Política de Privacidade
Última atualização: 22 de junho de 2026
Esta Política descreve como a OXS Consultoria LTDA, inscrita no CNPJ nº 62.240.539/0001-75 ("BAMP", "nós"), trata dados pessoais coletados por meio do CRM BAMP, em conformidade com a Lei nº 13.709/2018 — Lei Geral de Proteção de Dados (LGPD).
1. Quem somos e qual nosso papel
Atuamos em duas qualidades distintas dependendo do dado tratado:
- Controladora em relação aos dados de cadastro e uso dos profissionais que contratam e operam o BAMP (clínicas-cliente e seus usuários).
- Operadora em relação aos dados de leads e pacientes inseridos pelas clínicas-cliente no sistema — nesse caso, a clínica é a controladora desses dados e define as finalidades de tratamento. Nós tratamos os dados estritamente para entregar o serviço contratado.
2. Dados que coletamos
Usuários do BAMP (clínicas e equipe): nome, e-mail, telefone, cargo, nome da clínica, cidade, dados de autenticação, registros de uso (logs, IP, data/hora de acesso), dados de pagamento processados por provedor terceiro.
Leads e pacientes (inseridos pela clínica): nome, telefone, origem do contato, histórico de interações, agendamentos, anotações comerciais, status no funil. O BAMP não solicita CPF, RG, e-mail ou dados de saúde — qualquer dado adicional inserido pela clínica é de sua responsabilidade.
3. Finalidades e bases legais
- Execução de contrato (art. 7º, V): fornecer e operar o CRM para as clínicas-cliente, processar assinatura, suporte técnico.
- Cumprimento de obrigação legal/regulatória (art. 7º, II): emissão fiscal, retenção de logs de acesso (Marco Civil), atendimento a autoridades.
- Legítimo interesse (art. 7º, IX): gestão comercial de leads recebidos pela clínica via canais próprios (WhatsApp, formulários, indicações), segurança da informação, prevenção a fraudes, melhoria do produto com dados agregados.
- Consentimento (art. 7º, I): comunicações de marketing direcionadas quando aplicável, sempre revogável.
4. Compartilhamento
Compartilhamos dados apenas com operadores estritamente necessários ao funcionamento do serviço, sob contrato e cláusulas de proteção:
- Infraestrutura de nuvem e banco de dados (Supabase / Lovable Cloud).
- Processador de pagamentos (Asaas) — instituição de pagamento brasileira, certificada PCI-DSS.
- Provedor de modelos de IA generativa, em chamadas server-side, para geração de scripts e análises. Nenhum dado de lead é usado para treinar modelos de terceiros.
- Autoridades públicas, quando exigido por lei ou ordem judicial.
Não vendemos dados pessoais. Não cedemos dados a parceiros para fins de marketing próprio.
5. Transferência internacional
Alguns operadores podem processar dados fora do Brasil (ex.: Estados Unidos, União Europeia). Garantimos que essas transferências obedecem ao art. 33 da LGPD, mediante cláusulas contratuais e padrões de segurança adequados.
6. Retenção e eliminação
Retemos dados pelo tempo necessário às finalidades acima, observadas obrigações legais (ex.: logs por 6 meses, dados fiscais por 5 anos). Dados de leads excluídos pela clínica são removidos do banco em até 30 dias após o pedido, salvo retenção legal específica.
7. Segurança
Aplicamos medidas técnicas e administrativas: criptografia em trânsito (TLS), armazenamento criptografado, controle de acesso por papéis (RBAC), isolamento multi-tenant por clínica via Row Level Security no banco, registro de auditoria, chaves de API mantidas estritamente server-side e revisões periódicas de segurança.
8. Direitos do titular
Nos termos do art. 18 da LGPD, você pode solicitar a qualquer momento:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
- Portabilidade;
- Eliminação dos dados tratados com base em consentimento;
- Informação sobre compartilhamento;
- Revogação do consentimento.
Para leads cadastrados por uma clínica-cliente, encaminhamos a solicitação para a clínica controladora e atendemos no que estiver sob nossa responsabilidade técnica. Atendemos requisições em até 15 dias.
9. Encarregado (DPO) e contato
Encarregado pelo Tratamento de Dados Pessoais:
OXS Consultoria LTDA
CNPJ: 62.240.539/0001-75
E-mail do Encarregado: dpo@oxsconsultoria.com.br
Contato geral: contato@oxsconsultoria.com.br
10. Alterações
Esta Política pode ser atualizada. Mudanças relevantes serão comunicadas via e-mail aos usuários ativos e/ou aviso no painel.