Política de Privacidade

    BlackOpero - Sistema de Gestão para Clínicas de Saúde

    Última atualização: 29 de outubro de 2025

    1. Introdução

    A BlackOpero ("nós", "nosso" ou "empresa") está comprometida com a proteção da privacidade e segurança dos dados de todos os usuários do nosso sistema de gestão para clínicas de saúde. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos suas informações pessoais e dados de saúde, em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e demais legislações aplicáveis.

    Ao utilizar nossa plataforma, você concorda com as práticas descritas nesta política. Recomendamos a leitura atenta deste documento.

    2. Definições

    • Plataforma: Sistema BlackOpero acessível via web (blackopero.com.br)
    • Usuário: Pessoa física que cria conta na plataforma
    • Clínica: Estabelecimento de saúde cadastrado por usuário assinante
    • Profissional de Saúde: Médicos, dentistas, psicólogos e demais profissionais vinculados às clínicas
    • Paciente: Pessoa física cujos dados são gerenciados pelas clínicas através da plataforma
    • Dados de Saúde: Informações relacionadas à saúde física ou mental, incluindo histórico médico, consultas, exames e procedimentos

    3. Dados Coletados

    3.1. Dados de Usuários (Profissionais)

    • Dados de Cadastro: Nome completo, email, telefone, CPF, foto de perfil
    • Dados Profissionais: Número de registro profissional (CRM, CRO, CRP, etc.), especialidade
    • Dados de Autenticação: Senha criptografada, tokens de sessão
    • Dados de Assinatura: Plano contratado, forma de pagamento, histórico de transações

    3.2. Dados de Clínicas

    • Dados Cadastrais: Razão social, nome fantasia, CNPJ, endereço completo
    • Dados de Contato: Telefone, email, site, redes sociais
    • Dados Operacionais: Horários de funcionamento, serviços oferecidos, equipe médica

    3.3. Dados de Pacientes (Dados Sensíveis - Art. 11 LGPD)

    • Dados Pessoais: Nome completo, CPF, RG, data de nascimento, sexo, estado civil
    • Dados de Contato: Endereço, telefone, email, contato de emergência
    • Dados de Saúde: Prontuário médico/odontológico, anamnese, histórico de consultas
    • Procedimentos: Tratamentos realizados, prescrições, exames, cirurgias
    • Dados Financeiros: Histórico de pagamentos, planos de saúde, orçamentos
    • Imagens Médicas: Radiografias, fotografias clínicas, exames de imagem
    • Consentimentos: Termos de consentimento para tratamentos, autorizações

    3.4. Dados de Uso e Navegação

    • Logs de Acesso: Endereço IP, navegador, sistema operacional, páginas visitadas
    • Dados de Sessão: Data/hora de acesso, duração, ações realizadas
    • Cookies: Preferências de usuário, autenticação, análise de uso

    4. Finalidades do Tratamento de Dados

    4.1. Gestão de Clínicas de Saúde

    • Gerenciamento de agenda de consultas e procedimentos
    • Registro e armazenamento de prontuários eletrônicos
    • Controle financeiro e faturamento
    • Gestão de estoque e materiais
    • Comunicação com pacientes (lembretes, confirmações, resultados)

    4.2. Prestação de Serviços

    • Criação e gerenciamento de contas de usuário
    • Autenticação e controle de acesso
    • Processamento de assinaturas e pagamentos
    • Suporte técnico e atendimento ao cliente

    4.3. Conformidade Legal

    • Cumprimento de obrigações legais e regulatórias da área da saúde
    • Resposta a requisições judiciais e administrativas
    • Prevenção e detecção de fraudes
    • Auditoria e controle de qualidade

    4.4. Melhoria da Plataforma

    • Análise de uso e comportamento (dados anonimizados)
    • Desenvolvimento de novos recursos
    • Otimização de performance e segurança

    5. Base Legal para Tratamento de Dados (LGPD)

    Fundamentamos o tratamento de dados nas seguintes bases legais previstas no Art. 7º e 11º da LGPD:

    • Consentimento (Art. 7º, I): Para dados fornecidos voluntariamente pelos usuários
    • Execução de Contrato (Art. 7º, V): Para prestação dos serviços contratados
    • Exercício Regular de Direitos (Art. 7º, VI): Para defesa em processos
    • Tutela da Saúde (Art. 11º, II, f): Para prestação de serviços de saúde
    • Obrigação Legal (Art. 7º, II): Para cumprimento de leis e regulamentos da área da saúde
    • Legítimo Interesse (Art. 7º, IX): Para segurança da plataforma e prevenção de fraudes

    6. Compartilhamento de Dados

    6.1. Dentro da Clínica

    Os dados de pacientes são compartilhados apenas com profissionais de saúde autorizados da mesma clínica, mediante controle de acesso baseado em função (Role-Based Access Control).

    6.2. Prestadores de Serviço

    Compartilhamos dados necessários com terceiros que nos auxiliam na operação da plataforma:

    • Infraestrutura: Vercel (hospedagem), Supabase (banco de dados)
    • Comunicação: Provedores de email e WhatsApp (notificações)
    • Pagamento: Gateways de pagamento (processamento de assinaturas)
    • Segurança: Serviços de autenticação e criptografia

    Importante: Todos os prestadores são cuidadosamente selecionados e obrigados contratualmente a manter o mesmo nível de proteção de dados que adotamos.

    6.3. Autoridades e Requisições Legais

    Podemos compartilhar dados quando exigido por lei, ordem judicial, requisição de autoridades sanitárias (Anvisa, Conselhos de Classe) ou para proteção de direitos.

    6.4. Transferência de Dados

    Não realizamos transferência internacional de dados de saúde. Todos os dados são armazenados em servidores localizados no Brasil ou em países com nível adequado de proteção conforme LGPD.

    7. Segurança e Proteção de Dados

    7.1. Medidas Técnicas

    • Criptografia: SSL/TLS para transmissão, AES-256 para armazenamento
    • Autenticação: Sistema robusto com autenticação de dois fatores (2FA) disponível
    • Controle de Acesso: Permissões granulares por função (owner, admin, manager, user)
    • Isolamento de Dados: Multi-tenancy com Row-Level Security (RLS)
    • Backups: Cópias diárias automatizadas com retenção de 30 dias
    • Monitoramento: Logs de auditoria de todas as ações sensíveis

    7.2. Medidas Organizacionais

    • Treinamento regular de equipe sobre proteção de dados
    • Políticas internas de segurança da informação
    • Processo de resposta a incidentes de segurança
    • Avaliação periódica de riscos e vulnerabilidades

    7.3. Resposta a Incidentes

    Em caso de violação de dados pessoais que possa acarretar risco ou dano relevante aos titulares, a BlackOpero se compromete a:

    • Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável
    • Notificar os titulares afetados sobre o incidente
    • Descrever a natureza dos dados afetados e medidas técnicas de proteção adotadas
    • Indicar medidas que podem ser adotadas pelos titulares para mitigar efeitos

    8. Retenção e Eliminação de Dados

    8.1. Prazos de Retenção

    • Dados de Usuários Ativos: Durante vigência da conta
    • Dados de Pacientes: Conforme legislação específica de cada área:
      • Prontuários Médicos: Mínimo 20 anos (CFM Resolução 1.821/2007)
      • Prontuários Odontológicos: Mínimo 20 anos (CFO Resolução 118/2012)
      • Registros Psicológicos: Mínimo 5 anos (CFP Resolução 001/2009)
    • Dados Financeiros: 5 anos (prazo prescricional tributário)
    • Logs de Auditoria: 6 meses a 1 ano

    8.2. Eliminação de Dados

    Ao término do prazo de retenção ou mediante solicitação do titular (quando aplicável), os dados são permanentemente eliminados de nossos sistemas, incluindo backups, exceto quando:

    • Houver obrigação legal de retenção (ex: prontuários médicos)
    • Necessário para exercício regular de direitos em processos
    • Exigido por autoridades competentes

    9. Direitos dos Titulares de Dados

    Conforme Art. 18 da LGPD, você tem direito a:

    • Confirmação e Acesso: Saber se tratamos seus dados e acessá-los
    • Correção: Solicitar correção de dados incompletos, inexatos ou desatualizados
    • Anonimização ou Bloqueio: Dados desnecessários, excessivos ou tratados em desconformidade
    • Eliminação: Dados tratados com consentimento, exceto nas hipóteses de retenção obrigatória
    • Portabilidade: Receber dados em formato estruturado e interoperável
    • Informação sobre Compartilhamento: Saber com quem compartilhamos seus dados
    • Revogação do Consentimento: Quando tratamento baseado em consentimento
    • Oposição: Opor-se a tratamento realizado sem consentimento

    9.1. Como Exercer Seus Direitos

    Para exercer qualquer dos direitos acima, entre em contato através:

    • Email: privacidade@blackopero.com.br
    • Portal: https://blackopero.com.br/data-deletion
    • Prazo de resposta: Até 15 dias corridos

    9.2. Limitações

    Alguns direitos podem ser limitados quando o tratamento for:

    • Necessário para cumprimento de obrigação legal (prontuários médicos)
    • Realizado para tutela da saúde do paciente
    • Exigido por autoridades reguladoras da área da saúde

    10. Cookies e Tecnologias Similares

    10.1. Tipos de Cookies Utilizados

    • Cookies Essenciais: Necessários para funcionamento da plataforma (autenticação, sessão)
    • Cookies de Performance: Análise de uso e otimização (anonimizados)
    • Cookies de Preferências: Armazenam configurações do usuário (tema, idioma)

    10.2. Gerenciamento

    Você pode gerenciar cookies através das configurações do navegador. Note que desabilitar cookies essenciais pode impactar o funcionamento da plataforma.

    11. Dados de Crianças e Adolescentes

    A plataforma BlackOpero não é destinada a menores de 18 anos para criação de contas de usuário.

    Dados de Pacientes Menores: O tratamento de dados de saúde de crianças e adolescentes atendidos pelas clínicas é realizado conforme:

    • Art. 14 da LGPD (melhor interesse da criança e adolescente)
    • Estatuto da Criança e do Adolescente (ECA - Lei 8.069/90)
    • Código de Ética Médica e demais normas profissionais
    • Consentimento dos pais ou responsáveis legais

    12. Alterações nesta Política

    Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas, legislação ou serviços. Alterações significativas serão comunicadas através:

    • Notificação por email aos usuários cadastrados
    • Aviso destacado na plataforma
    • Atualização da data no topo deste documento

    Recomendamos a revisão periódica desta política.

    13. Encarregado de Proteção de Dados (DPO)

    Conforme Art. 41 da LGPD, designamos um Encarregado de Proteção de Dados para atuar como canal de comunicação entre a BlackOpero, titulares de dados e a ANPD.

    Nome: Lucas Bellini

    Email: dpo@blackopero.com.br

    Telefone: +55 11 95197-9503

    14. Legislação Aplicável e Foro

    Esta Política de Privacidade é regida pela legislação brasileira, especialmente:

    • Lei Geral de Proteção de Dados (LGPD - Lei 13.709/2018)
    • Marco Civil da Internet (Lei 12.965/2014)
    • Código de Defesa do Consumidor (Lei 8.078/90)
    • Resoluções dos Conselhos Profissionais de Saúde (CFM, CFO, CFP, etc.)

    Fica eleito o foro da comarca de São Paulo/SP para dirimir quaisquer controvérsias decorrentes desta política.

    15. Contato

    Para questões, dúvidas ou exercício de direitos relacionados a esta Política de Privacidade:

    BlackOpero - Gestão para Clínicas de Saúde

    📧 Email: contato@blackopero.com.br

    🔒 Privacidade: privacidade@blackopero.com.br

    👤 DPO: dpo@blackopero.com.br

    🌐 Website: https://blackopero.com.br

    📱 Telefone: +55 11 95197-9503

    © 2025 BlackOpero. Todos os direitos reservados.