HektOS← Voltar ao login

Política de Privacidade e Tratamento de Dados

Clínica Médica e Odontológica Ari Fales — São Benedito/CE

Versão 1.0Publicado em 02 de maio de 2026
Sumário (17 seções)

1. Introdução e propósito desta política

Esta Política de Privacidade descreve, de forma detalhada e transparente, como a Clínica Médica e Odontológica Ari Fales ("Clínica", "nós"), na condição de controladora de dados, realiza a coleta, o uso, o armazenamento, o compartilhamento e a proteção dos dados pessoais dos seus pacientes e demais titulares ("você", "titular"). Todas as operações de tratamento de dados são executadas em estrita conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, doravante "LGPD"), bem como com as resoluções do Conselho Federal de Medicina (CFM) e demais normas aplicáveis à prestação de serviços de saúde.

A Clínica reconhece a natureza especial e a sensibilidade dos dados relacionados à saúde, os quais são classificados como dados pessoais sensíveis pelo artigo 5º, inciso II, da LGPD. Em razão disso, adotamos um rigoroso padrão de cuidado, fundamentando o tratamento em bases legais específicas, conforme previsto no artigo 11 da mesma lei, e implementando medidas de segurança técnicas e administrativas robustas para garantir a confidencialidade, a integridade e a disponibilidade de suas informações, em observância ao artigo 46 da LGPD. O propósito deste documento é conferir total transparência sobre nossas práticas, permitindo que você compreenda e exerça controle sobre seus dados pessoais.

2. Quem somos — Controlador dos dados

O controlador dos dados pessoais tratados no âmbito da prestação dos nossos serviços, para todos os fins da LGPD (art. 5º, VI), é a entidade jurídica abaixo identificada, responsável por tomar as decisões referentes ao tratamento dos seus dados:

  • Razão Social: L C Fales de Brito Alves
  • CNPJ: 31.808.665/0001-50
  • Endereço: Av. Tabajara, 55, Centro, São Benedito/CE, CEP 62370-000
  • E-mail de contato: clinica.arifales@gmail.com
  • Telefone de contato: (88) 99724-6560

O responsável técnico pela atividade médica desempenhada na clínica é o Dr. Leonardo Cavalcante Fales de Brito Alves, médico devidamente inscrito no Conselho Regional de Medicina do Estado do Ceará (CRM-CE) sob o nº 17871.

3. Encarregado pelo Tratamento de Dados (DPO)

Em cumprimento à exigência do artigo 41 da LGPD, a Clínica nomeou um Encarregado pelo Tratamento de Dados Pessoais, também conhecido como Data Protection Officer (DPO). O Encarregado é o profissional responsável por atuar como canal de comunicação oficial entre você (titular dos dados), a Clínica e a Autoridade Nacional de Proteção de Dados (ANPD). Para qualquer dúvida, solicitação ou comunicação relacionada a esta política, ao exercício de seus direitos ou a qualquer aspecto da privacidade e proteção de seus dados, entre em contato através dos canais exclusivos abaixo:

Toda e qualquer requisição direcionada a este canal será devidamente registrada e tratada com a prioridade e a confidencialidade que o tema exige, em observância aos prazos legais.

4. Quais dados pessoais coletamos

Para a adequada prestação de nossos serviços de saúde, gestão administrativa e cumprimento de obrigações legais, realizamos a coleta e o tratamento de diferentes categorias de dados pessoais, as quais são detalhadas a seguir:

4.1. Dados cadastrais e de identificação

Informações essenciais para sua identificação e contato, incluindo nome completo, número do Cadastro de Pessoas Físicas (CPF), documento de identidade (RG), data de nascimento, sexo, estado civil e profissão. Coletamos também seus dados de contato, como endereço residencial completo, número de telefone e endereço de e-mail. Em situações específicas, como no atendimento de menores ou de pacientes que necessitem de acompanhamento, podemos coletar o nome de familiares ou responsáveis legais.

4.2. Dados de saúde (sensíveis)

Esta categoria abrange todas as informações relacionadas à sua saúde, estritamente necessárias para o diagnóstico e tratamento. Incluem-se o histórico clínico, queixas atuais, descrição de sintomas e diagnósticos prévios e atuais. Também tratamos resultados de exames laboratoriais e de imagem, laudos médicos, imagens de ultrassonografia e outros procedimentos diagnósticos. As prescrições de medicamentos, receitas médicas e encaminhamentos para outros especialistas, bem como as anotações detalhadas em prontuário eletrônico e as evoluções clínicas fazem parte deste conjunto de dados. Quando o atendimento decorre de um pedido de outro profissional, a indicação do médico solicitante também é registrada.

4.3. Dados financeiros

Para a gestão dos pagamentos e cumprimento de obrigações fiscais, coletamos informações sobre a forma de pagamento utilizada (dinheiro, PIX, cartão de crédito/débito, ou faturamento via convênio). Para a emissão de nota fiscal, tratamos o CPF ou CNPJ do tomador do serviço, bem como o valor pago, a data e a identificação da consulta ou exame realizado.

4.4. Dados de comunicação

Registramos o histórico de interações realizadas através de nossos canais de comunicação, como mensagens trocadas via WhatsApp e Instagram, incluindo o conteúdo de textos, áudios e imagens enviadas. Este tratamento abrange o histórico de agendamentos, lembretes de consulta e confirmações de comparecimento. Para otimizar o atendimento, as mensagens de áudio podem ser submetidas a transcrições automatizadas por sistemas de inteligência artificial.

4.5. Dados de navegação e uso do sistema

Quando você interage com nossas plataformas digitais, como o sistema de agendamento online ou o portal do paciente, coletamos dados técnicos para garantir a segurança e o bom funcionamento dos serviços. Esses dados incluem seu endereço IP, tipo de dispositivo (computador, celular), tipo e versão do navegador, e registros de acesso (logs) contendo data, hora e ações realizadas, para fins de auditoria de segurança e cumprimento de obrigações legais como o Marco Civil da Internet.

5. Bases legais para o tratamento dos dados

Todo tratamento de dados pessoais realizado pela Clínica é estritamente fundamentado em uma das hipóteses legais previstas na LGPD. A seguir, detalhamos as bases legais aplicadas para cada contexto:

5.1. Para prestação de serviços de saúde

A principal base legal para o tratamento de seus dados pessoais sensíveis, como histórico de saúde e resultados de exames, é a tutela da saúde, prevista no artigo 11, inciso II, alínea "f", da LGPD. Esta hipótese autoriza o tratamento de dados de saúde exclusivamente em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária. É fundamental destacar que, para esta finalidade essencial, a lei não exige o seu consentimento, pois o tratamento é inerente à própria natureza da atividade médica e indispensável para a proteção de sua vida e saúde.

5.2. Para cumprimento de obrigação legal e regulatória

Em diversas situações, tratamos seus dados para atender a determinações de leis e regulamentos. Essa prática é amparada pelo artigo 7º, inciso II, e pelo artigo 11, inciso II, alínea "a", da LGPD. Exemplos incluem a emissão de notas fiscais de serviço (NFS-e) para as autoridades fiscais, a guarda obrigatória do prontuário médico pelo prazo de 20 anos, conforme a Resolução CFM nº 1.821/2007, e o atendimento a requisições formais da Vigilância Sanitária, do Conselho Federal de Medicina (CFM) ou de outras autoridades competentes.

5.3. Para execução de contrato

O tratamento de dados cadastrais e financeiros necessários para formalizar e gerenciar a prestação de nossos serviços é realizado com base no artigo 7º, inciso V, da LGPD, que se refere à execução de contrato ou de procedimentos preliminares relacionados a contrato do qual você seja parte. Isso inclui, por exemplo, o uso de seus dados para agendamento, cobrança e comunicação sobre os serviços contratados.

5.4. Para legítimo interesse

De forma excepcional e sempre ponderando seus direitos e liberdades fundamentais, podemos tratar dados com base no legítimo interesse da Clínica, conforme o artigo 7º, inciso IX, da LGPD. Essa base legal é utilizada para finalidades como a prevenção de fraudes em nossos sistemas, a garantia da segurança de nossa rede e informações, e a manutenção de registros de acesso (logs) para auditoria de segurança, que apoiam e protegem tanto a clínica quanto os próprios titulares.

5.5. Mediante consentimento

Para finalidades que não se enquadrem nas bases legais anteriores, como o envio de comunicações de marketing, newsletters, campanhas promocionais ou a participação em pesquisas de satisfação, solicitaremos o seu consentimento livre, informado e inequívoco, conforme os artigos 7º, inciso I, e 8º da LGPD. Este consentimento será obtido de forma específica e destacada, e você terá o direito de revogá-lo a qualquer momento, de maneira simples e gratuita, sem que isso afete a prestação dos serviços de saúde.

6. Para quais finalidades usamos seus dados

Utilizamos seus dados pessoais para as seguintes finalidades primordiais e acessórias, todas diretamente relacionadas à nossa atividade:

  • Realização de atos médicos: efetuar consultas, exames de ultrassonografia e outros procedimentos, o que inclui o registro detalhado de achados clínicos e a elaboração de laudos diagnósticos precisos.
  • Gestão de agendamentos: organizar, confirmar, reagendar e cancelar consultas e exames, bem como enviar lembretes e informações preparatórias por meio de canais como WhatsApp ou Instagram.
  • Cumprimento de obrigações fiscais: emitir Notas Fiscais de Serviço Eletrônicas (NFS-e) e cumprir com todas as demais exigências da Receita Federal e das autoridades fiscais municipais.
  • Manutenção de prontuário eletrônico: manter um registro completo e seguro de seu histórico de saúde, em estrita conformidade com a Resolução CFM nº 1.821/2007 e as melhores práticas de segurança da informação.
  • Comunicação com o paciente: manter um canal aberto para esclarecimentos sobre preparos para exames, entrega de resultados, orientações pós-procedimento e outras comunicações indispensáveis ao seu cuidado.
  • Operação de assistente virtual: utilizar o assistente de agendamento "Aria", que emprega inteligência artificial para interpretar mensagens de texto e áudio, otimizando e agilizando a marcação de consultas e exames.
  • Segurança e auditoria: realizar auditorias internas de segurança, monitorar a integridade de nossos sistemas e investigar eventuais incidentes de segurança para proteger seus dados.
  • Atendimento a requisições legais: cumprir com determinações judiciais ou requisições formais de autoridades públicas competentes, nos limites da lei e do sigilo profissional.

7. Uso de inteligência artificial no atendimento

Com o objetivo de aprimorar a eficiência e a agilidade de nosso atendimento, a Clínica utiliza ferramentas de inteligência artificial (IA), especialmente no processo de agendamento automatizado de consultas por meio do WhatsApp e Instagram, através de nosso assistente virtual "Aria". A este respeito, informamos de forma transparente que:

  • Processamento por operadores: as mensagens que você nos envia, sejam de texto ou áudio, são processadas por modelos de IA de fornecedores externos especializados (como Anthropic, OpenAI e ElevenLabs). Esses sistemas realizam tarefas como interpretação de linguagem natural, transcrição de áudios em texto e síntese de voz para respostas automatizadas.
  • Atuação como operadores de dados: tais fornecedores atuam na condição de operadores de dados, nos termos do artigo 5º, VII, da LGPD. Eles tratam os dados em nosso nome e sob nossas instruções, estando contratualmente obrigados a garantir a proteção das informações. Exigimos contratualmente que tais fornecedores não utilizem seus dados para o treinamento de seus modelos de IA ou para qualquer outra finalidade que não seja a prestação do serviço contratado pela Clínica.
  • Inexistência de decisões automatizadas críticas: é fundamental ressaltar que a IA é utilizada como uma ferramenta de apoio administrativo. Decisões críticas que afetam sua saúde, como diagnósticos médicos, elaboração de laudos ou definição de tratamentos, NÃO são tomadas, em nenhuma hipótese, por sistemas de inteligência artificial. Essas decisões são e sempre serão de responsabilidade exclusiva e indelegável do profissional médico.
  • Direito à intervenção humana: em conformidade com o artigo 20 da LGPD e com nosso compromisso com o atendimento humanizado, você tem o direito de, a qualquer momento, solicitar atendimento humano direto, sem que isso gere qualquer prejuízo, custo ou dificuldade no seu acesso aos nossos serviços.

8. Com quem compartilhamos seus dados

A confidencialidade de seus dados é um pilar de nossa atuação. Não comercializamos, em nenhuma hipótese, seus dados pessoais. O compartilhamento de informações ocorre apenas em situações estritamente necessárias e em conformidade com a lei, para as seguintes categorias de destinatários:

8.1. Operadores e prestadores de serviços

Compartilhamos dados com empresas que atuam como operadoras (art. 39 da LGPD), tratando dados em nosso nome e sob nossas rigorosas instruções, formalizadas por meio de contrato. Isso inclui:

  • Supabase: fornecedor do serviço de banco de dados em nuvem, onde os prontuários eletrônicos e dados cadastrais são armazenados de forma segura e criptografada.
  • Vercel: plataforma de hospedagem do nosso sistema de gestão clínica, o HektOS.
  • Anthropic, OpenAI, ElevenLabs: fornecedores de tecnologia de inteligência artificial utilizados pelo nosso assistente de agendamento "Aria" para processamento de linguagem natural, transcrição de áudio e síntese de voz.
  • Evolution API: ferramenta que provê a infraestrutura para a integração do nosso sistema com o WhatsApp.

8.2. Autoridades públicas

Conforme exigido por lei, compartilhamos dados com órgãos governamentais, como a Receita Federal e a Prefeitura de São Benedito/CE para fins de emissão de notas fiscais e cumprimento de obrigações tributárias; a Vigilância Sanitária, o Conselho Federal de Medicina e o Ministério da Saúde, em cumprimento a regulamentações do setor; e o Poder Judiciário e o Ministério Público, mediante ordem judicial ou requisição formal nos termos da lei.

8.3. Operadoras de planos de saúde

Nos casos em que o atendimento é coberto por um plano de saúde, compartilhamos os dados estritamente necessários para o processo de faturamento, cobrança e auditoria do procedimento realizado, conforme as normas da Agência Nacional de Saúde Suplementar (ANS).

8.4. Outros profissionais de saúde

O compartilhamento de laudos, encaminhamentos e informações clínicas com outros médicos ou profissionais de saúde ocorre exclusivamente para a continuidade do seu tratamento ou quando expressamente solicitado por você. Essa troca de informações visa garantir um cuidado integrado e de qualidade, sempre respeitando o sigilo profissional.

9. Transferência internacional de dados

Alguns dos nossos operadores de tecnologia, especialmente os fornecedores de serviços de nuvem e inteligência artificial, possuem sede fora do Brasil, notadamente nos Estados Unidos e na União Europeia. Consequentemente, o tratamento de alguns dados pode envolver uma transferência internacional. Asseguramos que tal transferência é realizada em total conformidade com o artigo 33 da LGPD, sendo os dados transferidos apenas para empresas que demonstram um nível de proteção de dados compatível com a legislação brasileira, seja por estarem localizadas em jurisdições reconhecidas como adequadas ou, na ausência dessa definição, por meio de mecanismos contratuais específicos que garantem a segurança e a privacidade de seus dados, como as Cláusulas Contratuais Padrão (Standard Contractual Clauses - SCCs).

10. Por quanto tempo guardamos seus dados

Os dados pessoais são armazenados pelo tempo estritamente necessário para cumprir as finalidades para as quais foram coletados, bem como para atender a obrigações legais, regulatórias e para o exercício regular de direitos. Os principais prazos de retenção são:

  • Prontuário médico: seus dados de saúde e registros de atendimento são mantidos por um período mínimo de 20 (vinte) anos contados a partir do último registro, em cumprimento ao artigo 7º da Resolução CFM nº 1.821/2007. Esta obrigação legal prevalece sobre o direito de eliminação previsto na LGPD.
  • Documentos fiscais: as notas fiscais e os dados associados são armazenados por 5 (cinco) anos, em conformidade com o artigo 173 do Código Tributário Nacional, para fins de fiscalização.
  • Logs de acesso a aplicações de internet: os registros de acesso aos nossos sistemas digitais são mantidos por 6 (seis) meses, conforme exigência do artigo 15 do Marco Civil da Internet (Lei nº 12.965/2014).
  • Mensagens de comunicação (WhatsApp e Instagram): as conversas relacionadas a agendamentos e atendimento são mantidas por até 24 (vinte e quatro) meses para fins de auditoria interna e comprovação da qualidade do atendimento prestado.

Após o término do prazo de retenção ou da necessidade que justificou o tratamento, os dados pessoais serão eliminados de forma segura ou anonimizados, impedindo a sua identificação, exceto se houver outra base legal que justifique a continuidade da manutenção.

11. Seus direitos como titular dos dados

A LGPD assegura a você uma série de direitos sobre seus dados pessoais. A Clínica está plenamente preparada para atender às suas solicitações. Conforme o artigo 18 da lei, você tem o direito de:

  • Confirmação: solicitar a confirmação da existência de tratamento de seus dados (Art. 18, I).
  • Acesso: obter acesso aos dados que mantemos sobre você (Art. 18, II).
  • Correção: requerer a correção de dados que estejam incompletos, inexatos ou desatualizados (Art. 18, III).
  • Anonimização, bloqueio ou eliminação: solicitar a anonimização, o bloqueio ou a eliminação de dados que sejam desnecessários, excessivos ou tratados em desconformidade com a LGPD (Art. 18, IV).
  • Portabilidade: requerer a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa (Art. 18, V).
  • Eliminação: solicitar a eliminação dos dados pessoais tratados com base no seu consentimento, exceto nas hipóteses em que a lei autoriza a sua manutenção (Art. 18, VI).
  • Informação sobre compartilhamento: obter informações sobre as entidades públicas e privadas com as quais a Clínica realizou uso compartilhado de dados (Art. 18, VII).
  • Informação sobre o não consentimento: ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa negativa (Art. 18, VIII).
  • Revogação do consentimento: revogar o consentimento fornecido a qualquer momento (Art. 18, IX).
  • Revisão de decisões automatizadas: solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses (Art. 20).

11.1. Como exercer seus direitos

Para exercer qualquer um dos direitos listados acima, pedimos que entre em contato diretamente com nosso Encarregado (DPO), através do e-mail exclusivo clinica.arifales.lgpd@gmail.com, conforme informado no item 3 desta política. Sua solicitação será analisada e respondida no prazo de até 15 (quinze) dias, de acordo com o artigo 19 da LGPD. Caso haja alguma impossibilidade técnica ou jurídica para o atendimento imediato do seu pedido, os motivos serão devidamente informados.

Você também pode utilizar nosso canal estruturado de exercício de direitos em /exercer-direitos para registrar sua solicitação de forma rápida e organizada.

12. Tratamento de dados de crianças e adolescentes

A Clínica realiza o atendimento de menores de idade, como em exames obstétricos e pediátricos. O tratamento de dados pessoais de crianças (pessoas com até 12 anos de idade incompletos) é realizado em conformidade com o artigo 14 da LGPD, sempre com o consentimento específico e em destaque, fornecido por pelo menos um dos pais ou pelo responsável legal. Para adolescentes (pessoas entre 12 e 18 anos), o tratamento é realizado buscando, sempre que possível, o consentimento do responsável, mas observando as particularidades de cada caso, como em situações de gestantes adolescentes, sempre pautados pelo melhor interesse do menor e em conformidade com o Estatuto da Criança e do Adolescente (Lei nº 8.069/1990).

13. Como protegemos seus dados

A segurança de seus dados é uma prioridade absoluta. Adotamos um conjunto robusto de medidas de segurança técnicas e administrativas, em linha com o artigo 46 da LGPD, para proteger seus dados pessoais contra acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado ou ilícito. Nossas medidas incluem:

  • Criptografia de dados: utilização de criptografia forte em trânsito (HTTPS com protocolo TLS 1.3) e em repouso para os backups.
  • Controle de acesso rigoroso: acesso aos dados baseado em perfis de permissão (médico, secretária, administrador), garantindo que cada usuário acesse apenas as informações estritamente necessárias para suas funções.
  • Autenticação segura: implementação de autenticação de dois fatores (2FA) para todas as contas com privilégios administrativos.
  • Registros de auditoria (logs): manutenção de logs detalhados e imutáveis de todas as operações realizadas no sistema, permitindo rastrear quem acessou, quando e o que foi feito com os dados, em conformidade com o art. 37 da LGPD.
  • Proteção contra ataques: implementação de medidas como limitação de requisições (rate limiting) para prevenir ataques de força bruta e outras ameaças automatizadas.
  • Validação de integrações: uso de validação de assinatura criptográfica em integrações com sistemas externos para garantir a autenticidade e a integridade das comunicações.
  • Backups e recuperação: realização de backups regulares e seguros para garantir a disponibilidade dos dados e a capacidade de recuperação em caso de incidentes.
  • Treinamento contínuo: promoção de treinamento periódico para toda a equipe sobre segurança da informação, proteção de dados e a importância do sigilo médico.

14. Comunicação de incidentes

Apesar de todos os nossos esforços de segurança, nenhum sistema é infalível. Na remota hipótese de ocorrência de um incidente de segurança que possa acarretar risco ou dano relevante a você ou a outros titulares, a Clínica se compromete a agir com rapidez e transparência. Comunicaremos o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados em prazo razoável, em conformidade com o artigo 48 da LGPD, detalhando a natureza do incidente, os dados afetados e as medidas que estão sendo tomadas para mitigar os danos.

15. Cookies e tecnologias similares

Nossos sistemas e website utilizam cookies que são estritamente necessários para o seu funcionamento. Esses cookies são essenciais para funcionalidades como autenticação de login e manutenção da sessão do usuário. Não utilizamos cookies de marketing, publicidade comportamental ou rastreamento de terceiros. Você pode configurar seu navegador para bloquear ou alertá-lo sobre esses cookies, mas a recusa pode impedir o funcionamento de algumas partes do sistema.

16. Alterações nesta Política de Privacidade

Esta política é um documento dinâmico e poderá ser atualizada periodicamente para refletir mudanças em nossas práticas de tratamento de dados, alterações na legislação ou novas orientações da ANPD. Sempre que houver uma alteração relevante que impacte seus direitos, informaremos você de forma proativa, seja por e-mail, WhatsApp ou por meio de um aviso visível em nosso sistema. A versão mais atualizada desta política estará sempre disponível para consulta pública em hektos.com.br/privacidade.

17. Lei aplicável e foro

Esta Política de Privacidade e a relação dela decorrente são regidas, interpretadas e executadas de acordo com as leis da República Federativa do Brasil, em especial a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais). Em observância ao Código de Defesa do Consumidor (Lei nº 8.078/1990) e ao princípio de facilitação da defesa dos direitos do titular, fica estabelecido que, para dirimir quaisquer controvérsias oriundas deste documento, será competente o foro do domicílio do titular dos dados.