Política de Privacidade

Última atualização: 22 de junho de 2026

Esta Política descreve como a OXS Consultoria LTDA, inscrita no CNPJ nº 62.240.539/0001-75 ("BAMP", "nós"), trata dados pessoais coletados por meio do CRM BAMP, em conformidade com a Lei nº 13.709/2018 — Lei Geral de Proteção de Dados (LGPD).

1. Quem somos e qual nosso papel

Atuamos em duas qualidades distintas dependendo do dado tratado:

  • Controladora em relação aos dados de cadastro e uso dos profissionais que contratam e operam o BAMP (clínicas-cliente e seus usuários).
  • Operadora em relação aos dados de leads e pacientes inseridos pelas clínicas-cliente no sistema — nesse caso, a clínica é a controladora desses dados e define as finalidades de tratamento. Nós tratamos os dados estritamente para entregar o serviço contratado.

2. Dados que coletamos

Usuários do BAMP (clínicas e equipe): nome, e-mail, telefone, cargo, nome da clínica, cidade, dados de autenticação, registros de uso (logs, IP, data/hora de acesso), dados de pagamento processados por provedor terceiro.

Leads e pacientes (inseridos pela clínica): nome, telefone, origem do contato, histórico de interações, agendamentos, anotações comerciais, status no funil. O BAMP não solicita CPF, RG, e-mail ou dados de saúde — qualquer dado adicional inserido pela clínica é de sua responsabilidade.

3. Finalidades e bases legais

  • Execução de contrato (art. 7º, V): fornecer e operar o CRM para as clínicas-cliente, processar assinatura, suporte técnico.
  • Cumprimento de obrigação legal/regulatória (art. 7º, II): emissão fiscal, retenção de logs de acesso (Marco Civil), atendimento a autoridades.
  • Legítimo interesse (art. 7º, IX): gestão comercial de leads recebidos pela clínica via canais próprios (WhatsApp, formulários, indicações), segurança da informação, prevenção a fraudes, melhoria do produto com dados agregados.
  • Consentimento (art. 7º, I): comunicações de marketing direcionadas quando aplicável, sempre revogável.

4. Compartilhamento

Compartilhamos dados apenas com operadores estritamente necessários ao funcionamento do serviço, sob contrato e cláusulas de proteção:

  • Infraestrutura de nuvem e banco de dados (Supabase / Lovable Cloud).
  • Processador de pagamentos (Asaas) — instituição de pagamento brasileira, certificada PCI-DSS.
  • Provedor de modelos de IA generativa, em chamadas server-side, para geração de scripts e análises. Nenhum dado de lead é usado para treinar modelos de terceiros.
  • Autoridades públicas, quando exigido por lei ou ordem judicial.

Não vendemos dados pessoais. Não cedemos dados a parceiros para fins de marketing próprio.

5. Transferência internacional

Alguns operadores podem processar dados fora do Brasil (ex.: Estados Unidos, União Europeia). Garantimos que essas transferências obedecem ao art. 33 da LGPD, mediante cláusulas contratuais e padrões de segurança adequados.

6. Retenção e eliminação

Retemos dados pelo tempo necessário às finalidades acima, observadas obrigações legais (ex.: logs por 6 meses, dados fiscais por 5 anos). Dados de leads excluídos pela clínica são removidos do banco em até 30 dias após o pedido, salvo retenção legal específica.

7. Segurança

Aplicamos medidas técnicas e administrativas: criptografia em trânsito (TLS), armazenamento criptografado, controle de acesso por papéis (RBAC), isolamento multi-tenant por clínica via Row Level Security no banco, registro de auditoria, chaves de API mantidas estritamente server-side e revisões periódicas de segurança.

8. Direitos do titular

Nos termos do art. 18 da LGPD, você pode solicitar a qualquer momento:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
  • Portabilidade;
  • Eliminação dos dados tratados com base em consentimento;
  • Informação sobre compartilhamento;
  • Revogação do consentimento.

Para leads cadastrados por uma clínica-cliente, encaminhamos a solicitação para a clínica controladora e atendemos no que estiver sob nossa responsabilidade técnica. Atendemos requisições em até 15 dias.

9. Encarregado (DPO) e contato

Encarregado pelo Tratamento de Dados Pessoais:
OXS Consultoria LTDA
CNPJ: 62.240.539/0001-75
E-mail do Encarregado: dpo@oxsconsultoria.com.br
Contato geral: contato@oxsconsultoria.com.br

10. Alterações

Esta Política pode ser atualizada. Mudanças relevantes serão comunicadas via e-mail aos usuários ativos e/ou aviso no painel.

© 2026 OXS Consultoria LTDA · CNPJ 62.240.539/0001-75