Política de Privacidade
Versão 2.1 — última atualização: junho de 2026
1. Quem somos
O Odontia é um software de gestão odontológica oferecido na modalidade SaaS (Software como Serviço), operado pela Thard Tech, CNPJ 67.141.076/0001-08. Esta política descreve como tratamos dados pessoais conforme a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) e demais normas aplicáveis.
2. Papéis (Controlador, Operador, Encarregado)
Cada clínica/consultório é o Controlador dos dados dos seus pacientes — determina finalidade e meios do tratamento. O Odontia atua como Operador, processando os dados em nome da clínica conforme suas instruções e este contrato.
Para dados de uso da plataforma (logs, dados cadastrais da própria clínica, faturamento), o Odontia atua como Controlador.
Encarregado pelo Tratamento de Dados (DPO): as solicitações de titulares e comunicações da ANPD devem ser dirigidas a dpo@appodontia.com.br.
3. Dados que coletamos
Da clínica e dos profissionais: razão social, CNPJ, endereço, telefone, e-mail, dados bancários para repasse de pagamentos, nome dos usuários, CRO/CPF, perfil de acesso.
Dos pacientes (tratados pela clínica, processados por nós): nome, CPF, RG, data de nascimento, sexo, contato, endereço, prontuário clínico, odontograma, anamnese, fotos clínicas, radiografias, orçamentos, histórico financeiro, assinaturas. Dados de saúde são dados sensíveis, conforme Art. 5º, II e Art. 11 da LGPD.
De navegação: endereço IP, agente do navegador, logs de acesso e ações, cookies estritamente necessários para autenticação.
4. Finalidades e bases legais
- Execução do contrato (Art. 7º, V): cadastro de clínica, processamento de assinatura, suporte.
- Consentimento (Art. 7º, I e Art. 11, I): tratamento de dados sensíveis de saúde dos pacientes, coletado pela clínica no primeiro atendimento.
- Cumprimento de obrigação legal (Art. 7º, II): guarda obrigatória do prontuário (mínimo 20 anos — Resolução CFO 091/2009), retenção fiscal.
- Tutela da saúde (Art. 11, II, f): procedimentos realizados por profissional de saúde em benefício do paciente.
- Legítimo interesse (Art. 7º, IX): logs de segurança, prevenção a fraudes, melhorias do produto baseadas em dados agregados anonimizados.
5. Subprocessadores
Para operar o serviço, o Odontia contrata os seguintes subprocessadores, todos sob contrato com cláusulas de proteção de dados compatíveis com a LGPD. A clínica autoriza essa subcontratação ao aceitar estes termos.
| Subprocessador | Função | Localização |
|---|---|---|
| Render | Hospedagem da aplicação e banco PostgreSQL | Estados Unidos |
| Cloudflare R2 | Armazenamento de fotos, radiografias e documentos | Estados Unidos / Europa (a depender da configuração) |
| Stripe | Processamento de pagamentos | Estados Unidos |
| Asaas | Cobranças Pix/boleto/NF-e (opcional) | Brasil |
| SMTP do cliente | Envio de e-mail transacional (Resend, SendGrid, etc.) | A depender da escolha da clínica |
| Provedores de IA (BYOK) | Análise de radiografia e demais recursos inteligentes — chave fornecida pela própria clínica | A depender da escolha da clínica (Mistral, Google, OpenAI, DeepSeek) |
Alterações na lista de subprocessadores serão comunicadas com 30 dias de antecedência por e-mail ou no painel da clínica.
6. Transferência internacional de dados
Atualmente, a infraestrutura do Odontia (Render, Cloudflare R2 e Stripe) está localizada nos Estados Unidos. Os Estados Unidos não constam na lista de países adequados publicada pela ANPD. Por isso, a transferência internacional ocorre com base nas seguintes salvaguardas previstas no Art. 33 da LGPD:
- Consentimento específico do titular (Art. 33, VIII) — o paciente é informado e consente no momento do primeiro atendimento;
- Execução de contrato com cláusulas contratuais que garantem proteção equivalente à LGPD;
- Cumprimento de obrigação legal ou regulatória (Art. 33, II).
A análise por IA, quando habilitada, pode envolver transferência adicional para o provedor escolhido pela clínica (Mistral, Google Gemini, OpenAI, DeepSeek ou outro provedor configurado). O tratamento desses dados pelo provedor externo segue os termos, políticas de privacidade, configurações de retenção e condições comerciais vigentes desse provedor. A escolha do provedor de IA e a decisão de enviar dados sensíveis de saúde para análise externa são responsabilidade da clínica.
Os recursos de IA utilizam modelos externos de linguagem e/ou visão computacional. Esses modelos podem gerar respostas incompletas, inexatas ou incompatíveis com o contexto clínico. Por isso, os resultados devem ser revisados por profissional habilitado antes de qualquer uso assistencial, documental ou comunicação ao paciente.
7. Direitos dos titulares (Art. 18, LGPD)
Os titulares podem, a qualquer momento, solicitar à clínica responsável: (i) confirmação da existência de tratamento; (ii) acesso aos dados; (iii) correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade; (v) portabilidade dos dados; (vi) eliminação dos dados tratados com consentimento; (vii) informação sobre compartilhamento; (viii) revogação do consentimento. O exercício é feito pela própria clínica nas telas de Configurações → LGPD, ou em última instância por meio do DPO do Odontia.
📩 Canal direto para titulares: qualquer paciente pode exercer seus direitos pelo formulário público em appodontia.com.br/lgpd/direitos. A solicitação é registrada e respondida em até 15 dias corridos (Art. 19, LGPD).
8. Segurança da informação
- Criptografia em trânsito (TLS 1.3) em todas as conexões;
- Senhas armazenadas com hash bcrypt;
- Isolamento de tenants (cada clínica acessa somente os próprios dados);
- Controle de acesso baseado em perfil (admin, dentista, recepcionista, financeiro);
- Logs de auditoria de acessos e operações sensíveis;
- Backups automáticos diários do banco de dados;
- Rate limiting e proteção CSRF nas rotas críticas;
- Chaves de API armazenadas com criptografia simétrica (Fernet).
9. Notificação de incidentes (Art. 48, LGPD)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Odontia:
- Notifica a clínica afetada em até 24 horas após confirmação do incidente, por e-mail e pelo painel do sistema;
- Comunica à ANPD em até 72 horas, conforme prazo recomendado pela Resolução CD/ANPD nº 15/2024;
- Notifica os titulares afetados quando o incidente puder gerar risco relevante;
- Apresenta a descrição da natureza dos dados, os titulares envolvidos, as medidas técnicas e de segurança adotadas, os riscos e as medidas de mitigação aplicadas.
O canal direto para reportar incidentes é dpo@appodontia.com.br.
10. Retenção e descarte
Os dados são retidos pelo tempo necessário para a finalidade do tratamento. Para dados de prontuário, a retenção mínima é de 20 anos a contar do último atendimento (Resolução CFO 091/2009). Dados cadastrais e financeiros são retidos pelos prazos legais (5 anos para fiscais, 10 anos para fins de prova). Após o encerramento da retenção, os dados são eliminados ou anonimizados em até 30 dias.
11. Cookies
Utilizamos exclusivamente cookies estritamente necessários para autenticação, segurança (token CSRF) e preferências da interface. Não utilizamos cookies de rastreamento publicitário ou de terceiros não essenciais. O uso desses cookies não exige consentimento prévio, conforme orientação técnica da ANPD.
12. Crianças e adolescentes (Art. 14)
Quando o paciente for menor de 18 anos, o consentimento deve ser dado pelo responsável legal, no melhor interesse do menor. O Odontia oferece campo dedicado para registro do responsável no cadastro do paciente.
13. Alterações desta política
Atualizações materiais desta política serão comunicadas com pelo menos 15 dias de antecedência por e-mail à conta administrativa da clínica e em destaque no painel do sistema. O uso continuado após a vigência implica concordância com a nova versão.
14. Foro e legislação aplicável
Esta política é regida pela legislação brasileira. Eventuais conflitos serão dirimidos no foro do domicílio da clínica titular do contrato.
15. Contato
Encarregado de Dados (DPO): dpo@appodontia.com.br
Suporte geral: suporte@appodontia.com.br