Política de Privacidade

Esta Política descreve como a Nexion Clinic coleta, usa, armazena e compartilha dados pessoais dos seus clientes (clínicas) e dos pacientes registrados no Serviço, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD).

1. Controlador vs. Operador

Cliente (clínica) é o controlador dos dados dos seus pacientes — define finalidades e meios de tratamento. Nexion atua como operador, processando dados conforme instruções do cliente e exclusivamente para fornecer o Serviço.

2. Dados Coletados

• Do cliente (clínica): nome, CNPJ/CPF, e-mail, telefone, endereço, dados de pagamento (token Asaas).
• Dos pacientes: nome, CPF, telefone, e-mail, data de nascimento, endereço, anamnese, fotos antes/depois (com consentimento), histórico de procedimentos e pagamentos.
• Técnicos: IP, user-agent, logs de auditoria, telemetria de uso.

3. Bases Legais

Tratamos dados com base em: (i) execução de contrato; (ii) consentimento do titular para uso de mídia (fotos); (iii) cumprimento de obrigação legal (fiscal); (iv) legítimo interesse para segurança e prevenção de fraude.

4. Compartilhamento

Dados são compartilhados apenas com sub-operadores estritamente necessários:

• Supabase (banco de dados, storage de arquivos)
• Render (hospedagem do backend)
• Vercel (hospedagem do frontend)
• Resend (envio de e-mails transacionais)
• Asaas (processamento de pagamentos)
• ClickSign/D4Sign (assinatura digital de contratos — Premium)
• Anthropic (geração de insights de IA — Premium)
• Meta / Z-API / Evolution (envio de WhatsApp — Premium)

Cada sub-operador é vinculado por contrato com cláusulas LGPD-compliant e processa dados apenas para a finalidade contratada.

5. Segurança

• Row-Level Security multi-tenant no banco
• HTTPS/TLS obrigatório em toda comunicação
• Hash bcrypt para senhas (cost 10+)
• JWT com expiração curta + refresh token rotation
• Audit log imutável de todas as ações sensíveis
• Backup diário com retenção de 14 dias
• Criptografia AES-256 para tokens de integração (WhatsApp)

6. Retenção

Dados do cliente são mantidos enquanto a assinatura estiver ativa. Após cancelamento, mantemos por 30 dias para retratação. Após esse prazo, dados pessoais são deletados em definitivo. Lançamentos financeiros são anonimizados para preservar integridade contábil.

7. Direitos do Titular (LGPD)

Pacientes podem exercer os direitos previstos no Art. 18 da LGPD — acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento — diretamente com a clínica (controlador). Como operador, fornecemos ferramentas para a clínica atender essas solicitações via Configurações → LGPD → Solicitar Exclusão / Exportar Dados.

8. Cookies e Tecnologias Similares

Usamos cookies apenas para autenticação (token JWT) e preferências de UI. Não utilizamos cookies de terceiros para publicidade ou tracking cross-site.

9. Transferência Internacional

Alguns sub-operadores (Anthropic, AWS via Supabase) podem processar dados em datacenters fora do Brasil. Todos garantem nível adequado de proteção via cláusulas contratuais padrão.

10. Encarregado (DPO)

Para questões de privacidade, contato com nosso Encarregado de Dados: dpo@nexion.app.

11. Alterações

Esta Política pode ser atualizada. Notificaremos alterações materiais por e-mail com 30 dias de antecedência.