Este documento é um contrato legal entre você (denominado Clínica Contratante) e a plataforma ARiA Clínicas. Ao criar uma conta, você declara ter lido, compreendido e aceito integralmente todos os termos abaixo. Caso não concorde, não utilize a plataforma.
1. Identificação das Partes e Natureza do Serviço
O ARiA Clínicas é uma plataforma de gestão clínica odontológica disponibilizada como Software como Serviço (SaaS). Nos termos da Lei nº 13.709/2018 (LGPD), a relação entre as partes é definida da seguinte forma:
- Controlador de Dados: A Clínica Contratante, que decide quais dados dos pacientes são coletados, como são usados e por quanto tempo são mantidos (Art. 5º, VI, LGPD).
- Operador de Dados: O ARiA Clínicas, que processa os dados exclusivamente conforme as instruções da Clínica Contratante, sem autonomia decisória sobre eles (Art. 5º, VII, LGPD).
2. Dados Coletados e Base Legal
O sistema coleta e armazena exclusivamente os dados inseridos pela própria Clínica Contratante. Esses dados se enquadram em duas categorias:
- Dados da Clínica: Nome, e-mail, senha (armazenada com hash seguro), telefone e nome do estabelecimento. Base legal: execução de contrato (Art. 7º, V, LGPD).
- Dados dos Pacientes: Nome completo, CPF, data de nascimento, telefone, prontuários clínicos, histórico de consultas, odontograma e registros financeiros. Esses dados são classificados como dados sensíveis de saúde (Art. 11, LGPD) e exigem consentimento expresso do titular ou outra base legal adequada, cuja obtenção é responsabilidade da Clínica Contratante.
3. Obrigações da Clínica Contratante (Controlador)
Por ser a Controladora dos dados dos pacientes, a Clínica Contratante assume integralmente as seguintes obrigações, sob pena de responder civil e administrativamente perante a ANPD:
- Obter consentimento livre, informado e inequívoco dos pacientes para o armazenamento digital de seus dados de saúde, conforme Art. 11, I, LGPD;
- Informar os pacientes sobre a utilização de sistema eletrônico de gestão clínica e o tratamento de seus dados pessoais;
- Atender, no prazo legal, solicitações dos titulares relativas a acesso, correção, portabilidade, anonimização ou exclusão de seus dados (Art. 18, LGPD);
- Manter as credenciais de acesso (e-mail e senha) em sigilo absoluto, sendo responsável por qualquer acesso indevido decorrente de negligência;
- Restringir o acesso ao sistema apenas a profissionais devidamente autorizados e habilitados;
- Não utilizar a plataforma para finalidades diversas da gestão clínica, incluindo marketing não autorizado ou comercialização de dados de pacientes;
- Manter dados de pacientes atualizados e corrigir eventuais inexatidões quando notificada ou solicitada.
4. Finalidade e Uso dos Dados
Os dados inseridos na plataforma são tratados exclusivamente para as seguintes finalidades, sem desvio de propósito:
- Funcionamento dos módulos do sistema: agenda, prontuários, odontograma, financeiro e IA dental;
- Geração de relatórios e estatísticas de uso exibidas exclusivamente para a própria clínica;
- Envio de notificações operacionais relacionadas ao serviço contratado.
O ARiA Clínicas não vende, compartilha, cede, aluga ou transfere dados de pacientes a terceiros, sob qualquer hipótese.
5. Segurança e Medidas Técnicas
O ARiA Clínicas adota as seguintes medidas de segurança técnica e organizacional para proteger os dados tratados:
- Criptografia em trânsito: Toda comunicação entre o navegador e os servidores ocorre via protocolo HTTPS/TLS 1.3;
- Criptografia em repouso: Dados armazenados no Supabase (PostgreSQL) com criptografia AES-256 em nível de disco;
- Autenticação segura: Login com e-mail e senha gerenciado pelo Firebase Authentication, com hash bcrypt e proteção contra força bruta;
- Isolamento de dados: Cada clínica acessa exclusivamente seus próprios dados, garantido por políticas de Row-Level Security (RLS) no banco de dados;
- Controle de acesso: Operações no banco de dados são restritas ao usuário autenticado, sem acesso cruzado entre clínicas.
6. Direitos dos Titulares (Pacientes)
Os pacientes cujos dados são armazenados no sistema possuem, nos termos do Art. 18 da LGPD, os seguintes direitos, exercíveis perante a Clínica Contratante (Controladora):
- Confirmação da existência de tratamento de seus dados pessoais;
- Acesso aos dados armazenados em seu nome;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
- Portabilidade dos dados a outro fornecedor de serviço;
- Eliminação dos dados pessoais tratados com base no consentimento;
- Revogação do consentimento a qualquer momento.
A Clínica Contratante é responsável por viabilizar o exercício desses direitos no prazo máximo de 15 dias úteis após a solicitação do titular.
7. Retenção, Exclusão e Portabilidade de Dados
Os dados são mantidos enquanto a conta da clínica estiver ativa. A Clínica Contratante pode excluir dados de pacientes individuais a qualquer momento pelo próprio sistema. Em caso de cancelamento da conta:
- Os dados ficam retidos por 30 dias corridos após o cancelamento para fins de recuperação;
- Após esse prazo, todos os dados são permanentemente eliminados dos servidores, salvo obrigação legal de guarda;
- Registros de prontuários podem estar sujeitos à guarda mínima de 20 anos prevista no CFO (Resolução CFO-118/2012), cuja responsabilidade é da clínica.
8. Incidentes de Segurança
Em caso de incidente de segurança com potencial risco aos titulares, o ARiA Clínicas se compromete a:
- Notificar a Clínica Contratante em até 72 horas após a ciência do incidente;
- Comunicar à Autoridade Nacional de Proteção de Dados (ANPD) nos prazos estabelecidos (Art. 48, LGPD);
- Fornecer informações sobre a natureza dos dados afetados, medidas de mitigação adotadas e recomendações para proteção dos titulares.
9. Limitação de Responsabilidade
O ARiA Clínicas não se responsabiliza por:
- Danos decorrentes de uso indevido das credenciais de acesso pela Clínica Contratante ou seus funcionários;
- Inexatidões nos dados inseridos pela Clínica Contratante;
- Decisões clínicas tomadas com base nas informações registradas no sistema;
- Descumprimento pela Clínica Contratante de suas obrigações como Controladora perante os titulares.
10. Canal de Atendimento — Encarregado (DPO)
Para exercício de direitos, dúvidas sobre privacidade, solicitações relacionadas à LGPD, relatos de incidentes ou quaisquer questões sobre o tratamento de dados, entre em contato com o Encarregado de Proteção de Dados (DPO) da plataforma pelo e-mail de suporte. O prazo de resposta é de até 5 dias úteis para dúvidas gerais e 15 dias úteis para solicitações formais de titulares.
11. Alterações neste Documento
Este documento pode ser atualizado a qualquer momento. Alterações substanciais serão comunicadas à Clínica Contratante por e-mail com antecedência mínima de 15 dias. O uso continuado da plataforma após a vigência das alterações constitui aceite dos novos termos.
12. Lei Aplicável e Foro
Este instrumento é regido pela legislação brasileira, especialmente pela Lei nº 13.709/2018 (LGPD), Lei nº 8.078/1990 (CDC) e Marco Civil da Internet (Lei nº 12.965/2014). Fica eleito o foro da comarca de domicílio do usuário para dirimir quaisquer controvérsias.
Ao marcar a caixa de aceite e criar sua conta, você, em nome da Clínica Contratante, declara expressamente ter lido, compreendido e aceito integralmente todos os termos acima, assumindo as responsabilidades de Controlador de Dados perante a LGPD. Este aceite é registrado com data, hora e identificador de sessão para fins de auditoria.
Última atualização: junho de 2026 · Lei nº 13.709/2018 (LGPD) · ANPD · CFO Resolução 118/2012