Política de Privacidade

Acordo de Tratamento de Dados Pessoais (DPA) e Aviso de Privacidade — Solução ALMA IA

Versão: 1  |  Data de vigência: 22/05/2026  |  Identificador de versão: DPA-ALMA IA-v1

Preâmbulo e natureza do documento

O presente Acordo de Tratamento de Dados Pessoais ("DPA") é instrumento autônomo e complementar aos Termos de Uso da Solução ALMA IA, fornecida pela ALMA IA TECNOLOGIA LTDA., sociedade empresária limitada, inscrita no CNPJ/ME sob o nº 58.757.230/0001-80, com sede na Rua Visconde de Inhaúma, nº 134, Sala 2001 Parte, Centro, Rio de Janeiro – RJ, CEP 20.091.901 ("CONTRATADA" ou "Operadora"), e regula as obrigações de proteção de dados pessoais entre o CONTRATANTE (na qualidade de Controlador) e a CONTRATADA (na qualidade de Operadora), em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD").

Este documento cumpre, ainda, função de Aviso de Privacidade quanto às atividades de tratamento realizadas pela CONTRATADA em nome do CONTRATANTE, devendo o CONTRATANTE, na qualidade de Controlador, manter Aviso de Privacidade próprio dirigido aos titulares de dados (pacientes), conforme art. 9º da LGPD.

A vinculação a este DPA ocorre exclusivamente por aceite eletrônico, em duas etapas, conforme procedimento descrito no item 12 e em consonância com o item 12 dos Termos de Uso.

1. Definições, papéis e categorias de dados

1.1. Controlador de Dados: CONTRATANTE, responsável pelas decisões sobre tratamento de dados pessoais de pacientes, incluindo finalidades, bases legais e instruções de tratamento.

1.2. Operadora de Dados: CONTRATADA, que trata dados pessoais em nome do Controlador, sob suas instruções documentadas e nos limites deste DPA.

1.3. Categorias de dados pessoais tratados. A Operadora trata, em nome e por conta e ordem do Controlador, no exercício de sua atividade assistencial, as seguintes categorias de dados pessoais dos titulares (pacientes):

1.3.1. As informações de saúde aqui referidas constituem dados pessoais sensíveis, nos termos do art. 5º, II, da LGPD, e são tratados pela Operadora exclusivamente conforme as instruções documentadas do Controlador e a base legal por este indicada para o respectivo tratamento.

1.4. Dados pessoais sensíveis. A Operadora poderá tratar dados pessoais sensíveis dos titulares, em especial dados relativos à saúde, sempre por conta e ordem do Controlador, na estrita medida em que tais dados sejam necessários à finalidade do serviço contratado e nos limites das instruções documentadas do Controlador. A definição da base legal aplicável ao tratamento de dados sensíveis, nos termos do art. 11 da LGPD, é de responsabilidade do Controlador, que detém a relação assistencial com o titular. A Operadora não busca ativamente tratar categorias adicionais de dados sensíveis além daquelas necessárias à execução do contrato e adotará medidas técnicas e organizacionais para observar os princípios da finalidade, adequação, necessidade e minimização (art. 6º da LGPD), inclusive evitando a coleta excessiva de informações sensíveis fornecidas espontaneamente pelo titular fora do escopo definido pelo Controlador.

1.5. Suboperadora: Meta Platforms Inc. e demais terceiros listados no item 5, que tratam dados em nome da Operadora.

1.6. O CONTRATANTE declara ter ciência de que todos os dados pessoais tratados via ALMA IA trafegam pela infraestrutura da Meta Platforms Inc., sediada nos Estados Unidos, estando sujeitos ao Aviso de Privacidade do WhatsApp e à legislação norte-americana, incluindo o Cloud Act e a possibilidade de requisição por autoridades governamentais dos EUA.

2. Finalidades e bases legais

2.1. A Operadora tratará dados pessoais, inclusive com o uso de IA, exclusivamente para as seguintes finalidades:

2.2. O Controlador declara que possui bases legais adequadas para o tratamento de dados pessoais dos pacientes, incluindo consentimento livre, informado e inequívoco ou outra base legal prevista nos arts. 7º ou 11 da LGPD.

2.3. A Operadora não utilizará dados pessoais para finalidades próprias, marketing, desenvolvimento de produtos, treinamento de modelos de inteligência artificial ou compartilhamento com terceiros não autorizados, ressalvados os suboperadores listados no item 5.

3. Uso de Inteligência Artificial

3.1. Este item complementa e detalha o item 3 dos Termos de Uso, ao qual deve ser lido em conjunto. A Operadora utiliza IA para processar dados pessoais, incluindo dados sensíveis de saúde, conforme finalidades listadas no item 2.1.

3.2. Obrigações da Operadora quanto ao uso de IA:

3.3. Obrigações do Controlador quanto ao uso de IA. O Controlador deve exercer supervisão ativa sobre outputs de IA, conforme item 5.6 dos Termos de Uso; revisar e validar informações antes de uso em contextos críticos; não delegar à IA decisões indelegáveis; utilizar IA conforme orientações técnicas; informar titulares sobre uso de tratamento automatizado no Aviso de Privacidade próprio; atender solicitações relacionadas ao art. 20 da LGPD; responder perante pacientes e autoridades por decisões clínicas; capacitar equipe sobre limitações de IA; e reportar à Operadora falhas identificadas.

3.4. Responsabilidades.

3.4.1. A Operadora responde principalmente por falhas técnicas graves não identificáveis por supervisão profissional diligente; vieses discriminatórios não mitigados; violações de segurança decorrentes de falha técnica/organizacional; uso de dados para finalidades não autorizadas.

3.4.2. O Controlador responde principalmente por decisões clínicas sem validação adequada; uso em desacordo com orientações técnicas; falta de supervisão profissional; ausência de informação aos titulares sobre tratamento automatizado.

3.4.3. As Partes respondem solidariamente quando dano decorrer de falha técnica e supervisão inadequada; descumprimento simultâneo de obrigações; impossibilidade de delimitar causa exclusiva (art. 42, § 1º, da LGPD). A Parte que comprovar que o dano decorreu exclusivamente de culpa da outra terá direito de regresso integral.

3.5. Revisão de decisões automatizadas (art. 20 da LGPD). Em harmonia com o item 3.5 dos Termos de Uso, o titular pode solicitar revisão de decisões baseadas unicamente em tratamento automatizado. A Operadora fornecerá, em até 7 (sete) dias úteis, informações sobre lógica, dados e parâmetros utilizados. O Controlador realizará revisão humana e responderá ao titular. Se identificado erro, a Operadora corrige o modelo e notifica as ações tomadas.

3.6. Treinamento de modelos de IA. Em harmonia com o item 3.6 dos Termos de Uso, se dados forem usados para treinamento ou melhoria de modelos, a Operadora realizará anonimização efetiva e irreversível (art. 12 da LGPD); dados anonimizados não permitirão identificação direta ou indireta de titulares; alternativamente, será obtido consentimento específico quando a anonimização não for viável. Dados pessoais identificáveis não serão utilizados para treinamento sem consentimento específico, salvo se anonimizados.

4. Medidas de segurança

4.1. A Operadora implementa as seguintes medidas técnicas e administrativas para proteção dos dados pessoais:

a) Criptografia:

b) Controle de acesso:

c) Segregação de dados:

d) Monitoramento e detecção:

e) Gestão de vulnerabilidades:

f) Backup e recuperação:

g) Limitações de segurança inerentes ao WhatsApp:

5. Suboperadores

5.1. A Operadora está autorizada a contratar os seguintes suboperadores para tratamento de dados pessoais:

SubprocessadorServiço prestadoLocalizaçãoObservações
Oracle Cloud Infrastructure (OCI)Hospedagem de banco de dados e aplicaçãoSão Paulo, Brasil
Meta Platforms Inc. (WhatsApp Business API)Infraestrutura completa de mensageria, armazenamento e processamento de mensagens via WhatsApp Business APIEstados UnidosSuboperador obrigatório e único — sem alternativa técnica
Twilio Inc.Infraestrutura de mensageria (fallback)Estados Unidos
SentryMonitoramento de erros e performanceEstados UnidosOpcional
Cloudflare Inc.CDN, DNS e proteção DDoSGlobal (rede distribuída)Opcional

5.2. A contratação de novos suboperadores será notificada ao Controlador com antecedência mínima de 30 (trinta) dias. O Controlador poderá se opor à contratação mediante notificação escrita no prazo de 15 (quinze) dias, hipótese em que poderá rescindir o Contrato sem ônus, observado o item 8 dos Termos de Uso.

5.3. A Operadora é responsável por garantir que todos os suboperadores cumpram obrigações de proteção de dados equivalentes às estabelecidas neste DPA, mediante celebração de contratos específicos (Data Processing Agreements).

5.4. Para suboperadores localizados fora do Brasil, a transferência internacional de dados é realizada mediante Cláusulas Contratuais Padrão (Standard Contractual Clauses) ou outra base legal prevista no art. 33 da LGPD.

5.5. Dependência crítica da Meta Platforms Inc. O CONTRATANTE declara ter ciência de que a Meta Platforms Inc. (WhatsApp) é suboperadora obrigatória e insubstituível, não havendo alternativa técnica para prestação dos serviços, em consonância com os itens 1.3 e 2.2 dos Termos de Uso. Todos os dados pessoais tratados via ALMA IA são necessariamente processados, armazenados e transmitidos pela infraestrutura da Meta, localizada nos Estados Unidos, estando sujeitos a:

5.5.1. A CONTRATADA não possui controle sobre políticas de privacidade, segurança, retenção ou eliminação de dados implementadas pela Meta, e não pode garantir que a Meta não utilize metadados para finalidades próprias (melhoria de serviços, segurança, publicidade direcionada em outras plataformas Meta). Cabe ao Controlador comunicar essa circunstância aos titulares em seu Aviso de Privacidade próprio.

6. Direitos dos titulares

6.1. O Controlador é responsável por atender solicitações de direitos dos titulares previstas nos arts. 17 a 22 da LGPD, incluindo:

6.2. A Operadora fornecerá suporte técnico ao Controlador para atendimento de solicitações dos titulares, disponibilizando funcionalidades de exportação, correção e eliminação de dados na ALMA IA.

6.3. Solicitações de titulares recebidas diretamente pela Operadora serão encaminhadas ao Controlador em até 48 (quarenta e oito) horas para resposta.

7. Comunicação de incidentes de segurança

7.1. Em harmonia com o item 4.5 dos Termos de Uso, a Operadora notificará o Controlador em até 24 (vinte e quatro) horas após tomar conhecimento de qualquer incidente de segurança que possa resultar em risco ou dano relevante aos titulares, incluindo:

7.2. A notificação de incidente conterá, no mínimo:

7.3. A Operadora cooperará com o Controlador em investigações de incidentes, fornecendo logs, evidências técnicas e informações necessárias para comunicação à ANPD (se aplicável) e aos titulares afetados.

7.4. A comunicação à ANPD e aos titulares é responsabilidade exclusiva do Controlador, conforme art. 48 da LGPD.

8. Auditoria e conformidade

8.1. O Controlador poderá, mediante notificação prévia de 15 (quinze) dias úteis e no máximo 1 (uma) vez ao ano, auditar a conformidade da Operadora com este DPA, mediante:

8.2. Auditorias presenciais nas instalações da Operadora dependerão de acordo específico sobre escopo, data e confidencialidade.

8.3. A Operadora fornecerá evidências razoáveis de conformidade, ressalvadas informações confidenciais ou proprietárias que possam comprometer a segurança de outros clientes.

9. Término do tratamento

9.1. Ao término dos Termos de Uso (item 8 dos ToU), a Operadora adotará uma das seguintes medidas, conforme instrução do Controlador:

a) Devolução: disponibilização de exportação de dados pessoais limitada ao histórico de conversas disponível na WhatsApp Business API no momento da solicitação. O CONTRATANTE reconhece que:

b) Eliminação: exclusão definitiva e irreversível de todos os dados pessoais de sistemas produtivos, backups e logs, em até 30 (trinta) dias úteis após a devolução (ou imediatamente, se o Controlador dispensar a devolução).

9.2. A Operadora fornecerá declaração escrita certificando a eliminação completa dos dados, incluindo:

9.3. A Operadora poderá reter dados pessoais exclusivamente nas seguintes hipóteses:

9.4. Dados retidos nos termos do item 9.3 permanecerão protegidos pelas medidas de segurança previstas no item 4 e não poderão ser utilizados para finalidades operacionais.

10. Responsabilidades e indenização

10.1. Sem prejuízo da limitação de responsabilidade prevista no item 9 dos Termos de Uso, a Operadora responsabiliza-se por danos causados a titulares decorrentes de:

10.2. O Controlador responsabiliza-se por danos causados a titulares decorrentes de:

10.3. As Partes são solidariamente responsáveis perante titulares por danos decorrentes de tratamento de dados, conforme art. 42 da LGPD, ressalvado o direito de regresso.

11. Aviso de privacidade — destinado aos Controladores

11.1. Este item consolida, em formato de aviso de privacidade dirigido ao CONTRATANTE (Controlador), o conjunto mínimo de informações que devem, conforme o caso, ser replicadas pelo Controlador em seu próprio Aviso de Privacidade dirigido aos titulares (pacientes), em cumprimento ao art. 9º da LGPD.

11.2. Quais dados a Operadora trata: dados de identificação, contato, agendamento, informações sensíveis de saúde compartilhadas voluntariamente pelo titular no curso do atendimento, histórico de interações via WhatsApp e anotações administrativas (item 1.3).

11.3. Por que trata: prestação dos serviços contratados pelo Controlador, conforme finalidades do item 2.1.

11.4. Como compartilha: exclusivamente com os suboperadores listados no item 5, todos vinculados a Data Processing Agreements equivalentes. A Operadora não comercializa, vende ou compartilha dados para finalidades próprias, marketing, desenvolvimento de produtos ou treinamento de IA fora das hipóteses previstas no item 3.6, em harmonia com o item 3.7 dos Termos de Uso.

11.5. Onde os dados ficam: predominantemente no Brasil (Oracle Cloud — São Paulo) e, obrigatoriamente, na infraestrutura da Meta Platforms Inc. nos Estados Unidos, conforme limitações descritas no item 5.5.

11.6. Por quanto tempo: pelo período de vigência do contrato e pelos prazos descritos no item 9. Dados anonimizados e cópias arquivísticas podem ser retidos pelos prazos legais aplicáveis.

11.7. Direitos dos titulares (arts. 17 a 22 da LGPD): confirmação, acesso, correção, anonimização, eliminação, portabilidade, informação sobre compartilhamentos, revogação de consentimento e revisão de decisões automatizadas. Tais direitos são exercidos perante o Controlador, que poderá acionar a Operadora para suporte técnico nos termos do item 6.

11.8. Encarregado pelo Tratamento de Dados (DPO) da Operadora: Raphael de Abreu da Silva — Contato: dpo@oialma.com.br. O Controlador deve indicar seu próprio Encarregado em seu Aviso de Privacidade dirigido aos titulares.

12. Aceite eletrônico em duas etapas e registro técnico

12.1. Em harmonia com o item 12 dos Termos de Uso, a vinculação do CONTRATANTE a este DPA dá-se exclusivamente por aceite eletrônico, realizado em conjunto com o aceite dos Termos de Uso, de forma livre, informada e inequívoca.

12.2. Aceite em duas etapas. O CONTRATANTE deverá manifestar concordância mediante a marcação afirmativa, separada e independente, de 2 (duas) caixas de seleção (checkboxes):

Checkbox 1 — Tratamento de dados pessoais sensíveis (saúde) "Declaro estar ciente e expressamente autorizar, na qualidade de Controlador, o tratamento de dados pessoais sensíveis de saúde dos meus pacientes pela Operadora e pelos suboperadores listados no item 5 deste DPA, nos termos do art. 11 da LGPD, e reconheço minha responsabilidade exclusiva pela obtenção do consentimento específico e destacado dos titulares, ou outra base legal cabível, e pelo fornecimento de Aviso de Privacidade aos pacientes (arts. 8º, § 1º, e 9º da LGPD)."
Checkbox 2 — Termos gerais "Declaro ter lido, compreendido e aceito integralmente os termos deste DPA, incluindo a contratação de suboperadores no Brasil e no exterior, a dependência crítica da Meta Platforms Inc., as limitações de segurança inerentes ao WhatsApp e a divisão de responsabilidades entre Controlador e Operadora."

12.2.1. As duas caixas são independentes. A simples marcação de uma delas não supre a ausência da outra. A ausência de marcação em qualquer das duas impedirá a conclusão do procedimento de contratação.

12.2.2. Não serão admitidas caixas pré-marcadas, em conformidade com o art. 8º, § 4º, da LGPD.

12.3. Registro técnico do aceite. A Operadora armazenará, para cada aceite realizado, no mínimo os seguintes elementos comprobatórios, mantidos por prazo não inferior ao prazo prescricional aplicável:

12.3.1. Os registros técnicos constituem prova válida do aceite eletrônico, nos termos do art. 10 da MP 2.200-2/2001 e do art. 411 do Código de Processo Civil, e poderão ser apresentados pela Operadora em qualquer tempo, judicial ou extrajudicialmente, inclusive para fins de demonstração de conformidade perante a ANPD.

12.4. Versionamento. Toda alteração material deste DPA gerará uma nova versão, identificada por código próprio. O CONTRATANTE será notificado por e-mail e/ou pelo painel administrativo e, conforme a relevância da alteração — especialmente quanto a categorias de dados sensíveis, suboperadores e transferências internacionais —, poderá ser exigido novo aceite eletrônico em duas etapas para continuidade do uso, em consonância com o item 12.4 dos Termos de Uso.

12.5. O CONTRATANTE poderá, a qualquer momento, solicitar à Operadora cópia do registro técnico do seu aceite e da versão exata do DPA aceita.

13. Disposições finais

13.1. Este DPA é instrumento autônomo e complementar aos Termos de Uso da ALMA IA e prevalece em caso de conflito com cláusulas contratuais sobre tratamento de dados pessoais.

13.2. Alterações à legislação de proteção de dados que impactem este DPA serão incorporadas mediante nova versão, sem ônus adicional às Partes.

13.3. Este DPA permanece em vigor durante toda a vigência da relação contratual e, quanto às obrigações de eliminação de dados e confidencialidade, por 5 (cinco) anos após o término.

13.4. Fica eleito o Foro da Comarca de São Paulo para dirimir quaisquer controvérsias decorrentes deste DPA, com renúncia expressa a qualquer outro, por mais privilegiado que seja, em consonância com o item 14 dos Termos de Uso.