Política de Privacidade

1. Quem somos (Controlador dos Dados)

Tribo Marketing Médico
CNPJ: 36.751.731/0001-16
Endereço: Jales/SP
Contato: marco@tribomarketingmedico.com.br

Para fins da LGPD, somos o Controlador dos dados pessoais tratados no Tribo Client Hub.

1.1. Encarregado pelo Tratamento de Dados (DPO)

O Encarregado é a pessoa de contato entre você (titular), a Tribo (controlador) e a Autoridade Nacional de Proteção de Dados (ANPD).

Canal exclusivo de contato: privacidade@tribomarketingmedico.com.br

2. Quais dados coletamos

Coletamos diferentes categorias de dados, conforme o seu papel no sistema:

2.1. Dados de cadastro (todos os usuários)

• Nome completo
• Endereço de email
• Telefone
• Senha (armazenada de forma criptografada com hash bcrypt, jamais em texto plano)
• Foto de perfil (opcional)
• Data e hora dos acessos (log de auditoria)
• Endereço IP no momento do login

2.2. Dados de colaboradores da Tribo

• CPF
• Data de nascimento
• Endereço completo (CEP, logradouro, número, bairro, cidade, estado)
• Tipo de contratação (CLT, PJ, freelancer) e cargo/senioridade
• Data de admissão

2.3. Dados de clientes (médicos e clínicas)

• Nome civil e nome profissional
• Nome fantasia / razão social da clínica (quando aplicável)
• CNPJ ou CPF
• CRM e especialidade médica
• Endereço da clínica
• Telefone e WhatsApp
• Logo da clínica
• Dados de contrato (valores, vigência, status)

2.4. Dados de uso do sistema

• Arquivos enviados (documentos, briefings, peças aprovadas)
• Mensagens trocadas com a Tribo
• Histórico de aprovações de peças
• Logs técnicos de uso (acessos, ações realizadas) — mantidos por motivos de segurança e auditoria

2.5. Dados sensíveis

O sistema não coleta dados pessoais sensíveis no sentido do art. 5º, II da LGPD (saúde, biometria, religião, orientação política, etc.) dos titulares finais (pacientes dos médicos). Os dados dos médicos referem-se a sua atividade profissional, não à sua saúde pessoal.

3. Por que coletamos esses dados (Bases legais)

Cada dado é tratado com base em uma das hipóteses legais da LGPD (art. 7º):

• Execução de contrato (art. 7º, V): dados necessários pra prestar nossos serviços de marketing médico — contratos, briefings, aprovações, comunicação.
• Cumprimento de obrigação legal (art. 7º, II): dados fiscais e trabalhistas de colaboradores.
• Legítimo interesse (art. 7º, IX): logs de auditoria pra segurança da plataforma, prevenção de fraude e melhoria do serviço.
• Consentimento (art. 7º, I): envio de comunicações de marketing não relacionadas ao contrato (você pode retirar a qualquer momento).

4. Como usamos os dados

• Autenticar você no sistema (login, recuperação de senha, 2FA)
• Permitir que sua equipe colabore (atribuir colaboradores a clientes, gerenciar tarefas)
• Enviar emails transacionais (convites, redefinição de senha, notificações de aprovação)
• Manter histórico de contratos, peças aprovadas e comunicações
• Gerar relatórios para você acompanhar o serviço prestado
• Monitorar a segurança da plataforma (detectar acessos suspeitos)
• Cumprir obrigações legais (notas fiscais, prestação de contas)

5. Com quem compartilhamos

Não vendemos seus dados. Compartilhamos apenas com prestadores de serviço (Operadores, na linguagem da LGPD) estritamente necessários ao funcionamento do sistema:

5.1. Operadores contratados

• HostDime Brasil — infraestrutura de servidores (datacenter SPO, Brasil). Sob contrato com cláusulas LGPD específicas.
• Resend — envio de emails transacionais.
• Supabase — armazenamento de arquivos enviados pela plataforma.
• Sentry — monitoramento de erros técnicos do sistema (dados pessoais são anonimizados antes de chegar ao Sentry).

5.2. Autoridades competentes

Podemos compartilhar dados em cumprimento a ordem judicial ou solicitação legal de autoridade competente, sempre dentro dos limites da LGPD e do devido processo legal.

5.3. Transferência internacional

Seus dados são armazenados em servidores localizados no Brasil (HostDime SPO). Eventuais transferências internacionais (por exemplo, ao Sentry, com sede nos EUA) ocorrem apenas com dados técnicos não identificáveis, e amparadas por garantias adequadas de proteção (art. 33 da LGPD).

6. Por quanto tempo guardamos

• Enquanto durar o contrato: todos os dados ficam ativos para uso do serviço.
• Após o encerramento do contrato: mantemos os dados por até 5 anos, prazo da prescrição de pretensões cíveis (Código Civil, art. 206) e de obrigações fiscais (CTN, art. 173).
• Dados de log e auditoria: mantidos por 12 meses, prazo do Marco Civil da Internet (art. 13).
• Após o prazo legal: dados são eliminados ou anonimizados de forma irreversível.

Você pode solicitar a eliminação antecipada dos seus dados a qualquer momento — desde que isso não conflite com obrigações legais que ainda subsistam.

7. Seus direitos como titular

A LGPD (art. 18) garante a você os seguintes direitos:

• Confirmação de que tratamos dados pessoais seus
• Acesso aos dados que mantemos sobre você
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a lei
• Portabilidade dos dados a outro fornecedor (mediante requisição expressa)
• Eliminação dos dados tratados com base em consentimento
• Informação sobre com quem compartilhamos seus dados
• Revogação do consentimento, quando for a base legal aplicável
• Oposição a tratamento realizado com base em legítimo interesse, se cabível
• Não discriminação: o exercício de qualquer direito não pode resultar em prejuízo no nosso atendimento

Pra exercer qualquer direito, basta enviar um email para privacidade@tribomarketingmedico.com.br. Responderemos em até 15 dias úteis.

8. Como protegemos seus dados

Adotamos medidas técnicas e organizacionais para proteger seus dados:

• Senhas em hash bcrypt (custo 12) — nunca armazenamos sua senha em texto plano
• Autenticação em duas etapas (2FA) disponível para todos os usuários
• Tokens de sessão com criptografia AES-256-GCM
• HTTPS obrigatório em toda a aplicação
• Isolamento de dados entre clientes (tenancy estrita: dados do cliente A jamais são acessíveis ao cliente B)
• Logs de auditoria de todas as ações sensíveis
• Backup criptografado realizado diariamente (HostDime Acronis)
• Atualizações de segurança aplicadas mensalmente no servidor
• Monitoramento contínuo de tentativas de acesso indevido
• Controle de acesso por papel (admin, colaborador, cliente) com permissões granulares

9. Cookies e tecnologias similares

Usamos apenas cookies essenciais ao funcionamento do sistema:

• access_token e refresh_token — autenticação (httpOnly, secure, sameSite=lax)

Não usamos cookies de rastreamento, marketing ou analytics de terceiros dentro do sistema.

10. Incidentes de segurança

Caso ocorra um incidente de segurança que possa acarretar risco ou dano relevante a você, comunicaremos:

• A você, em tempo razoável, por email
• À Autoridade Nacional de Proteção de Dados (ANPD)

A comunicação descreverá: o que aconteceu, quais dados foram afetados, os riscos relacionados, e as medidas que estamos tomando.

11. Alterações desta Política

Esta Política pode ser atualizada periodicamente para refletir mudanças no sistema ou na legislação. Quando houver alteração relevante, comunicaremos por email aos usuários ativos com pelo menos 15 dias de antecedência.

A versão e a data de cada atualização ficam registradas no topo deste documento.

12. Dúvidas e reclamações

Caso tenha dúvidas, sugestões ou queira exercer algum direito, entre em contato:

• Encarregado (DPO): privacidade@tribomarketingmedico.com.br
• Contato geral: marco@tribomarketingmedico.com.br

Você também tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

13. Foro

Esta Política é regida pelas leis brasileiras. Eventuais controvérsias serão dirimidas no foro da Comarca de Jales/SP, com renúncia expressa a qualquer outro, por mais privilegiado que seja.