LGPD Compliance

Política de Privacidade e Proteção de Dados

Em conformidade com a Lei Geral de Proteção de Dados — Lei n.º 13.709/2018

Última atualização: 17 de março de 2026

Nota: Este documento é um template inicial para conformidade com a LGPD. Recomendamos revisão por advogado especializado antes de publicação definitiva.

1. Controlador e Operador dos Dados

Operadora da plataforma (LaurinhIA)

Razão social: LaurinhIA
CNPJ: 07.583.868/0001-00
E-mail do Encarregado (DPO): dpo@laurinhia.com
Site: laurinhia.com

A LaurinhIA atua como operadora dos dados pessoais, conforme LGPD art. 5º, VII, tratando dados por conta e sob instrução de cada clínica odontológica cliente. A controladora (LGPD art. 5º, VI) dos dados do paciente é a própria clínica, que define as finalidades e os meios do tratamento no contexto da relação médico-paciente.

Para identificar a clínica controladora específica e o encarregado dela, entre em contato pelo canal de WhatsApp que recebeu a mensagem ou pelos dados apresentados na primeira interação. A LaurinhIA mantém registros auditáveis para direcionar o titular ao controlador correto.

2. Dados Pessoais Coletados

Coletamos apenas os dados necessários para a prestação dos serviços odontológicos (princípio da minimização — LGPD Art. 6º, III):

Dados de Identificação

  • Nome completo
  • Número de telefone
  • Endereço de e-mail (opcional)
  • Data de nascimento (opcional)
  • CPF (quando necessário para procedimentos)

Dados de Saúde e Atendimento

  • Histórico de consultas e agendamentos
  • Procedimentos realizados
  • Histórico de conversas via WhatsApp
  • Preferências de comunicação

3. Finalidade e Base Legal do Tratamento

FinalidadeBase Legal (LGPD)
Agendamento e gestão de consultasArt. 7º, V — execução de contrato
Atendimento via WhatsAppArt. 7º, I — consentimento explícito
Respostas automáticas por IAArt. 7º, I — consentimento explícito
Lembretes de consultaArt. 7º, V — execução de contrato
Comunicações de marketingArt. 7º, I — consentimento (revogável)
Registro e auditoria de acessosArt. 7º, II — cumprimento de obrigação legal

3.1 Dados recebidos da Plataforma Meta (WhatsApp Business e Instagram)

Quando uma clínica conecta sua conta WhatsApp Business ou Instagram à LaurinhIA, recebemos diretamente da Meta Platforms, Inc. os seguintes dados da Plataforma, sempre limitados ao estritamente necessário para prestar o serviço:

  • WhatsApp Business ID (wa_id): identificador único do usuário no WhatsApp (equivale ao número de telefone em formato E.164)
  • Nome do contato (profile name): nome apresentado pelo próprio usuário em seu perfil WhatsApp
  • Mensagens e mídias: texto, áudio, imagens, documentos e botões interativos enviados ao número da clínica
  • Metadados da mensagem: timestamp, status de entrega e leitura, tipo de mídia
  • Instagram Page-Scoped ID (PSID): identificador anônimo por página para DMs recebidas
  • Tokens de acesso (server-only): credenciais criptografadas usadas exclusivamente para envio via Cloud API; nunca expostos ao navegador

Uso restrito: esses dados são usados apenas para (i) responder ao usuário dentro da janela de 24 horas de atendimento, (ii) enviar mensagens transacionais via templates aprovados pela Meta (lembretes de consulta, confirmação, NPS pós-consulta) e (iii) opcionalmente, mensagens de reengajamento para pacientes que deram consentimento explícito de marketing.

Não compartilhamos esses dados com terceiros além dos operadores listados na seção 6 (Compartilhamento com Operadores). Não vendemos dados. Não usamos para publicidade direcionada por terceiros. Em caso de solicitação de exclusão via /excluir-dados, removemos também esses dados da Plataforma Meta em até 15 dias úteis.

Todo o tratamento está em conformidade com a Meta Platform Terms, a WhatsApp Business Messaging Policy e a LGPD.

4. Direitos dos Titulares de Dados — LGPD Art. 18

Acesso

Art. 18, I

Você pode solicitar confirmação sobre o tratamento e acesso aos seus dados pessoais.

Retificação

Art. 18, III

Você pode solicitar a correção de dados incompletos, inexatos ou desatualizados.

Anonimização ou Exclusão

Art. 18, IV

Você pode solicitar a anonimização, bloqueio ou eliminação de dados desnecessários.

Portabilidade

Art. 18, V

Você pode solicitar exportação dos seus dados em formato estruturado (JSON).

Revogação de Consentimento

Art. 18, IX

Você pode revogar seu consentimento a qualquer momento pelo link enviado por WhatsApp.

Direito ao Esquecimento

Art. 17

Você pode solicitar a exclusão dos seus dados após o término do tratamento.

Como exercer seus direitos: Acesse o painel de preferências pelo link enviado por WhatsApp, ou entre em contato diretamente com a clínica. Responderemos em até 15 dias úteis (ANPD Resolução CD/ANPD nº 2/2022).

5. Política de Retenção de Dados — LGPD Art. 15 e 16

Categoria de DadoPrazo de RetençãoJustificativa
Dados de pacientes ativosDurante o tratamentoExecução do serviço
Histórico de consultas5 anos após última consultaObrigação legal — CFO/CFM
Logs de auditoria5 anosLGPD Art. 16 — obrigação legal
Conversas (paciente opt_out)180 dias após opt_outAnonimizadas automaticamente
Links de preferências90 diasRenovados a cada acesso

5.1 Compartilhamento com Operadores — Sub-processadores

Para prestar o serviço, contratamos operadores sub-processadores que tratam dados pessoais em nosso nome, sempre com contrato de processamento de dados (DPA) vigente, cláusulas de confidencialidade e padrões de segurança equivalentes à LGPD e ao GDPR.

OperadorPaísFinalidade
Supabase, Inc.EUABanco de dados PostgreSQL gerenciado (cadastro e histórico de conversas)
Vercel, Inc.EUAHospedagem serverless do frontend
OpenAI OpCo, LLCEUAEmbeddings semânticos, transcrição de áudio (Whisper) e geração de respostas por IA
Google LLCEUA / IrlandaModelo Gemini (opcional, habilitável por flag)
ElevenLabs Inc.EUASíntese de voz (TTS) — habilitável por clínica
Functional Software, Inc. (Sentry)EUAMonitoramento de erros (com filtro de PII antes do envio)
Microsoft Corporation (Clarity)EUAAnalytics de sessão do frontend
GitHub, Inc. (Microsoft)EUAControle de versão, CI/CD e backup criptografado
Meta Platforms, Inc.EUAWhatsApp Business Cloud API e Instagram Graph API (controlador conjunto)

Transferências internacionais ocorrem mediante cláusulas contratuais padrão (Standard Contractual Clauses) ou decisões de adequação equivalentes. Para lista detalhada e atualizada, envie e-mail para dpo@laurinhia.com.

6. Segurança dos Dados — LGPD Art. 46

Adotamos medidas técnicas e organizacionais para proteger seus dados pessoais:

  • Row Level Security (RLS): Isolamento multi-tenant — cada clínica acessa apenas seus próprios dados.
  • Autenticação JWT: Tokens criptografados com expiração automática.
  • Auditoria imutável: Registro de todos os acessos e operações em dados sensíveis.
  • Backup automático: Dados copiados diariamente com retenção conforme política.
  • Notificação de incidentes: Em caso de vazamento, a ANPD e os titulares afetados serão notificados em até 72 horas (LGPD Art. 48).

7. Encarregado de Proteção de Dados (DPO) — LGPD Art. 5º, VIII

Para exercer seus direitos, esclarecer dúvidas ou fazer reclamações sobre o tratamento dos seus dados pessoais, entre em contato com o encarregado (DPO) da clínica que o atende:

O contato do DPO da sua clínica está disponível na plataforma (Configurações → Proteção de Dados) ou pode ser solicitado diretamente à clínica.

Caso não receba resposta satisfatória, você pode contatar a Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd

8. Gestão de Consentimento

Você pode gerenciar seus consentimentos a qualquer momento:

LGPD (Geral)

Tratamento básico dos dados

Obrigatório

WhatsApp

Comunicações via WhatsApp

Inteligência Artificial

Respostas automáticas por IA

Marketing

Comunicações promocionais

Compartilhamento

Compartilhamento com parceiros

Para alterar seus consentimentos, acesse o link enviado por WhatsApp ou solicite à clínica que envie um novo link de preferências.

Esta política está em conformidade com a Lei Geral de Proteção de Dados — Lei n.º 13.709/2018

Última atualização: 17 de março de 2026 · LaurinhIA