Política de Privacidade do Relati

Esta Política de Privacidade descreve como o Relati realiza o tratamento de dados pessoais no contexto de sua plataforma de coleta e gestão de avaliações e relatos de pacientes sobre experiências em serviços de saúde.

A política se aplica a dois perfis de usuários:

• Pacientes, que recebem um link para avaliar o atendimento e registrar um relato sobre a experiência

• Clientes, que são médicos, profissionais de saúde, gestores e clínicas assinantes da plataforma Relati

2.1 Pacientes

No relacionamento com Pacientes, para fins da Lei Geral de Proteção de Dados Pessoais, Lei 13.709 de 2018, adotam-se os seguintes papéis:

• O Cliente, médico, profissional de saúde ou clínica que encaminha o link ao paciente, atua como controlador dos dados pessoais dos seus pacientes coletados por meio do Relati

• O Relati atua como operador, tratando esses dados por conta e ordem do Cliente, conforme as instruções contratadas

• O Relati poderá atuar como controlador em relação a dados de uso, registros de acesso, segurança da informação e demais tratamentos necessários ao funcionamento da plataforma, à gestão de riscos e ao cumprimento de obrigações legais próprias

2.2 Clientes, Profissionais de saúde e Clínicas Assinantes

No relacionamento com Clientes assinantes:

• O Relati é controlador dos dados pessoais dos próprios Clientes, incluindo dados cadastrais, de contato, contratuais, de faturamento e de uso da plataforma

• O Cliente é controlador dos dados pessoais de seus pacientes tratados dentro da plataforma, cabendo a ele definir finalidades, bases legais e parâmetros de tratamento, observada a LGPD

• Para a execução do contrato e a prestação dos serviços, o Relati atua como operador em relação aos dados dos pacientes, nos limites das instruções do Cliente e desta Política

O Cliente é exclusivamente responsável pela veracidade, atualização e completude dos dados pessoais que inserir na plataforma, inclusive na etapa de validação manual de dados de pacientes.

3.1 Dados fornecidos diretamente pelo Paciente

Na coleta de avaliações e relatos, podem ser tratados, entre outros, os seguintes dados pessoais:

• Nome completo

• Email

• CPF

• Avaliação em número de estrelas de um a cinco

• Relato livre sobre a experiência de atendimento, que pode conter informações de saúde ou outras informações sensíveis, inseridas de forma espontânea pelo paciente

3.2 Dados de uso e registros eletrônicos

Para fins de segurança, auditoria, prevenção a fraudes, melhoria contínua da plataforma e compliance tecnológico, poderão ser coletados e registrados:

• Data e hora do envio da avaliação

• Dados técnicos do dispositivo, como tipo de navegador e sistema operacional

• Endereço IP e identificadores de sessão

• Informação sobre o link de origem enviado pelo Cliente

Para a gestão do relacionamento comercial e operacional com Clientes, o Relati poderá tratar as seguintes categorias de dados:

4.1 Dados cadastrais e de identificação

• Nome completo de profissionais e responsáveis

• CPF de profissionais individuais ou representantes legais

• CNPJ da clínica, consultório ou pessoa jurídica

• Razão social, nome fantasia e informações de registro

• Dados de contato, como email corporativo, telefone, celular, endereço profissional

4.2 Dados contratuais e de conta

• Dados de acesso à conta, como login e credenciais criptografadas

• Perfil de uso e preferências configuradas na plataforma

• Informações sobre planos contratados, histórico de upgrades, downgrades e status de assinatura

• Configurações internas de fluxos de avaliação, templates de comunicação e regras de negócio definidas pelo Cliente

4.3 Dados de faturamento e pagamento

• Dados de cobrança, como endereço de faturamento, CNPJ ou CPF para emissão de notas fiscais

• Dados de meio de pagamento, na medida necessária para processamento via parceiros de pagamento

• Identificadores de transações, histórico de pagamentos, inadimplência, cancelamentos e créditos

Dados sensíveis de cartão de crédito, quando aplicável, são tratados por intermediadores de pagamento certificados, conforme o padrão de segurança aplicável, e não permanecem acessíveis em formato aberto ao Relati.

4.4 Dados de uso da plataforma pelo Cliente

• Logs de acesso à conta de Cliente

• Endereço IP, data e hora de acesso

• Ações relevantes para auditoria, como criação de campanhas, configuração de fluxos, exportações de dados e ajustes de parâmetros

• Dados de interação com o suporte técnico e canais de atendimento

O Cliente é responsável por garantir que os usuários internos que acessam o Relati em seu nome, como equipe administrativa e corpo clínico, utilizem credenciais pessoais, mantenham a confidencialidade dessas credenciais e observem as políticas internas de segurança da informação.

5.1 Melhoria de serviços e atendimento ao Paciente

Finalidade principal:

• Coletar, organizar e analisar avaliações e relatos de Pacientes para melhoria da qualidade dos serviços prestados pelo médico, corpo clínico ou clínica

• Apoiar o aprimoramento de processos internos, fluxos de atendimento, comunicação e experiência do paciente

• Viabilizar o retorno a pedidos de resposta, esclarecimentos ou providências apresentados pelo paciente em seu relato

• Apoiar o cumprimento de obrigações contratuais e pré contratuais entre o paciente e o Cliente

Base legal predominante:

• Legítimo interesse do Cliente, como controlador, considerando a expectativa do paciente de que sua avaliação será utilizada para melhoria de serviços e gestão de qualidade

• Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o paciente faça parte, quando o uso do relato for necessário para responder demandas e gerir o relacionamento

5.2 Uso de relatos para marketing

O relato de Paciente poderá ser utilizado para fins de marketing, comunicação institucional, testemunhais e materiais promocionais do médico, corpo clínico ou clínica somente quando:

• O Paciente receber convite específico para autorizar o uso de seu relato para fins de marketing

• Houver informação clara, destacada e inequívoca sobre essa finalidade

• O Paciente conceder consentimento livre, informado e inequívoco

Nesses casos:

• A base legal para tal uso será o consentimento do titular

• O consentimento terá validade de 10 anos, contados da data da concessão

• O Paciente poderá revogar o consentimento a qualquer tempo, nos termos desta Política

Para Clientes Profissionais e Clínicas, as principais finalidades e bases legais são:

6.1 Execução do contrato e gestão da assinatura

• Cadastro de Clientes e criação de contas de acesso

• Habilitação de funcionalidades da plataforma Relati conforme o plano contratado

• Suporte técnico, atendimento ao Cliente e gestão de relacionamento

Base legal: execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte.

6.2 Faturamento, cobrança e obrigações fiscais

• Emissão de notas fiscais e documentos fiscais correlatos

• Processamento de pagamentos e gestão de inadimplência

• Contabilidade, obrigações fiscais e compliance regulatório aplicável

Bases legais: cumprimento de obrigação legal ou regulatória e execução de contrato.

6.3 Comunicações de serviço

• Envio de comunicações transacionais sobre o uso da plataforma, atualizações relevantes, ajustes de planos e alertas de segurança

• Pesquisas opcionais de satisfação e feedback sobre o Relati

Base legal: legítimo interesse, respeitado o equilíbrio entre interesses empresariais e direitos do titular, e, quando aplicável, consentimento.

6.4 Gestão de risco, segurança e prevenção a fraudes

• Monitoramento de uso anômalo

• Auditoria de acessos

• Investigações de incidentes de segurança

Base legal: legítimo interesse em assegurar a segurança da informação, prevenir fraudes e proteger a integridade da plataforma e de seus usuários.

O envio de avaliação e relato pelo Paciente é:

• Voluntário

• Gratuito

• Não condicionante ao atendimento médico nem à continuidade da relação assistencial

A recusa em participar, o não envio de avaliação ou a negativa de consentimento para marketing não prejudicam o atendimento ou o relacionamento com o médico, corpo clínico ou clínica.

Quando houver consentimento do Paciente para uso de seu relato para fins de marketing:

• O Relati disponibiliza recursos e orientações para que o Cliente privilegie o uso de relatos em formato anonimizado ou pseudonimizado

• Em regra, recomenda se o uso apenas de iniciais do nome, por exemplo J G, e a retirada de dados que possam identificar diretamente o Paciente

O Cliente é responsável por:

• Selecionar os relatos que pretende utilizar em campanhas ou materiais institucionais

• Implementar mecanismos adequados de anonimização ou pseudonimização, observando a LGPD e demais normas aplicáveis

• Garantir que o texto final divulgado não contenha dados pessoais desnecessários, excessivos ou sensíveis do Paciente, salvo cobertura por base legal específica

• Atender, diretamente, a solicitações de Pacientes relativas a relatos que tenham sido replicados ou utilizados em canais fora do Relati

• Garantir que as políticas de privacidade e avisos de seus próprios canais estejam alinhados ao uso desses relatos

O Relati não se responsabiliza pela guarda, tratamento ou uso dos relatos, nem por eventuais danos decorrentes da utilização desses relatos, uma vez que sejam extraídos, exportados ou copiados da plataforma e passem a ser tratados exclusivamente pelo Cliente em canais próprios ou de terceiros.

Permanece o compromisso do Relati de, mediante revogação de consentimento registrada pelo Paciente na plataforma, cessar o uso do relato em seus próprios ambientes e comunicar o Cliente, observados prazos técnicos e operacionais razoáveis.

Para reforçar a integridade, autenticidade e rastreabilidade das evidências de consentimento, o Relati registra informações em infraestrutura baseada na blockchain Ethereum.

Nesse registro, podem constar:

• Conteúdo do relato autorizado para marketing

• Dados de identificação do Paciente, como nome e CPF, conforme parametrização da solução

• Identificação do Cliente responsável pela coleta daquele consentimento

• Data e horário do registro

• Indicação da finalidade autorizada, como uso para marketing

• Indicação explícita de aceite e consentimento do Paciente

Esse registro tem natureza probatória, com foco em governança de consentimento, trilha de auditoria e exercício regular de direitos em eventuais questionamentos administrativos ou judiciais.

Considerando as características tecnológicas da blockchain, o registro efetuado possui natureza imutável, o que significa que a informação já gravada não pode ser apagada, apenas sofrer camadas adicionais de tratamento, como formas de criptografia, mascaramento ou desligamento de vínculos com processos ativos.

Em termos de LGPD:

• A revogação do consentimento interrompe o uso ativo do relato para a finalidade de marketing pela plataforma Relati

• O registro histórico na blockchain poderá ser mantido para cumprimento de obrigação legal ou regulatória, bem como para exercício regular de direitos em processos administrativos, arbitrais ou judiciais

• O Relati adota salvaguardas técnicas e organizacionais compatíveis com o estado da arte para reduzir exposição indevida, alinhadas a boas práticas de segurança da informação, privacidade by design e by default

Os dados pessoais poderão ser compartilhados nas seguintes hipóteses:

• Com o Cliente, controlador dos dados de Pacientes, para fins de melhoria dos serviços, gestão de relacionamento e atendimento de demandas

• Com provedores de serviços de tecnologia, como hospedagem em nuvem, serviços de envio de email, monitoramento, analytics, suporte e segurança da informação, que atuam como operadores contratados e sujeitos a cláusulas de confidencialidade e proteção de dados

• Com intermediadores de pagamento e instituições financeiras, para processamento de pagamentos, combate a fraudes e conciliação financeira

• Com consultores jurídicos, contábeis e auditores, quando necessário ao exercício regular de direitos ou cumprimento de obrigações legais

• Com autoridades públicas, órgãos reguladores ou autoridades judiciais, sempre que houver obrigação legal, regulatória ou ordem válida

• Em operações societárias, como fusão, cisão, incorporação ou venda de ativos, observado o dever de continuidade de proteção de dados

O Relati não comercializa dados pessoais de Pacientes ou Clientes.

Os dados pessoais podem ser armazenados e tratados em serviços de nuvem localizados no Brasil ou no exterior.

Quando houver transferência internacional:

• Serão observados os requisitos da LGPD para transferência a países com grau adequado de proteção ou mediante o uso de garantias específicas previstas em lei

• O Relati buscará fornecedores com padrões robustos de segurança da informação e privacidade

• Serão adotadas cláusulas contratuais e mecanismos de governança compatíveis com o nível de criticidade dos dados tratados

Os dados pessoais serão armazenados pelo tempo necessário para:

• Cumprir as finalidades descritas nesta Política

• Cumprir obrigações legais ou regulatórias

• Atender exigências de órgãos reguladores e fiscalizações

• Preservar direitos em eventuais processos administrativos, arbitrais ou judiciais

• Atender normas de prescrição e decadência aplicáveis

Para uso de relatos em marketing:

• Os dados relacionados ao consentimento serão tratados por até 10 anos, salvo revogação anterior

• Após revogação, o uso ativo do relato para marketing será descontinuado, permanecendo registros estritamente necessários para cumprimento de obrigações legais e exercício regular de direitos, incluindo o registro em blockchain nos termos já descritos

Ao final dos prazos pertinentes, os dados poderão ser eliminados, anonimizados ou mantidos em ambiente de acesso restrito, conforme regras legais e políticas internas de retenção.

Pacientes e Clientes, na condição de titulares de dados pessoais, têm, entre outros, os seguintes direitos previstos na LGPD:

• Confirmação da existência de tratamento

• Acesso aos dados pessoais tratados

• Correção de dados incompletos, inexatos ou desatualizados

• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD

• Portabilidade dos dados, observada regulamentação aplicável

• Eliminação de dados pessoais tratados com base em consentimento, observadas as hipóteses legais de conservação

• Informação sobre as entidades públicas e privadas com as quais os dados foram compartilhados

• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa

• Revogação do consentimento, quando esta for a base legal para determinado tratamento

• Oposição a tratamentos realizados com fundamento em legítimo interesse, quando cabível

14.1 Pacientes

Para exercer seus direitos, inclusive revogar o consentimento concedido para uso de relato em marketing, o Paciente poderá:

• Criar uma conta de usuário no Relati

• Acessar sua área privada

• Localizar suas autorizações e relatos cadastrados

• Registrar pedidos de revogação de consentimento ou demais solicitações sobre seus dados

A revogação do consentimento não afeta a legalidade dos tratamentos realizados com base no consentimento anteriormente dado.

Após a revogação:

• O relato poderá continuar a ser tratado para finalidades de melhoria de serviços, cumprimento de obrigação legal e defesa de direitos, com base em legítimo interesse ou outra base legal cabível

• O Relati envidará esforços razoáveis para cessar novas divulgações do relato em seus canais, observadas limitações técnicas de ambientes digitais e o contexto de blockchain já descrito

• O Cliente continuará responsável por avaliar, caso a caso, as medidas cabíveis em relação a conteúdos já publicados em seus próprios canais ou em plataformas de terceiros

Caso o Paciente tenha dificuldades de acesso à área privada, poderá acionar diretamente o Encarregado, DPO, pelos canais indicados nesta Política.

14.2 Clientes

Clientes poderão exercer seus direitos e esclarecer dúvidas por meio:

• Dos canais de suporte e atendimento da própria plataforma

• Do contato direto com o Encarregado, DPO, indicado nesta Política

Nos casos aplicáveis, o Relati poderá solicitar comprovação de identidade e informações adicionais necessárias para autenticação do titular e adequada resposta à demanda.

O Relati adota uma abordagem de segurança em camadas, com controles técnicos, administrativos e organizacionais voltados à proteção dos dados pessoais sob sua responsabilidade, incluindo, entre outros:

• Gestão de acessos baseada em princípio de menor privilégio

• Criptografia em trânsito e, quando aplicável, em repouso

• Registro de logs de acesso e trilhas de auditoria

• Monitoramento de eventos de segurança e resposta estruturada a incidentes

• Políticas internas de segurança da informação, privacidade e governança de dados

• Treinamento contínuo de equipes envolvidas no tratamento de dados

Embora sejam adotadas medidas alinhadas a boas práticas de mercado, não há ambiente totalmente isento de riscos. Havendo incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Relati observará os procedimentos de comunicação previstos na LGPD e em regulamentações aplicáveis.

O Encarregado pelo tratamento de dados pessoais no âmbito do Relati é:

Dr. Julio Garcia

OAB PR 35.946

Email para assuntos de privacidade e proteção de dados

privacidade@relati.com.br

Por meio deste canal, Pacientes e Clientes poderão:

• Esclarecer dúvidas sobre esta Política de Privacidade

• Exercer direitos como titulares de dados, nos termos da LGPD

• Registrar reclamações, sugestões ou comunicações relacionadas à proteção de dados pessoais

Esta Política de Privacidade poderá ser alterada a qualquer tempo, em função de:

• Evolução da plataforma e de novos produtos ou funcionalidades

• Mudanças regulatórias ou orientações da Autoridade Nacional de Proteção de Dados

• Ajustes de governança, segurança e gestão de riscos

Quando houver alterações relevantes, o Relati adotará estratégias razoáveis de comunicação, como avisos no site, na plataforma ou no fluxo de coleta de avaliações, podendo ser requerido novo consentimento em situações que assim o exijam.

A continuidade do uso da plataforma após a divulgação de nova versão será interpretada como ciência da atualização, sem prejuízo dos direitos dos titulares.