Política de Privacidade

Última atualização: 21 de março de 2026

1. Introdução

A Doctor IA ("nós", "nosso" ou "Plataforma"), acessível em https://mydoctoria.ai, é uma plataforma SaaS de atendimento inteligente com integração WhatsApp, inteligência artificial e gestão de agendamentos voltada para clínicas, consultórios e empresas de saúde.

Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais dos usuários da Plataforma, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018 — LGPD) e demais legislações aplicáveis.

Ao utilizar nossos serviços — seja como representante de uma Empresa Usuária, seja como paciente ou cliente final atendido via WhatsApp —, você concorda com as práticas descritas nesta Política. Caso não concorde, recomendamos que não utilize a Plataforma.

2. Definições

Para fins desta Política, aplicam-se as seguintes definições:

  • Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável, como nome, CPF, e-mail, número de telefone e endereço IP
  • Dados Pessoais Sensíveis: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural
  • Dados Anonimizados: dados relativos a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento
  • Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais
  • Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
  • Empresa Usuária: clínica, consultório ou empresa que contrata a Plataforma Doctor IA para gerenciar seu atendimento

3. Controlador e Operador de Dados

A Plataforma Doctor IA opera em um modelo multi-tenant no qual os papéis de controlador e operador são distribuídos da seguinte forma:

3.1 Doctor IA como Operadora

Em relação aos dados pessoais de pacientes e clientes finais atendidos via WhatsApp ou demais canais integrados, a Doctor IA atua como operadora de dados, realizando o tratamento em nome e conforme as instruções da Empresa Usuária que contratou a Plataforma.

3.2 Empresas Usuárias como Controladoras

As Empresas Usuárias (clínicas, consultórios e demais organizações) são as controladoras dos dados pessoais de seus pacientes e clientes finais. Elas determinam as finalidades e os meios de tratamento desses dados, sendo responsáveis por garantir base legal própria para a coleta e o uso das informações de seus pacientes.

3.3 Doctor IA como Controladora

Em relação aos dados pessoais dos representantes das Empresas Usuárias (dados de cadastro, autenticação e pagamento), a Doctor IA atua como controladora de dados, sendo responsável pelas decisões referentes a esse tratamento.

Para questões relacionadas a esta Política, entre em contato através dos canais informados na seção "Contato" ao final deste documento.

4. Dados Pessoais Coletados

Coletamos diferentes categorias de dados pessoais conforme a interação do usuário com a Plataforma:

4.1 Dados fornecidos pelo usuário

  • Nome completo
  • Endereço de e-mail
  • Número de telefone (WhatsApp)
  • CPF (quando necessário para agendamento ou cadastro em ERPs integrados)
  • Conteúdo de mensagens enviadas via WhatsApp (texto, áudio, imagens)
  • Informações de agendamento (datas, horários, procedimentos, profissionais)
  • Dados da organização (nome da clínica, CNPJ, endereço)
  • Credenciais de acesso (e-mail e senha, gerenciados via Supabase Auth)

4.2 Dados coletados automaticamente

  • Endereço IP
  • Tipo de navegador e sistema operacional
  • Dados de navegação e interação com a Plataforma (páginas acessadas, cliques)
  • Data e hora de acesso
  • Identificadores de dispositivo
  • Dados de geolocalização aproximada (derivados do IP)

4.3 Dados de pagamento

Dados de pagamento (como número de cartão de crédito) são processados diretamente pelo nosso provedor de pagamentos (Stripe, Inc.) e não são armazenados em nossos servidores. Mantemos apenas registros de transações (valor, data, status, identificador Stripe) para fins de controle financeiro e gestão de assinaturas.

4.4 Dados de saúde (sensíveis)

Quando a Plataforma está integrada com ERPs de saúde (como Clinix, Dental Office ou Clinicorp), podem ser tratados dados relativos a agendamentos médicos e odontológicos, incluindo tipo de procedimento, profissional responsável e histórico de consultas. Esses dados são considerados dados pessoais sensíveis nos termos do art. 5º, II da LGPD e recebem proteção reforçada conforme descrito nesta Política.

5. Finalidades do Tratamento

Os dados pessoais são tratados para as seguintes finalidades:

  • Prestação de serviços: possibilitar o atendimento ao cliente via WhatsApp, agendamento de consultas, gestão de relacionamento e operação da Plataforma
  • Comunicação: enviar mensagens, notificações, confirmações de agendamento e lembretes relacionados ao serviço contratado
  • Inteligência Artificial: utilizar IA (Google Gemini) para gerar respostas automatizadas, auxiliar no atendimento, transcrever áudios e otimizar a experiência do usuário
  • Agendamento: gerenciar horários, consultas e compromissos em sistemas integrados (ERPs e Google Calendar)
  • Pagamentos: processar cobranças, gerenciar assinaturas e emitir documentos fiscais via Stripe
  • Segurança: prevenir fraudes, detectar atividades suspeitas, aplicar limitação de taxa de requisições e manter registros de auditoria
  • Melhoria do serviço: analisar padrões de uso de forma agregada e anonimizada para aprimorar funcionalidades
  • Cumprimento legal: atender obrigações legais e regulatórias aplicáveis, incluindo a LGPD e normas setoriais de saúde

6. Bases Legais para o Tratamento

O tratamento de dados pessoais é realizado com base nas seguintes hipóteses previstas na LGPD:

6.1 Dados pessoais comuns (art. 7º)

  • Consentimento (art. 7º, I): quando o titular fornece seus dados voluntariamente ao iniciar uma conversa via WhatsApp ou ao se cadastrar na Plataforma
  • Execução de contrato (art. 7º, V): quando o tratamento é necessário para a prestação do serviço contratado pela Empresa Usuária
  • Legítimo interesse (art. 7º, IX): para melhoria dos serviços, segurança da Plataforma e prevenção de fraudes
  • Cumprimento de obrigação legal (art. 7º, II): quando exigido por lei ou regulamentação aplicável
  • Exercício regular de direitos (art. 7º, VI): em processo judicial, administrativo ou arbitral

6.2 Dados pessoais sensíveis (art. 11)

Quando houver tratamento de dados pessoais sensíveis — como informações de saúde relacionadas a agendamentos médicos e odontológicos —, as bases legais aplicáveis incluem:

  • Consentimento específico (art. 11, I): consentimento do titular de forma específica e destacada para finalidades específicas
  • Tutela da saúde (art. 11, II, "f"): em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária

7. Compartilhamento de Dados

Os dados pessoais podem ser compartilhados com os seguintes terceiros, estritamente para as finalidades descritas nesta Política:

  • Supabase (Supabase Inc.): infraestrutura de banco de dados, autenticação e armazenamento de arquivos — servidores nos EUA com certificações SOC 2 Type II
  • Stripe (Stripe, Inc.): processamento seguro de pagamentos e gestão de assinaturas — certificação PCI DSS Nível 1
  • Meta Platforms (WhatsApp Business API): envio e recebimento de mensagens via WhatsApp para atendimento ao cliente, através da Evolution API como intermediária
  • Google LLC (Google Gemini): serviços de inteligência artificial para geração de respostas automatizadas, transcrição de áudio e processamento de linguagem natural
  • Google LLC (Google Calendar): sincronização de agendamentos quando configurado pela Empresa Usuária
  • Vercel (Vercel Inc.): hospedagem e infraestrutura da aplicação web
  • Upstash: processamento de fila de mensagens (Redis) para garantir entrega confiável e ordenada
  • ERPs de saúde (Clinix, Dental Office, Clinicorp): integração para gestão de agendamentos, profissionais e procedimentos, conforme configurado pela Empresa Usuária

Todos os terceiros mencionados são obrigados contratualmente a tratar os dados de forma segura e em conformidade com as leis de proteção de dados aplicáveis. Não vendemos, alugamos ou compartilhamos dados pessoais para fins de marketing de terceiros.

8. Uso de Inteligência Artificial

A Plataforma Doctor IA utiliza inteligência artificial (Google Gemini) como componente central do serviço de atendimento. Informamos que:

  • As mensagens enviadas pelos pacientes e clientes finais via WhatsApp são processadas por modelos de IA para gerar respostas automatizadas, agendar consultas e fornecer informações sobre a clínica
  • O processamento por IA é realizado em tempo real e os dados são utilizados exclusivamente para a finalidade de atendimento no contexto daquela conversa
  • Não utilizamos os dados das conversas para treinamento de modelos de IA de terceiros. Os dados enviados ao Google Gemini são processados conforme a política de uso de API do Google, que não utiliza dados de API para treinamento de modelos
  • A IA pode realizar chamadas de funções (function calling) para buscar horários, agendar, cancelar ou remarcar consultas nos ERPs integrados
  • A IA pode gerar transcrições de mensagens de áudio enviadas pelo usuário para facilitar o atendimento
  • O usuário pode solicitar escalonamento para atendimento humano a qualquer momento durante a interação com a IA
  • As Empresas Usuárias podem configurar o comportamento da IA, incluindo instruções personalizadas, profissionais disponíveis e horários de atendimento

9. Tratamento de Mensagens via WhatsApp

As mensagens trocadas via WhatsApp são:

  • Recebidas através da Evolution API (intermediária da WhatsApp Business API) e armazenadas de forma segura em nosso banco de dados (Supabase) para manter o histórico de atendimento
  • Utilizadas para fornecer contexto ao atendimento por IA e possibilitar a continuidade das conversas
  • Processadas pela IA apenas para gerar respostas relevantes ao contexto do atendimento da Empresa Usuária específica
  • Protegidas por criptografia em trânsito (TLS/HTTPS) e em repouso
  • Isoladas por organização (multi-tenant) — uma Empresa Usuária jamais tem acesso às mensagens de outra

As mensagens são transmitidas através da API oficial do WhatsApp Business (Meta Platforms) e estão sujeitas também à Política de Privacidade do WhatsApp.

10. Armazenamento e Segurança dos Dados

Adotamos medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento inadequado:

  • Criptografia de dados em trânsito (TLS/HTTPS) e em repouso
  • Controle de acesso baseado em funções (RBAC) com sistema hierárquico de permissões (super-admin, owner, admin, operador, visualizador)
  • Políticas de segurança em nível de linha (Row Level Security — RLS) no banco de dados, garantindo isolamento multi-tenant
  • Monitoramento e registro de auditoria de eventos de segurança (audit logging) para autenticação, acessos e operações sensíveis
  • Proteção contra ataques comuns (OWASP Top 10), incluindo limitação de taxa de requisições (rate limiting), validação de entrada com schemas Zod e proteção contra SSRF
  • Headers de segurança HTTP (X-Frame-Options, Content-Security-Policy, X-Content-Type-Options)
  • Revisão periódica das práticas de segurança

Os dados são armazenados em servidores seguros fornecidos por provedores de infraestrutura de nuvem com certificações de segurança reconhecidas internacionalmente (SOC 2 Type II, ISO 27001, PCI DSS).

11. Transferência Internacional de Dados

Alguns dos nossos prestadores de serviços possuem servidores e infraestrutura localizados fora do Brasil, incluindo Estados Unidos e outras jurisdições. Isso implica a transferência internacional de dados pessoais. Nesses casos, garantimos que a transferência é realizada em conformidade com o art. 33 da LGPD, mediante:

  • Contratação de prestadores que oferecem nível adequado de proteção de dados, conforme reconhecido pela ANPD
  • Utilização de cláusulas contratuais padrão que asseguram a proteção dos dados pessoais transferidos
  • Seleção de prestadores que aderem a frameworks reconhecidos de proteção de dados (como o EU-US Data Privacy Framework)
  • Transferência para países ou organismos internacionais que proporcionem grau de proteção adequado aos dados pessoais

Os principais prestadores sujeitos a transferência internacional incluem: Supabase, Stripe, Google, Vercel, Upstash e Meta Platforms.

12. Retenção de Dados

Os dados pessoais são mantidos pelo período necessário para cumprir as finalidades para as quais foram coletados, incluindo:

  • Dados de conta da Empresa Usuária: mantidos enquanto a conta estiver ativa ou conforme necessário para prestar serviços. Após cancelamento da assinatura, os dados são retidos por até 90 dias para permitir reativação
  • Mensagens de atendimento: mantidas pelo período configurado pela Empresa Usuária ou pelo período necessário ao atendimento e eventuais obrigações legais
  • Dados de pagamento: registros mantidos conforme exigências fiscais e regulatórias (mínimo de 5 anos)
  • Registros de auditoria: mantidos pelo prazo legal aplicável (mínimo de 6 meses)
  • Dados de saúde: mantidos conforme exigências do Conselho Federal de Medicina (CFM) e demais normas setoriais aplicáveis

Após o término do período de retenção, os dados serão eliminados ou anonimizados de forma segura e irreversível.

13. Direitos do Titular dos Dados

Em conformidade com os arts. 17 a 22 da LGPD, você possui os seguintes direitos em relação aos seus dados pessoais:

  • Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados pessoais
  • Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço ou produto
  • Eliminação: solicitar a eliminação dos dados tratados com base no consentimento, exceto nas hipóteses previstas no art. 16 da LGPD
  • Informação sobre compartilhamento: obter informação sobre entidades públicas e privadas com as quais seus dados são compartilhados
  • Revogação do consentimento: revogar o consentimento a qualquer momento, sem comprometer a licitude do tratamento realizado anteriormente
  • Oposição: opor-se ao tratamento realizado com base em hipótese diferente do consentimento, caso haja descumprimento da LGPD
  • Revisão de decisões automatizadas: solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, incluindo decisões de IA

Para exercer qualquer desses direitos, entre em contato conosco através dos canais informados na seção "Contato". Responderemos à sua solicitação no prazo de 15 (quinze) dias úteis, conforme previsto no art. 18, §5º da LGPD.

Importante: para dados de pacientes e clientes finais atendidos via WhatsApp, a solicitação deve ser direcionada primariamente à Empresa Usuária (controladora dos dados). A Doctor IA auxiliará no atendimento conforme sua condição de operadora.

14. Cookies e Tecnologias Semelhantes

Nossa Plataforma utiliza cookies e tecnologias semelhantes para:

  • Manter sua sessão de autenticação ativa (cookies de sessão do Supabase Auth)
  • Lembrar suas preferências (como tema claro/escuro)
  • Garantir a segurança e o funcionamento correto da Plataforma

Utilizamos apenas cookies essenciais para o funcionamento do serviço. Não utilizamos cookies de rastreamento publicitário, pixels de terceiros ou tecnologias de fingerprinting para fins de marketing ou publicidade comportamental.

15. Dados de Menores de Idade

A Plataforma Doctor IA é destinada a Empresas Usuárias e seus representantes maiores de 18 anos. Não coletamos intencionalmente dados pessoais de menores de idade para fins de cadastro ou acesso à Plataforma.

Quando pacientes menores de idade forem atendidos via WhatsApp no contexto de agendamentos médicos ou odontológicos, o tratamento de seus dados será realizado com base no consentimento específico de pelo menos um dos pais ou responsável legal, conforme art. 14 da LGPD, sendo responsabilidade da Empresa Usuária (controladora) obter tal consentimento.

Caso tenhamos conhecimento de que coletamos dados de um menor sem o consentimento adequado, tomaremos as medidas necessárias para eliminar tais dados.

16. Alterações nesta Política

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas, novas funcionalidades da Plataforma ou requisitos legais. Notificaremos os usuários sobre alterações significativas através da Plataforma ou por e-mail. A data da última atualização será sempre indicada no topo deste documento.

Recomendamos que você revise esta Política periodicamente para se manter informado sobre como protegemos seus dados.

17. Contato

Para dúvidas, solicitações ou reclamações relacionadas a esta Política de Privacidade ou ao tratamento de seus dados pessoais, entre em contato conosco:

Caso não esteja satisfeito com a resposta recebida, você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), através do site www.gov.br/anpd.