Voltar
S
Smilix

Conformidade com a LGPD

Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018)

Atualizado em Dezembro de 2025
Versão 1.1

Compromisso com a Proteção de Dados

A Smilix foi construída com privacidade e segurança como pilares. Operamos como Operadora para as clínicas (Controladoras), seguindo a LGPD, com arquitetura multi-tenant isolada por Row Level Security (RLS), controles de acesso, criptografia e auditoria.

Papéis e Responsabilidades

Sua Clínica

Papel: Controladora

  • Define finalidades e bases legais do tratamento
  • Obtém e registra consentimentos quando exigido
  • Atende direitos dos titulares e gerencia prazos
  • Controla acessos internos e escopo dos dados inseridos

Smilix

Papel: Operadora

  • Processa dados sob instruções do Controlador
  • Implementa e mantém medidas de segurança e RLS
  • Mantém confidencialidade e controle de acessos privilegiados
  • Fornece ferramentas para exportação/exclusão e auditoria

O que tratamos e por quê

A LGPD (Lei nº 13.709/2018) exige finalidade, base legal e proporcionalidade. Na Smilix, o Controlador define o propósito, e nós tratamos como Operadora.

Bases legais usadas

  • Execução do contrato (Art. 7, V): operação da plataforma, agendamentos, faturamento.
  • Tutela da saúde (Art. 11, II, f): prontuários, anamneses e dados sensíveis tratados por profissionais de saúde.
  • Cumprimento de obrigação legal (Art. 7, II): retenção mínima de registros fiscais e médicos.
  • Legítimo interesse (Art. 7, IX): segurança, prevenção a fraude/abuso, melhoria técnica proporcional.
  • Consentimento (Art. 7, I / 11, I): comunicações de marketing pelo Controlador e usos que exijam anuência prévia.

Categorias de dados

  • Identificação e contato: nome, e-mail, telefone, documentos.
  • Profissionais/Clínica: CRO/CRM, especialidades, agenda, equipes.
  • Pacientes: cadastro, histórico de atendimento, documentos enviados.
  • Sensíveis de saúde: prontuários, anamneses, laudos, prescrições, imagens clínicas.
  • Transacionais: agendamentos, faturamento, pagamentos (quando aplicável).
  • Técnicos e segurança: IP, dispositivo, registros de acesso, trilhas de auditoria.

Consentimento e preferências

Quando a base legal for consentimento, o Controlador deve coletar, registrar e permitir revogação. A Smilix oferece meios para registrar preferências e para revogação, conforme recursos habilitados pelo Controlador.

Cookies e telemetria

Usamos cookies e telemetria técnica para autenticação, segurança e performance. Cookies não estritamente necessários ou analytics opcionais devem seguir aviso/consentimento configurado pelo Controlador.

Segurança e Controles

Criptografia

TLS em trânsito e criptografia em repouso conforme camadas do provedor

Isolamento RLS

Row Level Security separa dados por clínica (multi-tenant)

Controle de Acesso

RBAC, mínimo privilégio e auditoria de acessos administrativos

Backups Seguros

Backups automáticos, redundância e testes de restauração

Trilhas de Auditoria

Registro de operações relevantes para rastreabilidade

Monitoramento

Detecção de anomalias e resposta a incidentes

Suboperadores e Transferências

Utilizamos provedores de nuvem, e-mail transacional, monitoramento e backup como suboperadores, contratados com obrigações de confidencialidade, segurança e aderência à LGPD. Transferências internacionais podem ocorrer, com salvaguardas contratuais e escolha de regiões compatíveis.

IA (OpenAI) e dados sensíveis

Quando habilitado pelo Controlador, o Smilix pode utilizar provedores terceiros de IA (atualmente, OpenAI) para sugerir textos, resumos e automações. Isso pode envolver o envio de dados pessoais e dados sensíveis de saúde para processamento, sob instruções do Controlador, com controles e medidas de segurança proporcionais ao risco.

O Controlador é responsável por base legal, transparência aos titulares e revisão humana das saídas de IA. Respostas de IA são sugestões e podem conter erros.

Direitos dos Titulares

Titulares podem solicitar ao Controlador: confirmação, acesso, correção, anonimização, bloqueio/eliminação, portabilidade, informação sobre compartilhamento, revogação de consentimento e oposição. A Smilix provê exportação, exclusão e trilhas de auditoria para apoiar o atendimento.

Registro e Auditoria

Mantemos logs de acesso e de operações relevantes para segurança, suporte e conformidade, com retenção proporcional à finalidade.

Incidentes de Segurança

  • Notificamos a clínica afetada em prazo razoável, com natureza, impacto e medidas adotadas.
  • Auxiliamos comunicações à ANPD e aos titulares quando aplicável.
  • Trabalhamos em conjunto para resposta, contenção e prevenção de recorrência.

Retenção e Descarte

  • Dados são mantidos enquanto houver relação contratual ou obrigação legal/regulatória.
  • Após término, o Controlador pode exportar dados em prazo razoável; depois, eliminamos ou anonimizamos.
  • Backups seguem ciclo de retenção e são descartados com segurança.

Documentação Relacionada

Termos de Uso

Condições gerais de uso da plataforma

Política de Privacidade

Como coletamos e usamos seus dados

Contato do Encarregado (DPO)

Para dúvidas ou solicitações relacionadas a dados pessoais:

  • E-mail: suporte@smilix.com.br
  • WhatsApp: (68) 99259-4104

Pacientes devem direcionar solicitações primeiramente à clínica (Controladora). A Smilix atua como Operadora e apoia o atendimento aos titulares.