Política de Privacidade — Rapidoc Clinic

O Rapidoc Clinic é um sistema de gestão clínica operado por RD BRASIL INTERMEDIACOES LTDA, inscrita no CNPJ sob nº 27.696.922/0001-31, com sede em Gravataí/RS, Brasil ("Rapidoc", "nós").

Esta Política descreve como tratamos dados pessoais de profissionais de saúde, equipes administrativas, recepcionistas e pacientes que utilizam o Rapidoc Clinic, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — "LGPD") e com as políticas de uso de dados das plataformas integradas, incluindo o Google.

Coletamos e tratamos os seguintes dados pessoais:

• Identificação e contato: nome completo, e-mail, telefone, CPF ou documento equivalente, data de nascimento.
• Profissionais de saúde: registro profissional (CRM/CRO/etc.), especialidades, vínculos com clínicas, dados de remuneração e produtividade.
• Pacientes / beneficiários: dados cadastrais recebidos das operadoras parceiras para vincular tratamentos e consultas.
• Dados de uso: logs de acesso, endereço IP, identificador de sessão e ações realizadas no sistema, para fins de segurança e auditoria.
• Integração com Google: quando o profissional opta por conectar sua conta Google, recebemos o e-mail da conta autorizada e tokens de acesso ao Google Calendar (detalhes na seção 6).

• Autenticação e controle de acesso ao sistema.
• Gestão de escalas, plantões, disponibilidade e consultas agendadas.
• Cálculo de remuneração e produtividade dos profissionais vinculados.
• Vinculação de tratamentos entre pacientes e profissionais.
• Sincronização opcional de plantões e consultas com o calendário do profissional no Google Calendar.
• Cumprimento de obrigações legais, regulatórias e contratuais.
• Segurança da informação, prevenção a fraudes e auditoria.

O tratamento de dados pessoais ocorre com base nas seguintes hipóteses legais previstas nos arts. 7º e 11 da LGPD:

• Execução de contrato com a clínica, profissional ou operadora contratante (art. 7º, V).
• Cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II), incluindo normas do Conselho Federal de Medicina e ANS quando aplicáveis.
• Legítimo interesse para segurança da informação, prevenção a fraudes e melhoria do serviço (art. 7º, IX).
• Consentimento específico do titular para integrações opcionais, como a sincronização com o Google Calendar (arts. 7º, I e 11, I).
• Para dados de saúde, quando aplicável: tutela da saúde por profissionais ou serviços de saúde (art. 11, II, "f").

Compartilhamos dados pessoais apenas com:

• Operadoras de saúde e clínicas contratantes, estritamente para execução do contrato.
• Provedores de infraestrutura (Amazon Web Services, Vercel) que hospedam os sistemas em ambiente seguro.
• Keycloak, sob nossa administração, como provedor de identidade.
• Google LLC, exclusivamente quando o profissional autoriza a integração com o Google Calendar (seção 6).
• Autoridades públicas, quando exigido por lei, ordem judicial ou requisição administrativa legítima.

Não vendemos, alugamos ou cedemos dados pessoais a terceiros para fins comerciais ou publicitários.

O Rapidoc Clinic oferece, como funcionalidade opcional, a sincronização de plantões e consultas com o Google Calendar do profissional. Esta integração só é ativada após autorização explícita do titular via fluxo OAuth 2.0 do Google.

Escopos solicitados

• https://www.googleapis.com/auth/calendar.app.created — permite criar e gerenciar um calendário dedicado chamado "Rapidoc" na conta do usuário. Não acessamos, lemos nem modificamos nenhum outro calendário do usuário.
• openid e userinfo.email — usados apenas para identificar qual conta Google foi conectada e exibir o e-mail na interface.

Como tratamos os dados recebidos

• Os tokens de acesso e atualização (refresh tokens) são armazenados de forma criptografada em nosso banco de dados.
• Apenas eventos correspondentes a plantões e consultas registrados no Rapidoc Clinic são gravados no calendário "Rapidoc" do usuário.
• O profissional pode desativar a sincronização ou revogar o acesso a qualquer momento, pela tela /me/calendar do Rapidoc Clinic ou diretamente em myaccount.google.com/permissions.

Google API Services User Data Policy — Limited Use

O uso e a transferência, pelo Rapidoc Clinic, de informações recebidas das APIs do Google, para qualquer outro aplicativo, aderem à Google API Services User Data Policy, incluindo os requisitos de Uso Limitado (Limited Use).

Rapidoc Clinic's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

Em particular, declaramos que não usamos os dados obtidos via APIs do Google para:

• Servir publicidade ou propaganda direcionada.
• Vender dados a terceiros.
• Permitir que humanos leiam o conteúdo dos eventos, exceto: (i) com consentimento explícito do usuário, (ii) por necessidade de segurança (investigação de abuso), (iii) para cumprir obrigação legal, ou (iv) quando os dados forem agregados e anonimizados para uso interno.

Utilizamos cookies essenciais para autenticação e manutenção de sessão (gerenciados pelo Keycloak e pelo NextAuth/Auth.js). Não usamos cookies de marketing, rastreamento publicitário nem analytics de terceiros. O cookie de sessão é HttpOnly e Secure, e expira ao final da sessão ou após período de inatividade.

Nos termos do art. 18 da LGPD, o titular pode, a qualquer momento, solicitar:

• Confirmação da existência de tratamento.
• Acesso aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD.
• Portabilidade a outro fornecedor de serviço.
• Eliminação dos dados tratados com base em consentimento.
• Informação sobre entidades públicas e privadas com as quais compartilhamos dados.
• Revogação do consentimento.

Solicitações podem ser enviadas ao Encarregado pelo e-mail indicado na seção 11.

Mantemos dados pessoais pelo prazo necessário ao cumprimento das finalidades descritas e, posteriormente, pelos prazos legais e regulatórios aplicáveis (notadamente normas do CFM sobre prontuários e a legislação trabalhista e fiscal, quando pertinente).

Aplicamos medidas técnicas e administrativas para proteger os dados, incluindo:

• Criptografia em trânsito (TLS) e em repouso quando aplicável.
• Criptografia específica para tokens OAuth do Google em nosso banco de dados.
• Controle de acesso baseado em papéis (RBAC).
• Logs de auditoria e monitoramento contínuo.
• Princípio do menor privilégio para profissionais com acesso a dados.

Parte da infraestrutura (provedores de nuvem e o Google) pode armazenar e processar dados em servidores localizados fora do Brasil. Tais transferências ocorrem em conformidade com o art. 33 da LGPD, em jurisdições reconhecidas como adequadas ou mediante cláusulas contratuais específicas que asseguram nível de proteção equivalente ao previsto na lei brasileira.

Para exercer direitos ou esclarecer dúvidas sobre o tratamento de seus dados pessoais, contate nosso Encarregado:

E-mail: lucas@rapidoc.tech

Podemos atualizar esta Política periodicamente para refletir mudanças legais, técnicas ou no funcionamento do Rapidoc Clinic. A data da última atualização é exibida no topo deste documento. Alterações materiais serão comunicadas pelos canais de relacionamento com os titulares.