Voltar ao inícioLufi

LGPD

Política de Privacidade

Última atualização: 12 de abril de 2026 · Versão 1.0

Esta Política de Privacidade descreve como a Lufi coleta, utiliza, compartilha e protege dados pessoais e dados sensíveis de saúde tratados por meio da plataforma, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) e com as normas profissionais aplicáveis (COFFITO, CFM 2.454/2026).

1. Introdução e escopo

Esta política aplica-se a todos os dados tratados por meio da plataforma Lufi, incluindo o site institucional, o aplicativo web, integrações com WhatsApp (Meta), meios de pagamento (Asaas) e serviços de IA (OpenAI e Anthropic). A integração com WhatsApp e a emissão automática de nota fiscal (NF-e) estão em fase de homologação e serão liberadas progressivamente.

Aplicabilidade territorial: esta política rege o tratamento de dados de titulares no Brasil, sob a LGPD. Para titulares residentes na União Europeia ou no Reino Unido, aplicam-se direitos equivalentes do GDPR/UK-GDPR (acesso, retificação, apagamento, portabilidade, oposição e restrição) — solicitações podem ser encaminhadas ao DPO (seção 14).

2. Papéis e responsabilidades (LGPD)

  • Controladora: cada clínica contratante é a controladora dos dados dos seus pacientes. A clínica define as finalidades e os meios do tratamento clínico.
  • Operadora: a Lufi atua como operadora, processando dados conforme instruções da clínica controladora, no limite do objeto contratual.
  • Cosubcontratadas: provedores listados na seção 6 atuam como sub-operadores, sob contrato (DPA) com a Lufi.

3. Dados que coletamos

3.1 Dados cadastrais da clínica e equipe

  • Nome, CPF/CNPJ, e-mail, telefone, endereço, logotipo.
  • Registro profissional (CREFITO, CREF) quando informado.
  • Dados de cobrança (meio de pagamento via Asaas — não armazenamos cartão).

3.2 Dados clínicos de pacientes

  • Identificação e contato do paciente.
  • Histórico de saúde, queixas, evolução clínica, anamnese e condutas.
  • Fotos clínicas — somente quando houver consentimento explícito do paciente registrado no sistema.
  • Áudios de ditado para transcrição — armazenados temporariamente (ver seção 8).
  • Mensagens trocadas via WhatsApp através do número oficial da clínica.

3.3 Dados de uso

  • Registros de acesso (IP, data/hora, navegador).
  • Ações de auditoria em dados sensíveis.
  • Métricas agregadas e anonimizadas de uso.

4. Finalidade do tratamento

Os dados são tratados exclusivamente para:

  • prestar o serviço contratado pela clínica;
  • cumprir obrigações legais, fiscais e regulatórias;
  • viabilizar a comunicação legítima clínica-paciente;
  • melhorar a segurança, a confiabilidade e o suporte da plataforma;
  • atender solicitações de titulares e autoridades competentes.

Não utilizamos dados clínicos para marketing, perfilamento comercial ou treinamento de modelos de IA.

  • Execução de contrato (LGPD art. 7º, V) — com a clínica contratante.
  • Consentimento explícito (art. 7º, I; art. 11, I) — para fotos clínicas e áudios.
  • Cumprimento de obrigação legal ou regulatória (art. 7º, II) — retenção fiscal, prontuário.
  • Exercício regular de direitos em processo (art. 7º, VI) — quando aplicável.
  • Proteção da vida ou incolumidade física (art. 11, III) — em situações de risco.

6. Compartilhamento

A Lufi compartilha dados, exclusivamente na medida do necessário, com os seguintes parceiros, todos vinculados por contrato de operação (DPA):

  • Supabase (PostgreSQL, Storage): hospedagem do banco e arquivos da clínica.
  • OpenAI (Whisper): transcrição de áudios de dictado clínico.
  • Anthropic (Claude): estruturação de notas clínicas a partir da transcrição.
  • Asaas: processamento de cobranças PIX e boleto.
  • Meta Cloud API (WhatsApp): envio e recebimento de mensagens no número oficial.
  • Resend: envio de e-mails transacionais.

A Lufi não vende, aluga ou cede dados pessoais a terceiros não listados acima. Compartilhamento adicional pode ocorrer apenas por determinação legal ou judicial.

7. Transferência internacional

Alguns serviços utilizados (OpenAI, Anthropic, Meta) processam dados em regiões fora do Brasil. A Lufi mantém garantias contratuais adequadas (Data Processing Agreements, cláusulas padrão de transferência) com esses fornecedores, conforme previsto nos artigos 33 a 36 da LGPD.

8. Retenção de dados

  • Áudios clínicos: processados e excluídos automaticamente em até 24 horas após a transcrição.
  • Prontuários e evolução clínica: mantidos por no mínimo 20 anos após a última interação, conforme determinação do CFM/COFFITO.
  • Dados financeiros e fiscais: mantidos pelo prazo legal (até 5 anos após o exercício).
  • Dados cadastrais e de uso: mantidos enquanto a conta estiver ativa e por até 5 anos após o encerramento, para cumprimento de obrigações legais.
  • Logs de auditoria: retidos por 5 anos.

9. Segurança

  • Criptografia AES-256 em repouso para todos os dados sensíveis.
  • Criptografia TLS 1.3 em trânsito.
  • Row Level Security (RLS) no PostgreSQL — isolamento total entre clínicas.
  • Autenticação multiusuário, controle de perfis e log de auditoria por ação sensível.
  • Backups automáticos diários com retenção mínima de 30 dias.
  • Verificação de assinatura em todos os webhooks de integradores (Meta, Asaas).

10. Direitos do titular (LGPD art. 18)

Você, titular dos dados, pode a qualquer tempo solicitar:

  • confirmação da existência de tratamento;
  • acesso aos dados e histórico de tratamentos;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
  • portabilidade para outro fornecedor;
  • eliminação dos dados tratados com base no consentimento;
  • informação sobre o compartilhamento com entidades públicas e privadas;
  • revogação do consentimento;
  • petição perante a ANPD.

Solicitações devem ser enviadas pelo formulário de contato, com identificação e descrição do pedido. Respondemos em até 15 dias. No caso de dados clínicos, a solicitação pode ser encaminhada à clínica controladora, quando aplicável.

11. Cookies

Utilizamos apenas cookies estritamente necessários (autenticação de sessão e preferências básicas). Não usamos cookies de rastreamento publicitário nem integramos pixels de terceiros no aplicativo autenticado. Para detalhes adicionais, consulte nossa Política de Cookies.

12. Menores de idade

A Lufi não trata dados de pacientes menores de idade sem a autorização expressa de seus pais ou responsáveis legais, registrada pela clínica contratante na forma do artigo 14 da LGPD.

13. Incidentes e violações

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Lufi notificará a Autoridade Nacional de Proteção de Dados (ANPD) e a clínica controladora em até 72 horas do conhecimento do fato, conforme os artigos 48 e 50 da LGPD.

14. Encarregado (DPO)

Nosso Encarregado pelo Tratamento de Dados Pessoais pode ser contatado pelo e-mail dpo@lufisio.ai ou, alternativamente, pelo formulário de contatocom o assunto "Privacidade / LGPD".

15. Alterações e histórico

Esta política pode ser atualizada para refletir mudanças legais, técnicas ou de produto. Alterações materiais serão notificadas aos proprietários das clínicas por e-mail com no mínimo 30 dias de antecedência, e a data da última atualização será exibida no topo desta página.

Este documento tem finalidade informativa e não substitui aconselhamento jurídico especializado em proteção de dados. Em caso de dúvida, consulte um profissional habilitado ou a ANPD.