Acordo de Tratamento de Dados (DPA)

Última atualização: 2026-07-02-v2

Este documento descreve as condições em que o FlowMed ("Operador") trata dados pessoais em nome das clínicas usuárias ("Controladoras") da plataforma FlowMed, nos termos do art. 39 da Lei nº 13.709/2018 (LGPD).

Nota: versão modelo para transparência. A contratação comercial pode exigir assinatura individualizada. Em caso de conflito, prevalece o contrato assinado entre as partes.

1. Objeto e duração

O Operador processará dados pessoais exclusivamente para prestar os serviços contratados (agenda, formulários, comunicações, prontuário operacional, integrações habilitadas), durante a vigência da assinatura e pelo prazo necessário após o término para backup legal e transição.

2. Instruções do controlador

O tratamento limita-se às instruções documentadas do Controlador (configurações na plataforma, habilitação de integrações, templates de mensagem e uso dos módulos). O Operador notificará o Controlador se uma instrução violar a LGPD.

3. Confidencialidade e segurança

O Operador implementa medidas técnicas e administrativas proporcionais ao risco (art. 46), incluindo autenticação, isolamento por clínica (RLS), controle de acesso por perfil, criptografia em trânsito (HTTPS) e armazenamento privado para arquivos sensíveis, conforme documentação técnica.

4. Subprocessadores

O Controlador autoriza o uso dos subprocessadores listados em Subprocessadores, sujeito a aviso prévio de alterações materiais. Cada subprocessador deve estar vinculado a obrigações equivalentes de proteção de dados.

5. Transferência internacional

Quando dados forem transferidos para outros países (ex.: hospedagem, IA, mensageria), o Operador adotará mecanismos previstos nos arts. 33 a 36 da LGPD e informará o Controlador na documentação de privacidade.

6. Direitos dos titulares

O Operador auxiliará o Controlador a atender solicitações de titulares (art. 18), incluindo ferramentas de exportação, exclusão e registro de solicitações no painel administrativo, dentro de prazos razoáveis após instrução do Controlador.

7. Incidentes de segurança

O Operador comunicará ao Controlador, sem demora injustificada, incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, com informações para cumprimento do art. 48 da LGPD pelo Controlador, quando aplicável.

8. Eliminação e devolução

Ao término do contrato, o Operador eliminará ou devolverá os dados pessoais conforme instrução do Controlador, ressalvadas obrigações legais de guarda (ex.: prontuário médico sob responsabilidade do Controlador).

9. Auditoria

O Controlador pode solicitar informações razoáveis sobre conformidade. Logs de auditoria de ações na plataforma podem estar disponíveis conforme o plano contratado.

10. Contato

Encarregado de dados do Operador: privacidade@flowmed.app. Veja também os Termos de Serviço e a Política de Privacidade.