Política de Privacidade

1. A quem esta política se aplica

Esta Política de Privacidade explica como a Waitroom coleta, usa, armazena, compartilha e protege dados pessoais quando alguém acessa o site, cria uma conta, usa o dashboard, testa o ambiente de WhatsApp da Waitroom, usa integrações, solicita suporte ou interage com mensagens, formulários e links operados pela plataforma.

A política se aplica a profissionais de saúde, clínicas, membros de equipe, visitantes do site e pacientes que interagem com fluxos administrativos configurados por uma conta Waitroom.

Quando um paciente conversa com o assistente, preenche formulários ou recebe lembretes em nome de um profissional ou clínica, a relação principal do paciente continua sendo com esse profissional ou clínica. A Waitroom processa esses dados para viabilizar a operação administrativa contratada.

Esta política não é um contrato autônomo e deve ser lida em conjunto com os Termos de Uso e contratos específicos aplicáveis à conta.

2. Papéis na LGPD

Para dados de pacientes e dados operacionais inseridos pela conta, o profissional ou a clínica normalmente define as finalidades e meios principais do tratamento. Nesse contexto, ele atua como controlador, e a Waitroom atua como operadora, salvo quando a lei ou um contrato específico indicar outro arranjo.

Para dados de cadastro da conta, cobrança da assinatura, segurança da plataforma, suporte, prevenção a fraude, comunicação institucional, métricas do site e administração interna, a Waitroom pode atuar como controladora.

Provedores de infraestrutura, pagamentos, mensagens, email, calendário, observabilidade e IA podem atuar como operadores ou suboperadores conforme o serviço prestado e os contratos aplicáveis.

3. Dados que podemos tratar

• Dados de conta: nome, email, telefone, senha criptografada, papel na conta, plano, status da assinatura, preferências e registros de aceite.
• Dados profissionais: nome de exibição, especialidade, serviços, preços, políticas, endereço, modalidade de atendimento, disponibilidade, fuso horário e configurações administrativas.
• Dados de pacientes: nome, telefone, email, histórico administrativo, preferências, agendamentos, confirmações, pagamentos, formulários, arquivos, observações e mensagens trocadas com a conta.
• Dados de conversas: conteúdo de mensagens, anexos permitidos, status de entrega, origem, data, hora, canal, encaminhamentos humanos e marcações de teste.
• Dados de agenda: consultas, bloqueios, serviços, duração, profissional responsável, modalidade, status, links de reunião e eventos espelhados no Google Calendar.
• Dados de pagamento: links de pagamento, status, valores brutos, taxas de provedor, reembolsos, disputas, repasses e identificadores de transações. A Waitroom não armazena dados completos de cartão quando processados por provedores como Stripe.
• Dados técnicos e de segurança: IP, dispositivo, navegador, logs de acesso, eventos de erro, auditoria, identificadores de sessão, webhooks e registros necessários para prevenir abuso e investigar incidentes.
• Dados de site, suporte e comunicação: páginas acessadas, formulários enviados, emails abertos, preferências de comunicação, solicitações de suporte e respostas a pesquisas ou entrevistas, quando houver.

4. Fontes dos dados

Podemos receber dados diretamente de você, de membros da conta, de pacientes que interagem com fluxos administrativos, de integrações conectadas pela conta e de tecnologias automáticas usadas no site ou no produto.

Também podemos receber dados de provedores de pagamento, mensageria, calendário, autenticação, segurança, suporte, analytics, campanhas e parceiros que ajudem a operar a Waitroom.

Quando dados vêm de terceiros ou integrações escolhidas pela conta, a disponibilidade, exatidão e legalidade dessas informações também dependem das configurações e permissões definidas por quem conectou o serviço.

5. Como usamos os dados

• Criar, autenticar, manter e proteger contas da Waitroom.
• Operar conversas administrativas no WhatsApp, histórico de atendimento, encaminhamento humano e notificações ao profissional.
• Organizar agenda, disponibilidade, bloqueios, consultas, confirmações, lembretes, cancelamentos e remarcações.
• Processar assinaturas, cobranças, pagamentos de consultas, notas de transação, reembolsos e disputas.
• Executar o ambiente de teste sem criar cobranças reais, sem mensagens a pacientes reais e com dados marcados como teste.
• Sincronizar integrações escolhidas pela conta, como Google Calendar, Stripe, WhatsApp e email.
• Prestar suporte, diagnosticar falhas, responder solicitações, auditar operações importantes e melhorar a segurança.
• Cumprir obrigações legais, regulatórias, contábeis, fiscais, contratuais e ordens de autoridades competentes.
• Melhorar o produto com dados agregados, estatísticos ou desidentificados sempre que possível.

6. Assistente, IA e limites clínicos

A Waitroom pode usar automação e provedores de IA para classificar intenções, preparar respostas administrativas, sugerir próximos passos e acionar ferramentas internas validadas. Esses recursos são limitados ao escopo administrativo.

A assistente não deve diagnosticar, prescrever, interpretar exames, orientar conduta clínica, avaliar urgência médica ou substituir o julgamento do profissional. Mensagens clínicas, sensíveis, urgentes, ambíguas ou fora das regras configuradas devem ser encaminhadas para encaminhamento humano.

A disponibilidade e o agendamento dependem de serviços determinísticos da Waitroom. A assistente não deve inventar horários, preços, políticas ou informações do profissional.

7. Compartilhamento com terceiros

Compartilhamos dados somente quando necessário para operar a plataforma, cumprir obrigações legais, proteger direitos, executar integrações solicitadas ou com autorização da conta.

• Infraestrutura, banco de dados, hospedagem e armazenamento, como Supabase e Vercel.
• Mensageria e WhatsApp, como Twilio e, futuramente, Meta WhatsApp Cloud API.
• Pagamentos e assinatura, como Stripe Billing e Stripe Connect.
• Email e notificações, como Resend.
• Calendário, como Google Calendar, quando a conta conecta a integração.
• IA e automação, como OpenAI ou provedores equivalentes configurados pela Waitroom.
• Monitoramento, logs e erro, como Sentry, com cuidado para evitar exposição desnecessária de dados sensíveis.
• Consultores, auditores, contadores, advogados e autoridades públicas quando necessário e permitido por lei.
• Terceiros envolvidos em reorganização societária, aquisição, fusão, venda de ativos ou operação similar, observadas as proteções aplicáveis.

8. Cookies e dados de uso

Podemos usar cookies, pixels, identificadores locais, logs e tecnologias semelhantes para manter sessão, lembrar preferências, medir uso, melhorar desempenho, proteger a plataforma e entender como visitantes chegam ao site.

• As categorias exibidas no painel de cookies incluem cookies essenciais, personalização, analytics e publicidade personalizada. Cookies essenciais não podem ser desativados porque sustentam segurança, sessão e funcionamento básico.
• O usuário pode configurar o navegador para bloquear ou apagar cookies. Algumas funcionalidades podem deixar de funcionar corretamente se cookies essenciais forem bloqueados.
• Quando usarmos ferramentas de analytics ou marketing, buscaremos limitar o uso de dados pessoais e respeitar preferências aplicáveis. O link Cookies no rodapé permite revisar escolhas no site público.
• Sinais de privacidade enviados por navegador, bloqueadores ou sistemas operacionais podem variar. Avaliaremos sinais tecnicamente reconhecidos quando forem suportados pelo site e exigidos pela lei aplicável.

9. Controles, escolhas e comunicações

• Usuários da conta podem atualizar dados cadastrais, preferências e configurações dentro do produto, quando a funcionalidade estiver disponível.
• Comunicações promocionais poderão oferecer mecanismo de descadastramento. Mensagens operacionais, transacionais, de segurança, cobrança, suporte, mudança de termos e administração da conta podem continuar sendo enviadas enquanto necessárias.
• Antes de cancelar ou excluir uma conta, o profissional ou clínica deve exportar e proteger os dados que precisa manter. A Waitroom não é responsável por perda decorrente de exportação insegura, armazenamento externo inadequado ou ausência de cópia feita pela própria conta.
• Participação em pesquisas, entrevistas ou testes de produto será opcional quando solicitada e poderá ter instruções próprias de opt-out.

10. Retenção, exportação e exclusão

Mantemos dados pelo tempo necessário para prestar os serviços, manter a conta, cumprir obrigações legais, resolver disputas, prevenir fraude, manter auditoria e preservar a segurança da plataforma.

• Dados de pacientes e dados operacionais podem permanecer enquanto a conta estiver ativa ou pelo período necessário para auditoria, suporte, obrigação legal ou defesa de direitos. Backups e logs podem seguir ciclos técnicos próprios de retenção.
• Antes de cancelar uma conta, o profissional ou clínica deve exportar os dados que precisa manter. Depois da exclusão, alguns dados podem não ser recuperáveis.

11. Segurança

Apesar desses controles, nenhum sistema conectado à internet é absolutamente seguro. O usuário também deve proteger senhas, dispositivos, acessos de equipe, exports de dados e canais externos usados com pacientes.

• Isolamento por conta e controles de acesso baseados em associação à conta.
• Row Level Security, criptografia de credenciais sensíveis e uso de provedores com controles de segurança compatíveis com a operação.
• Verificação de webhooks, logs de auditoria, rastreamento de eventos importantes e princípio do menor privilégio.
• Cuidados para não expor segredos em bundles de cliente, logs ou mensagens de erro.
• Monitoramento de falhas e incidentes com redução de dados sensíveis sempre que possível.

12. Direitos dos titulares

Nos termos da LGPD, titulares podem solicitar, observados os limites legais:

• Confirmação de tratamento e acesso aos dados pessoais.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
• Portabilidade, quando aplicável e tecnicamente possível.
• Informações sobre compartilhamento com terceiros.
• Revisão de decisões automatizadas, quando aplicável.
• Revogação de consentimento, quando o tratamento depender de consentimento.

Como o profissional ou clínica normalmente é controlador dos dados de pacientes, solicitações de pacientes podem precisar ser encaminhadas para a conta responsável. A Waitroom poderá apoiar a conta na resposta, quando aplicável.

Para proteger dados pessoais, podemos pedir informações para verificar identidade, autoridade de representante ou vínculo com a conta antes de atender uma solicitação.

13. Transferências internacionais

A Waitroom usa provedores que podem armazenar ou processar dados fora do Brasil. Quando isso ocorrer, adotaremos medidas contratuais, técnicas e organizacionais compatíveis com a LGPD e com a finalidade do tratamento.

14. Crianças e adolescentes

A Waitroom não é destinada à criação de contas por menores de idade. Quando dados de crianças ou adolescentes forem tratados em fluxos de pacientes, o profissional ou clínica é responsável por possuir base legal, autorização de responsável quando necessária e regras adequadas ao atendimento.

15. Mudanças nesta política

Podemos atualizar esta Política de Privacidade para refletir alterações de produto, provedores, práticas de tratamento ou exigências legais. Mudanças relevantes poderão ser comunicadas por email, aviso no produto ou publicação nesta página.

16. Contato

Para dúvidas, solicitações de privacidade, pedidos de titulares ou temas de segurança, entre em contato pelo email support@waitroom.app.

Se você é paciente, informe qual profissional ou clínica utiliza a Waitroom para que possamos direcionar a solicitação ao controlador correto quando necessário.