Legal
Subprocessadores
Última atualização: 2026-07-02-v2
O FlowMed utiliza prestadores de serviço que tratam dados pessoais em nosso nome ou em nome das clínicas usuárias, na qualidade de operadores ou suboperadores, conforme o art. 5º, VII e art. 39 da LGPD.
Lacuna operacional: a existência de acordos de tratamento (DPA) assinados com cada fornecedor deve ser validada pela equipe jurídica/comercial. Esta página reflete o inventário técnico observado no código.
Inventário
Supabase Inc.
Finalidade: Autenticação, banco de dados PostgreSQL e armazenamento de arquivos
Dados tratados: Dados de clínicas, pacientes, mensagens, arquivos clínicos e operacionais
Localização: Conforme região do projeto (validar no painel Supabase)
Vercel Inc.
Finalidade: Hospedagem da aplicação web e processamento de requisições
Dados tratados: Logs técnicos, metadados de requisições, variáveis de ambiente em runtime
Localização: Estados Unidos / global
Stripe, Inc.
Finalidade: Cobrança de assinaturas das clínicas
Dados tratados: Dados de faturamento da clínica (não dados clínicos de pacientes)
Localização: Estados Unidos / internacional
Meta Platforms, Inc.
Finalidade: WhatsApp Business API (mensagens configuradas pela clínica)
Dados tratados: Telefone, nome de contato, conteúdo de mensagens e mídia
Localização: Estados Unidos / internacional
Google LLC
Finalidade: Login OAuth (opcional) e envio de e-mail via Gmail API por clínica
Dados tratados: E-mail de usuários; conteúdo de e-mails enviados pela clínica
Localização: Estados Unidos / internacional
OpenAI, L.L.C.
Finalidade: Assistente virtual via WhatsApp (quando habilitado pelo plano/clínica)
Dados tratados: Mensagens da conversa e contexto mínimo para agendamento (sem dados clínicos sensíveis intencionais)
Localização: Estados Unidos
ViaProve (ou provedor configurado)
Finalidade: Transcrição de áudio de consultas (quando utilizado)
Dados tratados: Áudio e texto transcrito
Localização: Conforme contrato do provedor (validar operacionalmente)
Transferência internacional
Alguns subprocessadores podem tratar dados fora do Brasil. Nesses casos, aplicam-se os arts. 33 a 36 da LGPD (mecanismos de transferência, cláusulas contratuais padrão ou decisões de adequação, conforme aplicável). Detalhes contratuais estão no Acordo de Tratamento de Dados.
Atualizações
Alterações relevantes nesta lista serão comunicadas às clínicas conforme o acordo de tratamento e a Política de Privacidade.