Data Processing Agreement

Regular o tratamento de dados pessoais realizado pela OPERADORA (CareMind)em nome e sob as instruções da CONTROLADORA, no contexto da utilização da plataforma.

Aplicam-se as definições do art. 5º da LGPD:

• Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável.
• Dados Pessoais Sensíveis: dados sobre saúde (art. 5º, II, LGPD).
• Titular: pessoa natural a quem se referem os dados.
• Controladora: pessoa jurídica que toma decisões sobre tratamento.
• Operadora: pessoa jurídica que realiza tratamento em nome da controladora.

3.1 CONTROLADORA

Declara e garante que:

• Determina as finalidades e meios do tratamento;
• Obteve consentimento válido, livre e informado dos titulares;
• Trata dados em conformidade com a legislação vigente;
• É responsável pela base legal utilizada.

3.2 OPERADORA (CareMind)

Compromete-se a:

• Tratar dados exclusivamente conforme instruções documentadas;
• Não utilizar dados para finalidades próprias ou distintas;
• Auxiliar a Controladora no cumprimento de obrigações legais;
• Garantir confidencialidade e segurança.

O tratamento poderá envolver DADOS PESSOAIS SENSÍVEIS DE SAÚDE, tais como:

• Informações sobre medicamentos (nomes, dosagens, horários);
• Prescrições médicas e históricos de saúde;
• Registros de administração de medicamentos;
• Rotinas e cuidados clínicos;
• Dados de saúde de idosos sob cuidado.

A OPERADORA realizará o tratamento apenas para:

• Hospedagem e armazenamento seguro de dados;
• Processamento técnico das funcionalidades do sistema;
• Suporte operacional e manutenção;
• Execução das funcionalidades contratadas.

Qualquer tratamento fora dessas hipóteses dependerá de instrução expressa da CONTROLADORA.

A CONTROLADORA autoriza a utilização de suboperadores estritamente necessários:

• Provedores de nuvem e banco de dados (Supabase);
• Serviços de processamento de pagamento;
• Serviços de inteligência artificial para OCR;
• Provedores de infraestrutura e segurança.

A OPERADORA assegura que tais suboperadores estejam sujeitos a obrigações contratuais de confidencialidade e proteção de dados compatíveis com a LGPD.

A OPERADORA adotará medidas técnicas e administrativas para proteger os dados:

• Criptografia: Dados em trânsito (TLS) e em repouso (AES-256);
• Controle de Acesso: Baseado em privilégios e autenticação rigorosa;
• Monitoramento: Registro e monitoramento de acessos;
• Boas Práticas: Segurança da informação e prevenção de incidentes;
• RLS: Row Level Security para isolamento de dados.

A OPERADORA comunicará à CONTROLADORA, em prazo razoável, a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, fornecendo informações necessárias para adoção das medidas cabíveis.

A comunicação ocorrerá em até 72 horas após a detecção do incidente.

A OPERADORA auxiliará a CONTROLADORA, sempre que tecnicamente possível, no atendimento às solicitações dos titulares relativas aos seus direitos previstos na LGPD:

• Acesso, correção e exclusão de dados;
• Portabilidade e anonimização;
• Revogação de consentimento;
• Informação sobre tratamento.

A OPERADORA não será responsável por:

• Tratamento realizado em desconformidade com a LGPD por determinação da CONTROLADORA;
• Ausência ou invalidade de consentimento obtido pela CONTROLADORA;
• Conteúdo ou veracidade dos dados inseridos no sistema;
• Dados fornecidos pela CONTROLADORA com informações incorretas.

A responsabilidade de cada parte observará os limites estabelecidos pela LGPD.

Este DPA permanecerá vigente enquanto houver tratamento de dados pessoais pela OPERADORA em nome da CONTROLADORA.

Encerrada a relação contratual, os dados serão eliminados ou devolvidosconforme instruções da CONTROLADORA, respeitadas as obrigações legais de retenção.

A OPERADORA fornecerá certificado de eliminação dos dados.

Este DPA é regido pelas leis da República Federativa do Brasil.

Fica eleito o foro da Comarca de Jundiaí/SP, com exclusão de qualquer outro, para dirimir eventuais controvérsias decorrentes deste instrumento.