Pular para o conteudo
Lumave
RecursosPreçosFAQContato
EntrarComeçar Grátis
Entrar
Privacidade

Política dePrivacidade

Transparência total no tratamento dos seus dados. Conformidade com a LGPD — Lei nº 13.709/2018. Última atualização: 25 de maio de 2026.

Dados Coletados

  • Dados cadastrais: nome completo, e-mail, telefone, CPF/CNPJ
  • Dados clínicos sensíveis: prontuários, fotografias, histórico de procedimentos estéticos
  • Dados de uso: funcionalidades acessadas, logs de acesso, horários de sessão
  • Dados técnicos: endereço IP, tipo de navegador, sistema operacional, dispositivo
  • Dados de comunicação: mensagens via WhatsApp e e-mail enviadas pela plataforma

Finalidade do Tratamento

  • Prestação dos serviços contratados: prontuário eletrônico, agenda, financeiro e comunicação
  • Comunicação com pacientes via WhatsApp Business e e-mail transacional
  • Melhoria contínua da plataforma com base em métricas de uso anonimizadas
  • Cumprimento de obrigações legais, regulatórias e contratuais
  • Segurança e prevenção de fraudes, acessos não autorizados e incidentes
  • Geração de relatórios e analytics agregados — nunca com dados individuais identificáveis

Base Legal (LGPD)

  • Execução de contrato: tratamento necessário para prestar os serviços contratados (Art. 7º, V)
  • Tutela da saúde: dados clínicos tratados para prestação de serviços de saúde (Art. 11, II, f)
  • Legítimo interesse: melhorias de segurança e experiência do usuário (Art. 7º, IX)
  • Cumprimento de obrigação legal: retenção de prontuários conforme CFM e legislação vigente (Art. 7º, II)
  • Consentimento: para comunicações de marketing e notificações opcionais (Art. 7º, I)

Compartilhamento de Dados

  • Não vendemos, alugamos nem compartilhamos dados pessoais com terceiros para fins comerciais
  • Subprocessadores de infraestrutura: Railway (hospedagem), AWS S3 (audit logs), Cloudinary (imagens), Anthropic (IA)
  • Subprocessadores de analytics: PostHog Cloud (Frankfurt, EU) para análise de uso do produto — não recebe CPF, telefone, nome, e-mail ou conteúdo clínico (apenas eventos abstratos identificados por UUID da clínica)
  • Provedores de comunicação: Meta Platforms, Inc. (WhatsApp Business Platform / Cloud API — Tech Provider model), Zoho (e-mail transacional), Resend (e-mail transacional)
  • Podemos compartilhar dados por determinação judicial, ordem da ANPD ou obrigação legal
  • Todos os subprocessadores possuem DPA (Acordo de Processamento de Dados) assinado

WhatsApp Business Platform (Cloud API da Meta)

  • O Lumave atua como Provedor de Tecnologia (Tech Provider) no ecossistema WhatsApp Business Platform da Meta. Cada clínica conecta seu próprio WhatsApp Business Account (WABA) e número de telefone através do fluxo oficial Embedded Signup da Meta — o Lumave nunca tem acesso à conta pessoal de WhatsApp dos profissionais ou pacientes.
  • Dados processados via WhatsApp Business Platform: conteúdo das mensagens enviadas e recebidas, mídia anexada (imagens, documentos, áudios, vídeos), metadados (timestamps, status de entrega, leitura), identificadores de telefone (E.164) e informações de perfil business (nome da clínica, endereço, horário comercial).
  • Permissões Meta solicitadas e finalidade: whatsapp_business_messaging (envio e recebimento de mensagens com pacientes, upload e download de mídia, registro de número), whatsapp_business_management (gestão de WABAs, templates e webhooks por clínica), public_profile (identidade do dono da clínica durante Embedded Signup).
  • Sub-processador principal: Meta Platforms, Inc. — os dados de conversação trafegam pelos servidores da Meta (Cloud API hospedada pela Meta). O Lumave não tem controle sobre a infraestrutura da Meta; aplicam-se as políticas oficiais Meta Platform Terms e WhatsApp Business Messaging Policy.
  • Retenção específica WhatsApp: o conteúdo das conversas vinculadas a prontuário clínico segue o prazo de 20 anos (CFM 1.821/2007). Conversas administrativas (agendamento, financeiro, suporte) são retidas por 5 anos. Mídia: 5 anos ou exclusão sob demanda.
  • Cada clínica pode revogar a conexão WhatsApp a qualquer momento em Ajustes → WhatsApp → Desconectar. Pacientes podem solicitar exclusão de suas conversas via [email protected] ou na página de exclusão de dados.
  • Templates de mensagem (HSM) submetidos pela clínica e aprovados pela Meta são armazenados no Lumave por tempo indeterminado (são necessários para envios fora da janela de 24h). Conteúdo dos templates não inclui dados pessoais — apenas placeholders preenchidos no envio.

Retenção e Exclusão

  • Prontuários clínicos: mínimo 20 anos conforme Resolução CFM nº 1.821/2007
  • Dados de uso e logs: 12 meses para fins de segurança e auditoria
  • Dados de comunicação (WhatsApp/e-mail) vinculados a prontuário: 20 anos (CFM)
  • Dados de comunicação (WhatsApp/e-mail) puramente administrativos: 5 anos
  • Dados financeiros: 5 anos conforme legislação tributária brasileira
  • Após o período de retenção, os dados são anonimizados ou eliminados de forma segura
  • Solicitações de exclusão antecipada podem ser feitas a qualquer momento em lumave.com.br/exclusao-dados ou via [email protected]

Como Solicitar Exclusão de Dados

  • Página pública de solicitação: lumave.com.br/exclusao-dados (acessível sem login)
  • E-mail dedicado: [email protected] — assunto "Solicitação de exclusão LGPD"
  • Prazo de resposta: até 15 dias úteis a partir do recebimento (LGPD Art. 19)
  • Dados que podem ser excluídos: cadastro, histórico de uso, conversas WhatsApp/e-mail/SMS, fotografias clínicas (ressalvadas obrigações de retenção legal de prontuário)
  • Dados que NÃO podem ser excluídos antes do prazo legal: prontuários clínicos sob CFM 1.821/2007 (20 anos), comprovantes fiscais (5 anos), audit logs de segurança (12 meses)
  • Após a exclusão, é enviado comprovante por e-mail e os dados são purgados de backups no próximo ciclo (até 30 dias)

Cookies e Rastreamento

  • Cookies essenciais: necessários para autenticação, sessão e funcionamento da plataforma
  • Cookies de performance: analytics anônimos (agregados) para melhoria do produto
  • Não utilizamos cookies de publicidade, remarketing ou rastreamento comportamental de terceiros
  • Você pode gerenciar e desabilitar cookies nas configurações do seu navegador a qualquer momento

Direitos do Titular (LGPD Art. 18)

  • Acesso: solicitar confirmação da existência do tratamento e cópia dos seus dados
  • Correção: corrigir dados incompletos, inexatos ou desatualizados
  • Anonimização ou exclusão: eliminar dados desnecessários, excessivos ou tratados em desconformidade
  • Portabilidade: receber seus dados em formato estruturado e interoperável
  • Revogação de consentimento: retirar o consentimento a qualquer momento
  • Informação: saber com quais entidades seus dados foram compartilhados
  • Oposição: opor-se ao tratamento realizado com fundamento em legítimo interesse
  • Para exercer seus direitos: envie solicitação para [email protected]

Segurança dos Dados

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256) em todas as camadas
  • Autenticação multifator (MFA/2FA) disponível e recomendada para todos os usuários
  • Isolamento completo de dados por clínica (arquitetura multi-tenancy com Row-Level Security)
  • Backups automáticos com retenção de 30 dias e testes de restauração periódicos
  • Monitoramento contínuo com detecção automática de incidentes e notificação ao DPO
  • Controle de acesso baseado em função (RBAC) com princípio do mínimo privilégio
  • Procedimento documentado de resposta a incidentes (RTO 4h / RPO 1h)

Encarregado de Dados (DPO)

  • Nome: Alessandro Borges Alla
  • Cargo: Encarregado pelo Tratamento de Dados Pessoais (DPO) — LGPD Art. 41
  • E-mail: [email protected]
  • Prazo de resposta: até 15 dias úteis a partir do recebimento da solicitação
  • Canal dedicado para exercício de direitos e comunicação com a ANPD
  • Todos os registros de solicitações são mantidos por no mínimo 5 anos

Atualizações desta Política

  • Esta política pode ser atualizada periodicamente para refletir mudanças legais ou operacionais
  • Notificaremos usuários sobre alterações relevantes via e-mail ou aviso na plataforma
  • O uso continuado dos serviços após notificação implica concordância com a versão atualizada
  • Versões anteriores desta política ficam disponíveis mediante solicitação ao DPO
  • Última atualização: 25 de maio de 2026

Conformidade LGPD completa

Conheça em detalhes como a Lumave implementa as exigências da Lei Geral de Proteção de Dados, incluindo registros de incidentes, break-glass e relatórios ao DPO.

Ver conformidade LGPD completa
Lumave

Prontuário e gestão inteligente para clínicas de estética. Desenvolvido no Brasil, para profissionais brasileiros.

São Paulo, SP - Brasil
[email protected]

Produto

  • Recursos
  • Preços
  • Integrações
  • Comparativo
  • FAQ

Empresa

  • Sobre
  • Blog
  • Carreiras
  • Imprensa
  • Contato

Recursos

  • Central de Ajuda
  • Glossário
  • Treinamentos
  • Migração de Dados
  • Materiais Gratuitos
  • Calculadora ROI

Legal

  • Privacidade
  • Termos de Uso
  • LGPD
  • Exclusão de Dados

© 2026 Lumave. Todos os direitos reservados.

Feito com no Brasil