Política de Privacidade — IAgo
Versão: 1.1 Data de vigência: {{DATA_VIGENCIA}} Última atualização: 2026-05-05
Esta Política de Privacidade descreve como o IAgo coleta, usa, armazena e compartilha dados pessoais dos pacientes e usuários do sistema, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei n.º 13.709/2018) e o Código de Defesa do Consumidor (CDC — Lei n.º 8.078/1990).
1. Quem é responsável pelos seus dados
O IAgo é uma plataforma SaaS (Software como Serviço) que presta serviços de agendamento via chatbot a clínicas e consultórios de saúde.
Modelo de responsabilidade:
| Agente | Papel | Identificação |
|---|---|---|
| Clínica ou consultório contratante | Controlador de Dados (art. 5º, VI, LGPD) — define as finalidades e os meios do tratamento | {{NOME_CLINICA}}, {{CNPJ_CLINICA}}, {{ENDERECO_CLINICA}} |
| Biohub Solutions Inova Simples I.S. | Operador de Dados (art. 5º, VII, LGPD) — trata os dados em nome do controlador, conforme instruções documentadas | CNPJ: 50.090.095/0001-50, Rua Azeredo Coutinho, 139, sala 5, Várzea, Recife - PE, CEP 50741-110 |
A clínica é o controlador com quem você mantém relação direta. O IAgo atua como operador e, portanto, processa seus dados exclusivamente segundo as instruções da clínica contratante.
Encarregado de Dados (DPO) da clínica: Nome: {{NOME_DPO_CLINICA}} E-mail: {{EMAIL_DPO_CLINICA}}
Canal de Privacidade do IAgo (operador): E-mail: privacidade@biohub.solutions
A Biohub Solutions opera no regime de Agente de Tratamento de Pequeno Porte (ATPP) nos termos da Resolucao CD/ANPD n.o 2/2022, que dispensa a nomeacao formal de Encarregado (DPO). O canal acima atende a todas as solicitacoes de titulares e de autoridades no ambito das atividades do IAgo.
2. Dados que coletamos
2.1 Dados cadastrais (fornecidos pelo paciente via WhatsApp)
- Nome completo
- CPF (armazenado com criptografia AES em repouso)
- Número de telefone celular (WhatsApp)
2.2 Dados de consulta e agendamento
- Data, horário e status da consulta (agendada, confirmada, cancelada, remarcada)
- Nome do profissional de saúde responsável
- Histórico de remarcações e cancelamentos
2.3 Dados de conversa (metadados e conteúdo)
- Mensagens trocadas entre o paciente e o chatbot no WhatsApp
- Mensagens trocadas entre o paciente e a secretária (atendimento humano)
- Tipo de fluxo conversacional (agendamento, cancelamento, confirmação, orientação)
- Indicador de encaminhamento para atendente humano e respectivo motivo
2.4 Dados potencialmente sensíveis de saúde (art. 5º, II, LGPD)
O chatbot pode processar informações sobre saúde do paciente quando este descrever, espontaneamente ou em resposta a perguntas de orientação, informações como:
- Tipo de exame ou procedimento a ser realizado
- Perguntas sobre preparo para exames (jejum, uso de medicamentos, procedimentos)
- Orientações pós-consulta
- Informações sobre convênio de saúde ou plano médico
Tais dados são classificados como dados sensíveis pela LGPD e recebem tratamento reforçado conforme descrito nesta política.
2.5 Dados de menores de idade
Pacientes podem ser crianças ou adolescentes. Nesses casos, as informações trafegam pelo WhatsApp do responsável legal. Aplicamos as proteções adicionais do art. 14 da LGPD ao tratamento de dados de menores, exigindo consentimento do responsável.
2.6 Dados técnicos do painel web (secretárias e gestores)
- Endereço de IP de acesso
- Dados de autenticação (e-mail, hash de senha, tokens OAuth de calendário)
- Registros de acesso e ações no sistema (logs)
- Tokens de acesso ao Google Calendar e Microsoft Outlook (armazenados com criptografia)
3. Para que usamos seus dados e com qual base legal
| Finalidade | Dados usados | Base legal (LGPD) |
|---|---|---|
| Agendar, confirmar, remarcar ou cancelar consultas | Nome, CPF, telefone, data/horário | Execução de contrato ou de procedimentos preliminares (art. 7º, V) |
| Enviar lembretes de confirmação (D-3) via WhatsApp | Nome, telefone, data/horário | Execução de contrato (art. 7º, V) |
| Responder dúvidas sobre preparo para exames e orientações gerais | Conteúdo da conversa | Execução de contrato (art. 7º, V) |
| Encaminhar para atendimento humano quando necessário | Histórico de conversa, telefone | Execução de contrato (art. 7º, V) |
| Tratamento de dados sensíveis de saúde mencionados na conversa | Informações de saúde relatadas | Consentimento explícito do titular (art. 11, I, LGPD) — colhido na primeira mensagem |
| Cumprimento de obrigações legais (prontuário, escrituração) | Dados de consulta | Cumprimento de obrigação legal (art. 7º, II) |
| Segurança do sistema (logs, detecção de fraude, rate limiting) | IP, tokens, logs de acesso | Legítimo interesse do operador e controlador (art. 7º, IX), desde que não prejudique direitos do titular |
| Comunicações de marketing da clínica (se aplicável) | Nome, telefone, e-mail | Consentimento explícito (art. 7º, I) — opcional e revogável |
Não utilizamos seus dados para: decisões automatizadas que produzam efeitos jurídicos sem revisão humana, venda de dados a terceiros, elaboração de perfis comportamentais para fins de publicidade de terceiros.
4. Tratamento automatizado por Inteligência Artificial
O IAgo utiliza modelos de linguagem da Anthropic (Claude Haiku e Claude Sonnet) para processar as mensagens enviadas no WhatsApp e gerar respostas ao paciente.
O que isso significa:
- Suas mensagens são enviadas à API da Anthropic (empresa sediada nos Estados Unidos) para processamento em tempo real.
- O modelo de IA não armazena conversas de forma persistente na Anthropic — o histórico é armazenado exclusivamente nos servidores do IAgo.
- A IA opera sob guardrails (filtros automáticos) que bloqueiam respostas inadequadas e encaminham para atendente humano quando detectam risco.
- O chatbot não fornece diagnósticos médicos, prescrições ou orientações clínicas individualizadas. Respostas sobre preparo para exames são orientações gerais, e o paciente é sempre orientado a confirmar com o profissional de saúde.
Direito à revisão humana: nos termos do art. 20 da LGPD, você pode solicitar, a qualquer momento, que uma decisão ou resposta gerada automaticamente pelo chatbot seja revisada por um atendente humano. Basta digitar "quero falar com um atendente" ou clicar no botão correspondente.
5. Compartilhamento de dados e transferência internacional
5.1 Sub-operadores
Para prestar o serviço, o IAgo utiliza os seguintes fornecedores que, na qualidade de sub-operadores, podem ter acesso a dados pessoais:
| Fornecedor | País | Finalidade | Garantia |
|---|---|---|---|
| Anthropic | EUA | Processamento de linguagem natural (modelos Claude) | Termos de privacidade corporativa; transferência com base no art. 33, II, LGPD (adequação contratual) |
| Meta Platforms (WhatsApp Business API) | EUA | Plataforma WhatsApp Business — base sobre a qual a Twilio entrega as mensagens | Termos do WhatsApp Business; transferência com base no art. 33, II, LGPD |
| Twilio Inc. | EUA | Transmissão e recebimento de mensagens via WhatsApp Business (provedor ativo de produção desde 2026-04-25) | Data Protection Addendum (DPA) Twilio aceito pelo IAgo em 2026-04-27 (https://www.twilio.com/legal/data-protection-addendum, versão vigente). Cobre processamento de dados pessoais inclusive em ambiente de produção. Transferência com base no art. 33, II, LGPD (cláusulas contratuais). |
| Microsoft Azure | Brasil (São Paulo — Brasil Sul) | Hospedagem de servidores, banco de dados PostgreSQL, cache Redis | Data Processing Addendum (DPA) Microsoft; dados armazenados exclusivamente em território brasileiro (região Brasil Sul, São Paulo) — sem transferência internacional para estes serviços |
| Microsoft Azure — Speech Services | Brasil (Brazil South) | Transcrição automática de áudio (mensagens de voz dos pacientes) — dado não sai do Brasil | DPA Microsoft Online Services (https://aka.ms/DPA); sem transferência internacional (infraestrutura no Brasil) |
| Google LLC | EUA | Sincronização de agenda (Google Calendar) — somente quando a clínica utiliza Google Calendar. Inclui criação, atualização e exclusão de eventos quando agendamentos são deletados ou restaurados no IAgo | Termos de serviço Google Workspace; transferência com base no art. 33, II, LGPD |
| Microsoft (Graph API) | EUA | Sincronização de agenda (Microsoft Outlook) — somente quando a clínica utiliza Outlook. Inclui criação, atualização e exclusão de eventos quando agendamentos são deletados ou restaurados no IAgo | DPA Microsoft; transferência com base no art. 33, II, LGPD |
Sincronizacao de calendario externo: quando um agendamento é excluído no painel IAgo, o evento correspondente no Google Calendar ou Microsoft Outlook do profissional é removido imediatamente, independentemente de o agendamento ter sido criado pelo IAgo ou importado de um calendário externo. Quando um agendamento é restaurado dentro do período de lixeira (30 dias), o evento é recriado no calendário externo com um novo identificador. Nenhum dado pessoal do paciente é enviado ao Google ou à Microsoft nesse processo — apenas os dados de agenda do profissional (data, hora, duração, título do evento).
Provedor de WhatsApp: desde 2026-04-25 o IAgo utiliza a Twilio Inc. (EUA) como provedor de produção de mensagens WhatsApp Business. O DPA Twilio (referenciado na tabela acima) foi aceito em 2026-04-27 e cobre o tratamento de dados pessoais em produção. Caso o provedor seja alterado no futuro (por exemplo, retorno à Meta Cloud API direta), os usuários e clínicas serão notificados com antecedência mínima de 30 dias.
Transferência internacional: alguns fornecedores acima estão sediados nos Estados Unidos (Anthropic, Meta, Twilio, Google, Microsoft para Calendar/Outlook). Nesses casos, a transferência é realizada com fundamento no art. 33, inciso II (cláusulas contratuais específicas) e inciso V (cooperação jurídica internacional) da LGPD. O banco de dados PostgreSQL, o cache Redis e a hospedagem principal do IAgo operam exclusivamente na região Brasil Sul (São Paulo), Microsoft Azure, permanecendo integralmente em território nacional — não há transferência internacional desses dados. O Microsoft Azure Speech Services também é executado em Brasil Sul, sem transferência internacional. A relação com cada sub-operador é regida por contrato que impõe obrigações equivalentes às desta política.
5.2 Compartilhamento com autoridades
Dados pessoais podem ser compartilhados com autoridades públicas (Poder Judiciário, Ministério Público, autoridades sanitárias) quando houver ordem judicial, requisição legal ou obrigação regulatória aplicável.
5.3 O que não fazemos
Não vendemos, alugamos ou cedemos dados pessoais de pacientes a terceiros para fins comerciais.
6. Por quanto tempo guardamos seus dados
| Categoria de dado | Prazo de retenção | Base |
|---|---|---|
| Dados cadastrais do paciente (nome, CPF, telefone) | Durante a vigência do contrato da clínica + 5 anos após o encerramento | Res. CFMV 1.284/2019 (prontuário veterinário — adaptado por analogia para dados clínicos); prazo prescricional civil (art. 206, §3º, CC) |
| Histórico de consultas e agendamentos (registros ativos) | Durante a vigência do contrato da clínica + 5 anos | Mesma base acima |
| Agendamentos deletados — período na lixeira interna | 30 dias a partir da exclusão pelo operador da clínica | Legítimo interesse do operador para integridade operacional (art. 7º, IX, LGPD): permite reverter exclusão acidental durante a janela; após 30 dias, passa por anonimização parcial conforme descrito na Seção 6-A |
| Agendamentos deletados — dados agregados após anonimização parcial | Durante a vigência do contrato da clínica + 5 anos | Finalidade legítima de BI e faturamento (data, duração, profissional, status, serviço, valor); os campos de texto livre com PII são eliminados no purge |
| Histórico de conversas (mensagens do WhatsApp) | Durante a vigência do contrato da clínica + 2 (dois) anos após o encerramento | Prazo alinhado ao prazo prescricional civil de pretensões pessoais (art. 206, §3º, CC), suficiente para resolução de disputas operacionais. Nota: o IAgo retém apenas metadados de conversa e histórico de agendamento — a guarda do prontuário clínico (20 anos para CFM; 5 anos para CFMV — Res. 1.284/2019) é obrigação exclusiva da clínica controladora, não do IAgo. |
| Logs de sistema e acesso | 1 ano | Segurança operacional |
| Tokens OAuth de calendário | Até revogação pelo usuário ou encerramento da conexão | Funcional |
| Dados de consentimento | 10 anos após a coleta | Prova de conformidade (art. 7º, I, LGPD) |
Após os prazos acima, os dados são eliminados de forma segura ou anonimizados de modo que não seja possível identificar o titular.
6-A. Lixeira de Agendamentos e Purge Automatico
6-A.1 Por que existe a lixeira
Quando um atendente ou administrador de uma clínica exclui um agendamento no painel IAgo, o registro não é apagado imediatamente do banco de dados. Ele entra em uma lixeira interna com duração de 30 dias. Esse mecanismo existe para proteger tanto a clínica quanto o paciente de exclusões acidentais (por exemplo, clique incorreto).
Durante esse período:
- O agendamento pode ser restaurado pelo operador da clínica a qualquer momento.
- O evento correspondente no Google Calendar ou Microsoft Outlook do profissional é excluído imediatamente no momento da exclusão pelo painel — não aguarda os 30 dias.
- Caso o agendamento seja restaurado dentro dos 30 dias, o evento externo é recriado no calendário com um novo identificador.
Base legal para a retenção temporária: legítimo interesse do operador para integridade operacional (art. 7º, IX, LGPD), circunscrito ao prazo mínimo necessário e sem prejudicar os direitos do titular.
6-A.2 Anonimizacao parcial apos 30 dias (purge automatico)
Transcorridos os 30 dias sem que o agendamento seja restaurado, o sistema executa automaticamente uma anonimização parcial do registro:
- Eliminados: campos de texto livre que possam conter informações pessoais identificáveis, como campo de observações e anotações livres associadas ao agendamento.
- Preservados: campos agregados sem identificação direta — data, duração, identificador do profissional, identificador da clínica, status final, valor, identificador do serviço, e a referência ao paciente (apenas o identificador interno, sem dados pessoais em texto).
Os campos preservados são utilizados exclusivamente para finalidades legítimas de análise operacional, faturamento e relatórios estatísticos da clínica. O paciente não recebe notificação sobre o purge automático, pois a operação não altera seus dados cadastrais nem o histórico de consultas concluídas.
6-A.3 Excecao: solicitacao de eliminacao pelo proprio titular (art. 18, LGPD)
Quando a exclusão de um agendamento é originada de uma solicitação formal do titular exercendo seu direito de eliminação nos termos do art. 18, IV, da LGPD — identificada internamente com a origem patient_request — o registro é excluído de forma definitiva e imediata, sem passar pela lixeira de 30 dias e sem anonimização parcial.
Esse caminho garante que o exercício do direito do titular não seja postergado por mecanismos operacionais. O prazo de resposta à solicitação do titular é de até 15 dias corridos a contar do recebimento.
7. Seus direitos como titular de dados
Nos termos do art. 18 da LGPD, você tem direito a:
| Direito | O que significa |
|---|---|
| Confirmação e acesso | Saber se tratamos seus dados e obter cópia |
| Correção | Corrigir dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação | Para dados desnecessários, excessivos ou tratados em desconformidade |
| Portabilidade | Receber seus dados em formato estruturado para transferência a outro prestador |
| Eliminação após revogação do consentimento | Eliminar dados tratados com base em consentimento, quando você revogar |
| Informação sobre compartilhamento | Saber com quais entidades seus dados são compartilhados |
| Revisão de decisão automatizada | Pedir revisão humana de qualquer decisão tomada exclusivamente por IA |
| Revogação do consentimento | Retirar seu consentimento a qualquer momento, sem prejuízo ao tratamento realizado anteriormente |
Como exercer seus direitos: Entre em contato com o encarregado de dados da clínica: E-mail: {{EMAIL_DPO_CLINICA}} Prazo de resposta: até 15 dias corridos da solicitação.
8. Segurança dos dados
Adotamos as seguintes medidas técnicas e organizacionais:
- Criptografia AES em repouso para CPF e tokens sensíveis
- Conexão TLS/SSL em todas as comunicações (banco de dados, APIs externas)
- Validação de assinatura HMAC SHA-256 no webhook do WhatsApp
- Rate limiting no endpoint de recebimento de mensagens (60 req/min por IP)
- Separação lógica de dados entre clínicas (isolamento multi-tenant por chave estrangeira)
- Autenticação com confirmação de e-mail e reCAPTCHA no painel web
- Tokens OAuth armazenados com criptografia e refresh automático
- Logs de acesso e auditoria armazenados por 1 ano
Em caso de incidente de segurança: notificaremos a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares afetados em até 72 horas após a ciência do incidente, conforme o art. 48 da LGPD, caso o incidente possa acarretar risco ou dano relevante aos titulares.
9. Crianças e adolescentes
O sistema pode processar dados de pacientes menores de 18 anos, identificados pelo número de WhatsApp do responsável legal. Nesses casos:
- O consentimento para tratamento de dados é colhido do responsável legal.
- Dados de menores de 18 anos não são utilizados para fins de marketing.
- O tratamento se limita estritamente à finalidade de agendamento e orientação de saúde.
- O responsável legal pode exercer todos os direitos do art. 18 da LGPD em nome do menor.
10. Cookies e rastreadores no painel web
O painel de gestão (acesso da secretária e do gestor da clínica) utiliza:
| Tipo | Finalidade | Necessário |
|---|---|---|
| Cookies de sessão Django | Manter a sessão autenticada do usuário logado | Sim — essencial |
| Tokens CSRF | Proteção contra ataques Cross-Site Request Forgery | Sim — essencial |
| reCAPTCHA (Google) | Prevenir cadastros automatizados (bots) | Sim — segurança |
Não utilizamos cookies de rastreamento de terceiros para publicidade. O painel não é acessado por pacientes.
11. Alterações nesta política
Esta política pode ser atualizada periodicamente. Em caso de alterações relevantes, notificaremos os titulares com antecedência mínima de 30 dias, por e-mail (usuários do painel) ou por mensagem no WhatsApp (pacientes com consultas ativas).
A versão vigente estará sempre disponível em: {{URL_POLITICA_PRIVACIDADE}}
12. Contato
Encarregado de Dados (DPO) da clínica: {{NOME_DPO_CLINICA}} {{EMAIL_DPO_CLINICA}} {{TELEFONE_DPO_CLINICA}}
Canal de Privacidade do IAgo (operador): privacidade@biohub.solutions
13. Canal de Privacidade do IAgo
A Biohub Solutions opera no regime de Agente de Tratamento de Pequeno Porte
(ATPP) nos termos da Resolucao CD/ANPD n.o 2/2022, ficando dispensada da
nomeacao formal de Encarregado (DPO). O canal publico de comunicacao
privacidade@biohub.solutions e utilizado para receber e responder
solicitacoes de titulares, atuar como ponto de contato com a ANPD e orientar
a equipe interna sobre boas praticas de privacidade.
Canal de contato: privacidade@biohub.solutions
Para exercer seus direitos como titular de dados pessoais (acesso, correcao, exclusao, portabilidade, revogacao de consentimento — art. 18, LGPD), entre em contato pelo e-mail acima. Prazo de resposta: ate 15 dias corridos (prazo ATPP pode ser estendido para 30 dias nos termos da Res. CD/ANPD 2/2022 art. 4o, paragrafo unico).
Se voce e Clinica-cliente e deseja contato sobre o DPA ou sobre tratamento de dados em nome de sua clinica, utilize o mesmo canal.
A transicao para modelo de Encarregado formalmente designado sera feita
automaticamente caso a Biohub perca o enquadramento ATPP (ver
docs/legal/memorando-gatilhos-dpo.md para gatilhos de contratacao).
Aviso: Esta Politica de Privacidade foi elaborada com finalidade consultiva. Antes de publica-la, valide o documento com advogado habilitado na OAB com expertise em LGPD.