Termos de Uso e Política de Privacidade

1. Identificação do Responsável pelo Tratamento

Controlador dos Dados: Ominia Tecnologia Ltda. — CNPJ em processo de registro
Plataforma: Ominia — sistema de gestão clínica com inteligência artificial
E-mail do Encarregado (DPO): privacidade@ominia-ai.com
Endereço: Disponível mediante solicitação ao e-mail acima.

2. Objeto e Natureza do Serviço

A Ominia é uma plataforma SaaS (Software como Serviço) destinada ao suporte à gestão de clínicas e consultórios, que oferece:

• Gestão de pacientes e prontuários eletrônicos;
• Transcrição e análise de atendimentos com uso de inteligência artificial generativa (Google Gemini);
• Geração automatizada de documentos clínicos (SOAP, relatórios, PDFs);
• Comunicação clínica e envio de notificações via e-mail;
• Armazenamento seguro de dados clínicos e administrativos.

A plataforma é disponibilizada como ferramenta de suporte à decisão clínica, não substituindo o julgamento profissional habilitado. Toda a responsabilidade clínica permanece com o profissional de saúde usuário da plataforma.

3. Condições de Uso e Elegibilidade

3.1. Usuário Autorizado

O acesso à plataforma é restrito a:

• Profissionais de saúde legalmente habilitados em seus respectivos conselhos profissionais;
• Gestores e funcionários de estabelecimentos de saúde devidamente cadastrados;
• Pessoas jurídicas no ramo de serviços de saúde com contrato ativo.

3.2. Obrigações do Usuário

O usuário se compromete a:

• Utilizar credenciais de acesso pessoais e intransferíveis, nunca as compartilhando;
• Inserir dados de pacientes somente com o devido consentimento ou base legal estabelecida;
• Informar imediatamente qualquer suspeita de acesso não autorizado à conta;
• Respeitar toda a legislação aplicável ao exercício de sua atividade profissional;
• Não realizar engenharia reversa, scraping ou qualquer tentativa de acesso não autorizado ao sistema;
• Não utilizar a plataforma para fins ilícitos ou contrários à ética profissional.

4. Dados Pessoais Coletados

4.1. Dados dos Usuários do Sistema

• Identificação: nome completo, e-mail profissional, nível de acesso;
• Autenticação: senha criptografada (bcrypt), tokens de sessão;
• Atividade: endereço IP, data/hora de acessos, agente de usuário (navegador);
• Configurações: preferências de tema, logo da clínica.

4.2. Dados de Pacientes (Dados Sensíveis — Art. 11 LGPD)

Os dados de pacientes inseridos na plataforma são classificados como dados pessoais sensíveis nos termos do art. 5º, inciso II, da LGPD, e incluem:

• Dados de identificação: nome, data de nascimento, CPF, RG, gênero, estado civil, profissão;
• Dados de contato: telefone, e-mail, endereço completo;
• Dados de saúde: anamnese, prontuários, histórico clínico, diagnósticos, prescrições;
• Registros de atendimento: transcrições de áudio (quando autorizadas), anotações SOAP;
• Dados financeiros básicos: informações de convênio, quando aplicável.

5. Bases Legais para o Tratamento

O tratamento de dados realizado pela plataforma é fundamentado nas seguintes bases legais previstas na LGPD:

• Execução de contrato (art. 7º, V): tratamento necessário para a prestação dos serviços contratados;
• Consentimento (art. 7º, I / art. 11, I): para dados sensíveis de saúde dos pacientes, obtido pelos profissionais usuários;
• Tutela da saúde (art. 11, II, f): para dados de saúde processados em contexto assistencial;
• Proteção da vida (art. 7º, VII): em situações de risco ao paciente;
• Legítimo interesse (art. 7º, IX): para fins de segurança da plataforma e prevenção de fraudes;
• Cumprimento de obrigação legal (art. 7º, II): para atendimento a requisições de autoridades competentes.

6. Finalidades do Tratamento de Dados

Os dados coletados são utilizados exclusivamente para:

• Autenticação e controle de acesso à plataforma;
• Prestação dos serviços de gestão clínica contratados;
• Processamento de transcrições e análises por IA para suporte ao profissional;
• Geração de documentos clínicos e relatórios;
• Envio de comunicações relacionadas ao serviço (alertas, redefinição de senha);
• Segurança: detecção de acessos não autorizados, prevenção de fraudes e ataques;
• Melhoria e desenvolvimento da plataforma, em forma anonimizada;
• Cumprimento de obrigações legais e regulatórias.

Vedação expressa: Os dados não serão vendidos, cedidos ou compartilhados com terceiros para fins comerciais ou publicitários.

7. Compartilhamento de Dados com Terceiros

Os dados podem ser compartilhados apenas nas seguintes situações e com os seguintes agentes, sempre sob acordos de confidencialidade e proteção de dados:

• Google LLC (Gemini AI): transcrições e textos clínicos são processados pela API do Google Gemini para geração de análises. O processamento é regido pela Política de Privacidade e pelos Termos de Serviço da API do Google para serviços corporativos;
• Provedor de hospedagem: servidores onde a aplicação está hospedada, limitado a acesso de infraestrutura;
• Provedor de e-mail (Hostinger): para envio de notificações transacionais do sistema;
• Autoridades públicas: mediante determinação judicial ou requisição de autoridade competente, na extensão legalmente obrigatória.

8. Direitos do Titular dos Dados (Art. 18 da LGPD)

Todo titular de dados pessoais tem direito a, mediante requisição ao nosso DPO:

• Confirmação da existência de tratamento de seus dados;
• Acesso aos dados que possuímos sobre si;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade dos dados a outro fornecedor, mediante requisição expressa;
• Eliminação dos dados pessoais tratados com consentimento, exceto nas hipóteses legais de retenção;
• Informação sobre entidades públicas e privadas com as quais compartilhamos dados;
• Revogação do consentimento a qualquer momento, mediante manifestação expressa;
• Oposição ao tratamento realizado com fundamento em outras bases legais em caso de descumprimento.

Para exercer seus direitos, entre em contato: privacidade@ominia-ai.com. Responderemos no prazo de até 15 (quinze) dias úteis.

9. Prazo de Retenção e Descarte de Dados

Os dados são retidos pelos seguintes prazos:

• Dados de conta: pelo período de vigência do contrato, acrescido de 5 (cinco) anos após o encerramento;
• Prontuários e dados clínicos: mínimo de 20 (vinte) anos, conforme Resolução CFM nº 1.821/2007;
• Logs de acesso: 6 (seis) meses, conforme art. 15 do Marco Civil da Internet;
• Dados de sessão: 24 (vinte e quatro) horas após o encerramento da sessão;
• Registros de segurança: 1 (um) ano, para fins de prevenção e investigação de incidentes.

Após o prazo legal, os dados serão eliminados com segurança ou anonimizados de forma irreversível.

10. Segurança dos Dados

Adotamos as seguintes medidas técnicas e organizacionais para proteger seus dados:

• Transmissão criptografada via HTTPS/TLS 1.3 em todas as comunicações;
• Criptografia de senhas com bcrypt (fator de custo elevado);
• Tokens de sessão armazenados no servidor (MySQL), com expiração automática;
• Cabeçalhos de segurança HTTP (HSTS, CSP, X-Frame-Options, etc.) via Helmet.js;
• Limitação de tentativas de login (rate limiting) e bloqueio por IP;
• Proteção contra XSS, CSRF, SQL Injection, HPP e Path Traversal;
• Controle de acesso baseado em perfis (Admin, Master, Usuário);
• Tokens CSRF em todos os formulários;
• Auditoria de acessos suspeitos com bloqueio automático;
• Backups regulares com criptografia em repouso.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante, notificaremos a ANPD e os titulares afetados no prazo máximo de 72 (setenta e duas) horas, conforme art. 48 da LGPD.

11. Uso de Inteligência Artificial

A plataforma utiliza o modelo de IA generativa Google Gemini para processar transcrições de áudio e texto de atendimentos clínicos. Sobre este processamento:

• Os dados são transmitidos à API do Google de forma segura via HTTPS;
• O processamento é realizado para fins de suporte clínico, não para treinamento de modelos de IA de terceiros (conforme termos da API do Google para uso empresarial);
• O profissional deve obter o consentimento do paciente antes de realizar gravações e transcrições;
• As análises geradas por IA são orientativas e não constituem diagnóstico médico definitivo;
• Todo conteúdo gerado pela IA deve ser revisado pelo profissional antes de ser incorporado ao prontuário oficial.

12. Cookies e Tecnologias de Sessão

Utilizamos exclusivamente cookies essenciais para o funcionamento da plataforma:

• ominia_sid: cookie de sessão HttpOnly, Secure, SameSite=Lax — armazena o identificador de sessão do usuário autenticado. Necessário para o funcionamento do sistema. Expira após 24 horas de inatividade.

Não utilizamos cookies de rastreamento, analytics ou publicidade.

13. Transferência Internacional de Dados

Os dados processados pela API do Google Gemini podem ser temporariamente transferidos para servidores nos Estados Unidos da América. Esta transferência ocorre com base nas Cláusulas Contratuais Padrão (SCCs) adotadas pelo Google e em conformidade com o art. 33 da LGPD, que permite a transferência internacional para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na legislação brasileira.

14. Limitação de Responsabilidade

A Ominia Tecnologia não se responsabiliza por:

• Decisões clínicas tomadas com base nas análises geradas pela IA;
• Dados inseridos de forma incorreta ou sem base legal pelo profissional usuário;
• Indisponibilidade do serviço decorrente de força maior, caso fortuito ou falhas de infraestrutura de terceiros;
• Acessos não autorizados decorrentes de negligência do usuário (senhas fracas, compartilhamento de credenciais).

15. Alterações neste Documento

Podemos atualizar estes Termos a qualquer momento, mediante prévia notificação ao usuário por e-mail ou mensagem na plataforma com antecedência mínima de 15 (quinze) dias. O uso continuado da plataforma após a entrada em vigor das alterações implicará aceitação dos novos termos. Versões anteriores ficarão disponíveis para consulta mediante solicitação.

16. Encarregado pelo Tratamento de Dados (DPO)

Nos termos do art. 41 da LGPD, designamos como Encarregado pelo Tratamento de Dados Pessoais:
E-mail: privacidade@ominia-ai.com
Disponibilidade: resposta em até 15 dias úteis para solicitações de titulares.

17. Autoridade Nacional de Proteção de Dados

Caso considere que o tratamento dos seus dados pessoais viola a legislação de proteção de dados, você pode apresentar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd

18. Legislação Aplicável e Foro

Este documento é regido pelas leis da República Federativa do Brasil. Fica eleito o foro da comarca de domicílio do usuário para dirimir quaisquer controvérsias oriundas deste instrumento, conforme art. 101, inciso I, do Código de Defesa do Consumidor, ressalvadas as hipóteses de competência exclusiva previstas na lei.