1. Escopo e papéis de tratamento
O serviço TheraCare é operado por TheraCare.
A identificação societária completa da prestadora deve constar na proposta comercial, no contrato e nos canais oficiais do serviço antes da publicação definitiva em produção.
TheraCare como controladora
Para dados do site, formulário de contato, cadastro da conta, autenticação, cobrança, convites, atendimento e segurança da plataforma, a própria TheraCare decide as finalidades essenciais do tratamento.
TheraCare como operadora
Para dados de pacientes, prontuários, anexos, agenda clínica e mensagens transacionais configuradas pela clínica, a clínica contratante é a controladora e a TheraCare atua predominantemente como operadora da infraestrutura e do software.
2. Categorias de dados tratadas pelo produto
Site, leads e suporte
Nome, clínica, e-mail, telefone, conteúdo da mensagem, IP, `user-agent`, origem da requisição e preferência do aviso de cookies.
Conta e equipe
Nome, e-mail, senha em hash, telefone, função, clínica, status da conta, especialidade, registro profissional, dados de sessão, último login, IP e `user-agent`.
Pacientes e prontuários
Identificação e contato do paciente, contatos de emergência, convênio, alergias, medicações, observações, anamnese, diagnóstico, plano terapêutico, evoluções clínicas e documentos anexados.
Financeiro, auditoria e IA
Dados cadastrais da clínica, identificadores no Stripe, pagamentos e transações, logs de auditoria, consumo de IA, mensagens do chat com o assistente e eventos de integrações.
3. Finalidades e bases de tratamento
- Responder contatos, realizar demonstrações e tratar propostas comerciais relacionadas ao serviço.
- Criar contas, autenticar usuários, manter sessões, aplicar controle de acesso por perfil e segregar dados por clínica.
- Processar cobrança, checkout, assinatura, suporte, trilhas de auditoria, prevenção a fraude e defesa de direitos.
- Executar funcionalidades solicitadas pela clínica contratante, como agenda, prontuário, anexos, convites, lembretes transacionais e uso opcional do assistente de IA.
As bases legais variam conforme o contexto. Para dados controlados diretamente pela TheraCare, o tratamento costuma se apoiar em execução de contrato ou de medidas preliminares, legítimo interesse, segurança e cumprimento de obrigações legais. Para dados de pacientes e demais dados clínicos, a clínica controladora deve definir e informar aos titulares a hipótese aplicável nos termos dos arts. 7º e 11 da LGPD.
4. Compartilhamento, suboperadores e transferências internacionais
A TheraCare não vende dados pessoais. O compartilhamento ocorre apenas com prestadores e infraestruturas necessários ao funcionamento do produto ou ao cumprimento de obrigações contratuais e legais.
Cloudflare R2
Finalidade: Armazenamento de anexos e documentos enviados pela clínica.
Dados envolvidos: Arquivos clínicos, documentos, metadados de upload e chaves de armazenamento.
Quando ocorre: Ativo quando há upload de arquivos.
Stripe
Finalidade: Checkout hospedado, assinatura e cobrança.
Dados envolvidos: Nome da clínica, e-mail do responsável, identificadores de cliente e dados de cobrança tratados no ambiente do Stripe.
Quando ocorre: Ativo no fluxo de assinatura e pagamento.
Resend
Finalidade: Envio de convites por e-mail e mensagens do formulário público de contato.
Dados envolvidos: Nome, e-mail, conteúdo da mensagem e metadados mínimos de entrega.
Quando ocorre: Ativo em convites e no formulário `/contact`.
OpenAI
Finalidade: Processamento do Assistente IA da clínica.
Dados envolvidos: Mensagens do chat, identificador da clínica e, quando o recurso é usado, trechos do contexto enviados pelo usuário ou buscados pelas ferramentas do assistente.
Quando ocorre: Opcional, somente quando o recurso de IA é utilizado.
Twilio / WhatsApp
Finalidade: Lembretes e mensagens transacionais de agendamento.
Dados envolvidos: Telefone do paciente, nome e dados do agendamento necessários ao envio da mensagem transacional.
Quando ocorre: Opcional, quando a integração de WhatsApp estiver habilitada.
Algumas dessas integrações podem envolver tratamento fora do Brasil. Nesses casos, a operação depende das salvaguardas contratuais e das regras aplicáveis à transferência internacional previstas na LGPD.
5. Segurança e governança
- Sessão autenticada via cookie `HttpOnly`, validação de rotas e segregação por clínica.
- Controle de acesso por perfil (`OWNER`, `ADMIN`, `THERAPIST`, `SECRETARY`) e trilha de auditoria para eventos críticos.
- Uploads e downloads de arquivos via armazenamento dedicado e links temporários assinados.
- Cifragem em campos sensíveis do contexto clínico e do paciente, em conjunto com controles de autenticação, autorização e registro.
Nenhum sistema é absolutamente invulnerável. Por isso, segurança técnica, governança contratual e operação diligente da clínica controladora precisam caminhar juntas.
6. Retenção
Dados de contato e suporte são mantidos pelo tempo necessário para responder à solicitação, formalizar a relação comercial, prevenir abuso e resguardar direitos. Dados de conta, cobrança, auditoria e segurança podem permanecer enquanto a conta existir e por período adicional compatível com obrigações legais, backup, antifraude e defesa administrativa ou judicial.
Dados clínicos e documentos são mantidos conforme as instruções e obrigações da clínica controladora, as janelas técnicas de backup e o regime contratual aplicável.
7. Direitos dos titulares
A LGPD assegura direitos como confirmação de tratamento, acesso, correção, anonimização quando cabível, portabilidade, eliminação, informação sobre compartilhamento e revisão das decisões automatizadas aplicáveis.
Para dados de leads, suporte, cadastro e demais dados controlados diretamente pela TheraCare, o canal principal é contato@theracare.ia.br. Para prontuários e dados de pacientes de uma clínica, a solicitação deve preferencialmente ser encaminhada primeiro à clínica controladora. Se a TheraCare receber a demanda, poderá validar a identidade, registrar a ocorrência e repassar o atendimento ao controlador responsável.
8. Cookies e páginas externas
No domínio principal do TheraCare, o inventário atual contém 2 cookies estritamente necessários: autenticação e memória do próprio aviso. O detalhamento completo está em /cookies.
Ao abrir páginas hospedadas por terceiros, como checkout do Stripe ou login social, esses terceiros podem usar cookies próprios conforme suas políticas.