Política de Privacidade

Para os dados da clínica/médico (cadastro, faturamento, conta), o Controlador é a Jornada Paciente / HS Soluções Digitais. Para os dados dos pacientes da clínica, o Controlador é a própria clínica/médico que os coleta — a Jornada Paciente atua como Operador (art. 5º, VII, LGPD), processando esses dados sob instrução da clínica.

• Dados de cadastro do médico/clínica: nome, email, CRM, CNPJ, endereço, especialidade.
• Dados de pacientes (via clínica): nome, telefone, email, data de nascimento, condições clínicas, procedimentos realizados, medicações em uso, consentimentos, eventos de adesão. Estes são considerados dados pessoais sensíveis (art. 5º, II, LGPD).
• Dados de uso: logs de acesso, ações realizadas, mensagens enviadas (status de entrega, abertura, clique).
• Dados técnicos: IP, user-agent, dispositivo. Usados para segurança e métricas agregadas.

• Consentimento do titular paciente para envio de mensagens por canal (email, WhatsApp, SMS, voz) e separadamente para compartilhamento de dados anonimizados com farmacêuticas (Phase 2, não ativo).
• Execução de contrato entre clínica e Jornada Paciente para os dados da clínica.
• Tutela da saúde (art. 11, II, ‘f’) para o tratamento de dados de saúde do paciente em contexto assistencial.
• Cumprimento de obrigação legal (Conselho Federal de Medicina, Receita Federal etc.).

• Operar a plataforma — autenticar, autorizar, exibir dados pra clínica.
• Enviar comunicações configuradas pela clínica ao paciente (email, WhatsApp, SMS, voz — conforme habilitado e consentido).
• Calcular métricas operacionais para a clínica (taxa de entrega, NPS automático, pacientes em risco).
• Suporte ao usuário, faturamento, prevenção a fraude.

Não vendemos dados. Não usamos dados de paciente para anunciantes. Compartilhamento anonimizado com farmacêuticas (Phase 2) só com consentimento expresso do titular e contrato específico de processamento.

• Provedores de infraestrutura (sub-operadores): Supabase (banco e edge functions), Vercel (hospedagem/SSR), Resend (email), Twilio (WhatsApp), Google (agenda — quando conectada pela clínica), Sentry (telemetria de erros). Todos sob acordo de processamento de dados.
• Autoridades competentes mediante ordem judicial fundamentada.
• Farmacêuticas: apenas dados anonimizados (k-anonymity ≥ 5), apenas com consentimento expresso do paciente. Não ativo no MVP.

Banco de dados primário em região controlada do Supabase (preferencialmente Brasil/EUA-leste). Edge Functions em Cloudflare global. Backups em região distinta para resiliência. Detalhes de região atual estão disponíveis sob solicitação ao DPO.

• Dados de paciente: mantidos enquanto a clínica for cliente ativa, +30 dias após cancelamento da clínica para permitir exportação. Depois, exclusão definitiva.
• Mensagens: 24 meses para auditoria, depois anonimizadas em agregados estatísticos (sem identificação individual).
• Logs técnicos: 90 dias.
• Dados de cadastro de médico/clínica: mantidos 5 anos após encerramento por exigência fiscal.

Você (paciente, médico ou colaborador da clínica) pode, a qualquer momento:

• Solicitar confirmação de existência de tratamento.
• Solicitar acesso aos dados.
• Solicitar correção de dados incorretos.
• Solicitar portabilidade (recebe arquivo com seus dados — disponível em Configurações > Privacidade > Direito de portabilidade).
• Solicitar eliminação dos dados pessoais.
• Revogar consentimento a qualquer momento.

Pedidos via dpo@jornadapaciente.com.br — atendidos em até 15 dias úteis.

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
• Isolamento multi-tenant via Row Level Security (RLS) — cada clínica só vê seus próprios dados, sem exceção.
• Autenticação por senha + opção de SSO. Senhas armazenadas via hash com salt (nunca em plaintext).
• Logs de acesso auditados.
• Plano de resposta a incidente de segurança documentado internamente.

Usamos cookies estritamente necessários (sessão de autenticação) e cookies de preferência (tema, idioma). Não usamos cookies de publicidade ou rastreamento de terceiros.

A plataforma é destinada a clínicas e profissionais de saúde adultos. Dados de pacientes menores de idade são tratados sob a tutela da clínica, mediante consentimento de pelo menos um dos pais ou responsável legal.

Quando a clínica opta por conectar a agenda do Google, solicitamos acesso somente leitura ao Google Calendar (escopo calendar.readonly) e ao email da conta, exclusivamente para:

• exibir a agenda da clínica dentro do Jornada Paciente; e
• relacionar consultas a lembretes/confirmações enviados ao paciente pela própria clínica.

O uso e a transferência, pelo Jornada Paciente, de informações recebidas das APIs do Google obedecem à Política de Dados do Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado (Limited Use). Especificamente:

• não vendemos os dados do Google nem os usamos para publicidade;
• não usamos esses dados para nenhum fim além de fornecer e melhorar os recursos de agenda visíveis ao usuário;
• não permitimos que humanos leiam esses dados, salvo com consentimento expresso para suporte, por exigência legal, ou em dados agregados/anonimizados.

O token de acesso é armazenado de forma cifrada (Supabase Vault). A clínica pode revogar o acesso a qualquer momento em myaccount.google.com/permissions ou desconectando dentro do app.

Podemos atualizar esta Política. Mudanças relevantes serão comunicadas com antecedência mínima de 30 dias por email aos clientes ativos.

Encarregado pelo Tratamento de Dados: dpo@jornadapaciente.com.br.

Você também pode reclamar diretamente à Autoridade Nacional de Proteção de Dados (ANPD).