DPA — Contrato de Tratamento de Dados

    Versão 1.0 — Atualizado em 29 de abril de 2026

    Aviso: Este documento regula o tratamento de dados pessoais (LGPD) entre o profissional (controlador) e a Crialy.ai (operadora). Aceite eletrônico ocorre no momento do cadastro.

    Partes

    CONTROLADOR: o profissional cadastrado na Crialy.ai, conforme dados informados no cadastro.

    OPERADOR: CRIALY TECNOLOGIA E INOVAÇÃO LTDA, inscrita no CNPJ sob nº 66.328.595/0001-17.

    1. Definições

    Aplicam-se as definições do Art. 5 da Lei 13.709/2018 (LGPD): dado pessoal, dado pessoal sensível, tratamento, controlador, operador.

    2. Finalidades do tratamento

    O Operador trata dados pessoais exclusivamente para:

    • Operacionalizar o assistente virtual configurado pelo Controlador
    • Permitir agendamento, comunicação e gestão de pacientes
    • Gerar relatórios estatísticos para o Controlador
    • Cumprir obrigações legais (logs auditáveis)
    • Melhoria técnica do serviço (sem usar dados de pacientes para treinamento de modelos de IA)

    3. Categorias de dados tratados

    • Identificação dos pacientes (nome, telefone)
    • Conteúdo de mensagens (texto, transcrições, links de mídia)
    • Agendamentos
    • Memória semântica (opcional, controlada pelo Controlador)
    • Dados clínicos mencionados pelos pacientes (sensíveis, Art. 11 da LGPD)

    4. Sub-operadores autorizados

    O Controlador autoriza o Operador a contratar os seguintes sub-operadores:

    • Supabase — Banco de dados e infraestrutura (cloud, preferência Brasil)
    • OpenAI — Processamento de IA (LLM, embeddings) — DPA com opt-out de treinamento
    • Mercado Pago — Pagamentos do Controlador (não dos pacientes)
    • Maytapi / Crialy Connect — API WhatsApp
    • Resend / Postmark — Email transacional

    Mudanças no quadro de sub-operadores serão comunicadas com 30 dias de antecedência.

    5. Obrigações do Operador

    5.1. Confidencialidade — colaboradores sob acordo de NDA.

    5.2. Segurança técnica — TLS 1.2+, Row Level Security, Vault, auditoria.

    5.3. Tratamento conforme instruções documentadas. Mudanças requerem ajuste contratual.

    5.4. Suporte ao Controlador — ferramentas de exportação, anonimização, exclusão e auditoria LGPD no dashboard.

    5.5. Notificação de incidentes em até 24h após detecção.

    5.6. Auxílio em respostas a titulares (Art. 18).

    5.7. Devolução/exclusão ao fim do contrato — 30 dias para exportação, depois exclusão definitiva (exceto logs auditáveis).

    6. Obrigações do Controlador

    6.1. Base legal — responsabilidade pela fundamentação do tratamento (consentimento, execução de contrato, tutela da saúde).

    6.2. Consentimento dos pacientes — informar que interagem com assistente virtual.

    6.3. Códigos profissionais — cumprir regras do conselho aplicável (CFM 2.314/2022, CFP 11/2018, etc).

    6.4. Resposta a titulares — ponto de contato dos pacientes para exercício de direitos LGPD.

    7. Transferência internacional

    Sub-operadores nos EUA (OpenAI, alguns serviços de email) implicam transferência internacional. O Operador garante cláusulas contratuais padrão (SCC) ou equivalente.

    8. Auditoria

    O Controlador pode auditar conformidade do Operador sob aviso prévio de 30 dias, no máximo 1x por ano (exceto incidentes). Custos de auditor externo arcados pelo Controlador. Operador fornece relatórios SOC 2 / ISO 27001 quando disponíveis.

    9. Vigência e rescisão

    Este DPA vigora pelo prazo de assinatura do contrato principal. Rescisão automática se Termos de Uso forem encerrados.

    10. Foro

    Comarca do domicílio do Controlador, ou São Paulo/SP no silêncio.

    11. Aceite

    Este DPA é aceito eletronicamente no momento do cadastro na Crialy.ai. Versão íntegra sempre disponível em crialy.ai/dpa.

    Encarregado de proteção de dados (DPO): dpo@crialy.ai
    Em caso de dúvidas: contato@crialy.ai.