Política de Privacidade

1. Quem somos

O Vellor é uma plataforma SaaS de gestão de consultório para profissionais de saúde (médicos, dentistas, fisioterapeutas, nutricionistas, psicólogos). Operado por João Guilherme Marques.

Contato do encarregado (DPO): joao.gmarques07@gmail.com

2. Quais dados coletamos

Do profissional (usuário do Vellor):

• Nome completo, e-mail, telefone
• Tipo de conselho profissional (CRM, CRO, CREFITO, CRN, CRP) + número + UF
• Especialidade, endereço do consultório, RQE
• Logo do consultório (upload opcional)
• Senha criptografada (gerenciada pelo Supabase Auth)
• Logs de acesso (IP, data/hora, navegador)

Do paciente (cadastrado pelo profissional):

• Identificação: nome, CPF, data de nascimento, sexo
• Contato: telefone, e-mail, endereço
• Convênio e número da carteirinha
• Dados sensíveis de saúde (art. 5º II + art. 11 LGPD): anamnese, queixa, histórico clínico, alergias, cirurgias prévias, medicações em uso, evolução de consultas, prontuário, atestados, receituário, anexos de exames (PDF/imagem)
• Contato de emergência (responsável legal, familiar)
• Dados financeiros: orçamentos, transações, formas de pagamento

3. Por que coletamos (finalidades)

• Tutela da saúde (art. 11 II "f" LGPD): permitir que o profissional de saúde mantenha prontuário, agenda e comunicação com o paciente.
• Execução de contrato: prover o serviço Vellor ao profissional contratante.
• Cumprimento de obrigação legal: guarda de prontuário por 20 anos (Lei 13.787/2018), retenção fiscal de transações.
• Legítimo interesse: segurança da plataforma, prevenção a fraude, melhoria do serviço (sem perfil de paciente individual).

4. Com quem compartilhamos

Não vendemos dados. Compartilhamos com terceiros apenas nas seguintes hipóteses:

• Operadores de infraestrutura: Supabase (banco de dados + autenticação + storage), Vercel (hospedagem da aplicação), Meta Platforms (envio de WhatsApp via Cloud API quando ativado pelo profissional)
• Quando exigido por lei: ordem judicial ou requisição de autoridade competente
• Com seu consentimento explícito: ex.: integração futura com Memed (receita), Google Calendar, gateway de pagamento

5. Seus direitos (LGPD art. 18)

Como titular dos dados, você (profissional ou paciente cadastrado) pode a qualquer momento:

• Acessar e corrigir seus dados
• Exportar seus dados em formato estruturado (portabilidade)
• Deletar sua conta e dados associados (respeitando obrigações legais de retenção)
• Revogar consentimento a qualquer momento
• Saber com quem compartilhamos seus dados
• Reclamar à ANPD (Autoridade Nacional de Proteção de Dados)

Para exercer qualquer direito, profissionais usam a tela Configurações → LGPD dentro do Vellor. Pacientes cadastrados devem entrar em contato com o profissional responsável (que tem o controle do prontuário) ou, em última instância, com o encarregado pelo e-mail acima.

6. Segurança

• Conexão HTTPS em todas as páginas
• Row-Level Security (RLS) em todas as tabelas: cada profissional só acessa seus próprios pacientes
• Senhas armazenadas com hash (bcrypt via Supabase Auth)
• Tokens de integração (ex: Meta Access Token, App Secret) criptografados com AES-256-GCM no banco
• Acesso interno restrito ao administrador do sistema (sem terceiros lendo prontuários)

7. Retenção

Prontuário de paciente: 20 anos a partir do último registro, conforme Lei 13.787/2018.

Conta do profissional: mantida enquanto ativa. Ao solicitar exclusão, dados pessoais são removidos em até 30 dias; prontuários de pacientes podem ser mantidos pelo prazo legal (20 anos) em forma anonimizada ou repassados ao próprio profissional.

Logs de acesso: 6 meses.

8. Cookies

O Vellor usa cookies essenciais para autenticação (Supabase Auth) e preferências (ex.: estado do menu lateral). Não usamos cookies de terceiros para publicidade ou rastreamento entre sites.

9. Mudanças nesta política

Quando alterarmos esta política, notificaremos o profissional por e-mail e por banner na plataforma. O uso continuado do Vellor após a notificação implica aceite das novas práticas.