Política de Privacidade — ProntoPlantão
Última atualização: 26 de maio de 2026 · Vigência a partir de: 26 de maio de 2026 · Versão: v1.0
1. Quem é o responsável pelo tratamento dos seus dados
Esta Política descreve como tratamos dados pessoais no ProntoPlantão ("Serviço", "nós"), um software de automação de mensagens de WhatsApp voltado a médicos. O responsável (controlador, nos termos da LGPD — Lei nº 13.709/2018) é:
- Responsável: Matheus Favaretto, pessoa física inscrita no CPF nº 084.528.729-09, Florianópolis/SC.
- Contato de privacidade: privacidade@prontoplantao.com.br.
- Encarregado (DPO): Matheus Favaretto (o próprio responsável atua como encarregado), contato: privacidade@prontoplantao.com.br.
O ProntoPlantão é uma ferramenta de automação — não é clínica, hospital, plano de saúde nem serviço médico, e não presta assistência à saúde.
2. Escopo desta Política
Aplica-se ao site, ao painel web, à API e às funcionalidades do Serviço. Não se aplica ao WhatsApp/Meta, ao Mercado Pago, aos provedores de inteligência artificial nem a outros serviços de terceiros, que possuem políticas próprias. Quando o Serviço integra esses terceiros, indicamos isso ao longo do texto.
3. Quais dados coletamos
Coletamos as categorias abaixo. Nem todas se aplicam a todos os usuários.
4. Dados que você fornece
- Cadastro: e-mail, senha (armazenada apenas como hash, nunca em texto), e opcionalmente nome e telefone.
- Configurações do bot: grupos que você escolhe monitorar, palavras bloqueadas, filtros (cidade, valor, especialidade, duração etc.), exemplos de resposta, horários de pausa e fuso horário.
- Agenda de plantões: plantões que você cadastra manualmente (título, local, horário, valor, anotações).
- Pagamento: ao assinar, você fornece dados ao Mercado Pago. Nós não coletamos nem armazenamos número de cartão ou dados bancários — esses ficam com o Mercado Pago. Recebemos e guardamos apenas identificadores e o estado da assinatura (plano, status, datas, identificador da assinatura no Mercado Pago, valor).
- Suporte e feedback: mensagens que você nos envia e avaliações (nota) que você registra.
5. Dados coletados automaticamente
- Dados técnicos de acesso: endereço IP, identificador do navegador (user-agent), data/hora de acesso e de login, e dados de sessão.
- Proteção anti-robô: ao se cadastrar, seu IP e um token são enviados ao Cloudflare Turnstile para impedir cadastros automatizados.
- Cookies funcionais: usamos cookies estritamente necessários para manter você autenticado (ver seção 23).
- Registros operacionais (logs): eventos de funcionamento do bot (ex.: oferta detectada, resposta enviada, erro), com uma prévia curta do texto da oferta. Aplicamos redação automática de telefones e CPF nesses registros, mas essa redação não é garantida para todo tipo de dado — ver seções 7 e 15.
6. Dados de WhatsApp e dos grupos monitorados
Para funcionar, o Serviço se conecta à sua conta de WhatsApp via leitura de QR Code e passa a observar mensagens dos grupos que você selecionar.
- Sessão do WhatsApp: guardamos o estado de autenticação da sua conexão (credenciais e chaves) de forma criptografada em repouso (ver seção 16), para manter o pareamento entre reinícios. Guardamos também o número pareado e o status da conexão.
- Mensagens dos grupos: quando uma mensagem chega de um grupo monitorado, o texto é processado para identificar se é uma oferta de plantão. O texto bruto é mantido por tempo limitado (cache de 24 horas) para evitar respostas duplicadas; quando uma oferta é identificada, o texto dela é mantido no seu histórico de ofertas.
- Dados de terceiros: mensagens de grupo podem conter dados pessoais de outras pessoas (quem publica a oferta e terceiros eventualmente citados). Tratamos esses dados apenas para operar o Serviço para você. Você declara ter legitimidade para conectar a conta de WhatsApp e para selecionar os grupos monitorados e é responsável por respeitar as regras dos grupos e a privacidade de terceiros (ver Termos de Uso).
7. Dados sensíveis e possibilidade de dados de saúde
O Serviço é projetado para grupos de oferta de plantão (vagas de trabalho), não para grupos com dados de pacientes. Ainda assim, não temos como impedir tecnicamente que uma mensagem de grupo contenha, acidentalmente, dado pessoal sensível — inclusive dado de saúde (LGPD art. 11) ou identificação de paciente. Você não deve usar o Serviço para processar dados de pacientes e deve evitar monitorar grupos onde isso ocorra. Se identificarmos tratamento de dado sensível sem base legal adequada, poderemos suspender funcionalidades ou eliminar os dados.
8. Dados de pagamento
Assinaturas são processadas pelo Mercado Pago, que atua como responsável pelo processamento do pagamento. Compartilhamos com ele o e-mail do pagador, o valor e uma referência da transação. Recebemos de volta o status da assinatura e identificadores, que guardamos para conciliação e cumprimento de obrigações fiscais/legais. Consulte a política de privacidade do Mercado Pago para o tratamento que ele realiza.
9. Dados de suporte e comunicação
Quando você nos contata ou usa o Serviço, podemos tratar o conteúdo da comunicação e dados de conta para prestar suporte. Equipe administrativa autorizada pode acessar, de forma restrita e registrada, dados da sua conta (incluindo configurações e histórico de mensagens/ofertas) exclusivamente para suporte, diagnóstico e melhoria do Serviço.
10. Para que usamos os dados (finalidades)
- Criar e manter sua conta e autenticação;
- Conectar sua conta de WhatsApp e monitorar os grupos que você escolher;
- Detectar ofertas de plantão, aplicar seus filtros e gerar/enviar respostas;
- Processar assinaturas, cobranças e controle de acesso;
- Enviar comunicações essenciais do Serviço (ver seção 21) e, mediante opt-in, notificações de ofertas;
- Garantir segurança, prevenir fraude e abuso, e depurar problemas;
- Melhorar a qualidade da detecção e das respostas, inclusive calibração de modelos;
- Cumprir obrigações legais e regulatórias.
11. Bases legais (LGPD art. 7 e art. 11)
| Tratamento | Base legal |
|---|---|
| Conta, autenticação, configurações, pareamento e operação do bot | Execução de contrato (art. 7, V) |
| Pareamento do WhatsApp e processamento de mensagens de grupo | Execução de contrato + consentimento (art. 7, I) |
| Segurança, anti-fraude, logs, prevenção a abuso | Legítimo interesse (art. 7, IX) |
| Pagamento e guarda fiscal | Execução de contrato + obrigação legal (art. 7, II e VI) |
| Notificações opcionais por e-mail | Consentimento (art. 7, I), revogável a qualquer tempo |
| Analytics de tráfego e campanhas — Google Analytics e Google Ads (a implementar) | [base legal a definir quando implementado — consentimento ou legítimo interesse; atualizar esta Política] |
| Eventual dado sensível em mensagens de grupo | Não tratamos dados sensíveis de forma intencional — o Serviço destina-se a ofertas de plantão (vagas), não a dados de pacientes, e não há consentimento nem base legal para tratamento intencional de dado sensível de terceiros. Caso um dado sensível apareça incidentalmente, aplicamos minimização (seções 13 e 15), não o utilizamos para qualquer finalidade e o eliminamos ao identificá-lo (seção 7). Na medida em que algum tratamento incidental seja inevitável à execução do contrato com você, ampara-se, subsidiariamente, no art. 11, II, "d" (exercício regular de direitos no âmbito do contrato), sempre limitado ao mínimo. |
12. Com quem compartilhamos (operadores e suboperadores)
Não vendemos seus dados. Compartilhamos com prestadores que tratam dados em nosso nome, no mínimo necessário:
| Suboperador | Finalidade | Possível local |
|---|---|---|
| Locaweb | Servidores, banco de dados, fila | Brasil |
| Mercado Pago | Pagamentos e assinaturas | Brasil |
| Cloudflare | Proteção anti-robô (CAPTCHA) | Exterior (EUA) |
| Resend | Envio de e-mails transacionais | Exterior (EUA) |
| Groq, Google (Gemini), Anthropic | Classificar mensagens e gerar respostas (IA) | Exterior (EUA) |
| Google Analytics / Google Ads | Análise de tráfego e desempenho de campanhas — a implementar | Exterior (EUA) |
A lista de suboperadores é a tabela acima nesta seção, atualizada junto com esta Política.
13. Uso de provedores de inteligência artificial (IA)
Para classificar mensagens e gerar respostas, parte do conteúdo das mensagens dos grupos monitorados (e, em alguns casos, áudio) é enviada a provedores de IA (Groq, Google/Gemini, Anthropic). Antes do envio aplicamos minimização: removemos marcações e caracteres de controle, limitamos o tamanho do texto e não enviamos seu identificador de usuário, seu telefone nem horários. A maior parte das mensagens é descartada por um pré-filtro antes de chegar à IA. Não controlamos o tratamento que os provedores fazem após o recebimento; aplicam-se os termos de cada provedor.
14. Transferência internacional de dados
A infraestrutura de hospedagem fica no Brasil (VPS Locaweb), de modo que o armazenamento principal dos dados não constitui transferência internacional. Há transferência internacional apenas para suboperadores nos Estados Unidos: provedores de IA (Groq, Google/Gemini, Anthropic), Cloudflare (proteção anti-robô) e Resend (e-mails transacionais). Essas transferências fundamentam-se em cláusulas-padrão contratuais, nos termos do art. 33, II, da LGPD e da Resolução CD/ANPD nº 19/2024, incorporadas pelos Data Processing Addendums (DPAs) firmados com cada suboperador. Aplicamos ainda minimização antes do envio (seções 13 e 15). Ao usar o Serviço, você está ciente dessas transferências.
15. Segurança da informação
Adotamos medidas técnicas e organizacionais para proteger os dados, como: senhas armazenadas com algoritmo de hash forte (argon2id), autenticação por tokens, criptografia de transporte (HTTPS), controles de acesso e isolamento entre clientes (multi-tenant) no banco de dados. Nenhum sistema é totalmente seguro e não garantimos segurança absoluta. Tratamos os dados em ambiente de terceiros (hospedagem), sujeitos às práticas desses provedores.
16. Criptografia de dados sensíveis em repouso
O estado de autenticação da sua sessão de WhatsApp é armazenado criptografado em repouso (biblioteca libsodium, crypto_secretbox). Isso reduz o risco de exposição em caso de cópia bruta do banco. Outras medidas de proteção de chaves de criptografia estão em evolução.
17. Retenção e descarte
Mantemos os dados pelo tempo necessário às finalidades e a obrigações legais:
- Mensagens de grupo (cache): até 24 horas, depois excluídas automaticamente;
- Histórico de ofertas: mantido enquanto a conta existir; excluído permanentemente na exclusão de conta;
- Logs operacionais: 7 dias, depois excluídos automaticamente;
- Sessões/tokens: até 30 dias após expiração;
- Dados de assinatura/pagamento: 5 (cinco) anos, contados do fim do exercício correspondente, para cumprimento de obrigações fiscais (CTN, arts. 173 e 174) e resguardo em eventual discussão de relação de consumo (CDC, art. 27);
- Backups: ver seção 18.
Após o término, os dados são eliminados ou anonimizados, salvo quando a lei exigir guarda.
18. Backups
Realizamos cópias de segurança para continuidade e recuperação (diário por 7 dias, semanal por 4 semanas, mensal por 6 meses — retenção máxima de ~6 meses). Dados excluídos podem persistir em backups por até 6 meses, sendo então sobrescritos/eliminados no ciclo normal.
19. Seus direitos como titular (LGPD art. 18)
Você pode: confirmar a existência de tratamento; acessar seus dados; corrigir dados; solicitar anonimização, bloqueio ou eliminação de dados desnecessários/excessivos; solicitar portabilidade; obter informação sobre compartilhamentos; revogar consentimento; e se opor a tratamentos. Direitos de terceiros (pessoas citadas em mensagens) também são respeitados — encaminhe solicitações ao canal abaixo.
20. Como exercer seus direitos
- Acesso e portabilidade: você pode exportar seus dados pelo próprio painel (função de exportação em Configurações → Conta), que gera um arquivo com os dados da sua conta.
- Exclusão de conta: disponível em Configurações → Conta (exige senha e confirmação). A exclusão desconecta o WhatsApp e remove os dados associados, ressalvada a guarda exigida por lei.
- Demais solicitações: escreva para privacidade@prontoplantao.com.br. Podemos pedir informações para confirmar sua identidade e responderemos nos prazos da LGPD.
21. Comunicações por e-mail
Enviamos e-mails essenciais ao Serviço (verificação de conta, avisos de segurança/operacionais, como falha de conexão do WhatsApp). Notificações de ofertas e comunicados são opcionais (opt-in) e podem ser desativados em Configurações → Notificações. Não enviamos marketing sem o seu consentimento.
22. Incidentes de segurança
Se ocorrer incidente de segurança que possa acarretar risco ou dano relevante, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados nos termos da LGPD (art. 48), com as informações exigidas e as medidas adotadas.
23. Cookies e tecnologias similares
Usamos cookies estritamente necessários para autenticação e segurança (por exemplo, o cookie de sessão plantao_refresh, do tipo HttpOnly). Sem eles o login não funciona.
Futuramente, pretendemos implementar Google Analytics e Google Ads para análise de tráfego e desempenho de campanhas publicitárias. Essas ferramentas utilizam cookies e tecnologias similares de terceiros e podem coletar dados como endereço IP, identificador de dispositivo, páginas visitadas, origem do acesso e conversões. Quando essa implementação ocorrer, esta Política será atualizada para descrever as ferramentas, os dados coletados, as finalidades e os mecanismos de controle disponíveis (incluindo opt-out).
24. Alterações nesta Política
Podemos atualizar esta Política. Mudanças relevantes serão comunicadas por e-mail e/ou aviso no painel. A versão vigente é sempre a publicada em /privacidade, com data de atualização.
25. Contato e reclamações
Dúvidas: privacidade@prontoplantao.com.br. Você também pode reclamar à ANPD (gov.br/anpd).