Clara AppClara App

Política de privacidade

Última atualização: 21 de maio de 2026

Esta Política descreve como L. F. Kozenieski Especialidades Médicas, CNPJ 61.586.450/0001-00, com sede na R. Cel. Vidal Ramos, 405 — Jardim Blumenau, Blumenau/SC, CEP 89010-330 ("Clara App", "nós"), trata os dados pessoais coletados ao prover a plataforma Clara, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD).

1. Papéis no tratamento de dados

A Clara opera em dois papéis distintos previstos na LGPD:

  • Controladora em relação aos dados dos seus clientes (profissionais de saúde e clínicas que assinam o serviço): cadastro, faturamento, configuração da conta.
  • Operadora em relação aos dados dos pacientes dos seus clientes, tratados em nome do cliente enquanto este utiliza a plataforma. Nesse contexto, o cliente é o controlador e a Clara apenas executa o tratamento conforme as instruções e a finalidade contratada.

2. Dados que coletamos

2.1 Do cliente (controladora)

  • Identificação: nome, e-mail, telefone, CPF/CNPJ (quando necessário para faturamento).
  • Dados de pagamento: processados pela Stripe. Não armazenamos números de cartão.
  • Configurações do consultório: nome da clínica, especialidade, endereço, horários de atendimento, prompt do agente, base de conhecimento.
  • Credenciais OAuth quando o cliente conecta o Google Calendar (tokens com escopo restrito à criação/leitura de eventos).
  • Dados de uso: registros de acesso (IP, user agent, timestamp) e atividade na plataforma para fins de segurança e melhoria do produto.

2.2 Do paciente (operadora)

Tratamos os seguintes dados em nome do cliente, conforme suas instruções:

  • Identificação: número de telefone (WhatsApp), eventualmente nome quando informado pelo paciente.
  • Conteúdo de mensagens: histórico das conversas com o agente, exclusivamente para o fim de atendimento e agendamento.
  • Agendamentos: data, hora, observações fornecidas pelo paciente.

Importante: a Clara não coleta deliberadamente dados sensíveis (saúde, religião, etc). Se o paciente os informar espontaneamente, o cliente é responsável por garantir base legal e cuidado adequado, conforme a LGPD.

3. Para que usamos esses dados

  • Prestar o serviço contratado (atendimento, agendamento, CRM).
  • Cobrança e administração da conta (faturamento, recibos, suporte).
  • Comunicação operacional (alertas, novidades, manutenção). Você pode optar por não receber comunicações de marketing a qualquer momento.
  • Segurança e prevenção a fraudes (detecção de abuso, brute force, spam).
  • Cumprimento de obrigações legais e regulatórias.
  • Melhoria do produto (estatísticas agregadas e anonimizadas — nunca a partir do conteúdo de conversas individuais).

4. Bases legais (LGPD art. 7º e 11)

  • Execução de contrato: prestar a Clara ao cliente.
  • Legítimo interesse: segurança, prevenção a fraudes, melhoria do serviço.
  • Cumprimento de obrigação legal: contabilidade, fiscal, ordens judiciais.
  • Consentimento: comunicações de marketing e determinados tratamentos opcionais.

5. Compartilhamento com terceiros

Compartilhamos dados estritamente necessários com os operadores que suportam o serviço:

  • Stripe — processamento de pagamentos.
  • Google (Calendar API e OAuth) — sincronização de agenda, somente quando o cliente conecta sua conta Google.
  • Anthropic / OpenAI — geração de respostas pelo agente IA. O conteúdo da mensagem do paciente é enviado a esses provedores apenas durante o atendimento; não autorizamos uso para treinamento dos modelos.
  • WAHA — gateway de WhatsApp.
  • Supabase (PostgreSQL) — armazenamento dos dados.
  • Provedores de e-mail transacional — para notificações operacionais.

Não vendemos dados pessoais. Não compartilhamos dados com terceiros para fins de marketing alheios à Clara.

6. Transferência internacional

Alguns operadores citados (Stripe, Google, Anthropic, OpenAI) estão sediados fora do Brasil. As transferências são realizadas com base nas salvaguardas previstas no art. 33 da LGPD, incluindo cláusulas contratuais padrão e adesão a programas de certificação reconhecidos.

7. Retenção

  • Dados de cadastro do cliente: enquanto a conta estiver ativa, mais 5 anos após o encerramento (prazo prescricional do CDC).
  • Dados fiscais: 5 anos (Receita Federal).
  • Mensagens e agendamentos: enquanto a conta estiver ativa. Após encerramento, exclusão em até 30 dias, salvo retenção legal.
  • Backups: até 90 dias após exclusão lógica.
  • Logs de acesso e segurança: 6 meses (Marco Civil da Internet, art. 15).

8. Direitos do titular (LGPD art. 18)

Você pode, a qualquer momento, solicitar:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
  • Portabilidade dos dados;
  • Eliminação dos dados tratados com base no consentimento (excetuadas hipóteses legais de retenção);
  • Informação sobre uso compartilhado;
  • Informação sobre a possibilidade de não fornecer consentimento;
  • Revogação do consentimento.

Pedidos podem ser feitos para admin@clara.app.br. Atendemos em até 15 dias a partir do recebimento da solicitação verificada.

9. Segurança da informação

Adotamos medidas técnicas e organizacionais como:

  • Conexões TLS em todas as APIs;
  • Senhas armazenadas com hash bcrypt;
  • Segregação de credenciais por ambiente (dev/produção) e rotação periódica;
  • Controle de acesso por papel (RBAC) e princípio do menor privilégio;
  • Registros de auditoria de operações críticas;
  • Backups automatizados do banco de dados;
  • Validação criptográfica (HMAC) dos webhooks dos provedores (Stripe, WAHA).

Em caso de incidente de segurança que possa acarretar risco ou dano relevante ao titular, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados no prazo legal.

10. Cookies

Usamos apenas cookies estritamente necessários para autenticação e funcionamento da plataforma. Detalhes na Política de Cookies.

11. Crianças e adolescentes

A Clara não é dirigida a menores de 18 anos. Caso identifiquemos cadastro indevido, a conta será removida.

12. Encarregado de dados (DPO)

Em conformidade com o art. 41 da LGPD, designamos um Encarregado de Proteção de Dados. Contato:

13. Alterações nesta Política

Atualizações relevantes serão comunicadas por e-mail com pelo menos 15 dias de antecedência. O histórico de versões pode ser solicitado ao DPO.

14. Foro

Esta Política é regida pela legislação brasileira. Para questões decorrentes do tratamento de dados pessoais, o titular pode também contatar a ANPD.