Legal

Subprocessadores

Última atualização: 2026-07-02-v2

O FlowMed utiliza prestadores de serviço que tratam dados pessoais em nosso nome ou em nome das clínicas usuárias, na qualidade de operadores ou suboperadores, conforme o art. 5º, VII e art. 39 da LGPD.

Lacuna operacional: a existência de acordos de tratamento (DPA) assinados com cada fornecedor deve ser validada pela equipe jurídica/comercial. Esta página reflete o inventário técnico observado no código.

Inventário

Supabase Inc.

Finalidade: Autenticação, banco de dados PostgreSQL e armazenamento de arquivos

Dados tratados: Dados de clínicas, pacientes, mensagens, arquivos clínicos e operacionais

Localização: Conforme região do projeto (validar no painel Supabase)

Vercel Inc.

Finalidade: Hospedagem da aplicação web e processamento de requisições

Dados tratados: Logs técnicos, metadados de requisições, variáveis de ambiente em runtime

Localização: Estados Unidos / global

Stripe, Inc.

Finalidade: Cobrança de assinaturas das clínicas

Dados tratados: Dados de faturamento da clínica (não dados clínicos de pacientes)

Localização: Estados Unidos / internacional

Meta Platforms, Inc.

Finalidade: WhatsApp Business API (mensagens configuradas pela clínica)

Dados tratados: Telefone, nome de contato, conteúdo de mensagens e mídia

Localização: Estados Unidos / internacional

Google LLC

Finalidade: Login OAuth (opcional) e envio de e-mail via Gmail API por clínica

Dados tratados: E-mail de usuários; conteúdo de e-mails enviados pela clínica

Localização: Estados Unidos / internacional

OpenAI, L.L.C.

Finalidade: Assistente virtual via WhatsApp (quando habilitado pelo plano/clínica)

Dados tratados: Mensagens da conversa e contexto mínimo para agendamento (sem dados clínicos sensíveis intencionais)

Localização: Estados Unidos

ViaProve (ou provedor configurado)

Finalidade: Transcrição de áudio de consultas (quando utilizado)

Dados tratados: Áudio e texto transcrito

Localização: Conforme contrato do provedor (validar operacionalmente)

Transferência internacional

Alguns subprocessadores podem tratar dados fora do Brasil. Nesses casos, aplicam-se os arts. 33 a 36 da LGPD (mecanismos de transferência, cláusulas contratuais padrão ou decisões de adequação, conforme aplicável). Detalhes contratuais estão no Acordo de Tratamento de Dados.

Atualizações

Alterações relevantes nesta lista serão comunicadas às clínicas conforme o acordo de tratamento e a Política de Privacidade.