LGPD na Scale Clinic.

1. Quem é controlador e quem é operador

A Scale Clinic é um SaaS B2B que atende clínicas médicas e odontológicas. A LGPD divide responsabilidades em dois papéis, e a Scale Clinic ocupa cada um deles dependendo do dado:

• Em relação aos dados de pacientes (cadastro, conversas, prontuário, prescrições, exames, histórico clínico): a Scale Clinic é operadora, e a clínica que contratou o serviço é a controladora. Pacientes devem direcionar suas solicitações primeiro à clínica.
• Em relação aos dados dos usuários da plataforma (administradores, médicos, recepcionistas e equipe técnica das clínicas) e aos dados cadastrais e financeiros das próprias clínicas contratantes: a Scale Clinic é controladora.

2. Bases legais que utilizamos

• Execução de contrato (art. 7º, V) — para prestar os serviços contratados pelas clínicas.
• Consentimento (art. 7º, I e art. 11, I) — opt-in explícito de pacientes para receber mensagens via WhatsApp/Instagram/Webchat e para tratamento de dados de saúde, com evidência jurídica registrada (IP, data, texto aceito, fonte).
• Tutela da saúde (art. 11, II, "a" e "f") — por se tratar de prestação de serviços de saúde por profissionais habilitados.
• Cumprimento de obrigação legal (art. 7º, II e art. 11, II, "a") — guarda de prontuário pelos prazos do CFM e logs pelo Marco Civil.
• Legítimo interesse (art. 7º, IX) — segurança, prevenção a fraude e melhoria do serviço, sempre dentro dos limites legais.

3. Direitos do titular (art. 18 da LGPD)

Você, como titular de dados pessoais tratados pela Scale Clinic ou por uma clínica que usa nossa plataforma, tem direito a:

4. Como exercer seus direitos

Se você é paciente de uma clínica

Direcione sua solicitação primeiro à clínica que te atende. Ela é a controladora dos seus dados clínicos e tem o canal apropriado para responder pedidos de acesso, correção, exclusão ou exportação de prontuário. A Scale Clinic disponibiliza, dentro do painel de cada clínica, um fluxo padrão para registro e atendimento dessas solicitações em até 15 dias.

Se você é usuário da plataforma ou contratou diretamente

Escreva para falecom@scaleclinica.com.br com o assunto iniciando por [LGPD]. Confirme sua identidade e descreva o direito que deseja exercer. Respondemos em até 15 dias.

Exclusão direta de dados

A Scale Clinic disponibiliza ainda um canal público para solicitação de exclusão de dados em scaleclinica.com.br/exclusao-de-dados.

5. Como protegemos seus dados

• Criptografia em repouso com AES-256-GCM em PII (telefone, e-mail, CPF, data de nascimento), prontuários, prescrições e chaves de API.
• Criptografia em trânsito via TLS 1.2+ em toda comunicação.
• Senhas em hash bcrypt com cost 13. Sessões com expiração de 24h e 2FA opt-in (TOTP, Email OTP).
• Isolamento multi-tenant em quatro camadas: tecnicamente impossível que dados de uma clínica sejam acessados por outra.
• Controle de acesso por papéis (Master, Admin, Doctor, Secretary). Operador Master não acessa conteúdo de prontuários.
• Retenção configurável por clínica (padrão 12 meses após última atividade), com purge automático auditado. Prontuários eletrônicos retidos pelo prazo mínimo do CFM (20 anos), conforme obrigação regulatória da clínica.
• Auditoria imutável de todo acesso a dado sensível, com IP, usuário e ação registrados.
• Hospedagem no Brasil para dados primários da plataforma. Subprocessadores em outras jurisdições atuam sob art. 33 da LGPD com cláusulas contratuais padrão.

O detalhe técnico completo está na Política de Privacidade.

6. Encarregado de Dados (DPO)

Para qualquer comunicação relacionada à proteção de dados pessoais, fale com nosso Encarregado de Dados:

• E-mail do DPO: falecom@scaleclinica.com.br
• Site: scaleclinica.com.br

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) a qualquer momento.