LGPD & Proteção de Dados

Adendo de Tratamento
de Dados Pessoais

Versão 1.1 — 26 de maio de 2026

Este Adendo de Tratamento de Dados Pessoais (DPA — Data Processing Addendum) complementa os Termos de Uso da plataforma Brainn Care e formaliza as obrigações das partes no tratamento de dados pessoais, em conformidade com a Lei nº 13.709/2018 (LGPD) e demais normas aplicáveis.

1. Identificação das Partes

Operadora

Brainn Care

Responsável: Eduardo de Paula Miranda

CPF: ***.388.487-**

E-mail: [email protected]

Controladora

O Profissional que aceitar os Termos de Uso da plataforma Brainn Care.

Denominado neste documento como "Controlador" ou "Profissional".

2. Considerandos

As partes reconhecem que:

  • O Profissional atua como Controlador dos dados pessoais de seus pacientes e clientes;
  • A Brainn Care atua como Operadora, processando tais dados exclusivamente conforme instruções do Controlador;
  • O tratamento de dados pessoais sensíveis (dados de saúde) exige medidas reforçadas de segurança e sigilo;
  • A relação entre as partes é regida pela LGPD, em especial pelos artigos 7º, 11, 37, 38, 39 e 46.

3. Definições

  • Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável;
  • Dados Sensíveis: dados pessoais sobre saúde, vida sexual, origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou dado genético ou biométrico;
  • Controlador: pessoa natural ou jurídica que toma as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica que realiza o tratamento de dados em nome do Controlador;
  • Titular: pessoa natural a quem se referem os dados pessoais (paciente/cliente do Profissional);
  • Tratamento: toda operação realizada com dados pessoais (coleta, armazenamento, processamento, exclusão etc.);
  • Incidente de Segurança: acesso não autorizado ou situação acidental ou ilícita de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito de dados pessoais.

4. Finalidade e Base Legal do Tratamento

A Operadora tratará os dados pessoais dos Titulares exclusivamente para as seguintes finalidades:

  • Geração de resumos e anotações de sessões clínicas com auxílio de inteligência artificial;
  • Armazenamento seguro de registros clínicos conforme instrução do Controlador;
  • Agendamento e gestão da agenda do Profissional;
  • Funcionalidades administrativas e de gestão da clínica diretamente relacionadas ao uso da plataforma.

A base legal para o tratamento de dados sensíveis (dados de saúde) é o consentimento do titular, obtido pelo Controlador (Profissional), conforme art. 11, inciso I da LGPD, bem como a tutela da saúde, nos termos do art. 11, inciso II, alínea f.

5. Obrigações da Operadora (Brainn Care)

A Operadora compromete-se a:

  • Tratar os dados pessoais somente de acordo com as instruções documentadas do Controlador e nos termos deste DPA;
  • Não utilizar os dados para finalidades próprias ou diversas das estabelecidas neste instrumento;
  • Garantir que as pessoas autorizadas a tratar os dados pessoais estejam sujeitas a obrigações de confidencialidade;
  • Implementar e manter medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou divulgação;
  • Aplicar criptografia de ponta a ponta no armazenamento e trânsito dos dados de sessões;
  • Garantir que apenas o próprio Profissional (Controlador) tenha acesso ao conteúdo dos dados de suas sessões — a equipe técnica da Operadora não acessa o conteúdo das sessões;
  • Notificar o Controlador em até 72 (setenta e duas) horas após tomar ciência de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
  • Fornecer ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações previstas neste DPA;
  • Excluir ou devolver os dados pessoais ao Controlador após o término da prestação dos serviços, conforme escolha do Controlador;
  • Manter Registro das Atividades de Tratamento (ROPA) conforme art. 37 da LGPD.

6. Obrigações do Controlador (Profissional)

O Controlador compromete-se a:

  • Obter o consentimento adequado dos titulares (pacientes) antes de utilizar a plataforma para registro e processamento de dados de sessões;
  • Garantir que os dados inseridos na plataforma sejam tratados de acordo com as finalidades informadas aos titulares;
  • Responder pelas obrigações perante os titulares dos dados, incluindo o atendimento de solicitações de acesso, correção, portabilidade e exclusão;
  • Informar imediatamente a Operadora sobre qualquer solicitação de titular que exija ação da Operadora;
  • Manter as credenciais de acesso à plataforma sob sigilo e responsabilizar-se pelo uso indevido decorrente de compartilhamento não autorizado.

7. Suboperadores e Transferência Internacional

A Operadora utiliza os seguintes suboperadores para prestação dos serviços:

Suboperador Finalidade Garantia de Conformidade
Amazon Web Services (AWS) Hospedagem e armazenamento de dados Data Processing Addendum (DPA) AWS incorporado contratualmente; conformidade com LGPD para transferência internacional
AssemblyAI Transcrição de áudio de sessões (speech-to-text) Política de privacidade e DPA AssemblyAI; dados processados exclusivamente para geração da transcrição e não utilizados para treinamento de modelos sem consentimento
Deepgram Transcrição de áudio de sessões (speech-to-text) Política de privacidade e DPA Deepgram; dados processados exclusivamente para geração da transcrição e não retidos após processamento
xAI (Grok) Processamento de linguagem natural e geração de resumos clínicos com IA Política de privacidade e termos de uso da API xAI; dados enviados exclusivamente via API para inferência e não utilizados para treinamento
OpenAI Processamento de linguagem natural e geração de resumos clínicos com IA Data Processing Addendum (DPA) OpenAI para uso via API; dados não utilizados para treinamento de modelos conforme política de API
Anthropic (Claude) Processamento de linguagem natural e geração de resumos clínicos com IA Política de privacidade e termos de uso da API Anthropic; dados enviados exclusivamente via API para inferência e não utilizados para treinamento

A Operadora notificará o Controlador sobre qualquer alteração nos suboperadores com antecedência mínima de 30 (trinta) dias, permitindo ao Controlador manifestar-se contrário à mudança.

8. Medidas de Segurança

A Operadora implementa e mantém as seguintes medidas técnicas e organizacionais:

  • Criptografia de ponta a ponta (em trânsito e em repouso) para todos os dados de sessões;
  • Controle de acesso por autenticação com credenciais individuais;
  • Acesso ao conteúdo das sessões restrito exclusivamente ao Profissional titular da conta;
  • Monitoramento contínuo de acesso e logs de auditoria;
  • Procedimento formal de resposta a incidentes de segurança;
  • Backup periódico dos dados com controles de integridade;
  • Infraestrutura em conformidade com os padrões de segurança da AWS (ISO 27001, SOC 2).

9. Direitos dos Titulares

O Controlador (Profissional) é o responsável primário pelo atendimento dos direitos dos titulares. A Operadora compromete-se a:

  • Auxiliar o Controlador no atendimento de solicitações de acesso, correção, portabilidade, anonimização e exclusão de dados;
  • Executar a exclusão dos dados do titular em até 30 (trinta) dias após solicitação formal do Controlador;
  • Realizar a exportação de dados (portabilidade) mediante solicitação do Controlador.

10. Retenção e Exclusão de Dados

Os dados pessoais serão mantidos pela Operadora pelo período em que o Profissional mantiver conta ativa na plataforma. Após o encerramento da conta:

  • Os dados serão excluídos ou anonimizados em até 90 (noventa) dias, salvo obrigação legal de retenção;
  • O Profissional poderá solicitar a exportação de seus dados antes do encerramento;
  • Logs de auditoria poderão ser mantidos por até 5 (cinco) anos para fins de segurança e conformidade legal.

11. Vigência

Este DPA entra em vigor na data de aceitação dos Termos de Uso da plataforma Brainn Care e permanece válido enquanto durar a relação contratual entre as partes.

A rescisão do contrato principal não elide as obrigações de confidencialidade e proteção de dados, que permanecerão em vigor por 5 (cinco) anos adicionais.

12. Encarregado de Dados (DPO) e Canal de Contato

O Encarregado de Dados (DPO) da Brainn Care é:

Nome Eduardo de Paula Miranda
E-mail [email protected]
Endereço Rua Aviador Santos Dumont 452, Parque Mambucaba, Angra dos Reis — RJ

Qualquer titular de dados, Controlador ou autoridade regulatória pode entrar em contato com o DPO pelo e-mail acima para questões relacionadas ao tratamento de dados pessoais pela Brainn Care.

13. Disposições Gerais

  • Este DPA faz parte integrante dos Termos de Uso da plataforma Brainn Care e prevalece sobre estes em caso de conflito relacionado ao tratamento de dados pessoais;
  • Qualquer alteração neste DPA será comunicada ao Controlador com antecedência mínima de 30 (trinta) dias;
  • Este instrumento é regido pela legislação brasileira, em especial pela LGPD (Lei nº 13.709/2018);
  • Fica eleito o foro da Comarca de São Paulo/SP para dirimir quaisquer dúvidas ou litígios decorrentes deste DPA;
  • A aceitação dos Termos de Uso da plataforma Brainn Care implica aceitação automática deste DPA.

São Paulo, 26 de maio de 2026.

← Política de Privacidade Termos de Uso Privacidade e Segurança