Legal
Política de Privacidade
Última atualização: 8 de julho de 2026versão 2026-07-08-rev2
A Auri é uma plataforma de agente de IA para redução de faltas (no-show) que opera pelo WhatsApp, desenvolvida e operada por MG OLIVEIRA TECNOLOGIA (nome fantasia Web7 Soluções), inscrita no CNPJ sob nº 37.871.656/0001-90 ("Auri", "nós"). Esta Política explica, de forma transparente, quais dados pessoais tratamos, para quê, com quem compartilhamos e quais são os seus direitos, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD).
- Quem somos e nossos papéis na LGPD
- Dados que coletamos e de onde vêm
- Finalidades e bases legais
- WhatsApp e Meta
- Inteligência artificial
- Pagamentos e prevenção de abuso
- Com quem compartilhamos (suboperadores)
- Transferência internacional
- Por quanto tempo guardamos
- Segurança
- Incidentes de segurança
- Seus direitos como titular
- Cookies
- Menores de idade
- Alterações desta Política
- Encarregado (DPO) e contato
1. Quem somos e nossos papéis na LGPD
A Auri é um software como serviço (SaaS) multi-tenant destinado a clínicas de estética, odontologia e outros negócios que trabalham com agendamento. Pelo WhatsApp, a Auri confirma agendamentos, oferece vagas de lista de espera, solicita sinal via Pix e envia mensagens pós-atendimento e pesquisas de satisfação (NPS) — sempre em nome da clínica contratante.
Dependendo de quem você é, nosso papel muda:
- Você é dono(a) ou membro da equipe de uma clínica cliente — a Auri é a controladora dos seus dados de conta (cadastro, login, cobrança, uso da plataforma). Esta Política descreve integralmente esse tratamento.
- Você é paciente ou cliente final de uma clínica que usa a Auri — a clínica é a controladora dos seus dados. A Auri é operadora: trata seus dados exclusivamente para executar o serviço contratado pela clínica, conforme as instruções dela, e não os utiliza para finalidades próprias (como publicidade). Em clínicas — especialmente odontológicas e de outras áreas da saúde —, esses dados podem incluir dados de saúde, que a LGPD classifica como dados pessoais sensíveis (art. 11); veja a seção 2(d). As condições desse tratamento estão descritas nesta Política e na seção de tratamento de dados dos nossos Termos de Uso.
2. Dados que coletamos e de onde vêm
a) Dados de conta do cliente (clínica) — Auri como controladora
- Cadastro e identificação: nome, e-mail, telefone e senha (armazenada apenas em formato de hash — nunca em texto puro). Origem: informados por você no cadastro.
- Login social (SSO): se você se cadastrar ou entrar com Google, Microsoft ou Apple, recebemos do provedor seu nome e e-mail. Não recebemos sua senha desses provedores.
- Dados do negócio: nome do estabelecimento e CNPJ, usados para cobrança e emissão de nota fiscal. Origem: informados por você.
- Dados de uso da plataforma: logs de acesso, ações no painel, configurações, endereço IP, dados técnicos do navegador/dispositivo. Origem: coletados automaticamente durante o uso.
- Registro de aceite: data/hora e versão dos Termos e desta Política aceitos no cadastro (inclusive quando o cadastro ocorre via login social).
- Comunicações: conteúdo de mensagens e e-mails que você troca com nosso suporte.
b) Dados de pacientes/clientes finais — Auri como operadora
- Identificação e contato: nome e número de telefone/WhatsApp. Origem: cadastrados pela clínica ou informados pelo próprio paciente no canal.
- Agendamentos: serviço, data/horário, profissional, status (confirmado, cancelado, em espera) e histórico. Origem: sistema/agenda da clínica.
- Mensagens: conteúdo das conversas trocadas com a Auri no WhatsApp (ex.: "SIM", "quero remarcar") e a classificação de intenção correspondente.
- Cobrança de sinal: status de cobranças Pix vinculadas ao agendamento, processadas por provedores de pagamento.
Em clínicas — especialmente odontológicas e de outras áreas da saúde —, os dados de agendamento e o conteúdo das mensagens podem incluir dados de saúde (ex.: o procedimento agendado), classificados pela LGPD como dados pessoais sensíveis (art. 11). Veja a subseção (d) abaixo.
c) Dados de pagamento e anti-abuso
- Assinatura: os dados de pagamento da assinatura são coletados e tratados diretamente pelos processadores de pagamento (Stripe e Asaas). Nunca armazenamos o número completo do cartão — recebemos apenas tokens, os últimos dígitos e identificadores técnicos (fingerprints) fornecidos pelo processador.
- Prevenção de abuso do período de teste: para impedir a criação repetida de contas de teste, registramos identificadores derivados e não reversíveis — hashes de e-mail e de documento (CNPJ/CPF) e o fingerprint do cartão fornecido pelo processador. Esses registros não permitem reconstruir o dado original e são usados exclusivamente para fins antifraude.
d) Dados sensíveis (incluindo dados de saúde)
A Auri não coleta dados pessoais sensíveis para finalidades próprias. Reconhecemos, porém, que os dados de pacientes tratados em nome das clínicas — especialmente odontológicas e de outras áreas da saúde — podem incluir dados de saúde (ex.: o tipo de procedimento agendado ou informações mencionadas pelo paciente nas mensagens), que a LGPD classifica como dados pessoais sensíveis (art. 11). Nesses casos:
- A clínica, como controladora, é responsável por assegurar uma das hipóteses legais do art. 11 da LGPD para esse tratamento — por exemplo, a tutela da saúde em procedimento realizado por profissionais de saúde, ou o consentimento específico e destacado do paciente;
- A Auri, como operadora, trata esses dados exclusivamente conforme as instruções da clínica, para prestar o serviço contratado, com as salvaguardas de segurança e confidencialidade descritas nesta Política — e não os utiliza para finalidades próprias.
Pedimos que clínicas e pacientes não enviem pelo canal informações sensíveis além do necessário para o agendamento e o atendimento.
3. Finalidades e bases legais
A tabela abaixo resume para que usamos os dados e a base legal da LGPD correspondente:
| Finalidade | Dados envolvidos | Base legal (LGPD, art. 7º) |
|---|---|---|
| Criar e administrar sua conta, autenticar acessos e prestar suporte | Dados de conta, SSO, comunicações | Execução de contrato (inc. V) |
| Prestar o serviço à clínica: confirmar agendamentos, operar lista de espera, cobrar sinal, enviar mensagens pós-atendimento/NPS | Dados de pacientes (como operadora, sob instruções da clínica) | A base legal é definida pela clínica (controladora) — em geral, execução de contrato ou consentimento do paciente perante a clínica; quando envolver dados de saúde, a clínica deve assegurar uma das hipóteses do art. 11 (veja a seção 2d) |
| Cobrança da assinatura e emissão de nota fiscal | Dados do negócio (CNPJ), dados de pagamento tokenizados | Execução de contrato (inc. V) e obrigação legal (inc. II) |
| Registrar o aceite dos Termos e desta Política | Data/hora, versão aceita, identificação da conta | Execução de contrato (inc. V) e exercício regular de direitos (inc. VI) |
| Prevenção a fraude e abuso (ex.: reuso indevido do período de teste) | Hashes de e-mail/documento, fingerprint de cartão, logs | Legítimo interesse (inc. IX) |
| Segurança da plataforma: auditoria, logs de acesso, investigação de incidentes | Dados de uso, logs técnicos | Legítimo interesse (inc. IX) e obrigação legal (inc. II — guarda de registros de acesso, Marco Civil da Internet) |
| Melhoria do produto, com dados agregados ou anonimizados | Métricas de uso agregadas | Legítimo interesse (inc. IX) |
| Comunicações sobre o serviço (avisos técnicos, mudanças, cobrança) | E-mail e telefone da conta | Execução de contrato (inc. V) |
| Cumprir obrigações legais e regulatórias e atender ordens de autoridades | Conforme a exigência aplicável | Obrigação legal (inc. II) |
Quando o tratamento se apoiar em legítimo interesse, fazemos a ponderação exigida pela LGPD e você pode se opor a ele (veja a seção 12).
4. WhatsApp e Meta
O serviço opera sobre a WhatsApp Business Platform (Cloud API), da Meta Platforms. Isso significa que as mensagens enviadas e recebidas pela Auri trafegam pela infraestrutura da Meta, conforme os termos e políticas da própria Meta aplicáveis ao WhatsApp e à WhatsApp Business Platform. A Meta atua como provedora do canal de mensagens; o uso do WhatsApp pelo paciente também está sujeito aos termos e à política de privacidade do WhatsApp.
A Auri não controla mudanças de regras, disponibilidade ou funcionamento da plataforma da Meta. As condições comerciais dessa dependência estão descritas nos nossos Termos de Uso.
5. Inteligência artificial
Para interpretar as respostas dos pacientes em linguagem natural (ex.: entender se "pode confirmar sim, mas se der pra ser 15h melhor" é uma confirmação ou um pedido de remarcação), a Auri utiliza modelos de linguagem, acessados por meio do OpenRouter (gateway de IA) — que atualmente roteia para modelos Claude, da Anthropic. Transparência sobre como isso funciona:
- O conteúdo das mensagens pode ser processado por esses provedores de IA, que atuam como suboperadores, sob obrigações contratuais de confidencialidade e proteção de dados.
- Não usamos dados de pacientes para treinar modelos de IA. Configuramos o gateway de IA (OpenRouter) para rotear exclusivamente para provedores que não coletam nem utilizam os dados enviados para treinar seus modelos; o provedor atualmente roteado (Anthropic) confirma o não-treino nos termos de API comercial aplicáveis.
- Essa garantia refere-se especificamente aos provedores de IA que interpretam o conteúdo das mensagens. A Meta/WhatsApp atua nesse fluxo apenas como canal de entrega das mensagens (seção 4), e o uso de dados pela Meta é regido pelos termos e políticas da própria Meta, não por esta cláusula.
- Quando a classificação automática tem baixa confiança, a mensagem é encaminhada para revisão humana pela equipe da clínica — não tomamos decisões exclusivamente automatizadas que produzam efeitos jurídicos relevantes para o paciente sem essa possibilidade de intervenção humana.
- Você pode solicitar informações sobre os critérios utilizados na classificação automatizada, nos termos do art. 20 da LGPD.
6. Pagamentos e prevenção de abuso
Assinatura da plataforma: processada por Stripe e Asaas. Os dados do cartão são enviados diretamente ao processador; a Auri recebe apenas tokens, últimos dígitos, bandeira e fingerprints — nunca o número completo do cartão.
Sinal via Pix (pacientes): cobranças Pix vinculadas a agendamentos são emitidas e conciliadas por provedores de pagamento (ex.: Asaas e, quando aplicável, Efí ou outros gateways Pix), em nome da clínica.
Anti-abuso do período de teste: conforme a seção 2(c), registramos hashes de e-mail e documento e fingerprints de cartão para impedir o reuso indevido de períodos de teste gratuitos. Esses identificadores são derivados por funções unidirecionais (não revelam o dado original) e mantidos pelo período necessário à finalidade antifraude.
7. Com quem compartilhamos (suboperadores e terceiros)
Não vendemos dados pessoais. Compartilhamos dados apenas com prestadores necessários à operação do serviço, sob contratos com obrigações de confidencialidade, segurança e limitação de finalidade:
| Terceiro | Papel | Dados / finalidade |
|---|---|---|
| Meta Platforms (WhatsApp Business Platform) | Canal de mensagens | Números de telefone e conteúdo de mensagens, para entrega e recebimento via WhatsApp |
| OpenRouter (gateway de IA; roteia atualmente para Anthropic / Claude) | Provedor de IA (suboperador) | Conteúdo de mensagens, para classificação de intenção — roteamento restrito a provedores que não treinam com os dados |
| Stripe e Asaas | Processadores de pagamento | Dados de cobrança da assinatura; tokens e fingerprints de cartão; cobranças Pix |
| Efí e outros gateways Pix (quando aplicável) | Processadores de pagamento | Emissão e conciliação de cobranças Pix de sinal |
| Login (SSO) e integrações | Nome/e-mail no login com Google; dados de agenda e videochamada quando você conecta Google Calendar/Meet | |
| Microsoft e Apple | Login (SSO) | Nome/e-mail recebidos no login social |
| PostHog | Analytics de produto | Eventos de USO do painel pela equipe da clínica (páginas visitadas, ações) — sem gravação de tela e sem conteúdo de pacientes; usado para melhorar o produto |
| Provedores de infraestrutura e hospedagem | Suboperadores | Hospedagem de servidores, banco de dados e backups |
| Autoridades públicas | — | Quando exigido por lei, ordem judicial ou requisição válida de autoridade competente — verificamos a validade de cada requisição antes de atendê-la |
Em caso de reorganização societária, fusão, aquisição ou venda de ativos, dados pessoais poderão ser transferidos ao sucessor, que permanecerá vinculado a esta Política; comunicaremos os titulares quando exigido por lei.
Como mantemos esta lista: a relação de suboperadores acima é mantida e atualizada nesta própria Política. Quando atuamos como operadora, alterações materiais nessa lista (inclusão ou substituição de suboperador que trate dados de pacientes) são comunicadas por e-mail aos administradores das contas com 15 (quinze) dias de antecedência da entrada em vigor — prazo ampliado para 30 (trinta) dias quando o novo suboperador tratar dados de saúde. Dentro desse prazo, o cliente poderá apresentar oposição fundamentada ao novo suboperador; se a oposição não for acolhida e o cliente não concordar com a alteração, poderá rescindir o contrato sem ônus antes da vigência da alteração, conforme os Termos de Uso.
8. Transferência internacional
Alguns dos prestadores listados acima (ex.: Oracle, Meta, OpenRouter, Anthropic, Stripe, Google, Microsoft e PostHog) processam dados nos Estados Unidos e em outros países. Nessas transferências, adotamos as salvaguardas previstas nos arts. 33 e seguintes da LGPD, apoiadas nos contratos de tratamento de dados (DPAs) e cláusulas contratuais padrão desses prestadores, em linha com o Regulamento de Transferência Internacional de Dados da ANPD (Res. CD/ANPD nº 19/2024), de forma a assegurar nível de proteção compatível com a LGPD.
9. Por quanto tempo guardamos os dados
| Categoria | Prazo de retenção |
|---|---|
| Dados de conta da clínica | Enquanto a conta estiver ativa; após o encerramento, eliminados ou anonimizados mediante pedido, ressalvados prazos legais |
| Dados fiscais e de cobrança (notas, faturas) | Pelos prazos exigidos pela legislação fiscal e tributária |
| Dados de pacientes (como operadora) | Conforme as instruções da clínica controladora; ao fim do contrato, devolvidos e/ou excluídos conforme os Termos de Uso |
| Logs de acesso à aplicação | Mantemos registros de acesso pelo prazo mínimo legal de 6 (seis) meses (Marco Civil da Internet — Lei nº 12.965/2014, art. 15), podendo estendê-los para fins de segurança e auditoria |
| Registro de aceite dos Termos/Política | Durante a vigência do contrato e pelo prazo prescricional para exercício regular de direitos |
| Identificadores anti-abuso (hashes, fingerprints) | Pelo período necessário à finalidade de prevenção a fraude e abuso |
| Backups | Expiram em ciclos periódicos de rotação; dados excluídos deixam de existir nos backups ao fim do ciclo |
Ao final dos prazos aplicáveis, os dados são eliminados de forma segura ou anonimizados, salvo quando a lei exigir guarda por prazo maior ou quando forem necessários para o exercício regular de direitos em processos.
10. Segurança
Adotamos medidas técnicas e organizacionais compatíveis com o risco do tratamento, incluindo:
- Criptografia em trânsito (HTTPS/TLS) em todas as comunicações com a plataforma;
- Senhas armazenadas exclusivamente com hash criptográfico;
- Isolamento de dados por estabelecimento (arquitetura multi-tenant);
- Controle de acesso por papéis (a equipe da clínica só acessa o que a função permite);
- Registro de auditoria de ações administrativas;
- Mecanismos de prevenção a abuso e fraude.
Nenhum sistema é totalmente imune a incidentes, e nenhuma transmissão pela internet pode ser garantida como 100% segura — por isso, além das medidas preventivas, mantemos processos de resposta a incidentes (seção 11).
11. Incidentes de segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares afetados em até 3 (três) dias úteis contados da ciência do incidente, conforme o Regulamento de Comunicação de Incidente de Segurança da ANPD (Res. CD/ANPD nº 15/2024) e o art. 48 da LGPD — prazo aplicável em dobro (6 dias úteis) aos agentes de tratamento de pequeno porte, admitida a complementação das informações em até 20 (vinte) dias úteis. A comunicação informará a natureza dos dados afetados, os riscos envolvidos e as medidas adotadas para mitigar e evitar recorrência. Quando o incidente envolver dados tratados como operadora, comunicaremos também a clínica controladora em até 48 (quarenta e oito) horas da ciência do incidente, conforme os Termos de Uso, e a apoiaremos nas providências cabíveis.
12. Seus direitos como titular
A LGPD (art. 18) garante a você, entre outros, os direitos de:
- Confirmação da existência de tratamento e acesso aos seus dados — a confirmação de existência de tratamento será prestada de forma simplificada em até 15 (quinze) dias, nos termos do art. 19 da LGPD;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- Portabilidade dos dados, observada a regulamentação aplicável;
- Informação sobre compartilhamento com entes públicos e privados;
- Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
- Revogação do consentimento, quando essa for a base legal;
- Oposição a tratamento realizado com base em legítimo interesse;
- Revisão de decisões tomadas unicamente com base em tratamento automatizado (art. 20);
- Peticionar perante a ANPD em relação aos seus dados.
A quem dirigir seu pedido
- Se você é cliente da Auri (clínica ou equipe): fale diretamente com nosso Encarregado (seção 16). Responderemos nos prazos da LGPD.
- Se você é paciente/cliente final de uma clínica: a clínica é a controladora dos seus dados — dirija seu pedido primeiro a ela. A Auri auxilia a clínica a atender esses pedidos por meio de funcionalidades da plataforma e suporte. Se você nos contatar diretamente, encaminharemos sua solicitação à clínica responsável e informaremos você do encaminhamento.
13. Cookies e tecnologias similares
Nosso site e painel utilizam apenas cookies e armazenamento local estritamente necessários ao funcionamento — por exemplo, manter sua sessão de login autenticada. Não utilizamos cookies de publicidade de terceiros no painel. Eventuais métricas de uso são tratadas de forma agregada. Como esses cookies são essenciais, o serviço não funciona corretamente sem eles.
14. Menores de idade
A Auri é um produto empresarial (B2B), destinado a estabelecimentos e a pessoas com 18 anos ou mais — não é direcionada a crianças e adolescentes, e não coletamos intencionalmente dados de menores para finalidades próprias. Clínicas que atendem pacientes menores de idade são, como controladoras, responsáveis por obter o consentimento dos pais ou responsáveis legais e por observar o art. 14 da LGPD nesse tratamento. Se identificarmos dados de menores tratados sem amparo legal, atuaremos junto à clínica para regularização ou eliminação.
15. Alterações desta Política
Podemos atualizar esta Política para refletir mudanças legais, técnicas ou do próprio serviço. Alterações materiais serão comunicadas pelos canais usuais (e-mail e/ou avisos no painel) com 30 (trinta) dias de antecedência da entrada em vigor, exigindo aceite afirmativo antes da vigência, conforme os Termos de Uso; alterações não materiais (ex.: ajustes de redação ou esclarecimentos) passam a valer a partir da publicação nesta página. A data de "última atualização" e o identificador de versão no topo desta página indicam sempre a versão vigente — que é a mesma referenciada no registro do seu aceite.
16. Encarregado (DPO) e contato
Encarregado(a) pelo Tratamento de Dados Pessoais (DPO): Matheus Gaspar — matheus@web7online.com, designado nos termos do art. 41 da LGPD e da Resolução CD/ANPD nº 18/2024.
Para exercício de direitos, dúvidas sobre esta Política ou qualquer assunto de privacidade, você também pode nos contatar pelo canal contato@web7solucoes.com.br. Responderemos a todas as solicitações em conformidade com a LGPD.