Política de Privacidade

Política de Privacidade — SoulClinic

Última atualização: 06/10/2025

Esta Política explica como a SOULTECH SOLUÇÕES DIGITAIS LTDA (“Prestadora” ou “nós”) trata dados pessoais na SoulClinic (“Plataforma”), em conformidade com a LGPD (Lei 13.709/2018) e normas correlatas.

1. Controlador e Operador

Controlador: em regra, o Cliente (clínica/empresa de saúde) define finalidades e meios do tratamento dos dados inseridos na Plataforma.

Operador: a Prestadora atua como Operadora ao tratar dados pessoais em nome do Controlador para prover a Plataforma. Em certas hipóteses (ex.: faturamento próprio, relacionamento comercial), a Prestadora pode atuar como Controladora conjunta ou independente.

Encarregado/DPO: [Nome do DPO] — [email do DPO].

2. Dados que tratamos

Podemos tratar, conforme cada módulo utilizado pelo Cliente:

• Dados cadastrais: nome, CPF/CNPJ, e-mail, telefone, endereço, perfil de acesso.
• Dados de uso/logs: IP, data/hora, eventos do sistema, dispositivo/navegador (Marco Civil da Internet).
• Dados financeiros: meios de pagamento, faturas, notas.
• Dados de saúde (sensíveis): históricos clínicos, prescrições, exames, imunizações, imagens e documentos clínicos.
• Credenciais e certificados: uso de certificado A1/A3 para assinatura digital, quando aplicável.

3. Bases legais e finalidades

Tratamos dados conforme bases legais da LGPD, a depender do contexto e módulo:

• Execução do contrato: criar e manter contas, prestar suporte, prover funcionalidades.
• Cumprimento de obrigação legal/regulatória: obrigações fiscais, guarda mínima de registros, auditorias.
• Tutela da saúde (art. 7º, VIII e art. 11, II, f): execução de procedimentos por profissionais/serviços de saúde.
• Legítimo interesse: segurança, melhoria de funcionalidades, prevenção à fraude, desde que respeitados direitos dos titulares (teste de balanceamento).
• Consentimento: quando exigido (ex.: determinadas comunicações de marketing), com possibilidade de revogação.

4. Como coletamos

• Diretamente pelo Cliente/Usuários na Plataforma.
• Automaticamente por cookies/tecnologias similares e logs de aplicação.
• De terceiros integrados (ex.: RNDS, prescrições, gateways de pagamento), conforme configurações do Cliente.

5. Compartilhamento

Podemos compartilhar dados com: (i) provedores de nuvem/infraestrutura; (ii) serviços integrados (ex.: RNDS/Conecte SUS, prescrições eletrônicas); (iii) suporte/monitoramento; (iv) contabilidade/faturamento; (v) autoridades públicas mediante requisições legais. Exigimos contratos e medidas de segurança adequadas dos suboperadores.

6. Transferências internacionais

Dados podem ser processados em data centers fora do Brasil. Nesses casos, adotamos salvaguardas adequadas (cláusulas contratuais, padrões de segurança) e observamos o Capítulo V da LGPD.

7. Segurança da informação

Adotamos medidas técnicas e administrativas proporcionais aos riscos, incluindo: controle de acesso por perfis, criptografia em trânsito (TLS) [e em repouso quando aplicável], segregação lógica, gestão de vulnerabilidades, backups, monitoração e registro de logs. O Cliente deve manter boas práticas locais (estações seguras, política de senhas, perfis mínimos necessários).

8. Retenção e descarte

Mantemos dados pelo período necessário às finalidades, obrigações legais/regulatórias e defesa de direitos. Após o término, realizamos descarte/anonimização segura. Prazos específicos podem variar por módulo (ex.: exigências de prontuário e normas profissionais).

9. Direitos dos titulares

O titular pode exercer direitos previstos na LGPD: confirmação de tratamento, acesso, correção, anonimização/eliminação, portabilidade, informação sobre compartilhamento, revisão de decisões automatizadas e revogação de consentimento. Solicitações: [canal do titular]. O Controlador (Cliente) é quem, em regra, responde às solicitações relacionadas aos dados inseridos por ele na Plataforma; a Prestadora auxiliará como Operadora.

10. Cookies e tecnologias similares

Utilizamos cookies estritamente necessários para autenticação, segurança e sessões de uso, além de cookies funcionais e de desempenho quando configurados pelo Cliente. O Usuário pode ajustar preferências no navegador, ciente de que certas funções podem não operar sem cookies.

11. Incidentes de segurança e notificações

Caso identifiquemos incidente com risco ou dano relevante, adotaremos medidas de contenção, avaliação e comunicação ao Controlador, que é responsável por notificar a ANPD e os titulares quando exigido (art. 48 da LGPD). Cooperaremos com informações necessárias (natureza dos dados, titulares afetados, medidas técnicas, riscos e mitigação).

12. Crianças e adolescentes

Tratamentos observarão o melhor interesse do titular (art. 14 da LGPD), com atenção às bases legais aplicáveis e controles de acesso específicos definidos pelo Controlador.

13. RNDS e interoperabilidade

Quando habilitada pelo Cliente, a integração com RNDS/Conecte SUS observará normas técnicas e de segurança do Ministério da Saúde, podendo exigir cadastros e chaves específicas. O Cliente é responsável pelos requisitos institucionais para interoperar com a RNDS.

14. Assinaturas digitais (ICP-Brasil)

A Plataforma pode suportar assinaturas digitais padrão ICP-Brasil (A1/A3). O Cliente é responsável pela custódia de certificados e dispositivos; a validade jurídica segue o arcabouço legal vigente (ICP-Brasil e Lei 14.063/2020).

15. Atualizações desta Política

Podemos atualizar esta Política para refletir mudanças legais/operacionais. Quando apropriado, informaremos o Controlador ou publicaremos aviso na Plataforma.

16. Contatos

DPO/Encarregado: [Nome] — [email]
Comercial/Contratos: [email]
Endereço: Rua Leopoldo Kosmann, 55 – Casa – Bairro São Sebastião, São Miguel do Oeste/SC – CEP 89900-000

Anexos recomendados (opcionais): Acordo de Tratamento de Dados (ATD), Procedimento de Atendimento ao Titular, Plano de Resposta a Incidentes, Política de Backup e Retenção, Registro de Operações (RoPA).