← Voltar

Política de Privacidade

Última atualização: abril de 2026 · Versão 1.1

1. Objetivos e identificação

As leis sobre dados pessoais estão em constante evolução no Brasil, e temos o compromisso de mantê-lo informado sobre o tratamento de suas informações. A MZSClinic, plataforma de gestão clínica desenvolvida e operada pela MELZ DA SILVA SERVICOS MEDICOS LTDA, CNPJ nº 39.913.168/0001-23, com sede na Rua Santa Luzia, 75, Bairro Cruzeiro, Cajuru/SP, adota esta Política de Privacidade para demonstrar, com absoluta transparência, como coletamos, usamos, armazenamos e protegemos os dados pessoais de seus usuários.

Esta Política se aplica a todos os profissionais de saúde, equipes administrativas e pacientes que utilizam a plataforma MZSClinic, integrando os contratos de prestação de serviços firmados com as clínicas parceiras. Todas as condições estão em conformidade com a Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990).

O documento poderá ser atualizado em decorrência de alterações normativas, razão pela qual recomendamos sua consulta periódica em mzsclinic.com.br/privacidade.

2. Definições — Lei nº 13.709/2018 (LGPD)

  • Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável.
  • Dado Pessoal Sensível: dado sobre saúde, vida sexual, origem racial ou étnica, convicção religiosa, opinião política, dado genético ou biométrico, vinculado a pessoa natural.
  • Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando meios técnicos razoáveis disponíveis.
  • Banco de Dados: conjunto estruturado de dados pessoais, em suporte eletrônico ou físico.
  • Titular: pessoa natural a quem se referem os dados pessoais tratados.
  • Controlador: pessoa natural ou jurídica que decide sobre o tratamento de dados pessoais — neste contexto, as clínicas parceiras.
  • Operador: pessoa natural ou jurídica que realiza o tratamento em nome do controlador — neste contexto, a MZSClinic.
  • Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre o controlador, titulares e a ANPD.
  • Tratamento: toda operação realizada com dados pessoais (coleta, uso, armazenamento, transmissão, eliminação etc.).
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento para uma finalidade determinada.
  • Bloqueio: suspensão temporária de qualquer operação de tratamento.
  • Eliminação: exclusão de dado ou conjunto de dados armazenados em banco de dados.
  • Transferência Internacional: transferência de dados pessoais para país estrangeiro ou organismo internacional.
  • ANPD: Autoridade Nacional de Proteção de Dados, órgão da administração pública federal responsável por zelar pela proteção de dados no Brasil.

3. Como e quando coletamos dados pessoais

O tratamento de dados pessoais tem início no momento em que uma clínica contrata a plataforma MZSClinic e convida sua equipe, ou quando um paciente é cadastrado por um profissional de saúde autorizado. A partir deste cadastro, é possível identificar o usuário e garantir a segurança e personalização dos serviços prestados.

Todos os colaboradores das clínicas com acesso à plataforma são sujeitos a controles de acesso baseados em funções (RBAC), respeitando os princípios previstos na LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.

Menores de idade: em nenhuma hipótese coletamos dados pessoais de menores de 18 anos de forma autônoma. Quando necessário, o tratamento ocorrerá nos termos do artigo 14 da LGPD, mediante consentimento específico de pelo menos um dos pais ou responsável legal.

4. Quais dados pessoais coletamos

4.1 Dados de profissionais e equipe da clínica

  • Nome completo, e-mail e telefone
  • Número de registro profissional (CRM, CRP, CRN, CREFITO, CREF)
  • Função e permissões dentro da clínica (proprietário, administrador, profissional, recepcionista)
  • Registros de acesso e atividades na plataforma (log de auditoria)

4.2 Dados de pacientes (dados pessoais sensíveis de saúde)

  • Identificação: nome completo, data de nascimento, CPF, sexo, telefone, e-mail
  • Prontuários clínicos: histórico médico, queixas, diagnósticos (CID-10), exame físico, condutas
  • Documentos clínicos: receitas, atestados, pedidos de exames e encaminhamentos
  • Dados de saúde: sinais vitais, alergias, medicações em uso, dados antropométricos
  • Convênio e dados financeiros: plano de saúde, valores de consulta, registros de pagamento
  • Arquivos enviados: imagens, laudos e documentos anexados ao prontuário

4.3 Dados de uso da plataforma

  • Endereço IP e informações do navegador
  • Cookies de sessão e autenticação (detalhados na Política de Cookies)
  • Logs de acesso para auditoria de segurança e rastreabilidade

A MZSClinic não coleta dados pessoais sensíveis além dos estritamente necessários para a prestação dos serviços de saúde, e sempre com base legal adequada (art. 11, II, f da LGPD).

5. Finalidade do tratamento

Os dados pessoais são tratados exclusivamente para:

  • Operação da plataforma de gestão clínica (agenda, prontuários, documentos, financeiro)
  • Execução dos contratos de prestação de serviços com as clínicas parceiras (art. 7º, V)
  • Envio de comunicações transacionais: confirmações, lembretes e cancelamentos (art. 7º, I)
  • Garantia da segurança e integridade dos registros clínicos
  • Tutela da saúde, em tratamentos realizados por profissionais habilitados (art. 11, II, f)
  • Cumprimento de obrigações legais e regulatórias (sanitárias, fiscais, CFM) (art. 7º, II)
  • Prevenção a fraudes e garantia da segurança da plataforma (art. 7º, VI)
  • Geração de relatórios e estatísticas para gestão interna da clínica

O tratamento de dados para finalidades não previstas nesta Política somente ocorrerá mediante comunicação prévia ao titular, permanecendo aplicáveis todos os direitos e obrigações aqui previstos.

6. Por quanto tempo os dados ficam armazenados

Os dados são armazenados pelo período necessário à prestação do serviço ou ao cumprimento das finalidades previstas neste documento, conforme o artigo 15 da LGPD, podendo ser encerrado o tratamento quando:

  • A finalidade for alcançada ou os dados deixarem de ser necessários;
  • O período de tratamento definido em contrato for encerrado;
  • O titular solicitar a eliminação, resguardado o interesse público;
  • A ANPD assim determinar, em caso de violação da lei.

Prazos específicos por tipo de dado:

  • Prontuários e documentos clínicos: mínimo de 20 anos após o último atendimento, conforme Resolução CFM nº 1.821/2007 e normas equivalentes dos demais conselhos profissionais.
  • Dados de conta e acesso: pelo período de vigência do contrato com a clínica, acrescido de 5 anos para fins de auditoria e obrigações legais.
  • Logs de auditoria: 5 anos, conforme práticas de segurança da informação.

Os dados poderão ser conservados após o término do tratamento exclusivamente nas hipóteses do artigo 16 da LGPD: cumprimento de obrigação legal; estudo por órgão de pesquisa com anonimização; transferência a terceiro respeitada a lei; ou uso exclusivo do controlador com acesso vedado a terceiros e dados anonimizados.

7. Compartilhamento de dados

Não vendemos dados pessoais. O compartilhamento ocorre apenas nas seguintes situações, na medida estritamente necessária para a execução dos serviços:

  • Supabase Inc. — infraestrutura de banco de dados e autenticação (AWS us-east-1). Dados protegidos por criptografia em repouso e em trânsito.
  • Resend Inc. — serviço de envio de e-mails transacionais (confirmações, lembretes, convites).
  • Vercel Inc. — hospedagem e entrega da aplicação web.
  • Autoridades públicas — quando exigido por lei, decisão judicial, ou requisição de autoridade regulatória competente (ANPD, vigilância sanitária, Receita Federal).

Todos os fornecedores são contratados sob obrigações contratuais de confidencialidade e segurança compatíveis com a LGPD. Recomendamos a leitura das políticas de privacidade individuais de cada fornecedor para compreensão de como tratam os dados que lhes são encaminhados.

8. Transferência internacional de dados

Em razão da utilização de fornecedores de infraestrutura com servidores localizados fora do Brasil (conforme seção 7), pode ocorrer transferência internacional de dados pessoais. A MZSClinic assegura que tais transferências ocorrem em conformidade com o artigo 33 da LGPD, mediante uma ou mais das seguintes garantias:

  • Transferência para países com grau de proteção adequado, conforme avaliação da ANPD;
  • Adoção de cláusulas contratuais específicas reconhecidas pela ANPD;
  • Celebração de contratos com terceiros que assegurem cumprimento dos princípios e direitos do titular previstos na LGPD;
  • Obtenção de consentimento específico do titular, quando aplicável.

A MZSClinic adota medidas para garantir a segurança, confidencialidade e integridade dos dados transferidos, comprometendo-se a exigir dos destinatários o mesmo nível de proteção previsto nesta Política.

9. Segurança dos dados pessoais

A MZSClinic aplica medidas técnicas e organizacionais para proteger os dados contra acessos não autorizados, destruição, perda, alteração ou divulgação indevida:

  • Comunicação criptografada via HTTPS/TLS em todos os canais de acesso à plataforma
  • Autenticação gerenciada pelo Supabase Auth com senhas protegidas por bcrypt
  • Controle de acesso por funções (RBAC) com Row Level Security (RLS) diretamente no banco de dados
  • Lacre SHA-256 em documentos clínicos finalizados, detectando qualquer adulteração posterior
  • Log de auditoria de todos os acessos a prontuários, com registro de usuário, horário e ação
  • Chaves de serviço restritas ao servidor, nunca expostas ao cliente
  • Backup regular dos dados com retenção segura

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a MZSClinic se compromete a comunicar os usuários afetados e a ANPD no prazo e forma previstos no artigo 48 da LGPD.

A MZSClinic não se responsabiliza por incidentes decorrentes de culpa exclusiva do usuário (como compartilhamento de credenciais com terceiros) ou de ataques externos que superem as medidas de segurança razoavelmente adotadas.

10. Deveres do usuário

Ao utilizar a plataforma, o usuário assume as seguintes responsabilidades:

  • Fornecer informações verdadeiras, completas e atualizadas no cadastro e uso da plataforma.
  • Manter sigilo de suas credenciais de acesso (e-mail e senha), não as compartilhando com terceiros não autorizados.
  • Comunicar à clínica ou à MZSClinic qualquer suspeita de acesso não autorizado à sua conta.
  • Garantir que os dados de pacientes inseridos na plataforma foram coletados em conformidade com a legislação aplicável, incluindo a obtenção de consentimento quando necessário.
  • Utilizar a plataforma exclusivamente para finalidades lícitas, respeitando a privacidade de pacientes e terceiros.

A MZSClinic não se responsabiliza por informações inverídicas prestadas pelo usuário, nem por consequências decorrentes do compartilhamento indevido de credenciais.

11. Direitos do titular — art. 18 da LGPD

Nos termos do artigo 18 da Lei nº 13.709/2018, o titular dos dados tem direito a obter da MZSClinic, em relação aos dados por ela tratados:

  • I — Confirmação da existência de tratamento;
  • II — Acesso aos dados pessoais;
  • III — Correção de dados incompletos, inexatos ou desatualizados;
  • IV — Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • V — Portabilidade dos dados a outro fornecedor, conforme regulamentação da ANPD;
  • VI — Eliminação dos dados tratados com consentimento, exceto nas hipóteses do art. 16 da LGPD;
  • VII — Informação sobre entidades com as quais o controlador realizou uso compartilhado de dados;
  • VIII — Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
  • IX — Revogação do consentimento, nos termos do art. 8º, §5º da LGPD.

Para exercer seus direitos, entre em contato pelo e-mail privacidade@mzsclinic.com.br. A MZSClinic se compromete a analisar e responder às solicitações em até 15 (quinze) dias úteis, observada a complexidade da demanda e os prazos previstos na legislação.

12. Exclusão dos dados pessoais

A qualquer momento, nos termos do artigo 18 da LGPD, o titular poderá solicitar a eliminação de seus dados pessoais, exceto aqueles cuja conservação seja obrigatória por força legal (art. 16 da LGPD), como registros clínicos sujeitos a prazos mínimos de guarda definidos pelos conselhos profissionais de saúde, obrigações fiscais ou determinação judicial.

Os dados podem ser anonimizados em substituição à eliminação, quando a lei ou o interesse público assim exigirem.

13. Consentimento

Ao utilizar os serviços da MZSClinic e fornecer informações pessoais na plataforma, o usuário manifesta ciência e concordância com esta Política de Privacidade, nos termos do artigo 7º, inciso I, da LGPD.

O titular poderá revogar seu consentimento a qualquer tempo, mediante solicitação ao DPO pelo e-mail privacidade@mzsclinic.com.br, sem prejuízo da licitude do tratamento realizado antes da revogação.

14. Alterações desta Política

Reservamos o direito de modificar esta Política a qualquer momento. Alterações significativas serão comunicadas com pelo menos 30 dias de antecedência aos administradores das clínicas por e-mail.

As alterações entrarão em vigor imediatamente após sua publicação na plataforma. Ao continuar utilizando os serviços após as modificações, o usuário demonstra concordância com as novas condições.

Em caso de fusão, aquisição ou venda da plataforma, os dados dos usuários poderão ser transferidos aos novos proprietários para continuidade dos serviços, mediante comunicação prévia e nas condições definidas nesta Política.

15. Cookies

Utilizamos apenas cookies estritamente necessários para autenticação e funcionamento da plataforma — sem rastreadores, publicidade ou analytics de terceiros. Consulte nossa Política de Cookies para a lista completa.

16. Jurisdição e resolução de conflitos

Para a solução de controvérsias decorrentes deste instrumento será aplicado integralmente o direito brasileiro. Fica eleito o foro da Comarca de Cajuru — São Paulo como competente para dirimir quaisquer questões referentes ao presente documento, com renúncia expressa de qualquer outro, por mais privilegiado que seja.

Este instrumento obriga herdeiros e/ou sucessores das partes, a qualquer tempo.

Encarregado de Dados (DPO)

Dúvidas, solicitações ou exercício de direitos relacionados ao tratamento de dados pessoais devem ser dirigidos ao nosso Encarregado pelo Tratamento de Dados Pessoais:

E-mail: privacidade@mzsclinic.com.br