Anexo ao Contrato de Prestação de Serviços — Última atualização: Janeiro de 2026
ACORDO DE TRATAMENTO DE DADOS PESSOAIS (DPA)
Este Acordo de Tratamento de Dados Pessoais ("DPA") integra o Contrato de Prestação de Serviços do sistema Inovgest, celebrado entre:
(a) o CONTRATANTE, pessoa física ou jurídica devidamente identificada no cadastro da plataforma Inovgest, na qualidade de Controladora dos dados pessoais; e
(b) INOVGEST DESENVOLVIMENTO DE SOFTWARE LTDA, na qualidade de Operadora dos dados pessoais tratados em nome da Controladora.
Nota: Para Contratante Pessoa Jurídica, o aceite deste DPA será realizado pelo Representante Legal ou Usuário Administrador com poderes para vincular a empresa, conforme definido no Contrato de Prestação de Serviços.
1. DEFINIÇÕES
1.1. Para os fins deste DPA, aplicam-se as seguintes definições:
(a) Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável;
(b) Dados Pessoais Sensíveis: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos;
(c) Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
(d) Controladora: o Contratante (pessoa física ou jurídica), a quem competem as decisões referentes ao tratamento de dados pessoais;
(e) Operadora: a Inovgest, que realiza o tratamento de dados pessoais em nome da Controladora;
(f) Suboperador: terceiro contratado pela Operadora para realizar parte do tratamento de dados;
(g) Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
(h) Incidente de Segurança: evento confirmado que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais;
(i) ANPD: Autoridade Nacional de Proteção de Dados;
(j) LGPD: Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais);
(k) Contratante Pessoa Física (PF): pessoa física que contrata os serviços em seu próprio CPF, atuando como Controladora dos dados de seus pacientes (clientes finais atendidos pelo Contratante);
(l) Contratante Pessoa Jurídica (PJ): pessoa jurídica que contrata os serviços em nome da empresa, representada por seu Representante Legal ou Usuário Administrador, atuando como Controladora dos dados de seus pacientes (clientes finais atendidos pelo Contratante);
(m) Representante Legal ou Usuário Administrador: pessoa física indicada pelo Contratante PJ como responsável pela gestão da conta e aceite de termos em nome da pessoa jurídica, devendo possuir poderes estatutários, societários ou procuração válida para vincular a empresa.
2. OBJETO E ESCOPO
2.1. O presente DPA tem por objeto estabelecer as condições sob as quais a Operadora realizará o tratamento de dados pessoais em nome da Controladora, exclusivamente para fins de execução dos serviços contratados por meio da plataforma Inovgest, em conformidade com a LGPD.
2.2. O tratamento abrange dados pessoais de pacientes (clientes finais atendidos pelo Contratante), colaboradores, profissionais de saúde e demais titulares cujas informações sejam inseridas na plataforma pela Controladora.
2.3. As categorias de dados tratados incluem, mas não se limitam a: dados cadastrais, dados de contato, dados de saúde, histórico de atendimentos, dados financeiros e documentos digitalizados, conforme uso da plataforma.
3. PAPÉIS E RESPONSABILIDADES
3.1. A Controladora é o Contratante (pessoa física ou jurídica) responsável pelas decisões relativas às finalidades e meios de tratamento dos dados pessoais de seus pacientes (clientes finais atendidos pelo Contratante) e demais titulares inseridos na plataforma.
3.1.1. Quando o Contratante for Pessoa Física: o próprio profissional é o Controlador, respondendo diretamente pelas obrigações deste DPA.
3.1.2. Quando o Contratante for Pessoa Jurídica: a empresa é a Controladora, sendo o Representante Legal ou Usuário Administrador responsável por garantir o cumprimento das obrigações em nome da pessoa jurídica.
3.2. A Operadora é a Inovgest, que realiza o tratamento de dados pessoais em nome da Controladora, de acordo com as suas instruções documentadas e com a legislação aplicável.
3.3. Cada parte é responsável pelo cumprimento de suas respectivas obrigações estabelecidas neste DPA e na LGPD.
4. OBRIGAÇÕES DA OPERADORA (Inovgest)
4.1. A Operadora compromete-se a:
(a) tratar os dados pessoais exclusivamente para a prestação dos serviços previstos no contrato principal e conforme as instruções documentadas da Controladora;
(b) adotar medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado ou ilícito;
(c) assegurar que seus colaboradores, prepostos e suboperadores envolvidos no tratamento de dados estejam sujeitos a compromisso de confidencialidade;
(d) notificar a Controladora sobre incidentes de segurança conforme disposto na Cláusula 9;
(e) auxiliar a Controladora no atendimento de solicitações dos titulares de dados, conforme disposto na Cláusula 10;
(f) manter registros e logs de acesso ao sistema por prazo mínimo de 5 (cinco) anos, para fins de auditoria e segurança;
(g) cumprir a legislação vigente aplicável à proteção de dados pessoais;
(h) não utilizar os dados pessoais para finalidades próprias ou de terceiros, distintas daquelas autorizadas pela Controladora.
5. OBRIGAÇÕES DA CONTROLADORA (Contratante)
5.1. A Controladora declara e reconhece que é responsável por:
(a) definir as finalidades e as bases legais apropriadas para o tratamento dos dados pessoais de seus pacientes (clientes finais atendidos pelo Contratante), usuários e demais titulares;
(b) informar adequadamente os titulares sobre o tratamento de seus dados, inclusive quanto ao uso da plataforma Inovgest;
(c) obter consentimento dos titulares sempre que exigido pela LGPD, especialmente em relação ao tratamento de dados pessoais sensíveis;
(d) inserir na plataforma apenas dados pessoais estritamente necessários, lícitos e compatíveis com as finalidades declaradas;
(e) atender as solicitações dos titulares relativas a seus direitos previstos na LGPD (acesso, correção, exclusão, portabilidade, etc.);
(f) garantir que suas instruções à Operadora estejam em conformidade com a LGPD e demais normas aplicáveis;
(g) manter credenciais de acesso em segurança e comunicar imediatamente à Operadora qualquer suspeita de comprometimento;
(h) avaliar e aceitar os riscos relacionados a integrações ou exportações de dados para sistemas de terceiros fora do ambiente Inovgest.
5.2. OBRIGAÇÕES ADICIONAIS DO CONTRATANTE PESSOA JURÍDICA:
(a) Manter sempre designado um Representante Legal ou Usuário Administrador com poderes para cumprir as obrigações deste DPA em nome da empresa;
(b) Comunicar IMEDIATAMENTE à Operadora qualquer alteração no Representante Legal ou Usuário Administrador, sob pena de responsabilização por atos praticados pelo representante anterior;
(c) Garantir que o Representante Legal possui poderes válidos para aceitar atualizações deste DPA em nome da empresa;
(d) A Operadora poderá exigir, a qualquer tempo, a apresentação de documentos comprobatórios dos poderes de representação (contrato social, ata, procuração, etc.), especialmente em caso de alteração do representante;
(e) Em caso de inconsistência documental, disputa de titularidade, suspeita de fraude ou risco à segurança, a Operadora poderá suspender ou limitar o acesso à conta até regularização da situação, sem que isso configure inadimplemento ou gere direito a indenização.
6. MEDIDAS DE SEGURANÇA TÉCNICAS E ORGANIZACIONAIS
6.1. A Operadora implementa, no mínimo, as seguintes medidas de segurança:
(a) Criptografia em trânsito: todos os dados são transmitidos via HTTPS/TLS 1.2 ou superior;
(b) Criptografia em repouso: dados sensíveis são armazenados de forma criptografada;
(c) Controle de acesso: sistema de permissões baseado em funções (RBAC), segregando acessos por perfil de usuário;
(d) Autenticação segura: senhas armazenadas com hash criptográfico seguro, com requisitos de complexidade;
(e) Segregação de dados: arquitetura multi-tenant com isolamento lógico de dados por organização;
(f) Logs de auditoria: registro de acessos e operações críticas, com retenção de 5 (cinco) anos;
(g) Backups automatizados: cópias de segurança periódicas com período de retenção definido;
(h) Gestão de vulnerabilidades: atualizações de segurança e monitoramento contínuo;
(i) Monitoramento: sistemas de alerta para disponibilidade e detecção de anomalias.
6.2. Estas medidas representam padrões razoáveis de mercado para proteção de dados pessoais, não constituindo garantia absoluta contra incidentes de segurança.
6.3. A Operadora poderá atualizar suas medidas de segurança periodicamente para adequação a novas ameaças ou tecnologias, desde que mantido nível de proteção equivalente ou superior.
6.4. ANALYTICS E MONITORAMENTO:
A Operadora poderá utilizar ferramentas de analytics e monitoramento para fins de segurança, estabilidade, diagnóstico de falhas e melhoria da Plataforma. Essas ferramentas não são utilizadas para coletar ou analisar o conteúdo inserido pela Controladora, como dados de pacientes (clientes finais atendidos pelo Contratante), tratamentos, anotações clínicas, prontuários, imagens ou documentos. Sempre que possível, são adotadas práticas de minimização de dados, coletando apenas informações técnicas necessárias.
7. SUBOPERADORES
7.1. A Operadora utiliza os seguintes Suboperadores para prestação dos serviços:
(a) Hospedagem e infraestrutura: Vercel (aplicação), Neon PostgreSQL (banco de dados);
(b) Armazenamento de arquivos: Cloudflare R2;
(c) Processamento de pagamentos: Stripe;
(d) Envio de e-mails: Resend;
(e) Cache e filas de processamento: Upstash Redis e QStash;
(f) Mensageria: Z-API (WhatsApp) e AWS SNS (SMS), quando habilitados.
7.2. A Operadora exigirá de seus Suboperadores:
(a) cláusulas contratuais de proteção de dados pessoais;
(b) medidas de segurança compatíveis com este DPA;
(c) confidencialidade sobre os dados tratados.
7.3. Alterações significativas na lista de Suboperadores serão refletidas em atualizações deste DPA, comunicadas à Controladora com antecedência mínima de 30 (trinta) dias.
7.4. A Operadora permanece responsável perante a Controladora pelos atos de seus Suboperadores relacionados ao tratamento de dados pessoais.
8. TRANSFERÊNCIA INTERNACIONAL DE DADOS
8.1. Em razão da infraestrutura utilizada, dados pessoais poderão ser transferidos para servidores localizados fora do Brasil, especialmente nos Estados Unidos.
8.2. A Operadora adota as seguintes salvaguardas para transferências internacionais:
(a) utilização de provedores que aderem a padrões reconhecidos de proteção de dados;
(b) cláusulas contratuais de proteção de dados com Suboperadores internacionais;
(c) medidas técnicas de segurança equivalentes às aplicadas no Brasil.
8.3. A Controladora declara ciência de que transferências internacionais poderão ocorrer em função da infraestrutura utilizada para a prestação dos serviços.
8.4. Caso a ANPD determine exigências específicas para transferências internacionais, a Operadora envidará esforços razoáveis para adequação, podendo comunicar alterações necessárias à Controladora.
9. INCIDENTES DE SEGURANÇA
9.1. Definição de Incidente Confirmado: evento em que a Operadora identifica, com razoável certeza técnica, que houve acesso não autorizado, vazamento, perda ou alteração indevida de dados pessoais tratados em nome da Controladora.
9.2. Prazo de Notificação: a Operadora notificará a Controladora em até 72 (setenta e duas) horas após a CONFIRMAÇÃO do incidente.
9.3. Informações na Notificação: a notificação conterá, no mínimo:
(a) data e hora da detecção do incidente;
(b) natureza do incidente (vazamento, acesso indevido, perda, alteração, etc.);
(c) categorias de dados pessoais afetados (cadastrais, de saúde, financeiros, etc.);
(d) número estimado de titulares afetados, quando possível determinar;
(e) possíveis consequências do incidente;
(f) medidas técnicas já adotadas ou em andamento para contenção e mitigação;
(g) ponto de contato para informações adicionais.
9.4. Responsabilidade pela Comunicação Externa: a comunicação aos titulares afetados e à ANPD é responsabilidade da Controladora, nos termos da LGPD. A Operadora fornecerá informações complementares quando solicitado.
9.5. Registro de Incidentes: a Operadora manterá registro interno de incidentes de segurança por prazo mínimo de 5 (cinco) anos.
9.6. Colaboração: a Operadora colaborará com a Controladora na investigação e mitigação de incidentes, na medida do tecnicamente razoável.
10. DIREITOS DOS TITULARES
10.1. Fluxo de Atendimento:
(a) o titular solicita exercício de direito diretamente à Controladora;
(b) a Controladora avalia a procedência e a base legal da solicitação;
(c) se necessário suporte técnico, a Controladora aciona a Operadora;
(d) a Operadora executa a ação técnica em até 5 (cinco) dias úteis;
(e) a Controladora responde ao titular.
10.2. Solicitações Diretas à Operadora: se o titular enviar solicitação diretamente à Operadora, esta encaminhará à Controladora em até 48 (quarenta e oito) horas, informando o titular sobre o encaminhamento.
10.3. Suporte Técnico da Operadora: a Operadora poderá auxiliar a Controladora com:
(a) exportação de dados em formato estruturado (CSV, JSON);
(b) exclusão de dados específicos, quando tecnicamente viável;
(c) correção de dados cadastrais;
(d) informações sobre o tratamento realizado na plataforma.
10.4. Limitações: a Operadora não poderá atender solicitações que:
(a) exijam interpretação de base legal ou avaliação jurídica (competência exclusiva da Controladora);
(b) conflitem com obrigações legais de retenção de dados;
(c) sejam tecnicamente inviáveis sem comprometer a integridade do serviço ou dados de outros titulares.
10.5. TITULARES RELACIONADOS A CONTRATANTE PJ:
(a) Para pacientes (clientes finais atendidos pelo Contratante) de Contratante PJ, o fluxo de atendimento permanece o mesmo: a solicitação deve ser direcionada à Controladora (empresa);
(b) Para dados do Representante Legal ou Usuário Administrador: estes podem exercer seus direitos como titulares junto à Operadora (Inovgest), observando que seus dados são tratados para execução do contrato;
(c) Em caso de alteração do Representante Legal, o novo representante deverá comprovar seus poderes para exercer direitos sobre a conta da empresa.
11. INSTRUÇÕES DA CONTROLADORA
11.1. Canais Oficiais: instruções da Controladora à Operadora serão formalizadas por:
(a) e-mail para: privacidade@inovgest.com.br;
(b) ticket no sistema de suporte da plataforma;
(c) funcionalidades de configuração disponíveis na plataforma.
11.2. Registro: a Operadora manterá registro das instruções recebidas por prazo mínimo de 5 (cinco) anos.
11.3. Recusa de Instrução Ilegal: a Operadora poderá recusar instrução que, a seu juízo fundamentado, viole a LGPD ou demais normas aplicáveis, notificando a Controladora sobre a recusa e seus fundamentos.
11.4. Responsabilidade: a Controladora é responsável por garantir que suas instruções estejam em conformidade com a legislação aplicável.
12. AUDITORIA E VERIFICAÇÃO
12.1. Direito de Verificação: a Controladora poderá verificar a conformidade da Operadora com este DPA por meio de:
(a) questionários de segurança (máximo 1 por ano, com prazo de resposta de 30 dias);
(b) relatórios de conformidade disponibilizados pela Operadora;
(c) certificações e atestados de terceiros independentes, quando disponíveis.
12.2. Auditoria Presencial ou Remota: auditoria direta na infraestrutura da Operadora somente será permitida mediante:
(a) solicitação formal com antecedência mínima de 30 (trinta) dias;
(b) escopo definido e acordado previamente entre as partes;
(c) assinatura de termo de confidencialidade por todos os auditores;
(d) agendamento em horário que não impacte operações críticas;
(e) custos da auditoria arcados integralmente pela Controladora.
12.3. Limitações: a Operadora poderá recusar ou limitar auditorias que:
(a) comprometam a segurança ou privacidade de dados de outros clientes;
(b) exponham segredos comerciais, código-fonte ou arquitetura proprietária;
(c) sejam desproporcionais ao risco envolvido;
(d) excedam a frequência de 1 (uma) auditoria por período de 12 meses.
12.4. Alternativas: em substituição à auditoria direta, a Operadora poderá disponibilizar relatórios SOC 2 Type II ou certificações equivalentes, quando disponíveis.
13. RETENÇÃO, EXCLUSÃO E BACKUPS
13.1. Dados Ativos (em produção):
(a) mantidos durante a vigência do contrato e disponíveis para uso pela Controladora;
(b) excluídos em até 30 (trinta) dias após o término do contrato, salvo solicitação de exportação;
(c) exportação disponível durante a vigência e até 30 (trinta) dias após o término.
13.2. Dados em Backup:
(a) backups são realizados automaticamente para fins de continuidade e recuperação de desastres;
(b) retenção técnica de backups: até 90 (noventa) dias após término do contrato;
(c) backups são sobrescritos automaticamente após o período de retenção;
(d) exclusão seletiva em backups não é tecnicamente viável.
13.3. Dados para Cumprimento Legal:
(a) logs de acesso: 5 (cinco) anos, conforme Marco Civil da Internet;
(b) dados fiscais e contábeis: conforme legislação tributária aplicável;
(c) dados para defesa em processos: pelo prazo prescricional aplicável.
13.4. Exclusão Lógica vs. Física:
(a) exclusão lógica (soft delete): implementada imediatamente quando solicitada;
(b) exclusão física: ocorre dentro do ciclo de expurgo de backups;
(c) anonimização: alternativa quando exclusão física for tecnicamente inviável.
14. TÉRMINO DO TRATAMENTO
14.1. Com o término do contrato de prestação de serviços, os dados pessoais tratados em nome da Controladora (Contratante PF ou PJ) serão:
(a) disponibilizados para exportação pela Controladora, sendo necessário solicitar para a Operadora, link para download, por até 30 (trinta) dias; e
(b) excluídos após o período de exportação, observados os prazos de retenção estabelecidos na Cláusula 13.
14.2. A Controladora deverá realizar a exportação de seus dados antes do término do período de 30 (trinta) dias, sob pena de perda definitiva.
14.3. A exclusão de dados não abrange informações necessárias ao cumprimento de obrigações legais ou à defesa em processos judiciais, administrativos ou arbitrais.
15. LIMITAÇÃO DE RESPONSABILIDADE
15.1. Exclusão de Responsabilidade: a Operadora não será responsável por:
(a) decisões da Controladora sobre finalidades, bases legais ou necessidade de consentimento;
(b) falta de consentimento ou informação inadequada aos titulares por parte da Controladora;
(c) informações incorretas, desatualizadas ou ilícitas inseridas pela Controladora na plataforma;
(d) instruções da Controladora que violem a LGPD ou outras normas aplicáveis;
(e) incidentes decorrentes de credenciais comprometidas por negligência da Controladora;
(f) uso da plataforma em desconformidade com os termos de uso e documentação.
15.2. Limite de Responsabilidade: a responsabilidade da Operadora por danos diretos comprovadamente decorrentes de violação deste DPA fica limitada ao valor correspondente a 3 (três) mensalidades do plano contratado pela Controladora, calculado com base na média dos últimos 3 (três) meses ou período inferior, se aplicável.
15.3. Exceções: a limitação prevista no item 15.2 não se aplica apenas nas seguintes hipóteses:
(a) dolo comprovado da Operadora;
(b) culpa grave comprovada da Operadora;
(c) quando houver disposição legal expressa que impeça a aplicação de limitação de responsabilidade naquele caso específico, hipótese em que a responsabilidade será apurada nos limites da legislação aplicável.
15.4. Danos Indiretos: em nenhuma hipótese a Operadora será responsável por danos indiretos, incidentais, consequenciais, lucros cessantes ou perda de dados além do escopo deste DPA.
16. VIGÊNCIA E ALTERAÇÕES
16.1. Este DPA entra em vigor na data da aceitação do Contrato de Prestação de Serviços pela Controladora e permanecerá vigente enquanto houver tratamento de dados pessoais pela Operadora em nome da Controladora.
16.2. Em caso de conflito entre as disposições deste DPA e o contrato principal, prevalecerão as disposições deste DPA no que se refere à proteção de dados pessoais.
16.3. Este DPA poderá ser atualizado pela Operadora para:
(a) refletir alterações legislativas ou regulatórias;
(b) adequar-se a orientações da ANPD;
(c) incorporar melhorias nas práticas de proteção de dados;
(d) atualizar a lista de Suboperadores.
16.4. Alterações relevantes serão comunicadas à Controladora com antecedência mínima de 30 (trinta) dias. A continuidade do uso da plataforma após este período implicará aceitação das novas condições.
16.5. Caso a Controladora não concorde com alterações ao DPA, poderá rescindir o contrato sem penalidade, desde que notifique a Operadora dentro do prazo de 30 (trinta) dias da comunicação da alteração.
17. DISPOSIÇÕES FINAIS
17.1. As partes envidarão esforços razoáveis para cooperar entre si na implementação de medidas necessárias ao cumprimento da LGPD e das demais normas de proteção de dados pessoais.
17.2. A nulidade ou invalidade de qualquer cláusula deste DPA não afetará a validade das demais disposições, que permanecerão em pleno vigor e efeito.
17.3. A tolerância de qualquer das partes quanto ao descumprimento de obrigações pela outra não constituirá novação, renúncia ou precedente invocável.
17.4. Este DPA representa o entendimento integral das partes sobre proteção de dados pessoais, substituindo quaisquer acordos anteriores sobre a matéria.
17.5. Questões omissas serão resolvidas de acordo com a LGPD, regulamentações da ANPD e, subsidiariamente, pela legislação brasileira aplicável.
17.6. Para questões relacionadas a este DPA, a Controladora poderá contatar a Operadora pelo e-mail: privacidade@inovgest.com.br
17.7. ACEITE POR PESSOA JURÍDICA:
17.7.1. Para Contratante Pessoa Jurídica, o aceite deste DPA será realizado pelo Representante Legal ou Usuário Administrador indicado no cadastro, que declara expressamente possuir poderes estatutários, societários ou procuração válida para vincular a empresa.
17.7.2. A Operadora poderá, a qualquer tempo e a seu exclusivo critério, solicitar a apresentação de documentos comprobatórios dos poderes de representação, tais como: contrato social atualizado, ata de eleição de administradores, procuração com poderes específicos ou outros documentos equivalentes.
17.7.3. Em caso de recusa na apresentação de documentos, inconsistência nas informações, disputa de titularidade entre representantes ou suspeita de fraude, a Operadora poderá:
(a) recusar o aceite de alterações contratuais;
(b) suspender temporariamente a migração de tipo de conta (PF para PJ ou vice-versa);
(c) limitar ou suspender o acesso à plataforma até regularização;
(d) rescindir o contrato, sem que isso configure inadimplemento da Operadora.
17.7.4. A Operadora não é responsável por resolver disputas internas de titularidade ou representação entre pessoas que alegam direitos sobre a conta PJ.