iul.ia
EntrarComeçar agora
Documento legal

Política de Privacidade

Última atualização: 30 de maio de 2026

Índice

  1. 1. Quem somos e quem é controlador
  2. 2. Quais dados tratamos
  3. 3. Finalidades do tratamento
  4. 4. Bases legais (LGPD art. 7º e 11)
  5. 5. Compartilhamento com terceiros
  6. 6. Armazenamento e segurança
  7. 7. Retenção e descarte
  8. 8. Direitos dos titulares
  9. 9. Encarregado (DPO) e contato
  10. 10. Cookies e analytics
  11. 11. Alterações nesta política
Em uma linha: Em relação às clínicas contratantes, a Giul.ia é CONTROLADORA dos dados cadastrais; em relação aos pacientes atendidos via WhatsApp, somos OPERADORA por conta da clínica. Seguimos a LGPD à risca.

1. Quem somos e quem é controlador

A ArcaHub (CNPJ 00.000.000/0000-00) é a empresa que opera o serviço Giul.ia. Para fins da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD):

  • Sobre dados das CLÍNICAS contratantes (cadastro, faturamento, contato comercial): nós somos controladora.
  • Sobre dados de PACIENTES processados pelo atendimento via WhatsApp: nós somos operadora; a clínica contratante é a controladora.

2. Quais dados tratamos

Dados da clínica e gestor (controladoria nossa)

  • CNPJ, razão social, nome fantasia, regime tributário, endereço;
  • Nome, e-mail e telefone do gestor responsável;
  • Dados de pagamento (processados pelo Mercado Pago — nós não armazenamos cartão);
  • Logs de acesso ao painel (IP, navegador, horário, ação executada);
  • Configurações de personalidade, ERP, horários e equipe.

Dados de pacientes (operadoria por conta da clínica)

  • Telefone WhatsApp do paciente;
  • Conteúdo das conversas (mensagens, áudios, anexos enviados);
  • Identificação do paciente (nome, CPF, e-mail) quando retornados pelo ERP da clínica;
  • Histórico de agendamentos, cancelamentos e intermediações.

3. Finalidades do tratamento

  • Prestar o serviço contratado (atendimento, agendamento, intermediação);
  • Faturar a clínica e emitir nota fiscal;
  • Comunicação operacional (avisos do sistema, alertas de pagamento);
  • Comunicação comercial (apenas com consentimento opt-in da clínica);
  • Cumprimento de obrigações legais e regulatórias;
  • Melhoria contínua do serviço (uso agregado e anonimizado).

4. Bases legais

DadoBase legal (LGPD)
Cadastro da clínica e cobrançaExecução de contrato (art. 7º, V)
Dados fiscais (CNPJ, razão social)Obrigação legal (art. 7º, II)
Logs de acesso ao painelLegítimo interesse (art. 7º, IX)
Dados de pacientes (operadoria)Conforme base da CONTROLADORA (clínica)
Marketing/comercialConsentimento (art. 7º, I) — sempre opt-in

5. Compartilhamento com terceiros

Compartilhamos dados estritamente com operadores essenciais ao serviço:

  • Mercado Pago — gateway de pagamento (PCI-DSS compliant);
  • Evolution API / Meta WhatsApp — entrega de mensagens;
  • Resend — envio de e-mails transacionais;
  • OpenAI / Anthropic — geração de respostas via IA (dados processados não treinam modelos públicos);
  • ElevenLabs — síntese de voz quando habilitada;
  • SERPRO — validação de CNPJ na Receita Federal.

Não vendemos dados. Não compartilhamos para fins de marketing de terceiros.

6. Armazenamento e segurança

  • Servidores no Brasil (VPS dedicado);
  • Criptografia em trânsito (TLS 1.2+);
  • Criptografia em repouso (Fernet/AES) para mensagens, mídias e segredos;
  • Senhas armazenadas com bcrypt (irreversível);
  • Acesso restrito por papel (RBAC) com 2FA obrigatório para super-administradores;
  • Backups regulares e logs de auditoria.

7. Retenção e descarte

  • Dados cadastrais da clínica: retidos enquanto durar a relação contratual + prazo legal de guarda fiscal (5 anos para faturas);
  • Conversas de pacientes: retidas conforme o plano contratado (90 a 365 dias para mídias; transcrições permanecem); a clínica pode configurar a retenção;
  • Dados podem ser excluídos sob solicitação do titular (direito ao esquecimento), respeitadas obrigações legais.

8. Direitos dos titulares

Conforme LGPD art. 18, todo titular tem direito a:

  • Confirmar existência de tratamento de seus dados;
  • Acessar os dados;
  • Corrigir dados incompletos, inexatos ou desatualizados;
  • Solicitar anonimização, bloqueio ou eliminação de dados desnecessários;
  • Portabilidade dos dados a outro fornecedor;
  • Eliminação dos dados tratados com consentimento;
  • Informação sobre compartilhamento;
  • Revogar consentimento.

Pacientes que desejarem exercer qualquer desses direitos devem entrar em contato primeiro com a clínica (controladora dos seus dados). A ArcaHub, como operadora, executará a solicitação por instrução da clínica.

9. Encarregado (DPO) e contato

Para questões sobre privacidade e LGPD: privacidade@arcahub.ia.br (data-golive: criar inbox). Você também pode reportar incidentes ou exercer direitos pelo nosso canal de contato.

10. Cookies e analytics

Este site usa cookies estritamente necessários (sessão) e, opcionalmente, analytics sem cookies via Plausible — que é privacy-friendly e LGPD-compliant. Não usamos Google Analytics, Facebook Pixel ou similares que rastreiem você fora deste site.

11. Alterações nesta política

Esta Política pode ser revisada periodicamente. Mudanças materiais serão notificadas por e-mail aos contratantes ativos com no mínimo 30 dias de antecedência.

Dúvidas? Fale com a gente em /contato.