Acordo de Processamento de Dados (DPA)

1. Partes

Operador: MOVVO Tecnologia Ltda., responsável pela plataforma MOVVO Clinic OS.
Controlador: A clínica ou profissional de saúde contratante, responsável pelos dados de seus pacientes inseridos na plataforma.

2. Objeto e Finalidade

O Operador processa dados pessoais exclusivamente para fornecer os serviços contratados: gestão de pacientes, agenda, prontuário eletrônico, financeiro e comunicação clínica. O tratamento ocorre com base legal no Art. 7º, V (execução de contrato) e Art. 11, II, a (saúde) da LGPD.

3. Dados Tratados pelo Operador

• Dados cadastrais dos pacientes (nome, CPF, data de nascimento, contato)
• Dados de saúde (prontuários, diagnósticos, procedimentos) — dados sensíveis (Art. 11 LGPD)
• Dados de agendamento e histórico de atendimentos
• Dados financeiros das consultas (valores, formas de pagamento)
• Dados dos profissionais de saúde e equipe administrativa

4. Obrigações do Operador (MOVVO)

• Processar dados apenas conforme instruções documentadas do Controlador
• Manter confidencialidade dos dados (funcionários com NDA)
• Implementar medidas técnicas e organizacionais de segurança (criptografia AES-256, TLS 1.3)
• Notificar o Controlador em até 72 horas em caso de incidente de segurança
• Auxiliar no atendimento de direitos dos titulares (acesso, correção, exclusão, portabilidade)
• Excluir dados ao término do contrato no prazo definido (padrão: 90 dias após cancelamento)
• Não transferir dados para países sem adequação LGPD/GDPR sem consentimento explícito
• Manter registro das operações de tratamento (Art. 37 LGPD)

5. Obrigações do Controlador (Clínica)

• Obter consentimento ou outra base legal válida antes de inserir dados de pacientes
• Informar pacientes sobre o uso de sistemas digitais no prontuário
• Definir e comunicar ao MOVVO o período de retenção necessário para cada categoria de dados
• Manter seu próprio RIPD (Relatório de Impacto à Proteção de Dados) atualizado
• Não inserir dados de terceiros não relacionados à prestação do serviço clínico

6. Suboperadores

O MOVVO utiliza os seguintes suboperadores aprovados, todos com DPA próprio:

SCCs = Standard Contractual Clauses (GDPR) aplicadas para garantir proteção equivalente.

7. Segurança de Dados

• Dados em trânsito: TLS 1.3
• Dados em repouso: AES-256 (Supabase)
• Controle de acesso: RBAC + Row Level Security (RLS)
• Autenticação: 2FA disponível, sessões com timeout
• Backups automáticos diários com retenção de 30 dias
• Logs de auditoria com retenção de 1 ano
• Testes de penetração anuais

8. Incidentes de Segurança

Em caso de violação de dados, o MOVVO notificará o Controlador em até 72 horas após a confirmação do incidente, conforme LGPD Art. 48. A notificação incluirá: natureza dos dados afetados, número estimado de titulares, medidas tomadas e recomendações ao Controlador.

9. Retenção e Exclusão

Após o cancelamento da conta, os dados são mantidos por 90 dias para possibilitar recuperação. Após esse período, são excluídos permanentemente. O Controlador pode solicitar exclusão imediata via dpo@movoon.com.br ou pelo painel de configurações (Direito ao Esquecimento — LGPD Art. 18, IV).

10. Encarregado de Dados (DPO)

Encarregado de Proteção de Dados (Art. 41 LGPD):
Email: dpo@movoon.com.br
Prazo de resposta: até 15 dias úteis (LGPD Art. 18, §3º)

11. Vigência

Este DPA entra em vigor com a aceitação dos Termos de Uso e permanece válido durante toda a relação contratual. Em caso de conflito com os Termos de Uso, prevalecem as disposições mais protetoras ao titular dos dados.