Meevia OS
MeeviaIntelligent Clinic

Documentos legais

Política de Privacidade

Este documento descreve como a Meevia coleta, usa, armazena e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei n. 13.709/2018).

Versão v1.0 — Vigência a partir de 04/04/2026

1. Quem somos — Controlador e Encarregado de Dados (DPO)

A Meevia é o controlador dos dados pessoais tratados por meio de sua plataforma de gestão clínica. Somos responsáveis por definir as finalidades e os meios de tratamento dos dados coletados.

Dados do Controlador

Razão social: Maicon Wagner dos Santos Ltda.

Nome fantasia: MW Tecnologia

Produto: Meevia — Plataforma de Gestão Clínica com IA

CNPJ: 41.097.044/0001-69

Endereço: Rua Pastor Bernhard Johnson, 2818 — Oswaldo Cruz, Palotina/PR, CEP 85.950-000

Encarregado de dados (DPO): contato@meevia.app

Telefone: (44) 99826-6416

O Encarregado de Dados (Data Protection Officer — DPO) é o canal oficial para questões relacionadas a privacidade e proteção de dados. Ele atua como intermediário entre a Meevia, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

2. Quais dados coletamos e por que

Conforme o Art. 9, I da LGPD, informamos de forma transparente todas as categorias de dados que coletamos e a finalidade de cada uma:

Dados cadastrais de usuários da plataforma (gestores e profissionais)

  • Nome completo
  • E-mail profissional
  • Número de telefone
  • Cargo/função na clínica
  • Senha de acesso (armazenada com hash bcrypt)

Finalidade: Identificação, autenticação e comunicação com os usuários da plataforma.

Base legal: Execução de contrato (Art. 7, V, LGPD)

Dados pessoais de pacientes das clínicas

  • Nome completo
  • CPF
  • Data de nascimento
  • Telefone e e-mail
  • Endereço

Finalidade: Cadastro e identificação dos pacientes no sistema de gestão clínica.

Base legal: Execução de contrato + interesse legítimo da clínica (Art. 7, V e IX, LGPD)

Dados de saude dos pacientes (dados sensiveis — Art. 11 LGPD)

Dado sensível
  • Prontuários clínicos
  • Anamneses e histórico de saúde
  • Diagnósticos com CID-10
  • Fotos de evolução clínica
  • Prescrições e tratamentos realizados

Finalidade: Prestação dos serviços de gestão clínica contratados pela clínica.

Base legal: Consentimento do titular (Art. 11, I, LGPD) + tutela da saúde (Art. 11, II, f, LGPD)

Dados financeiros

  • Histórico de cobranças e pagamentos
  • Parcelas e acordos financeiros
  • Identificação de inadimplência

Finalidade: Gestão financeira da clínica, cobranças automatizadas e relatórios.

Base legal: Execução de contrato (Art. 7, V, LGPD)

Dados de comunicacao

  • Mensagens enviadas via WhatsApp Business
  • Histórico de notificações e lembretes
  • Logs de comunicação entre clínica e paciente

Finalidade: Confirmações de consulta, cobranças e comunicação automatizada.

Base legal: Execução de contrato + consentimento (Art. 7, V e I, LGPD)

Dados de uso e logs da plataforma

  • Endereços IP
  • Dispositivos e navegadores utilizados
  • Ações realizadas na plataforma (audit log)
  • Data e hora de acessos

Finalidade: Segurança, auditoria, depuração técnica e prevenção de fraudes.

Base legal: Interesse legítimo (Art. 7, IX, LGPD)

3. Bases legais para o tratamento de dados

Todo tratamento de dados realizado pela Meevia possui uma base legal específica, conforme exigido pelo Art. 9, II da LGPD. Para dados pessoais comuns, aplicamos as bases do Art. 7 da LGPD. Para dados de saúde (dados sensíveis), aplicamos as bases do Art. 11 da LGPD.

Execução de contrato (Art. 7, V)

Tratamento necessário para a prestação dos serviços contratados pela clínica.

Consentimento (Art. 7, I / Art. 11, I)

Para dados de saúde e comunicações de marketing, coletamos consentimento expresso e informado do titular.

Cumprimento de obrigação legal (Art. 7, II)

Retenção de dados conforme exigências legais (ex: prontuários por 20 anos — CFM 1821/2007).

Interesse legitimo (Art. 7, IX)

Segurança da plataforma, prevenção de fraudes e logs de auditoria.

Tutela da saude (Art. 11, II, f)

Tratamento de dados de saúde necessário para a prestação de assistência clínica pelas clínicas usuárias.

4. Como usamos os dados

Os dados coletados são utilizados exclusivamente para as seguintes finalidades:

  • Prestação dos serviços de gestão clínica contratados, incluindo agendamentos, prontuários eletrônicos, gestão financeira e relatórios.
  • Processamento por agentes de IA autônomos configurados pela clínica, tais como: transcrição de consultas, geração de prontuários por voz, identificação de pacientes em churn e cobranças automatizadas.
  • Comunicação automatizada com pacientes via WhatsApp Business, para confirmações de consulta, lembretes e cobranças — sempre dentro do mandato da clínica contratante.
  • Geração de insights clínicos e financeiros por meio de modelos de linguagem (LLM), processados de forma anonimizada ou pseudonimizada quando possível.
  • Segurança da plataforma: detecção de acessos suspeitos, prevenção de fraudes e manutenção de logs de auditoria.
  • Comunicações de suporte, atualizações de produto e notificações de segurança para usuários da plataforma.
  • Cumprimento de obrigações legais e regulatórias aplicáveis.

Sobre agentes autônomos de IA

Os agentes de IA da Meevia operam dentro de limites configurados pelo gestor da clínica. Cada agente possui nível de autonomia ajustável (de sugestão para aprovação humana até execução total). Todas as ações dos agentes são registradas em audit log com rastreabilidade completa. O gestor é responsável pelas ações que aprova.

5. Compartilhamento com terceiros (operadores)

A Meevia não vende dados pessoais. O compartilhamento ocorre exclusivamente com operadores que processam dados em nosso nome, com base em contratos que garantem conformidade com a LGPD (Art. 39 LGPD):

Supabase Inc.

Papel: Operador de banco de dados e infraestrutura

Dados compartilhados: Todos os dados armazenados na plataforma (PostgreSQL, Storage, Auth)

Localidade: Infraestrutura AWS (regioes EUA e UE)

Fundamento: Contrato de processamento de dados (DPA) com clausulas de adequacao

Política: https://supabase.com/privacy

OpenAI / Google (Gemini)

Papel: Operador de modelos de linguagem (IA)

Dados compartilhados: Trechos de texto para transcrição, geração de prontuários e insights (sem identificadores diretos quando possível)

Localidade: Servidores nos Estados Unidos

Fundamento: Cláusulas contratuais padrão para transferência internacional (Art. 33, II, LGPD)

Política: https://openai.com/policies/privacy-policy

Meta Platforms (WhatsApp Business API)

Papel: Operador de canal de comunicação

Dados compartilhados: Número de telefone, nome e conteúdo de mensagens enviadas pela clínica

Localidade: Infraestrutura global Meta

Fundamento: Contrato de serviços empresariais Meta + consentimento do usuário final

Política: https://www.whatsapp.com/legal/business-policy

Além dos operadores acima, podemos compartilhar dados com autoridades competentes quando exigido por lei, ordem judicial ou para proteger direitos da Meevia ou de terceiros.

6. Transferência internacional de dados (Art. 33 LGPD)

Alguns de nossos operadores estão localizados fora do Brasil, o que caracteriza transferência internacional de dados nos termos do Art. 33 da LGPD. Realizamos essas transferências com base nas seguintes salvaguardas:

OpenAI (Estados Unidos) — Modelos de Linguagem

A OpenAI está localizada nos EUA, país que ainda não possui decisão de adequação reconhecida pela ANPD. A transferência é realizada com base em cláusulas contratuais padrão (Art. 33, II, LGPD), que garantem ao titular nível de proteção equivalente ao da LGPD.

Adicionalmente, minimizamos os dados enviados: evitamos transmitir identificadores diretos (CPF, nome completo) aos modelos de IA, priorizando pseudonimização ou dados contextuais anonimizados.

Supabase (infraestrutura AWS)

A Meevia utiliza a infraestrutura do Supabase hospedada em regiões AWS. O Supabase possui DPA (Data Processing Agreement) com cláusulas de adequação compatíveis com regulamentos internacionais de proteção de dados, incluindo cláusulas contratuais padrão reconhecidas pela ANPD.

O titular pode solicitar informações adicionais sobre as salvaguardas adotadas para transferências internacionais através do canal do DPO: contato@meevia.app.

7. Tempo de retenção dos dados

Mantemos os dados pelo tempo necessário para cumprir as finalidades para as quais foram coletados, observando os prazos legais aplicáveis (Art. 9, III, LGPD):

Categoria de dadoPrazo de retençãoFundamento
Prontuários clínicos dos pacientes20 anos após o último atendimentoCFM 1821/2007 + Art. 7, II, LGPD
Dados cadastrais de pacientes5 anos após encerramento do vínculoArt. 206 Codigo Civil
Dados financeiros e cobranças5 anosLei 9613/1998 + Art. 7, II, LGPD
Dados de comunicacao (WhatsApp)2 anosInteresse legítimo + razoabilidade
Logs de auditoria e seguranca5 anosInteresse legítimo + segurança
Dados de acesso e IP6 mesesLei 12.965/2014 (Marco Civil)
Dados de conta de usuarioVigência do contrato + 5 anosExecução de contrato + obrigação legal
Cookies e dados de sessaoAté 1 ano (configurável)Consentimento

Após o vencimento dos prazos acima, os dados são eliminados de forma segura ou anonimizados, tornando impossível a identificação do titular.

8. Seus direitos como titular (Art. 18 LGPD)

A LGPD garante ao titular dos dados um conjunto de direitos que podem ser exercidos a qualquer momento. Veja cada um deles:

Acesso (Art. 18, I)

Você pode solicitar confirmação sobre se tratamos seus dados e, em caso positivo, obter acesso a eles.

Correção (Art. 18, III)

Você pode solicitar a correção de dados incompletos, inexatos ou desatualizados.

Anonimizacao, bloqueio ou eliminacao (Art. 18, IV)

Dados desnecessários, excessivos ou tratados em desconformidade com a LGPD podem ser anonimizados, bloqueados ou eliminados.

Portabilidade (Art. 18, V)

Você pode solicitar a transferência de seus dados para outro fornecedor de serviço, em formato estruturado e interoperável.

Eliminacao (Art. 18, VI)

Dados tratados com base em consentimento podem ser eliminados a qualquer momento, salvo obrigação legal de retenção.

Informacao sobre compartilhamento (Art. 18, VII)

Você pode saber com quais entidades públicas e privadas compartilhamos seus dados.

Revogacao do consentimento (Art. 18, IX)

O consentimento pode ser revogado a qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente.

Oposição (Art. 18, § 2)

Você pode se opor ao tratamento realizado com fundamento em uma das hipóteses de dispensas de consentimento, em caso de descumprimento da LGPD.

9. Como exercer seus direitos

Para exercer qualquer dos direitos listados no Art. 18 da LGPD, entre em contato com nosso Encarregado de Dados (DPO):

E-mail do DPO

contato@meevia.app

Telefone

(44) 99826-6416

Prazo de resposta

15 dias corridos a partir do recebimento da solicitação

Ao contatar o DPO, informe: (a) seu nome completo; (b) o direito que deseja exercer; (c) descrição detalhada da solicitação; (d) documento de identificação (quando necessário para verificar a identidade). A Meevia pode solicitar informações adicionais para confirmar a identidade do solicitante antes de atender a requisição.

Caso não esteja satisfeito com a resposta, você tem o direito de peticionar à Autoridade Nacional de Proteção de Dados (ANPD) pelo portal www.gov.br/anpd.

10. Medidas de segurança técnica

A Meevia adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou divulgação, em conformidade com o Art. 46 da LGPD:

Row-Level Security (RLS)

Isolamento de dados multi-tenant no banco de dados PostgreSQL. Cada clínica acessa apenas seus próprios dados, sendo impossível o vazamento entre organizações.

Criptografia em transito e em repouso

Toda comunicação é realizada via HTTPS/TLS 1.3. Dados em repouso são criptografados com AES-256 na infraestrutura Supabase/AWS.

Audit Log completo

Cada ação crítica na plataforma é registrada com identificação do usuário, timestamp, IP e dados alterados. Logs são imutáveis e retidos por 5 anos.

RBAC (Controle de acesso por papel)

Cada usuário possui permissões estritamente necessárias para sua função (princípio do menor privilégio). Gestores configuram o nível de acesso de cada membro da equipe.

Autenticacao de dois fatores (2FA)

2FA disponível para todos os usuários da plataforma. Recomendado especialmente para gestores e usuários com acesso a dados de saúde.

Edge Functions isoladas

Processamentos críticos executados em Deno Edge Functions com isolamento de contexto, sem acesso direto ao banco de dados de produção.

Nenhum sistema é absolutamente invulnerável. Em caso de incidente de segurança, agimos conforme descrito na seção abaixo.

11. Incidentes de segurança (Art. 48 LGPD)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Meevia adotará os seguintes procedimentos, conforme Art. 48 da LGPD:

Notificação à ANPD

Até 72 horas após a ciência do incidente

Comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) nos termos do Art. 48, § 1 da LGPD, informando: natureza dos dados afetados, número estimado de titulares, medidas adotadas para reversão e mitigação.

Notificação aos titulares afetados

Prazo razoável definido pela ANPD ou, na ausência de definição, em até 72 horas

Comunicaremos os titulares cujos dados tenham sido comprometidos, descrevendo o incidente em linguagem clara e as medidas que podem tomar para se proteger.

Investigacao e remediacao

Imediato após ciência

Acionaremos nosso plano de resposta a incidentes: isolamento do vetor de ataque, auditoria forense dos logs, correção técnica e revisão de controles de segurança.

12. Cookies e rastreamento

A Meevia utiliza cookies e tecnologias similares para garantir o funcionamento da plataforma, melhorar a experiencia do usuario e analisar o uso do servico.

Cookies essenciais

Necessários para o funcionamento da plataforma (autenticação, sessão, preferências de idioma). Não podem ser desativados.

Base legal: Interesse legítimo / necessidade técnica

Cookies de desempenho e analytics

Coletam informações sobre como os usuários utilizam a plataforma (páginas visitadas, tempo de sessão, erros). Usamos para melhorar o produto.

Base legal: Consentimento

Logs de acesso

Registros de IP, user-agent e timestamp para segurança e auditoria. Retidos por 6 meses conforme o Marco Civil da Internet.

Base legal: Obrigação legal (Lei 12.965/2014)

Você pode gerenciar suas preferências de cookies nas configurações do seu navegador. A desativação de cookies essenciais pode impactar o funcionamento da plataforma.

13. Alterações nesta política

A Meevia pode atualizar esta Política de Privacidade periodicamente para refletir mudanças na legislação, em nossas práticas de tratamento de dados ou nas funcionalidades da plataforma.

Alterações relevantes serão comunicadas aos usuários por e-mail e/ou por aviso destacado na plataforma, com antecedência mínima de 15 dias da vigência da nova versão, salvo alterações exigidas por lei.

O uso continuado da plataforma após a vigência da nova versão implica ciência e concordância com as alterações. Recomendamos a leitura periódica deste documento.

Versao

v1.0

Data de vigência

04 de abril de 2026

Última atualização

04 de abril de 2026