Política de Privacidade

A sua privacidade é prioridade pra nós. Esta Política de Privacidade ("Política") descreve como o ConvertŸa coleta, usa, armazena, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — "LGPD"), o Marco Civil da Internet (Lei 12.965/2014) e demais normas aplicáveis.

Ao criar conta ou usar o Serviço, você concorda com as práticas descritas aqui. Recomendamos a leitura atenta.

O controlador dos dados pessoais tratados pela Plataforma é a sociedade responsável pela operação do ConvertŸa. Para exercer direitos previstos na LGPD ou tirar dúvidas sobre privacidade, escreva pra:

• Encarregado de Proteção de Dados (DPO): privacidade@convertya.app
• Contato geral: contato@convertya.app

Tratamos dados pessoais pra:

• Autenticar e autorizar acesso ao Serviço;
• Prestar as funcionalidades contratadas (CRM, assistente virtual, integrações);
• Processar pagamentos e faturamento;
• Dar suporte técnico e responder a solicitações;
• Enviar comunicações transacionais (alertas, atualizações, cobrança);
• Enviar comunicações de marketing (com base em consentimento, quando aplicável);
• Analisar uso agregado pra melhorar a Plataforma;
• Cumprir obrigações legais, regulatórias e ordens judiciais;
• Prevenir fraudes e garantir segurança da informação.

Cada tratamento é amparado em base legal prevista na LGPD:

• Execução de contrato (Art. 7º, V): dados cadastrais, de uso e pagamento necessários pra prestação do Serviço.
• Consentimento (Art. 7º, I): comunicações de marketing, cookies não-essenciais, envio de notificações opcionais.
• Cumprimento de obrigação legal (Art. 7º, II): guarda de logs (Marco Civil), retenção fiscal, cooperação com autoridades.
• Legítimo interesse (Art. 7º, IX): segurança da plataforma, prevenção a fraudes, analytics agregado.

Usamos prestadores de serviços cuidadosamente selecionados, sob contratos que asseguram confidencialidade e conformidade com a LGPD. Os principais subprocessadores são:

• Supabase (PostgreSQL, autenticação, armazenamento): banco de dados e arquivos — servidores na AWS (us-east-1);
• Vercel: hospedagem da aplicação web;
• Meta / WhatsApp: infraestrutura de mensagens instantâneas (sujeita às políticas do WhatsApp Business);
• Google (Gemini API): processamento de linguagem natural pra assistente virtual; prompts são enviados sem identificadores diretos do paciente quando possível;
• Upstash (QStash): filas de processamento assíncrono;
• Stripe / Pagar.me / equivalente: processamento de pagamentos (o ConvertŸa não armazena dados de cartão);
• Clinicorp ou ERP integrado: apenas quando o Cliente ativar a integração.

Não vendemos nem cedemos dados pessoais a terceiros pra fins comerciais. Compartilhamento adicional ocorre apenas: (i) com o consentimento do titular; (ii) pra cumprir obrigação legal; (iii) por ordem judicial; (iv) pra defesa em processos.

Alguns subprocessadores armazenam ou processam dados fora do Brasil (EUA, União Europeia). Essas transferências seguem o previsto no Art. 33 da LGPD, amparadas por cláusulas contratuais padrão, garantias contratuais específicas ou a existência de nível adequado de proteção no país de destino.

Os dados são mantidos pelos seguintes prazos:

• Dados cadastrais da conta: enquanto a conta estiver ativa + 5 anos após encerramento (prescrição tributária e trabalhista);
• Conversas de WhatsApp e mídias: 2 anos após a última interação, salvo solicitação de exclusão;
• Logs de acesso e segurança: 6 meses (Marco Civil, Art. 15);
• Dados de pagamento (registros, não cartão): 5 anos (legislação fiscal);
• Dados sob consentimento revogável: até a revogação do consentimento.

Após o prazo, os dados são excluídos ou anonimizados de forma irreversível, ressalvada obrigação legal de retenção superior.

A LGPD garante a você os seguintes direitos (Art. 18):

• Confirmação da existência de tratamento;
• Acesso aos dados pessoais;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• Portabilidade a outro fornecedor;
• Eliminação de dados tratados com consentimento, ressalvadas as hipóteses de guarda legal;
• Informação sobre entidades com quem seus dados são compartilhados;
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
• Revogação do consentimento.

Pra exercer qualquer um desses direitos, escreva pra privacidade@convertya.app. Responderemos no prazo legal de 15 (quinze) dias, podendo solicitar comprovação de identidade.

Adotamos medidas técnicas e organizacionais compatíveis com as melhores práticas de mercado:

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256 no banco);
• Senhas armazenadas com hash bcrypt (nunca em texto claro);
• Row Level Security (RLS) no banco, isolando dados por clínica (multi-tenant);
• Autenticação com controle de sessão e expiração automática;
• Logs de auditoria, monitoramento e alertas de segurança;
• Backups diários criptografados, testes periódicos de recuperação;
• Revisão de acessos internos, princípio do mínimo privilégio.

Em caso de incidente de segurança com risco relevante aos titulares, a ConvertŸa notificará a ANPD e os titulares afetados em prazo razoável, conforme Art. 48 da LGPD.

O Serviço é destinado a adultos (clínicas e profissionais). Dados de pacientes menores eventualmente inseridos pelo Cliente devem ser tratados conforme o Art. 14 da LGPD e com consentimento específico dos responsáveis legais, sendo responsabilidade exclusiva do Cliente coletar e manter esse consentimento.

Podemos atualizar esta Política periodicamente. Alterações materiais serão comunicadas com antecedência de 15 (quinze) dias pelo e-mail da conta e por aviso em destaque na Plataforma. A data de "Última atualização" no topo desta página indica a versão vigente.

Se você entender que seus direitos não foram adequadamente atendidos, poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd.