Contrato de Processamento de Dados (DPA)
Última atualização: 09 de março de 2026
Conforme Art. 39 da Lei nº 13.709/2018 (LGPD)
Partes
OPERADOR: Prescripta Tecnologia Ltda. ("Prescripta", "Operador")
Encarregado de Dados (DPO): dpo@prescripta.com.br
CONTROLADOR: O profissional de saúde ou clínica que contrata os serviços da Plataforma ("Controlador", "Você")
1. Objeto
Este contrato estabelece as obrigações do Operador quanto ao tratamento de dados pessoais e dados pessoais sensíveis de saúde realizado em nome do Controlador, por meio da plataforma Prescripta.
2. Dados Tratados
2.1 Dados pessoais do Controlador
- Nome completo, e-mail, CRM, especialidade
- Dados de autenticação e preferências de conta
2.2 Dados pessoais sensíveis dos Titulares (pacientes)
- Nome completo, data de nascimento, telefone
- Diagnósticos psiquiátricos (CID-10)
- Prescrições de medicamentos controlados
- Observações clínicas
2.3 Finalidade exclusiva
O Operador trata os dados exclusivamente para fornecer as funcionalidades contratadas: gestão de pacientes, prescrições, alertas de acompanhamento, verificação de interações medicamentosas e notificações ao Controlador.
3. Obrigações do Operador
O Operador compromete-se a:
- Tratar os dados apenas conforme instruções do Controlador, limitando-se às finalidades descritas na Seção 2.3
- Garantir confidencialidade, assegurando que colaboradores e prestadores com acesso aos dados estejam vinculados por obrigação de sigilo
- Implementar medidas de segurança técnicas e administrativas adequadas à natureza sensível dos dados, incluindo:
- Criptografia em trânsito (TLS/HTTPS) e em repouso (AES-256-GCM para campos sensíveis)
- Controle de acesso via Row Level Security (RLS) e verificação de ownership por endpoint
- Rate limiting, validação de input e proteção contra injeção
- Logs sem dados pessoais identificáveis
- Notificar o Controlador sobre incidentes de segurança que envolvam os dados tratados em até 24 horas após a confirmação do incidente
- Auxiliar o Controlador no atendimento aos direitos dos titulares (Art. 18 da LGPD), fornecendo ferramentas de exportação e exclusão de dados
- Eliminar os dados após o término do contrato ou solicitação do Controlador, respeitando o período de carência de 30 dias e obrigações legais de retenção
- Não compartilhar dados com terceiros exceto os subprocessadores listados na Seção 4
4. Subprocessadores
O Operador utiliza os seguintes subprocessadores para execução dos serviços:
| Subprocessador | Dados acessados | Finalidade |
|---|---|---|
| Supabase (AWS) | Todos (infraestrutura) | Banco de dados e autenticação |
| Stripe | Customer ID, e-mail, plano | Processamento de pagamentos |
| Google (Gemini AI) | Imagem de receita (temporário) | Extração de dados de prescrição |
| Resend | E-mail do Controlador | Entrega de notificações por e-mail |
| Meta (WhatsApp) | Telefone do Controlador | Entrega de notificações por WhatsApp |
| Google Calendar / Apple iCloud | Título e data do alerta | Sincronização de calendário |
Nota: Dados clínicos detalhados de pacientes (diagnósticos, observações, telefone) não são compartilhados com nenhum subprocessador.
O Controlador autoriza o uso destes subprocessadores ao aceitar este contrato. O Operador notificará o Controlador sobre alterações na lista com antecedência mínima de 30 dias.
5. Transferência Internacional de Dados
Os dados são armazenados em infraestrutura localizada nos Estados Unidos (Supabase/AWS). A transferência é realizada conforme Art. 33 da LGPD, com base em cláusulas contratuais padrão (SCCs) dos subprocessadores e conformidade com frameworks de proteção de dados.
6. Direitos do Controlador
O Controlador tem direito a:
- Auditar as práticas de segurança e tratamento do Operador, mediante solicitação por escrito com antecedência de 30 dias
- Instruir o Operador sobre o tratamento dos dados, dentro dos limites das funcionalidades da Plataforma
- Exportar todos os dados a qualquer momento, via ferramentas de exportação da Plataforma
- Solicitar eliminação de todos os dados, respeitado o período de carência e obrigações legais
- Ser notificado sobre incidentes de segurança conforme Seção 3.4
7. Retenção e Eliminação
| Categoria | Retenção | Após término |
|---|---|---|
| Dados do Controlador | Até exclusão da conta + 30 dias | Exclusão irreversível |
| Dados de pacientes | Enquanto conta ativa | Exclusão com a conta (cascade) |
| Prescrições | Enquanto conta ativa (mínimo 5 anos — CFM) | Exclusão ou archival |
| Alertas enviados | 1 ano após envio | Exclusão automática |
| Dados de billing | Obrigações fiscais (5 anos) | Retidos pelo Stripe |
Após o término do contrato e expiração dos períodos de retenção, o Operador eliminará todos os dados de forma irreversível e confirmará a eliminação por escrito ao Controlador.
8. Incidentes de Segurança
Em caso de incidente que comprometa dados pessoais:
- O Operador notificará o Controlador em até 24 horas após confirmação
- A notificação incluirá: natureza do incidente, dados afetados, medidas adotadas e recomendações
- O Operador cooperará com o Controlador na comunicação à ANPD (2 dias úteis, Art. 48) e aos titulares afetados
- O Operador documentará o incidente e as medidas corretivas
9. Vigência e Rescisão
- Este contrato vigora enquanto o Controlador mantiver conta ativa na Plataforma
- Ao aceitar os Termos de Uso, o Controlador aceita este DPA
- Em caso de rescisão, aplicam-se as regras de retenção e eliminação da Seção 7
10. Disposições Gerais
- Este contrato é regido pela legislação brasileira, em particular a LGPD (Lei nº 13.709/2018)
- O foro competente é o da Comarca do domicílio do Controlador
- Alterações a este contrato serão comunicadas com antecedência mínima de 30 dias via e-mail do Controlador
- Em caso de conflito entre este DPA e os Termos de Uso, prevalecem as disposições deste DPA no que tange à proteção de dados
Versão 1.0 — Março de 2026