Esta Política descreve como a STEZ trata dados pessoais, incluindo dados pessoais sensíveis de saúde, em conformidade com a Lei nº 13.709/2018 (LGPD) e com as normas dos conselhos de classe (CFM, COFFITO e demais).
1. Papéis: Controlador e Operador
No tratamento dos dados clínicos dos pacientes, o profissional de saúde (ou a clínica) é o Controlador — é quem decide as finalidades e os meios do tratamento e mantém a relação direta com o paciente. A STEZ atua como Operadora, tratando os dados em nome do Controlador, seguindo suas instruções e os termos deste documento e do Acordo de Tratamento de Dados (DPA).
Em relação aos dados de cadastro do próprio profissional (conta, faturamento da assinatura), a STEZ atua como Controladora.
2. Dados que tratamos
- Do profissional: nome, e-mail, telefone, registro no conselho, dados de acesso e de uso da plataforma.
- Do paciente (inseridos pelo profissional): identificação, contato, data de nascimento e dados sensíveis de saúde (prontuário, evoluções, avaliações, áudios de ditado e suas transcrições).
- De agendamento público: nome, telefone, data de nascimento e e-mail informados pelo paciente ao marcar um atendimento.
3. Base legal e finalidades
Os dados de saúde são tratados para tutela da saúde, em procedimento realizado por profissionais de saúde (art. 11, II, “f”, da LGPD), e para o cumprimento de obrigação legal e regulatória de guarda do prontuário. Dados de cadastro e cobrança apoiam a execução do contrato de uso da plataforma.
4. Inteligência artificial (assistência à documentação)
A STEZ oferece transcrição de áudio e estruturação de texto clínico por IA. O resultado é sempre um rascunho assistido: o conteúdo é revisado e validado por um profissional humano antes de ser assinado e incorporado ao prontuário. A IA não toma decisões clínicas automatizadas.
O processamento por IA do áudio do paciente depende de consentimento específico do paciente e pode ser recusado: nesse caso, o profissional redige a documentação manualmente, sem perda de funcionalidade.
5. Subprocessadores
Para operar a plataforma, contamos com os seguintes subprocessadores, que tratam dados apenas conforme nossas instruções e contratos:
| Subprocessador | Finalidade | Local |
|---|---|---|
| Supabase | Autenticação, banco de dados e armazenamento de arquivos | Estados Unidos * |
| Groq | Transcrição de áudio (ASR) e estruturação de texto clínico por IA | Estados Unidos * |
| Asaas | Processamento de cobranças e PIX (somente quando o profissional habilita) | Brasil |
| Meta (WhatsApp Cloud API) / Z-API | Envio de mensagens e lembretes por WhatsApp (somente quando habilitado) | Estados Unidos / Brasil * |
| Sentry | Monitoramento de erros e estabilidade da aplicação | Estados Unidos * |
* Subprocessador localizado fora do Brasil — ver a seção de transferência internacional.
6. Transferência internacional de dados
Parte do tratamento ocorre em servidores fora do Brasil (Estados Unidos), notadamente o armazenamento (Supabase) e o processamento de IA (Groq). Adotamos salvaguardas contratuais para essas transferências, em linha com a LGPD e com a Resolução CD/ANPD nº 19/2024. Os países de destino, a qualificação do receptor, a finalidade e a duração são detalhados no DPA.
7. Retenção e descarte
- Prontuário médico: guardado por, no mínimo, 20 anos (CFM 1.821/2007).
- Prontuário fisioterapêutico: guardado por, no mínimo, 5 anos (COFFITO 414/2012).
- Áudio do ditado: apagado automaticamente após 90 dias, preservando a transcrição e o texto estruturado (que integram o prontuário).
Durante o prazo legal de guarda, a obrigação de retenção prevalece sobre eventual pedido de exclusão (ver direitos do titular).
8. Direitos do titular
O titular pode solicitar confirmação de tratamento, acesso, correção, portabilidade, informação sobre compartilhamentos e, observados os limites legais, eliminação dos dados. Pedidos de eliminação de prontuário são respondidos com a base legal de retenção e não implicam exclusão enquanto durar o prazo de guarda.
Como o atendimento é conduzido pelo profissional (Controlador), os direitos podem ser exercidos diretamente com ele ou pelo canal abaixo, que encaminhará ao Controlador responsável.
Canal: privacidade@stez.com.br — resposta em até 15 dias.
9. Segurança
Adotamos medidas técnicas e organizacionais como isolamento por clínica (multi-tenant), criptografia de dados sensíveis (ex.: CPF/RG), tráfego cifrado (HTTPS), autenticação, trilha de auditoria imutável e controle de acesso por perfil.
10. Atualizações desta Política
Podemos atualizar esta Política; a versão e a data de vigência constam no topo. Mudanças relevantes serão comunicadas pelos canais da plataforma. Versão atual: 1.0 (20/06/2026).