Coletamos apenas o necessário para operar a plataforma. Não vendemos seus dados. Os dados dos seus pacientes são tratados sob sua responsabilidade (você é o Controlador). Cumprimos a LGPD e damos a você ferramentas para exercer seus direitos.
1Introdução
O OdontoTix, operado pela INCORPORE SOFTWARE, valoriza profundamente a privacidade dos seus usuários e a segurança das informações que trafegam na plataforma — incluindo as informações sensíveis dos pacientes das clínicas que utilizam o sistema.
Esta Política descreve, de forma transparente e em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), como tratamos os dados pessoais.
Esta Política se aplica:
- Aos visitantes do site odontotix.com.br;
- Aos clínicas e profissionais que se cadastram como usuários do sistema;
- Aos sub-usuários (secretárias e dentistas adicionais) cadastrados pelas clínicas;
- Aos pacientes cujos dados são inseridos na plataforma pelas clínicas (de forma indireta).
2Papéis na LGPD
A LGPD estabelece dois papéis principais no tratamento de dados pessoais. É essencial entender quem é quem no contexto do OdontoTix:
| Tipo de dado | Controlador | Operador |
|---|---|---|
| Dados do usuário do sistema (dentista, secretária) | OdontoTix | — |
| Dados dos pacientes da clínica | A clínica/dentista | OdontoTix |
| Dados financeiros da clínica (pagamentos) | OdontoTix (compartilha com Asaas) | Asaas |
Em relação aos dados dos seus pacientes, você é o Controlador. Isso significa que é sua responsabilidade obter consentimento, informar os pacientes, e atender solicitações de exercício de direitos. O OdontoTix apenas armazena e processa esses dados em seu nome.
3Dados Coletados
3.1. Dados que VOCÊ (usuário) nos fornece
Quando você se cadastra ou usa o sistema, coletamos:
- Dados de identificação: nome completo, e-mail, senha (criptografada);
- Dados profissionais: número CRO (apenas dentistas), tipo de usuário (dentista/secretária);
- Dados de faturamento: CPF ou CNPJ, telefone (necessários para emissão de cobranças);
- Dados de uso: data e hora de cadastro, último login, ações realizadas no sistema (auditoria);
- Foto de perfil: apenas se você fizer login via Google (nesse caso, importamos a foto pública do seu perfil Google).
3.2. Dados que SUA CLÍNICA insere sobre os pacientes
Como Operador, armazenamos os dados que você insere sobre seus pacientes, sob sua responsabilidade:
- Dados de identificação: nome, CPF, RG, sexo, data de nascimento, nomes dos pais;
- Dados de contato: telefone, endereço completo;
- Dados sensíveis de saúde: comorbidades, anamnese, evoluções clínicas, prescrições, odontograma, imagens RX;
- Dados de relacionamento: agendamentos, atendimentos realizados, histórico financeiro com a clínica.
3.3. Dados coletados automaticamente
Quando você navega no sistema, coletamos automaticamente:
- Endereço IP de acesso;
- Tipo e versão do navegador;
- Sistema operacional;
- Data e hora dos acessos;
- Páginas visitadas e ações realizadas (registro de auditoria);
- Logs de erro técnico (para diagnóstico).
3.4. Dados financeiros
Para pagamentos, coletamos os dados necessários para emissão de cobranças (CPF/CNPJ, valor, plano contratado). Não armazenamos dados de cartão de crédito em nossos servidores — esses dados são processados diretamente pelo gateway Asaas, que segue padrão PCI-DSS.
4Finalidades do Tratamento
Tratamos seus dados pessoais com as seguintes finalidades:
| Finalidade | Dados envolvidos |
|---|---|
| Permitir o cadastro e o login | E-mail, senha, dados de identificação |
| Operar a plataforma (gerenciar pacientes, agenda, prontuário) | Conteúdo do Usuário e dos pacientes |
| Emitir e gerenciar cobranças | CPF/CNPJ, dados de faturamento |
| Enviar comunicações importantes (avisos de vencimento, mudanças nos termos) | E-mail, nome |
| Suporte técnico e atendimento ao cliente | Dados de contato e logs de uso |
| Auditoria e segurança (detecção de fraude, abuso, falhas) | Logs, IP, ações realizadas |
| Cumprir obrigações legais (fiscais, regulatórias) | Dados de faturamento |
| Melhorar o produto (estatísticas agregadas) | Dados de uso anonimizados |
Nunca utilizamos os dados dos seus pacientes para outras finalidades que não sejam a operação da plataforma para a sua clínica.
5Bases Legais
O tratamento de dados pelo OdontoTix se baseia nas seguintes hipóteses legais previstas pela LGPD (art. 7º e 11):
- Execução de contrato (art. 7º, V): para prestar os serviços da plataforma após você se cadastrar;
- Cumprimento de obrigação legal (art. 7º, II): para reter dados financeiros conforme exigido pela legislação fiscal;
- Legítimo interesse (art. 7º, IX): para auditoria, segurança, prevenção a fraudes e melhorias do produto;
- Consentimento (art. 7º, I): para envios de comunicações comerciais opcionais e cookies não-essenciais.
Para os dados sensíveis de saúde dos pacientes, a base legal aplicável (art. 11) é a tutela da saúde exercida pelos profissionais cadastrados na sua clínica, sob responsabilidade do Controlador (você).
6Compartilhamento de Dados
Não vendemos, alugamos ou comercializamos dados pessoais. Compartilhamos dados apenas nas seguintes situações:
6.1. Prestadores de serviço (Subprocessadores)
Compartilhamos dados estritamente necessários com prestadores que nos auxiliam a operar a plataforma:
| Prestador | Finalidade | Dados compartilhados |
|---|---|---|
| Asaas | Processamento de pagamentos (Pix, boleto) | Nome, e-mail, CPF/CNPJ, telefone, valor |
| DialHost | Hospedagem do servidor e banco de dados | Toda a infraestrutura (com criptografia) |
| Autenticação OAuth (apenas se você optar) | E-mail, nome, foto de perfil |
6.2. Autoridades públicas
Podemos compartilhar dados com autoridades em caso de:
- Determinação judicial ou requisição administrativa formal;
- Obrigação legal (Fisco, ANPD, CFO);
- Investigação de fraude ou crime contra o serviço.
6.3. Outras situações
- Transferência empresarial: em caso de fusão, aquisição ou venda da empresa, os dados podem ser transferidos ao adquirente, com manutenção desta Política de Privacidade ou comunicação prévia.
- Com seu consentimento: em qualquer outra situação, apenas com sua autorização expressa.
7Armazenamento e Retenção
7.1. Onde os dados ficam armazenados
Os dados são armazenados em servidores localizados no Brasil, contratados junto à hospedagem DialHost. A infraestrutura conta com:
- Backup automático diário;
- Redundância de armazenamento;
- Conexão criptografada (HTTPS/TLS);
- Firewall e proteção contra DDoS.
7.2. Por quanto tempo guardamos seus dados
| Tipo de dado | Período de retenção |
|---|---|
| Conta ativa | Enquanto durar o contrato |
| Dados após cancelamento | Até 90 dias para reativação ou exportação |
| Dados financeiros / fiscais | 5 anos (obrigação legal) |
| Logs de acesso | 6 meses (Marco Civil da Internet) |
| Logs de auditoria do sistema | 1 ano |
| Backups | 30 dias rotativos |
8Segurança da Informação
Adotamos medidas técnicas e administrativas para proteger os dados:
8.1. Medidas técnicas
- Senhas criptografadas com bcrypt (custo 10) — nem nós conseguimos ver senhas em texto plano;
- HTTPS obrigatório em todas as conexões (TLS 1.2+);
- Isolamento multi-tenant a nível de banco de dados — uma clínica nunca vê dados de outra;
- Prepared statements em todas as queries SQL (proteção contra SQL injection);
- Sanitização de entrada em campos com formatação rica (proteção contra XSS);
- Tokens de webhook validados via hash_equals (resistente a timing attacks);
- Backups automáticos diários armazenados separadamente;
- Logs de auditoria de toda ação sensível (cadastro, alteração, exclusão).
8.2. Medidas administrativas
- Acesso à infraestrutura limitado à equipe técnica essencial;
- Revisão periódica de permissões;
- Atualizações regulares do sistema operacional e dependências;
- Política interna de tratamento de incidentes.
Por mais que invistamos em segurança, parte da proteção depende de você: use uma senha forte, não compartilhe credenciais, faça logout em computadores compartilhados, e configure permissões adequadas para os sub-usuários da sua clínica.
9Direitos dos Titulares
A LGPD (art. 18) garante a você os seguintes direitos sobre seus dados pessoais:
- Confirmação da existência de tratamento de seus dados;
- Acesso aos dados que mantemos sobre você;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- Portabilidade dos dados a outro fornecedor;
- Eliminação dos dados tratados com base no consentimento;
- Informação sobre com quem compartilhamos seus dados;
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento, quando aplicável;
- Oposição a tratamento realizado com base em legítimo interesse.
Como exercer seus direitos
Envie sua solicitação para privacidade@odontotix.com.br, indicando:
- Seu nome completo e e-mail cadastrado;
- Qual direito quer exercer;
- Detalhes da solicitação.
Responderemos em até 15 dias úteis. Se a solicitação for complexa, podemos prorrogar o prazo, sempre com justificativa formal.
10Cookies e Tecnologias Similares
O OdontoTix utiliza um número mínimo de cookies, estritamente necessários para o funcionamento:
| Cookie | Finalidade | Duração |
|---|---|---|
| PHPSESSID | Manter sessão de login ativa | Até logout ou fechar navegador |
Atualmente não utilizamos cookies de marketing, rastreamento de terceiros ou analytics invasivos. Se em algum momento isso mudar, esta Política será atualizada e seu consentimento será solicitado.
11Terceiros e Subprocessadores
Mantemos um relacionamento contratual com os seguintes subprocessadores que podem ter acesso a parte dos dados, exclusivamente para execução de funções específicas:
Asaas (gateway de pagamentos)
Empresa brasileira que processa nossos pagamentos. Recebe dados de faturamento da clínica (nome, CPF/CNPJ, valor) e gera cobranças Pix/boleto. Política própria em asaas.com/politica-de-privacidade.
DialHost (hospedagem)
Empresa brasileira que provê a infraestrutura de servidor e banco de dados. Possui acesso técnico à infraestrutura, mas não acessa o conteúdo de forma rotineira.
Google (autenticação opcional)
Apenas se você optar por fazer login via Google. Recebe a confirmação de que você está fazendo login no OdontoTix. O Google não recebe dados dos pacientes.
12Transferência Internacional
Atualmente não realizamos transferência internacional dos dados primários da plataforma — todos os servidores e backups estão no Brasil.
Algumas integrações periféricas (como Google OAuth, opcional) podem implicar tratamento em servidores fora do Brasil pela própria natureza desses serviços. Nesses casos, os dados transferidos são limitados (no caso do Google, apenas e-mail e nome) e os fornecedores são empresas com adequado nível de proteção.
13Menores de Idade
O OdontoTix é destinado a profissionais de saúde adultos (dentistas, equipe administrativa de clínicas). Não criamos contas para menores de 18 anos.
Em relação aos pacientes da clínica, é comum haver menores de idade. Nesses casos, é responsabilidade da clínica/dentista (Controlador) obter o consentimento do responsável legal pelo tratamento dos dados, conforme exigido pela LGPD (art. 14).
14Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos dados, comunicaremos:
- A Autoridade Nacional de Proteção de Dados (ANPD), conforme prazo regulamentar;
- Os titulares afetados, em prazo razoável e por meio adequado (e-mail e/ou banner no sistema);
- Os Controladores afetados (clínicas que utilizam o sistema) com detalhes do incidente.
A comunicação conterá, no mínimo, a descrição da natureza dos dados afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas adotadas, riscos relacionados e medidas para reverter ou mitigar os efeitos.
15Encarregado de Proteção de Dados (DPO)
Designamos um encarregado de proteção de dados (Data Protection Officer) para receber comunicações dos titulares e da ANPD:
- Encarregado: a ser designado formalmente
- E-mail dedicado: privacidade@odontotix.com.br
- Endereço postal: a ser disponibilizado mediante solicitação formal
O Encarregado é responsável por aceitar reclamações dos titulares, prestar esclarecimentos, atuar como canal de comunicação com a ANPD e orientar sobre boas práticas internas.
16Alterações nesta Política
Esta Política pode ser atualizada periodicamente. Mudanças relevantes que afetem direitos dos titulares serão comunicadas com antecedência mínima de 15 dias, via e-mail e/ou banner no sistema.
A data da última atualização sempre será exibida no topo desta página. Recomendamos consultá-la periodicamente.
Se você tem qualquer dúvida sobre como tratamos seus dados, ou quer exercer um direito previsto na LGPD, entre em contato pelo e-mail privacidade@odontotix.com.br. Estamos aqui para ajudar.