Política de Privacidade

Esta Política de Privacidade descreve como a MFFN Soluções Digitais Ltda ("FlexLabs"), inscrita no CNPJ sob o nº 61.895.381/0001-09, com sede em São Paulo/SP, coleta, utiliza, armazena, compartilha e protege os dados pessoais dos usuários da plataforma FlexLabs, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018: LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e demais legislações aplicáveis.

• Controlador: a clínica ou profissional de saúde que decide sobre o tratamento dos dados dos pacientes.
• Operador: MFFN Soluções Digitais Ltda, que processa os dados conforme instruções do Controlador.
• Titular: pessoa natural a quem se referem os dados pessoais (paciente, profissional).
• Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável.
• Dados Sensíveis: dados pessoais sobre saúde, origem racial, convicção religiosa, dado genético, biométrico, entre outros previstos no Art. 5º, II, da LGPD.

3.1 Dados do Profissional/Clínica

• Cadastrais: nome, CPF/CNPJ, e-mail, telefone, endereço, registro profissional (CRM, CREFITO, CRO, CRN, CREF, CRP, CRFa).
• Financeiros: dados de pagamento (cartão, Pix), dados bancários para FlexPay.
• De uso: logs de acesso, páginas visitadas, funcionalidades utilizadas, horários, endereço IP.

3.2 Dados dos Pacientes

• Cadastrais: nome, CPF, data de nascimento, telefone, e-mail, endereço.
• Clínicos (dados sensíveis): prontuário, avaliações, reavaliações, evoluções, prescrições, transcrições de consulta (FlexScribe).
• Financeiros: cobranças, pagamentos, faturas.
• Comunicação: mensagens enviadas via FlexChat (WhatsApp) e e-mail transacional.

3.3 Dados Coletados Automaticamente

Endereço IP, tipo de navegador, sistema operacional, cookies (conforme Política de Cookies), dados de geolocalização aproximada.

• Execução de contrato (Art. 7º, V, LGPD): para prestar os serviços contratados.
• Tutela da saúde (Art. 7º, VIII e Art. 11, II, "f", LGPD): para dados clínicos sensíveis no contexto de atendimento em saúde.
• Consentimento (Art. 7º, I e Art. 11, I, LGPD): quando aplicável, como para comunicações de marketing e gravação de consultas (FlexScribe).
• Obrigação legal (Art. 7º, II, LGPD): para cumprimento de obrigações fiscais, regulatórias e de guarda de prontuários.
• Legítimo interesse (Art. 7º, IX, LGPD): para melhoria da plataforma, segurança e prevenção a fraudes.

Compartilhamos dados pessoais apenas com os seguintes subprocessadores, estritamente necessários para a prestação dos serviços:

• ASAAS GESTÃO FINANCEIRA S.A., CNPJ 19.540.550/0001-21, instituição de pagamento autorizada pelo Banco Central do Brasil (processamento de pagamentos via FlexPay): dados cadastrais, financeiros e documentos de identificação (KYC): Brasil.
• OpenAI (inteligência artificial): dados clínicos pseudonimizados: Estados Unidos.
• NFS-e integrada (notas fiscais): dados fiscais para emissão de NFS-e: Brasil.
• FlexVerify (assinatura eletrônica): dados de documentos e signatários: Brasil.
• Evolution API (comunicação via WhatsApp): número de telefone e conteúdo de mensagens para FlexChat: Brasil.
• Resend (e-mail transacional): endereço de e-mail para notificações: Estados Unidos.
• Provedores de infraestrutura em nuvem (hospedagem e banco de dados): armazenamento e processamento: Estados Unidos.

Todos os subprocessadores possuem contratos de processamento de dados (DPA) e são obrigados a tratar os dados conforme a LGPD. A lista atualizada de subprocessadores está disponível mediante solicitação ao DPO.

• Banco de dados: Neon PostgreSQL com criptografia em trânsito (TLS 1.2+) e em repouso.
• Criptografia: AES-256 para dados sensíveis armazenados.
• Backup: automático com verificação de integridade SHA-256.
• Acesso: autenticação com 2FA (TOTP), controle de acesso baseado em papéis (RBAC), PIN de 4 dígitos para operações financeiras (FlexPay) com timeout de 5 minutos.
• Privacy Guard: 4 camadas de proteção aplicadas desde a concepção do produto (Privacy by Design, Art. 46, §2º, LGPD): pseudonimização, minimização de dados, criptografia e auditoria de acessos.
• Logs de auditoria: todas as operações sensíveis (acesso a prontuário, transações financeiras, uso de IA) são registradas com identificação do usuário, data/hora e ação realizada.

• Dados da conta: mantidos enquanto a conta estiver ativa + 60 dias após cancelamento para recuperação.
• Prontuários clínicos: conforme determinação do respectivo conselho de classe do profissional, observado o mínimo legal aplicável (geralmente 20 anos).
• Dados financeiros: 5 (cinco) anos, conforme obrigações fiscais (CTN Art. 173 e Art. 174).
• Logs de acesso à aplicação: 6 (seis) meses, conforme o Marco Civil da Internet (Art. 15, Lei nº 12.965/2014).
• Logs de auditoria clínica (acessos a prontuário): pelo mesmo prazo de retenção do prontuário, conforme regulamentação do conselho de classe aplicável.

Conforme a LGPD (Art. 18), o titular dos dados tem direito a:

• Confirmação da existência de tratamento.
• Acesso aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
• Portabilidade dos dados a outro fornecedor de serviço (Art. 18, V).
• Eliminação dos dados tratados com base no consentimento.
• Informação sobre com quem os dados foram compartilhados.
• Revogação do consentimento (Art. 18, IX).

Para exercer seus direitos, entre em contato com nosso Encarregado de Proteção de Dados (DPO) pelo e-mail: privacidade@flexlabs.com.br. As solicitações serão atendidas em até 15 (quinze) dias, conforme Art. 18, §5º, da LGPD.

Alguns subprocessadores (OpenAI, provedores de infraestrutura em nuvem, Resend) possuem infraestrutura nos Estados Unidos. A transferência internacional de dados é realizada com base nos seguintes mecanismos, conforme Art. 33 da LGPD e Resolução CD/ANPD nº 19/2024:

• Cláusulas-Padrão Contratuais (CPCs) firmadas com cada subprocessador internacional, nos termos da regulamentação da ANPD.
• Contratos de processamento de dados (DPAs) que asseguram nível de proteção compatível com a LGPD.
• Pseudonimização de dados sensíveis antes da transferência (especialmente para IA).

A FlexLabs monitora continuamente a conformidade dos subprocessadores com as obrigações de proteção de dados.

Encarregado: MFFN Soluções Digitais Ltda, por meio de seu representante legal.

E-mail: privacidade@flexlabs.com.br

O Encarregado é responsável por: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar funcionários e contratados sobre práticas de proteção de dados; e executar as demais atribuições previstas no Art. 41, §2º, da LGPD.

A FlexLabs elabora e mantém atualizado Relatório de Impacto à Proteção de Dados Pessoais (RIPD/DPIA), conforme Art. 38 da LGPD, cobrindo as atividades de tratamento de alto risco, incluindo: processamento de dados sensíveis de saúde em larga escala, uso de inteligência artificial para análise clínica, transcrição de consultas (FlexScribe), processamento de dados financeiros (FlexPay) e transferência internacional de dados. O RIPD está disponível para consulta pela ANPD mediante solicitação.

O FlexLabs utiliza APIs do Google para oferecer funcionalidades específicas aos seus usuários. O uso que fazemos das informações obtidas através dessas APIs adere à Google API Services User Data Policy, incluindo os requisitos de Limited Use.

Esta Política pode ser atualizada periodicamente. Alterações significativas serão comunicadas via e-mail e notificação in-app com antecedência mínima de 30 (trinta) dias. O histórico de versões anteriores está disponível mediante solicitação ao DPO.