Clinipharma|Política de Privacidade

Política de Privacidade

Versão 1.0·Vigência: 08 de abril de 2026·Última atualização: 08 de abril de 2026
Esta Política de Privacidade foi elaborada em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014), a Resolução da Diretoria Colegiada ANVISA nº 204/2017 e demais normas regulatórias aplicáveis ao setor farmacêutico e de saúde no Brasil.

1. Identificação do Controlador

A Clinipharma é uma plataforma B2B de intermediação entre clínicas médicas, médicos prescritores e farmácias de manipulação, operada por pessoa jurídica constituída sob as leis do Brasil (“Clinipharma”, “nós” ou “Controlador”).

Para exercer seus direitos como titular de dados ou entrar em contato com nosso Encarregado de Proteção de Dados (DPO), utilize:

  • E-mail: privacidade@clinipharma.com.br
  • Prazo de resposta: até 15 dias corridos (LGPD Art. 19)

2. Dados Pessoais que Coletamos

2.1 Dados de identificação e cadastro

  • Nome completo e razão social
  • CPF e/ou CNPJ
  • Endereço de e-mail (login e comunicações)
  • Número de telefone e celular (criptografado em repouso — AES-256-GCM)
  • Número do CRM/CRF com UF (para médicos e farmacêuticos — criptografado)
  • Endereço completo (logradouro, CEP, cidade, estado)

2.2 Dados de uso da plataforma

  • Registros de acesso: IP, data, hora, duração de sessão (Marco Civil da Internet, Art. 15)
  • Histórico de pedidos, orçamentos e rastreabilidade de entrega
  • Ações realizadas na plataforma (logs de auditoria imutáveis)
  • Preferências de notificação
  • Dispositivo, navegador e sistema operacional (para segurança e suporte)

2.3 Dados financeiros

  • Dados de cobrança e formas de pagamento (processados pelo Asaas — PCI DSS Level 1)
  • Histórico de transações e comprovantes
  • Informações bancárias para repasse de comissões (conta, agência, banco)

2.4 Dados de documentos e formulários

  • Documentos enviados no processo de cadastro (CNES, Alvará, CRF, CRM)
  • Formulários de solicitação de manipulação (dados do paciente, quando aplicável)
  • Contratos assinados digitalmente via Clicksign
Dado sensível: Informações relacionadas à saúde do paciente eventualmente presentes em formulários de manipulação são tratadas com base no Art. 11, II, “f” da LGPD (tutela da saúde) e ficam acessíveis exclusivamente ao médico prescritor, à farmácia executante e ao paciente, nunca sendo compartilhadas com terceiros para fins comerciais.

3. Finalidade e Base Legal do Tratamento

Tratamos seus dados pessoais com base nas seguintes hipóteses legais previstas no Art. 7º da LGPD:

FinalidadeBase Legal (LGPD)
Autenticação e controle de acessoArt. 7º, II — execução de contrato
Processamento de pedidos e pagamentosArt. 7º, II — execução de contrato
Emissão de NF-e/NFS-eArt. 7º, II e V — obrigação legal
Contratos digitais (Clicksign)Art. 7º, II — execução de contrato
Verificação de CNPJ e situação fiscalArt. 7º, V — obrigação legal
Compliance regulatório ANVISA/CFFArt. 7º, II e V — obrigação legal
Notificações transacionais (e-mail, SMS)Art. 7º, II — execução de contrato
Suporte ao usuário e gestão de ticketsArt. 7º, II — execução de contrato
Auditoria e logs de acessoArt. 7º, V — obrigação legal; Art. 7º, IX — legítimo interesse
Análise de desempenho da plataformaArt. 7º, IX — legítimo interesse
Prevenção a fraudesArt. 7º, IX — legítimo interesse
LGPD: atendimento aos direitos do titularArt. 7º, V — obrigação legal

Não realizamos marketing direto, venda de dados a terceiros, perfilamento comportamental para publicidade ou decisões automatizadas que produzam efeitos jurídicos sem revisão humana.

4. Compartilhamento de Dados

Compartilhamos dados estritamente na medida necessária para a prestação dos serviços, com os seguintes operadores e terceiros:

  • Asaas Pagamentos S.A. — processamento de cobranças e split de pagamentos (PCI DSS)
  • Clicksign Gestão de Documentos S.A. — assinatura eletrônica com validade jurídica (ICP-Brasil)
  • Supabase Inc. — banco de dados e autenticação (servidores na região São Paulo / us-east-1, com DPA assinado)
  • Vercel Inc. — hospedagem e CDN (infraestrutura serverless, DPA assinado)
  • Resend Inc. — envio de e-mails transacionais
  • Twilio Inc. — envio de SMS transacionais
  • Inngest Inc. — processamento de jobs assíncronos (background tasks)
  • ReceitaWS — consulta de situação cadastral de CNPJs (dados públicos)
  • Autoridades públicas — mediante ordem judicial ou regulatória (ANVISA, Receita Federal, CFF)

Todos os operadores são contratualmente obrigados a tratar dados pessoais exclusivamente conforme nossas instruções, manter medidas de segurança adequadas e não subcontratarem terceiros sem nossa autorização prévia por escrito.

5. Transferência Internacional de Dados

Alguns operadores listados na Seção 4 armazenam ou processam dados fora do Brasil (EUA, União Europeia). Adotamos as seguintes garantias:

  • Cláusulas contratuais padrão (Standard Contractual Clauses — SCCs) exigidas pela ANPD
  • Operadores localizados em países com nível de proteção adequado reconhecido pela ANPD ou pela Comissão Europeia
  • Data Processing Agreements (DPA) celebrados com cada operador internacional

6. Retenção e Exclusão de Dados

Categoria de dadoPrazo de retençãoBase legal
Dados financeiros e contábeis10 anosLei nº 9.613/98; IN RFB nº 1.757/17
Logs de acesso à plataforma6 meses (mínimo legal)Marco Civil da Internet, Art. 15
Logs de auditoria interna5 anosLegítimo interesse / compliance
Dados de PII (telefone, CRM)5 anos após último acessoLGPD — proporcionalidade
Documentos regulatórios (CNES, Alvará)5 anos após vigênciaResolução ANVISA RDC 204/2017
Formulários de manipulação10 anosRDC ANVISA nº 67/2007 (Farmácias)
Contratos digitais (Clicksign)5 anosCódigo Civil, Art. 205
Dados de suporte (tickets)2 anos após encerramentoLegítimo interesse

Findo o prazo legal, os dados são anonimizados ou deletados de forma segura, conforme nossa Política de Retenção e Descarte implementada no sistema (job automático mensal).

7. Segurança dos Dados

Implementamos medidas técnicas e organizacionais compatíveis com o estado da arte e com o porte da operação:

  • Criptografia em trânsito: TLS 1.3 em todas as conexões
  • Criptografia em repouso: AES-256-GCM para dados sensíveis (telefone, CRM, formulários)
  • Autenticação: JWT com expiração curta + blacklist de tokens revogados
  • Controle de acesso: RBAC granular com Row Level Security (RLS) no banco de dados
  • Auditoria: log imutável de todas as ações críticas com X-Request-ID rastreável
  • Rate limiting: por IP e por usuário em todos os endpoints da API
  • Monitoramento: alertas de anomalia via Sentry e UptimeRobot
  • Backups: automáticos pelo Supabase com retenção configurável
  • Política de senha: mínimo 8 caracteres com reset seguro

Em caso de incidente de segurança que represente risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados em até 72 horas após a ciência do incidente, conforme Art. 48 da LGPD.

8. Direitos do Titular de Dados

Nos termos dos Arts. 17 a 22 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais tratados pela Clinipharma:

  • Confirmação — saber se tratamos seus dados pessoais
  • Acesso — obter cópia dos dados que mantemos sobre você
  • Correção — solicitar atualização de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação — de dados desnecessários ou tratados em desconformidade
  • Portabilidade — receber seus dados em formato estruturado e interoperável
  • Eliminação — dos dados tratados com base em consentimento
  • Informação sobre compartilhamento — saber com quem compartilhamos seus dados
  • Revogação do consentimento — quando o tratamento for baseado em consentimento
  • Oposição — ao tratamento baseado em legítimo interesse
  • Revisão de decisões automatizadas — solicitar revisão humana
Para exercer qualquer desses direitos, acesse o Portal LGPD disponível em sua conta (menu → Privacidade) ou envie e-mail para privacidade@clinipharma.com.br. Responderemos em até 15 dias corridos.

9. Cookies e Rastreamento

Utilizamos apenas cookies estritamente necessários ao funcionamento da plataforma (sessão, segurança CSRF, preferências de idioma). Não utilizamos cookies de rastreamento publicitário, pixels de terceiros ou ferramentas de analytics comportamental.

  • sb-access-token / sb-refresh-token — autenticação Supabase (sessão, HttpOnly, Secure, SameSite=Lax)
  • __vercel_toolbar — apenas em ambiente de desenvolvimento (não enviado à produção)

10. Dados de Menores de Idade

A Clinipharma é uma plataforma exclusivamente B2B, destinada a pessoas jurídicas e profissionais de saúde devidamente habilitados. Não coletamos dados de pessoas menores de 18 anos de forma intencional. Caso identifiquemos tal coleta acidental, eliminaremos os dados imediatamente.

11. Alterações a Esta Política

Podemos atualizar esta Política periodicamente para refletir mudanças legais, regulatórias ou operacionais. Alterações substanciais serão comunicadas com antecedência mínima de 30 dias por e-mail e notificação na plataforma. A data de vigência constará sempre no cabeçalho deste documento.

O uso continuado da plataforma após a entrada em vigor das alterações implica concordância com a nova versão. Caso discorde, você pode solicitar o encerramento de sua conta.

12. Contato e DPO

  • DPO (Encarregado de Proteção de Dados): privacidade@clinipharma.com.br
  • Suporte geral: suporte@clinipharma.com.br
  • Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd

Se não estiver satisfeito com nossa resposta, você tem o direito de peticionar à ANPD (Autoridade Nacional de Proteção de Dados) conforme Art. 18, §1º da LGPD.

Clinipharma — Política de Privacidade v1.0 · Vigência: 08/04/2026 · Referências: LGPD (Lei nº 13.709/2018), Marco Civil da Internet (Lei nº 12.965/2014), RDC ANVISA nº 67/2007, RDC ANVISA nº 204/2017, Código Civil Brasileiro, Lei nº 9.613/1998.
Voltar para o login
Termos de UsoPolítica de Privacidade