ArctisVoltar

Política de Privacidade

Última atualização: 21 de março de 2026

A LovatOsta (“nós”), operadora da plataforma Arctis, está comprometida com a proteção da privacidade dos seus dados. Esta Política descreve como coletamos, usamos, armazenamos e protegemos suas informações, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

1. Dados que Coletamos

Dados da clínica (controlador):

  • Nome da clínica, CNPJ, endereço, telefone, email
  • Logo e configurações de personalização
  • Dados de assinatura e pagamento (processados pelo Stripe)

Dados dos usuários (funcionários da clínica):

  • Nome, email, função (admin, dentista, equipe)
  • Senha (armazenada com hash bcrypt, nunca em texto puro)

Dados dos pacientes (inseridos pela clínica):

  • Nome, CPF, data de nascimento, telefone, email
  • Histórico clínico, prontuário, odontograma
  • Consultas agendadas, tratamentos, pagamentos
  • Documentos enviados (radiografias, laudos, fotos)

Importante: A clínica atua como controladora dos dados dos pacientes. A LovatOsta/Arctis atua como operadora, processando dados exclusivamente conforme instruções da clínica.

2. Como Usamos os Dados

  • Fornecer e manter o Serviço
  • Autenticar usuários e gerenciar acessos
  • Processar pagamentos e assinaturas
  • Enviar notificações do sistema (lembretes, alertas)
  • Enviar mensagens via WhatsApp (quando configurado pela clínica)
  • Gerar relatórios e dashboards para a clínica
  • Prestar suporte técnico

Não vendemos, compartilhamos ou utilizamos dados de pacientes para fins de marketing, publicidade ou qualquer outra finalidade além da operação do Serviço.

3. Armazenamento e Segurança

  • Banco de dados: PostgreSQL hospedado na Neon (infraestrutura AWS), com criptografia em trânsito (TLS) e em repouso
  • Arquivos: Armazenados no Vercel Blob Storage com acesso controlado
  • Senhas: Hash bcrypt com cost factor 12 (nunca armazenadas em texto puro)
  • Sessões: JWT com expiração de 30 dias
  • Isolamento: Dados de cada clínica são isolados — uma clínica nunca acessa dados de outra

4. Compartilhamento com Terceiros

Compartilhamos dados apenas com os serviços necessários para a operação:

  • Stripe — processamento de pagamentos de assinatura e cobranças (PCI-DSS compliant)
  • Asaas — geração de boletos, PIX e carnês (quando configurado pela clínica)
  • Google — sincronização com Google Calendar (quando configurado)
  • Evolution API — integração WhatsApp (quando configurado)
  • Vercel — hospedagem da aplicação e armazenamento de arquivos
  • Neon — hospedagem do banco de dados
  • Resend — envio de emails transacionais (confirmação, reset de senha)

5. Direitos do Titular (LGPD)

De acordo com a LGPD, você tem direito a:

  • Acesso: solicitar uma cópia dos seus dados
  • Correção: solicitar a correção de dados incompletos ou incorretos
  • Eliminação: solicitar a exclusão dos seus dados pessoais
  • Portabilidade: solicitar a exportação dos dados em formato aberto
  • Revogação: revogar o consentimento para o tratamento de dados
  • Informação: saber com quem seus dados são compartilhados

Para exercer seus direitos, entre em contato pelo email privacidade@arctis.com.br.

Para pacientes: Como a clínica é a controladora dos seus dados, entre em contato diretamente com a clínica. A clínica pode utilizar as ferramentas do Arctis para exportar ou anonimizar seus dados.

6. Retenção de Dados

  • Dados de conta ativa: mantidos enquanto a assinatura estiver ativa
  • Após cancelamento: dados disponíveis por 30 dias para exportação, depois excluídos permanentemente
  • Logs de auditoria: mantidos por 12 meses para fins de segurança
  • Backups: retidos por até 7 dias após a exclusão dos dados originais

7. Cookies

Utilizamos apenas cookies estritamente necessários para o funcionamento do Serviço:

  • next-auth.session-token: cookie de sessão para manter o usuário autenticado
  • next-auth.csrf-token: proteção contra ataques CSRF

Não utilizamos cookies de marketing, analytics ou rastreamento de terceiros.

8. Transferência Internacional

Seus dados podem ser processados em servidores localizados fora do Brasil (Estados Unidos), por meio dos provedores de infraestrutura (Vercel, Neon). Todos os provedores utilizados possuem políticas de proteção de dados compatíveis com a LGPD e utilizam criptografia em trânsito e em repouso.

9. Incidentes de Segurança

Em caso de incidente de segurança que possa causar risco relevante aos titulares de dados, nos comprometemos a notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados dentro do prazo legal.

10. Alterações nesta Política

Esta Política pode ser atualizada periodicamente. Alterações significativas serão comunicadas por email ou notificação no sistema. A data da última atualização está indicada no topo desta página.

11. Contato e Encarregado de Dados (DPO)

Para questões relacionadas à privacidade e proteção de dados: