Pular para o conteúdo principal
NexaCoreVoltar ao site

Conformidade com a LGPD

Última atualização: Fevereiro de 2026

A NexaCore está comprometida com a conformidade integral à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD). Como plataforma de automação com inteligência artificial para clínicas de estética, entendemos que o tratamento de dados de saúde exige um nível de cuidado e responsabilidade ainda maior do que o tratamento de dados pessoais comuns. Esta página detalha as medidas técnicas, organizacionais e jurídicas que adotamos para garantir a proteção dos dados pessoais tratados em nossa plataforma, bem como para assegurar que sua clínica esteja em conformidade com a legislação brasileira de proteção de dados.

1. Nosso Compromisso com a LGPD

Como plataforma que processa dados de clínicas de estética e seus pacientes, entendemos a responsabilidade de tratar informações sensíveis com o mais alto nível de segurança e transparência. A NexaCore foi projetada desde sua concepção com o princípio de privacidade por design, o que significa que a proteção de dados não é um recurso adicional, mas sim uma característica fundamental incorporada em cada funcionalidade, em cada processo e em cada decisão de arquitetura técnica da plataforma. Todas as funcionalidades do assistente virtual com inteligência artificial, do sistema de agendamento automático, dos lembretes de procedimentos estéticos e do módulo de cobrança foram desenvolvidas considerando os princípios da LGPD como requisitos essenciais.

Nos termos da LGPD, a NexaCore atua como operadora de dados quando processa informações de pacientes em nome da clínica, que é a controladora dos dados. Esta distinção é fundamental para entender os papéis e responsabilidades de cada parte no tratamento dos dados pessoais.

2. Papéis e Responsabilidades

Controlador (Clínica): a clínica que utiliza a NexaCore é responsável por definir as finalidades do tratamento dos dados de seus pacientes, por obter os consentimentos necessários conforme previsto na LGPD, e por garantir que o tratamento realizado esteja em conformidade com a legislação. Isso inclui informar os pacientes sobre como seus dados serão utilizados pela plataforma de automação, obter consentimento para o envio de mensagens automáticas via WhatsApp, e atender às solicitações de exercício de direitos dos titulares que forem direcionadas à clínica.

Operador (NexaCore): como operadora de dados, a NexaCore processa os dados pessoais dos pacientes estritamente de acordo com as instruções e finalidades definidas pela clínica controladora. Garantimos medidas técnicas e organizacionais adequadas de proteção, incluindo criptografia, controle de acesso, backups seguros e monitoramento contínuo. Não utilizamos os dados dos pacientes para finalidades próprias, não compartilhamos essas informações com terceiros sem autorização expressa da clínica, e não realizamos tratamento de dados além do necessário para fornecer os serviços contratados.

Encarregado de Proteção de Dados (DPO): a NexaCore designou um Encarregado de Proteção de Dados responsável por atuar como canal de comunicação entre a empresa, os titulares de dados, as clínicas parceiras e a Autoridade Nacional de Proteção de Dados. Nosso DPO pode ser contatado pelo e-mail: dpo@nexacore.com.br. O Encarregado é responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos, adotar providências, orientar funcionários e contratados sobre práticas de proteção de dados, e executar demais atribuições previstas na LGPD.

3. Dados Pessoais Tratados pela Plataforma

A NexaCore trata diferentes categorias de dados pessoais no contexto da prestação de serviços de automação para clínicas de estética. Os dados de cadastro da clínica incluem nome do responsável, e-mail profissional, telefone, CNPJ, nome fantasia e endereço da clínica. Os dados dos profissionais incluem nome completo, especialidade, horários de atendimento e agenda de disponibilidade. Os dados de pacientes, inseridos pela clínica na plataforma, podem incluir nome completo, telefone, histórico de agendamentos, procedimentos realizados, preferências de horário e informações de pagamento. Todos esses dados são tratados exclusivamente para a finalidade de prestação dos serviços contratados pela clínica.

4. Medidas de Segurança Técnicas

Implementamos um conjunto abrangente de medidas técnicas e organizacionais para proteger os dados pessoais tratados pela plataforma. A seguir, detalhamos cada uma delas.

Criptografia de dados em trânsito: todas as comunicações entre o dispositivo do usuário e os servidores da NexaCore são protegidas por criptografia TLS 1.3, o protocolo mais recente e seguro disponível. Isso inclui o acesso ao dashboard, a comunicação com a API de agendamento, a troca de mensagens com o assistente virtual e todas as demais operações realizadas na plataforma.

Criptografia de dados em repouso: credenciais sensiveis e tokens de integracao armazenados nos bancos de dados da NexaCore sao protegidos por criptografia AES-256-GCM, o padrao utilizado por instituicoes financeiras e organizacoes de saude. Os dados do banco de dados sao protegidos adicionalmente por criptografia em nivel de disco no servidor.

Controle de acesso baseado em papéis: o sistema de permissões da NexaCore garante que cada usuário acesse apenas os dados e funcionalidades necessários para sua função na clínica. O administrador define os níveis de acesso de cada membro da equipe, podendo restringir acesso a informações financeiras, dados de pacientes específicos ou configurações avançadas da plataforma.

Autenticação multifator: disponibilizamos autenticação multifator para todos os usuários da plataforma, com recomendação especial para administradores e usuários com acesso a dados sensíveis de pacientes. O segundo fator pode ser configurado via aplicativo autenticador, oferecendo uma camada adicional de proteção contra acessos não autorizados.

Infraestrutura localizada no Brasil: nossos servidores estão localizados no Brasil, especificamente na região de São Paulo, garantindo que os dados pessoais dos pacientes permaneçam em território nacional e estejam sujeitos à jurisdição brasileira. Esta decisão arquitetural demonstra nosso compromisso com a soberania dos dados e com a conformidade regulatória.

Logs de auditoria: todas as operações sensíveis realizadas na plataforma são registradas em logs de auditoria detalhados. Isso inclui acessos ao sistema, alterações em dados de pacientes, exportações de informações, modificações em configurações de segurança e operações administrativas. Os logs de auditoria são armazenados de forma segura e podem ser consultados para investigar incidentes ou atender a solicitações de autoridades regulatórias.

Backups criptografados: realizamos backups automáticos criptografados com frequência regular. Os backups são armazenados em localizações geograficamente separadas para garantir recuperação em caso de desastres, e são testados periodicamente para verificar a integridade dos dados armazenados.

5. Direitos dos Titulares de Dados

A LGPD garante um conjunto de direitos aos titulares de dados pessoais. A NexaCore se compromete a facilitar o exercício desses direitos tanto para os usuários diretos da plataforma quanto para os pacientes das clínicas, em cooperação com as clínicas controladoras. Os direitos garantidos incluem: confirmação da existência de tratamento de dados pessoais; acesso aos dados pessoais armazenados na plataforma; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; portabilidade dos dados a outro fornecedor de serviço ou produto; eliminação dos dados pessoais tratados com base no consentimento; informação sobre entidades públicas e privadas com as quais os dados foram compartilhados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa negativa; e revogação do consentimento previamente dado.

Para exercer qualquer um desses direitos, os titulares podem: (1) utilizar a funcao de exportacao de dados disponivel na plataforma em Configuracoes; (2) solicitar a exclusao de dados atraves da plataforma ou por e-mail; ou (3) entrar em contato diretamente com nosso Encarregado de Protecao de Dados. No caso de pacientes, a solicitacao pode ser direcionada a clinica controladora, que trabalhara em conjunto com a NexaCore para atender a demanda dentro dos prazos estabelecidos pela legislacao (15 dias uteis).

6. Transferência Internacional de Dados

Os dados pessoais tratados pela NexaCore são armazenados e processados primariamente em servidores localizados no Brasil. No entanto, alguns serviços de terceiros utilizados pela plataforma, como o sistema de autenticação Clerk, podem envolver transferência internacional de dados para servidores localizados em outros países. Nesses casos, garantimos que os destinatários internacionais adotem padrões de proteção equivalentes ou superiores aos previstos na LGPD, conforme estabelecido no Artigo 33 da Lei. Avaliamos regularmente as práticas de proteção de dados dos nossos parceiros internacionais para assegurar conformidade contínua.

7. Incidentes de Segurança

A NexaCore mantém um plano de resposta a incidentes de segurança documentado e regularmente atualizado. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, tomaremos as seguintes providências: comunicaremos a Autoridade Nacional de Proteção de Dados e os titulares afetados nos prazos estabelecidos pela legislação, conforme Artigo 48 da LGPD; descreveremos a natureza dos dados pessoais afetados; informaremos sobre as medidas técnicas e de segurança utilizadas para a proteção dos dados; descreveremos os riscos relacionados ao incidente; e indicaremos as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente. Além disso, comunicaremos as clínicas parceiras afetadas de forma transparente e imediata, fornecendo todas as informações necessárias para que possam cumprir suas próprias obrigações como controladoras de dados.

8. Retenção e Eliminação de Dados

Os dados pessoais tratados pela NexaCore são mantidos pelo período necessário para cumprir as finalidades para as quais foram coletados, ou conforme exigido por obrigação legal ou regulatória. Após o encerramento da conta de uma clínica na plataforma, os dados pessoais associados são mantidos por um período de 90 dias para permitir exportação e eventual reativação. Após esse período, os dados são eliminados de forma segura e irreversível dos nossos sistemas, incluindo backups, dentro de um prazo adicional de 30 dias. Exceções se aplicam quando houver obrigação legal de retenção por período superior.

9. Contato do Encarregado de Proteção de Dados

Para exercer seus direitos como titular de dados, reportar incidentes de segurança, esclarecer dúvidas sobre nossas práticas de proteção de dados ou apresentar reclamações relacionadas ao tratamento de dados pessoais pela NexaCore, entre em contato com nosso Encarregado de Proteção de Dados pelo e-mail: dpo@nexacore.com.br. Comprometemo-nos a responder todas as solicitações dentro dos prazos estabelecidos pela LGPD e a trabalhar de forma transparente para resolver qualquer questão relacionada à privacidade e proteção dos dados pessoais dos titulares.