Política de Privacidade

Última atualização: 19 de março de 2026 · Versão 1.0 · Em conformidade com a LGPD (Lei n.º 13.709/2018)

Compromisso com sua privacidade. A Organifly respeita e protege os dados pessoais de seus usuários. Esta Política descreve quais dados coletamos, como os utilizamos, por quanto tempo os armazenamos e quais são seus direitos como titular.

1 Controlador e Encarregado de Dados

O controlador dos dados pessoais dos Usuários (Profissionais) é a empresa responsável pela Plataforma Organifly, com sede no Brasil.

Com relação aos dados dos Pacientes inseridos na Plataforma pelos Profissionais, o Profissional é o controlador e a Organifly atua como operadora de dados, conforme o art. 5.º, VII da LGPD.

2 Dados Pessoais Coletados

2.1 Dados do Profissional (Usuário)

CategoriaExemplos
IdentificaçãoNome completo, CPF/CNPJ, número de registro profissional
ContatoE-mail, telefone
EndereçoCEP, logradouro, cidade
AcessoE-mail, senha (hash), token de sessão
PagamentoÚltimos 4 dígitos e bandeira do cartão (token via provedor); dados de cobrança
Uso da PlataformaLogs de acesso, endereço IP, navegador, sistema operacional
PreferênciasConfigurações de agenda, duração de sessão, integração Google

2.2 Dados dos Pacientes (inseridos pelo Profissional)

CategoriaExemplos
IdentificaçãoNome, CPF, e-mail, telefone
Saúde (sensíveis)Condição de saúde, prontuários, anotações de sessão, metas terapêuticas, notas de evolução
FinanceiroValores de sessão, método de pagamento, datas de cobrança
AgendamentosDatas, horários e modalidade (presencial/online) das consultas
MateriaisArquivos e documentos compartilhados pelo Profissional

3 Finalidades e Base Legal

FinalidadeBase Legal (LGPD)
Criação e gerenciamento de conta Execução de contrato (art. 7.º, V)
Prestação dos serviços da Plataforma Execução de contrato (art. 7.º, V)
Processamento de pagamentos Execução de contrato (art. 7.º, V)
Envio de e-mails transacionais (confirmações, alertas) Execução de contrato / Legítimo interesse (art. 7.º, V e IX)
Comunicações de produto e novidades Consentimento (art. 7.º, I) — opcional e revogável
Segurança, prevenção a fraudes e auditoria Legítimo interesse / Cumprimento de obrigação legal (art. 7.º, II e IX)
Melhoria e desenvolvimento da Plataforma Legítimo interesse (art. 7.º, IX) — dados anonimizados
Cumprimento de obrigações legais e regulatórias Cumprimento de obrigação legal (art. 7.º, II)

4 Dados de Saúde (Dados Sensíveis)

Prontuários, diagnósticos, anotações clínicas e demais informações de saúde dos Pacientes são classificados como dados sensíveis pelo art. 11 da LGPD e recebem proteção reforçada.

A Organifly trata esses dados exclusivamente na qualidade de operadora, sob instrução do Profissional (controlador), para viabilizar a prestação dos serviços contratados. Não utilizamos dados de saúde dos pacientes para qualquer outra finalidade, incluindo publicidade, analytics externos ou treinamento de modelos de inteligência artificial.

Esses dados são protegidos por criptografia AES-256-GCM com chave individual por paciente (detalhada na Seção 7), de modo que nem a equipe da Organifly tem acesso técnico ao conteúdo armazenado — somente o Profissional responsável e o próprio Paciente podem decifrar as informações.

5 Compartilhamento de Dados

A Organifly não vende dados pessoais. Podemos compartilhar dados nas seguintes situações:

  • Provedores de serviços (suboperadores): empresas que nos auxiliam na operação, como provedores de hospedagem em nuvem, processadores de pagamento (Asaas), serviços de e-mail transacional e Google (quando o Usuário habilita a integração com Google Calendar). Esses terceiros são contratualmente obrigados a proteger os dados e usá-los apenas para as finalidades autorizadas.
  • Obrigação legal: quando exigido por lei, ordem judicial, autoridade competente ou pela Autoridade Nacional de Proteção de Dados (ANPD).
  • Proteção de direitos: para investigar, prevenir ou tomar medidas contra atividades ilegais, suspeita de fraude ou ameaças à segurança.
  • Consentimento explícito: para qualquer outro compartilhamento não previsto acima, solicitaremos seu consentimento prévio.

6 Retenção e Exclusão

Tipo de dadoPrazo de retenção
Dados da conta ativa Enquanto a assinatura estiver ativa
Dados após cancelamento 90 dias (para exportação), depois excluídos
Logs de acesso e segurança 6 meses, conforme Marco Civil da Internet (Lei n.º 12.965/2014)
Dados fiscais e de pagamento 5 anos, conforme legislação tributária
Backups cifrados Até 30 dias após a exclusão da conta

Após os prazos acima, os dados são excluídos de forma segura ou anonimizados de maneira irreversível.

7 Segurança e Criptografia de Dados Clínicos

Adotamos um modelo de criptografia por camadas (Envelope Encryption) para proteger os dados clínicos dos Pacientes. Essa arquitetura garante que nenhum colaborador, desenvolvedor ou administrador de sistema da Organifly tenha acesso ao conteúdo dos prontuários, anotações ou diagnósticos — mesmo com acesso direto ao banco de dados.

7.1 Como funciona a criptografia

Cada Paciente possui uma Chave de Criptografia de Dados (DEK) única, gerada aleatoriamente no momento do seu cadastro. Essa chave cifra todos os dados clínicos daquele paciente utilizando o algoritmo AES-256-GCM, padrão de mercado utilizado por serviços como iCloud, Signal e Google Workspace.

A DEK é armazenada no banco de dados em duas versões cifradas:

  • Versão do Profissional: a DEK é criptografada com a chave pessoal do profissional responsável pelo paciente;
  • Versão do Paciente: a DEK é criptografada com a chave pessoal do próprio paciente.

Somente o Profissional responsável e o próprio Paciente conseguem decifrar a DEK e, consequentemente, acessar os dados clínicos. A Organifly, seus desenvolvedores e equipe de suporte não têm acesso a essas chaves durante as sessões de uso, não sendo tecnicamente possível ler o conteúdo sem a autenticação do titular.

7.2 Campos protegidos por criptografia

Os seguintes dados são criptografados individualmente antes de serem armazenados:

  • Anotações de sessão e notas de evolução clínica;
  • Diagnósticos, hipóteses diagnósticas e condições de saúde;
  • Objetivos e metas terapêuticas;
  • Seções de anamnese e histórico clínico;
  • Observações e informações gerais do prontuário.

7.3 Demais medidas técnicas

  • Transmissão criptografada via TLS 1.3/HTTPS em todas as comunicações;
  • Senhas armazenadas exclusivamente como hash seguro (bcrypt), nunca em texto plano;
  • Tokens de cartão de crédito gerenciados exclusivamente pelo processador de pagamentos (Asaas) — nunca armazenamos dados completos de cartão;
  • Controle de acesso baseado em perfil (RBAC);
  • Chaves de criptografia armazenadas em cache com tempo de expiração vinculado à sessão autenticada;
  • Deployments realizados exclusivamente via pipeline automatizado (GitHub + Laravel Forge), sem acesso SSH por desenvolvedores ao ambiente de produção;
  • Monitoramento contínuo de anomalias e tentativas de acesso indevido.

Nenhum sistema é 100% seguro. Em caso de incidente que afete dados pessoais, notificaremos os titulares e a ANPD nos prazos legais.

8 Cookies e Rastreamento

8.1 Cookies essenciais

Utilizamos cookies estritamente necessários para o funcionamento da Plataforma (autenticação, segurança e preferências de sessão). Esses cookies não podem ser desabilitados sem comprometer o serviço.

8.2 Cookies analíticos

Podemos utilizar ferramentas de análise (como Google Analytics) para entender o uso da Plataforma. Os dados são anonimizados e utilizados apenas para melhorias. Você pode desabilitar esses cookies nas configurações do seu navegador.

8.3 Sem cookies de publicidade

Não utilizamos cookies de rastreamento para publicidade comportamental ou retargeting.

9 Transferência Internacional de Dados

Alguns de nossos provedores de infraestrutura (como servidores em nuvem e serviços de e-mail) podem processar dados em servidores localizados fora do Brasil. Quando isso ocorre, garantimos que a transferência ocorra com salvaguardas adequadas, como cláusulas contratuais padrão ou a adoção de países com nível de proteção equivalente ao brasileiro, conforme exigido pelo art. 33 da LGPD.

10 Direitos dos Titulares

Nos termos dos arts. 17 a 22 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

Confirmação e Acesso

Confirmar se tratamos seus dados e solicitar uma cópia deles.

Retificação

Corrigir dados incompletos, inexatos ou desatualizados.

Anonimização ou Exclusão

Solicitar a anonimização ou eliminação de dados desnecessários ou excessivos.

Portabilidade

Receber seus dados em formato estruturado para transferência a outro fornecedor.

Revogação do Consentimento

Retirar o consentimento a qualquer momento, sem prejuízo ao tratamento anterior.

Oposição

Opor-se a tratamentos realizados com base em legítimo interesse.

Informação sobre Compartilhamento

Saber com quais entidades compartilhamos seus dados.

Reclamação à ANPD

Registrar reclamação perante a Autoridade Nacional de Proteção de Dados.

Para exercer qualquer direito, envie sua solicitação para dpo@organifly.com.br. Responderemos em até 15 dias úteis, podendo ser prorrogado em casos complexos com justificativa.

11 Menores de Idade

A Plataforma não é direcionada a menores de 18 anos como Usuários (Profissionais). Se um Profissional atende pacientes menores de idade, é de sua responsabilidade obter o consentimento dos pais ou responsáveis legais antes de inserir dados desses pacientes na Plataforma, em conformidade com o art. 14 da LGPD.

12 Alterações desta Política

Esta Política pode ser atualizada periodicamente. Quando houver mudanças materiais, notificaremos os Usuários por e-mail ou por aviso destacado na Plataforma com antecedência mínima de 15 dias. A data da última atualização está sempre indicada no topo desta página.

13 Contato e Canal do DPO

Para dúvidas, exercício de direitos ou qualquer questão relacionada à proteção de dados, entre em contato com nosso Encarregado de Dados:

Se não estiver satisfeito com nossa resposta, você pode registrar uma reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.