Política de Privacidade — Assente
1. Quem somos
A Assente é um nome comercial em uso operado pela pessoa jurídica LEM DE LIMA, inscrita no CNPJ sob o nº 27.592.173/0001-00, com sede em Av. Maestro Vicente Basile Neto, 917 — Jardim Peruíbe, Peruíbe/SP — CEP 11.750-000.
Esta política descreve como a Assente trata dados pessoais em duas posições distintas:
- Controladora de dados pessoais dos visitantes do site
assente.com.br, de contatos comerciais (leads), de clínicas contratantes e dos usuários do painel administrativo da plataforma. - Operadora (nos termos do Art. 5º, VII da LGPD), quando trata dados pessoais de pacientes por conta e ordem de uma clínica contratante, nos termos do contrato de tratamento de dados firmado com essa clínica.
Para pacientes de clínicas atendidas pela Assente: esta política não é o documento aplicável. Nesse caso, a clínica é a controladora dos seus dados e disponibiliza o aviso de privacidade próprio, construído com base no kit de transparência da Assente. Solicite o aviso diretamente à clínica ou entre em contato com o Encarregado dela.
2. Canal do Encarregado (DPO)
- E-mail:
privacidade@assente.com.br - Encarregado: Lucas Lima, designado nos termos do art. 41 da LGPD por Ato de Designação lavrado pela LEM DE LIMA e arquivado em seus arquivos societários (disponível mediante solicitação fundamentada de autoridade competente ou de clínica contratante).
- SLA de atendimento: acknowledgement em até 48 horas úteis; resposta substantiva em até 15 dias corridos, conforme Art. 19, § 1º da LGPD.
Este canal atende solicitações de titulares, incidentes, dúvidas de clínicas e auditorias.
3. Dados pessoais que tratamos como controladora
3.1. Visitantes do site assente.com.br
| Categoria | Exemplos | Origem |
|---|---|---|
| Dados de navegação | Endereço IP, tipo de dispositivo, navegador, sistema operacional, páginas visitadas, timestamps, origem de tráfego | Coleta automática |
| Cookies e identificadores | Ver Seção 11 (Cookies) | Coleta automática |
3.2. Contatos comerciais (leads B2B)
| Categoria | Exemplos | Origem |
|---|---|---|
| Identificação | Nome, cargo, telefone profissional, e-mail profissional | Formulários do site, canais de contato comercial |
| Vínculo profissional | Nome da clínica, porte, especialidades | Formulários e interações comerciais |
3.3. Clínicas contratantes (representantes legais e pontos de contato)
| Categoria | Exemplos | Origem |
|---|---|---|
| Identificação | Nome, CPF, cargo, e-mail, telefone | Proposta comercial e contrato |
| Dados da clínica | Razão social, CNPJ, endereço, dados de faturamento | Contratação |
3.4. Usuários do painel administrativo
| Categoria | Exemplos | Origem |
|---|---|---|
| Autenticação | E-mail, hash de senha, fator MFA | Cadastro pela clínica |
| Registro de acesso | IPs, timestamps, ações executadas no painel | Coleta automática |
3.5. O que não tratamos como controladora
A Assente não é controladora dos dados pessoais de pacientes atendidos por clínicas contratantes. Esses dados são tratados pela Assente como operadora, exclusivamente por conta e ordem da clínica, nos termos do Art. 39 da LGPD e do contrato de tratamento de dados (DPA) firmado com cada clínica.
4. Finalidades do tratamento
| Finalidade | Dados tratados |
|---|---|
| Permitir o funcionamento do site e medir sua performance | Dados de navegação, cookies |
| Responder a contatos comerciais e qualificar oportunidades | Leads B2B |
| Celebrar e executar o contrato de serviço com a clínica | Dados da clínica e dos representantes legais |
| Autenticar e controlar acesso ao painel administrativo | Dados dos usuários do painel |
| Prevenir fraudes, detectar abusos e garantir a segurança da plataforma | Dados técnicos e de acesso |
| Cumprir obrigações legais, regulatórias e contratuais | Todas as categorias, conforme o caso |
| Exercer direitos em processos judiciais, administrativos ou arbitrais | Todas as categorias, conforme o caso |
Não utilizamos dados pessoais para publicidade comportamental, venda a terceiros, treinamento de modelos de IA próprios ou formação de perfis para decisões automatizadas com efeitos jurídicos sobre o titular.
5. Bases legais (Art. 7º e 11 da LGPD)
| Base legal | Aplicação |
|---|---|
| Execução de contrato (Art. 7º, V) | Contratação e operação do serviço com a clínica; cadastro e acesso ao painel |
| Legítimo interesse (Art. 7º, IX) | Funcionamento do site, medição de audiência, segurança da plataforma e prevenção a fraudes |
| Cumprimento de obrigação legal ou regulatória (Art. 7º, II) | Retenção de logs de acesso (Marco Civil), registros fiscais e tributários, comunicações a autoridades |
| Exercício regular de direitos (Art. 7º, VI) | Defesa em processos judiciais, administrativos ou arbitrais |
| Consentimento (Art. 7º, I) | Cookies não essenciais (ver Seção 11) e outras finalidades específicas quando aplicável |
Para o núcleo do serviço prestado à clínica (tratamento de dados de pacientes), a base legal aplicada pela clínica-controladora é usualmente a tutela da saúde (Art. 11, II, “f” da LGPD). A Assente, como operadora, atua dentro da base eleita pela clínica.
6. Compartilhamento com terceiros
A Assente contrata fornecedores para operar a plataforma e os serviços. Os principais sub-operadores são:
| Fornecedor | Papel | Localização |
|---|---|---|
| Google Cloud Platform (Google LLC / Google Brasil) | Infraestrutura de nuvem (computação, banco de dados, storage, Vertex AI) | Brasil — região southamerica-east1 (São Paulo) |
| Vertex AI (Google Cloud) | Modelo de IA generativa que apoia a compreensão de mensagens no produto | Brasil — endpoint regional southamerica-east1 |
| Meta Platforms, Inc. / WhatsApp LLC | Plataforma oficial de troca de mensagens (WhatsApp Business Platform / Cloud API). A Assente atua como Meta Tech Provider; a clínica é titular do seu próprio Business Portfolio, WABA e número | EUA e datacenters globais da Meta |
| Provedor de e-mail corporativo | Comunicação transacional e institucional | Conforme contratação vigente |
| Google Analytics 4 (GA4) (Google LLC) | Métricas de tráfego e uso do assente.com.br e do painel administrativo | EUA (Google LLC, sob SCCs — ver §7) |
Também podemos compartilhar dados com: (a) autoridades competentes, em cumprimento de obrigação legal ou ordem judicial; (b) assessores jurídicos, contábeis e auditores, sob dever de sigilo; (c) adquirentes, em operações societárias, nos termos da LGPD.
Não vendemos dados pessoais a terceiros.
7. Transferência internacional
O processamento principal da Assente ocorre no Brasil, na região southamerica-east1 do Google Cloud. Pode haver transferência internacional limitada nas seguintes situações:
- WhatsApp/Meta: como plataforma de mensageria global, processa mensagens sob suas próprias políticas, em datacenters situados fora do Brasil
- Google Analytics 4 (GA4): dados de navegação do site e do painel são processados pelo Google LLC (EUA) sob os Termos de Serviço do Google Analytics, que incluem cláusulas contratuais padrão (Standard Contractual Clauses) como salvaguarda para transferências internacionais, nos termos do Art. 33 da LGPD
- Suporte técnico de fornecedores: eventual acesso remoto por equipes internacionais em caráter excepcional e controlado
- Ferramentas auxiliares: configuramos residência regional sempre que disponível
Quando ocorrer transferência internacional, utilizaremos os mecanismos previstos no Art. 33 da LGPD, em especial as cláusulas-padrão contratuais aprovadas pela Resolução CD/ANPD nº 19/2024.
8. Retenção
| Categoria | Prazo | Fundamento |
|---|---|---|
| Dados de navegação e cookies não essenciais | Até 12 meses | Medição de audiência e segurança |
| Leads não convertidos | Até 24 meses do último contato | Legítimo interesse comercial |
| Dados de contrato com clínicas | Duração do contrato + 5 anos após seu término | CDC Art. 27 (prazo prescricional) |
| Dados de usuários do painel | Enquanto vigente o vínculo, + 6 meses após descadastramento | Minimização |
| Logs de acesso à aplicação | 6 meses | Marco Civil da Internet, Art. 15 |
| Registros de incidentes de segurança | Mínimo de 5 anos | Resolução CD/ANPD nº 15/2024 (RCIS) |
| Registros fiscais e contábeis | Conforme prazo legal aplicável | Obrigação legal |
Após o prazo, os dados são eliminados ou anonimizados, exceto quando houver obrigação legal ou base legítima de conservação.
9. Segurança
Adotamos medidas técnicas e organizacionais proporcionais ao risco, incluindo:
- Criptografia em trânsito (TLS 1.2+) e em repouso (criptografia nativa do provedor de nuvem)
- MFA obrigatório para acesso administrativo
- Controle de acesso por perfil (RBAC), princípio do menor privilégio
- Segregação lógica entre clínicas (multi-tenant)
- Trilhas de auditoria de aplicação e infraestrutura
- Gestão contínua de vulnerabilidades, backup e testes de restauração
- Treinamento periódico da equipe em proteção de dados e compromisso formal de confidencialidade
Apesar de adotarmos boas práticas de segurança, nenhum sistema é 100% imune a incidentes. Em caso de incidente com impacto relevante a titulares, seguimos o procedimento do item 10.
10. Resposta a incidentes
Em caso de incidente de segurança com impacto a dados pessoais, a Assente: (i) contém e preserva evidências, (ii) notifica sem demora injustificada os controladores afetados (quando atua como operadora) ou o Encarregado (quando atua como controladora), (iii) apoia a comunicação à ANPD e aos titulares quando aplicável, no prazo da Resolução CD/ANPD nº 15/2024, e (iv) mantém registro interno do incidente por pelo menos 5 anos.
11. Cookies e tecnologias similares
Utilizamos cookies e tecnologias similares no site assente.com.br e no painel administrativo da plataforma. As categorias em uso são:
- Essenciais: necessários para o funcionamento básico do site e do painel (ex.: segurança de sessão, balanceamento de carga). Não dependem de consentimento.
- De desempenho / analytics (site
assente.com.br): utilizamos o Google Tag Manager (GTM) como contêiner de gerenciamento de tags no site público. Por meio do GTM, carregamos: (a) o Google Analytics 4 (GA4) para medir o desempenho e o uso do site — o GA4 coleta dados como páginas visitadas, tempo de sessão, tipo de dispositivo e origem do acesso (cookies_gae_ga_*); e (b) a tag de verificação do Google Search Console, usada exclusivamente para confirmar a propriedade do domínio junto ao Google — essa tag não rastreia visitantes nem coleta dados pessoais individualmente. O GTM está configurado exclusivamente para carregar essas duas tags — não utilizamos o contêiner para publicidade, remarketing ou qualquer tag de terceiros além das descritas nesta seção. Base legal: legítimo interesse (Art. 7º, IX da LGPD) para melhoria do produto e da experiência de uso. Os dados do GA4 são processados pelo Google LLC (EUA) — ver §7. - De desempenho / analytics (painel administrativo): no painel administrativo da Assente, poderemos utilizar o Google Analytics 4, com as seguintes restrições, exclusivamente para métricas operacionais e melhoria de experiência de uso (como páginas acessadas, fluxos de navegação e interações com botões). Esta funcionalidade ainda não está ativa — será ativada somente após a implementação das salvaguardas técnicas descritas abaixo. Quando ativada: não configuraremos o GA4 para coletar dados de pacientes, conteúdo de conversas, dados de saúde, CPF, telefone, e-mail, número de carteirinha de plano de saúde, especialidade médica, procedimento, identificação de paciente, identificação de consulta ou qualquer outro dado pessoal sensível. Também não utilizaremos Google Signals, remarketing, publicidade comportamental, User-ID, demographics/interests, integração com Google Ads ou qualquer recurso de advertising no painel administrativo. URLs e títulos de página enviados ao GA4 não conterão identificadores dinâmicos de paciente, consulta ou outras entidades de negócio sensíveis — rotas que renderizarem essas entidades serão reportadas em forma de gabarito (ex.:
/patients/:idem vez de/patients/abc-123). Base legal prevista: legítimo interesse (Art. 7º, IX da LGPD), restrito a UX e melhoria operacional do painel. - De preferência: lembrar escolhas de interface (ex.: idioma).
O visitante pode desativar a coleta pelo GA4 por meio da extensão Google Analytics Opt-out ou ajustando as configurações de cookies do navegador. A desativação não afeta o funcionamento do site ou do painel.
12. Direitos do titular (Art. 18 da LGPD)
Como titular de dados pessoais, você tem direito a:
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade, observados os segredos comercial e industrial
- Informação sobre com quem compartilhamos os dados
- Informação sobre a possibilidade de não fornecer consentimento e as respectivas consequências
- Revogação do consentimento
- Revisão de decisões tomadas unicamente com base em tratamento automatizado (Art. 20)
Para exercer seus direitos, escreva para privacidade@assente.com.br. Podemos solicitar informações para confirmação de identidade antes de executar a solicitação.
Importante: se seus dados estiverem sendo tratados pela Assente na condição de operadora (ex.: como paciente de uma clínica que contratou a Assente), o pedido deve ser dirigido à clínica-controladora. Podemos, de todo modo, encaminhar o pedido à clínica correspondente.
13. Menores de idade
O serviço da Assente é destinado a profissionais e clínicas. Não direcionamos o site ou o produto a menores de 18 anos. Quando uma clínica contratante atende menores pelo WhatsApp, a clínica é responsável pela base legal aplicável (inclusive consentimento específico de um dos pais ou responsável, conforme Art. 14 da LGPD). Como operadora, a Assente segue as instruções da clínica.
14. Alterações desta política
Podemos atualizar esta política a qualquer tempo. Alterações materiais serão comunicadas com razoável antecedência por meio do site ou por canal direto, quando houver cadastro. A versão vigente é sempre a publicada em https://assente.com.br/privacidade, com data de “Última atualização”.
15. Lei aplicável e foro
Esta política é regida pelas leis da República Federativa do Brasil, em especial a Lei Geral de Proteção de Dados (Lei 13.709/2018). Para dirimir eventuais controvérsias, fica eleito o foro da comarca de domicílio do titular, na forma do Código de Defesa do Consumidor (Lei 8.078/1990, Art. 101, I), quando o titular for pessoa física. Para relações exclusivamente B2B, fica eleito o foro da comarca da sede da LEM DE LIMA, ressalvadas as hipóteses de competência absoluta previstas em lei.
16. Contato
- Encarregado / DPO:
privacidade@assente.com.br - Canal institucional:
contato@assente.com.br - Titular: LEM DE LIMA — CNPJ 27.592.173/0001-00 — sede em Av. Maestro Vicente Basile Neto, 917 — Jardim Peruíbe, Peruíbe/SP — CEP 11.750-000