dados do plano de saúde | Identificação, agendamento, comunicação e faturamento | Execução de contrato (art. 7º, V) e/ou consentimento (art. 7º, I) |
| Paciente | Dados sensíveis de saúde: histórico, diagnósticos, prescrições, exames, anotações clínicas | Disponibilização do prontuário e do atendimento à clínica | Tutela da saúde, por profissionais/serviços de saúde (art. 11, II, “f”); obrigação legal/regulatória (art. 11, II, “a”), em razão da Lei nº 13.787/2018 e das normas do CFM |
| Paciente | Mensagens e transcrições de conversa com o componente de IA no WhatsApp | Prestação do atendimento; e, somente mediante consentimento específico, melhoria do modelo | Tutela da saúde (art. 11, II, “f”); consentimento específico e destacado para melhoria do modelo (art. 11, I) |
| Paciente | Dados técnicos: IP, dispositivo, logs de acesso | Segurança, auditoria e prevenção à fraude | Obrigação legal (art. 7º, II); legítimo interesse/garantia de segurança (arts. 7º, IX e 11, II, “g”) |
| Profissional/usuário da clínica | Nome, CPF, e-mail, registro profissional (CRM/outros), credenciais | Cadastro de usuário, controle de acesso e auditoria | Execução de contrato (art. 7º, V) |
11. Componente de inteligência artificial e decisões automatizadas
A Plataforma inclui um componente de IA (recepcionista virtual) que conversa com pacientes no WhatsApp para agendar, remarcar, confirmar consultas e prestar informações administrativas.
- A IA executa exclusivamente tarefas administrativas (agendamento, confirmação, lembretes e informações administrativas). Ela não realiza triagem clínica, diagnóstico, prescrição ou qualquer ato privativo de profissional de saúde, não substitui o profissional e não toma decisões clínicas.
- As interações são transparentes: a Plataforma identifica a IA ao paciente por padrão (ex.: “assistente virtual”). A qualquer momento o paciente pode solicitar atendimento humano.
- Quando houver tratamento automatizado que afete interesses do titular, este tem direito a solicitar a revisão da decisão (art. 20 da LGPD) e a receber informações claras sobre os critérios e procedimentos utilizados (art. 20, §1º), observados os segredos comercial e industrial. Esse direito é exercido perante a clínica controladora, com nosso apoio técnico.
- A responsabilidade por toda conduta clínica baseada (ou não) em informações da IA é exclusiva da clínica e de seus profissionais.
12. Sub-operadores e transferência internacional (Plataforma)
Para prestar o serviço, a nexclinica contrata sub-operadores, mantidos sob obrigações de proteção de dados equivalentes às suas. Os principais são:
| Sub-operador | Finalidade | Local |
|---|---|---|
| Provedor(es) de nuvem (IaaS/PaaS) | Hospedagem e processamento da Plataforma | Brasil (armazenamento primário) |
| OpenAI, Inc. | Processamento de linguagem do componente de IA (modelo GPT-4o) | Estados Unidos |
| Meta Platforms, Inc. (WhatsApp Business) | Canal de mensagens com o paciente | Estados Unidos / global |
| Feegow (quando integrado) | Integração de agenda/gestão, conforme escolha da clínica | Brasil |
Os dados são armazenados primariamente em servidores no Brasil. Há transferência internacional ao processar mensagens pelo componente de IA (OpenAI, EUA) e pelo WhatsApp (Meta). Essas transferências apoiam-se em garantias contratuais adequadas (art. 33, II), incluindo cláusulas contratuais específicas e/ou cláusulas-padrão, na forma da Resolução CD/ANPD nº 19/2024 e dos instrumentos de proteção de dados de cada prestador.
Os dados enviados ao componente de IA não são utilizados para treinar modelos de uso geral da OpenAI. Conversas só são utilizadas para melhoria do modelo da nexclinica quando a clínica obtém consentimento específico e destacado do paciente (art. 11, I) e, nesse caso, a transferência observa o consentimento de transferência internacional (art. 33, VIII). Sempre que tecnicamente possível, esses dados são anonimizados; quando apenas pseudonimizados, permanecem sendo dados pessoais e seguem integralmente protegidos por esta Política e pelas garantias acima.
A nexclinica não comercializa nem compartilha dados de saúde para obtenção de vantagem econômica, em conformidade com o art. 11, §4º, da LGPD.
13. Retenção na Plataforma
A nexclinica retém os dados pelo tempo necessário à prestação do serviço e conforme as instruções da clínica e a lei:
- Prontuários e dados de saúde: prazo legal mínimo de 20 (vinte) anos a contar do último registro (Lei nº 13.787/2018, art. 6º), inclusive para prontuário eletrônico.
- Dados fiscais e de faturamento: 5 (cinco) anos.
- Logs de auditoria e segurança: 5 (cinco) anos.
- Encerrado o contrato, a clínica dispõe de prazo para exportar os dados; após esse prazo, os dados são eliminados dos ambientes de produção, ressalvada a retenção legal obrigatória acima.
14. Incidentes de segurança (Plataforma)
Ao confirmar um incidente de segurança que afete dados sob nossa operação, comunicaremos a clínica (Controladora) sem demora injustificada, com as informações disponíveis. A comunicação à ANPD e aos titulares é responsabilidade da clínica (art. 48 da LGPD), com nosso apoio técnico.
15. Segurança da informação
Adotamos medidas técnicas e administrativas para proteger os dados pessoais (art. 46 da LGPD), entre elas: criptografia em trânsito e em repouso, controle de acesso baseado em papéis (RBAC), registros de auditoria, segregação de ambientes, backups e compromissos de confidencialidade da equipe. A segurança é considerada desde a concepção do serviço (art. 46, §2º). Nenhum sistema é absolutamente imune a incidentes; comprometemo-nos a mitigar riscos e responder adequadamente.
16. Direitos do titular
Nos termos do art. 18 da LGPD, o titular pode, a qualquer momento e gratuitamente, solicitar:
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
- portabilidade dos dados a outro fornecedor;
- eliminação dos dados tratados com base no consentimento;
- informação sobre com quem compartilhamos seus dados;
- informação sobre a possibilidade de não consentir e suas consequências;
- revogação do consentimento;
- oposição a tratamento realizado com base em hipótese de dispensa de consentimento (por exemplo, legítimo interesse), em caso de descumprimento da lei (art. 18, §2º).
Além disso, é assegurado o direito de revisão de decisões automatizadas (art. 20) e de petição à ANPD (art. 18, §1º).
Prazos. Pedidos de confirmação e acesso são atendidos de forma imediata (formato simplificado) ou, em formato completo, em até 15 (quinze) dias (art. 19 da LGPD); os demais pedidos são atendidos em prazo razoável e gratuito.
Como exercer: envie sua solicitação para o Encarregado: encarregado@nexclinica.com.br.
- Para dados tratados pelo site (Parte I), responderemos diretamente.
- Para dados de paciente tratados na Plataforma (Parte II), o pedido deve ser dirigido à clínica controladora; se recebido por nós, informaremos que não somos o agente controlador e indicaremos a clínica responsável (art. 18, §4º, I), prestando o apoio técnico necessário e podendo solicitar a comprovação de identidade.
17. Crianças e adolescentes
O site não é direcionado a menores de idade. Na Plataforma, o tratamento de dados de crianças e adolescentes pacientes é realizado no melhor interesse do menor (art. 14 da LGPD), cabendo à clínica controladora obter o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, quando exigido.
18. Encarregado pelo Tratamento de Dados (DPO)
Em cumprimento ao art. 41 da LGPD, a nexclinica indica como canal de comunicação com titulares e com a ANPD:
- Encarregado (DPO): Pedro Henrique Oliveira Marques
- E-mail: encarregado@nexclinica.com.br
19. Alterações desta Política
Podemos atualizar esta Política para refletir mudanças legais, regulatórias ou operacionais. A versão vigente estará sempre disponível em nosso site, com a data da última atualização. Alterações relevantes serão comunicadas pelos canais apropriados.
20. Legislação aplicável e foro
Esta Política é regida pelas leis da República Federativa do Brasil, em especial a LGPD. Fica eleito o foro da Circunscrição Judiciária de Brasília/DF, sem prejuízo do direito de o titular recorrer aos órgãos de defesa do consumidor e à ANPD.
21. Contato
STEADFAST TECH LTDA, CNPJ 57.639.468/0001-48
QS 03, Lotes 03 a 09, EPCT (Pistão Sul), Brasília/DF, CEP 71953-000
E-mail geral: contato@nexclinica.com.br · Encarregado: encarregado@nexclinica.com.br