MOVOONVoltar ao login

Política de Privacidade

Movoon by MOVVO Agency

Última atualização: março de 2026

Contato: privacidade@movoon.com.br | dpo@movoon.com.br

O que isso significa para você

Antes de entrar nos detalhes jurídicos, aqui está o resumo do que realmente importa:

  • Seus dados e de seus pacientes estão seguros e criptografados — utilizamos criptografia em trânsito e em repouso, com isolamento por clínica no banco de dados.
  • Nós somos o Operador — você (clínica) é o Controlador dos dados — isso significa que você decide o que fazer com os dados dos seus pacientes, e nós processamos conforme suas instruções.
  • Nunca vendemos ou compartilhamos dados com terceiros para marketing — seus dados só são compartilhados com os fornecedores técnicos necessários para a plataforma funcionar.
  • Você pode exportar ou deletar todos os seus dados a qualquer momento — basta solicitar por e-mail e atenderemos em até 15 dias úteis.
  • Usamos IA para responder mensagens, mas você controla o que a IA acessa — o agente de IA só tem acesso às informações que você configurar, e nunca toma decisões clínicas ou financeiras.

1. Identificação do Responsável

A plataforma Movoon é desenvolvida e operada por:

  • Razão Social: SCALO TECH LTDA
  • CNPJ: 61.301.885/0001-53
  • Endereço: Belo Horizonte, MG, Brasil
  • E-mail de Privacidade: privacidade@movoon.com.br
  • Encarregado de Dados (DPO): dpo@movoon.com.br

No contexto da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), a MOVVO Agency atua como Operadora de Dados em relação aos dados de pacientes inseridos na plataforma pelas clínicas. A clínica que utiliza o Movoon é a Controladora de Dados, responsável por definir as finalidades e os meios de tratamento dos dados pessoais de seus pacientes. Em relação aos dados cadastrais da própria clínica (dados B2B), a MOVVO Agency atua como Controladora.

Importante: Pacientes das clínicas NÃO criam conta no MOVOON — seus dados são inseridos e gerenciados pela clínica (Controladora). O paciente interage com o sistema apenas via WhatsApp, telemedicina ou formulário de agendamento.

2. Dados que Coletamos

Coletamos e processamos quatro categorias de dados, cada uma com finalidades e bases legais distintas:

a) Dados da clínica (B2B):

São os dados fornecidos pela clínica ao criar e manter sua conta no Movoon. A MOVVO Agency é Controladora destes dados.

  • Dados cadastrais: nome da clínica, CNPJ, endereço, telefone, e-mail do responsável
  • Dados de faturamento: informações necessárias para emissão de notas fiscais e cobrança
  • Dados de uso da plataforma: logs de acesso (IP, data, hora, ação realizada), dados de navegação, informações do dispositivo e navegador
  • Dados dos profissionais: nome, e-mail, função/cargo dos usuários cadastrados na conta da clínica

b) Dados de pacientes (dados sensíveis — saúde):

São os dados inseridos pela clínica (Controladora) na plataforma. A MOVVO Agency processa estes dados exclusivamente sob instrução da clínica, atuando como Operadora. Estes dados podem incluir dados sensíveis de saúde, conforme Art. 5º, II da LGPD.

  • Prontuários e registros clínicos
  • Agendamentos e histórico de consultas
  • Histórico de tratamentos e procedimentos
  • Dados de contato do paciente: nome, telefone, e-mail, endereço
  • Dados demográficos: data de nascimento, gênero, CPF
  • Documentos e imagens clínicas enviadas pela clínica

c) Dados processados pela IA (agente inteligente):

Quando a clínica ativa o agente de IA do Movoon, os seguintes dados podem ser processados automaticamente. Estes dados podem conter informações de saúde e são tratados com o mesmo nível de proteção dos dados sensíveis.

  • Conversas via WhatsApp entre pacientes e o agente de IA
  • Interações no chat da plataforma
  • Configurações e instruções definidas pela clínica para o agente
  • Metadados das mensagens: horário, número de telefone de origem, status de entrega

Importante: os dados enviados à Anthropic (provedor de IA) para processamento não são utilizados para treinar modelos de IA, conforme a política de privacidade da Anthropic para uso via API.

d) Dados de rastreamento e marketing:

Quando a clínica utiliza as funcionalidades de marketing e rastreamento do Movoon, os seguintes dados podem ser coletados e processados:

  • Meta Pixel: código de rastreamento instalado no site para medir eficácia de campanhas de anúncios
  • Meta Conversions API (CAPI): envio server-side de eventos de conversão (Lead, Schedule, Purchase) para otimização de campanhas
  • Dados enviados ao Meta: email (hash SHA-256), telefone (hash SHA-256), endereço IP, user agent, fbclid (identificador de clique)
  • Google Ads: métricas de campanhas (impressões, cliques, custo) lidas via API
  • Google Calendar: sincronização bidirecional de agendamentos
  • gclid (Google Click ID): capturado para atribuição de conversões

3. Base Legal para Tratamento

Todo tratamento de dados pessoais realizado pelo Movoon possui uma base legal válida conforme a LGPD:

Para dados regulares (Art. 7º da LGPD):

  • Execução de contrato (Art. 7º, V): para prestação dos serviços contratados pela clínica, incluindo acesso à plataforma, funcionalidades de gestão e suporte técnico.
  • Legítimo interesse (Art. 7º, IX): para segurança da plataforma, prevenção de fraudes, melhorias de funcionalidade e análises agregadas de uso.
  • Cumprimento de obrigação legal (Art. 7º, II): quando exigido por legislação fiscal, tributária ou regulatória aplicável.
  • Consentimento (Art. 7º, I): para comunicações de marketing e envio de novidades (sempre opcional e revogável).

Para dados sensíveis de saúde (Art. 11 da LGPD):

  • Tutela da saúde (Art. 11, II, "f"): o tratamento de dados de saúde dos pacientes é realizado exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
  • Execução de contrato ou de procedimentos preliminares (Art. 11, II, "d"): para viabilizar a prestação dos serviços de gestão clínica contratados.
  • Consentimento do titular (Art. 11, I): quando aplicável, especialmente para funcionalidades opcionais que envolvam processamento adicional de dados sensíveis, como o agente de IA para comunicação com pacientes.

A clínica, como Controladora dos dados de seus pacientes, é responsável por garantir que possui base legal adequada para a coleta e inserção desses dados na plataforma, incluindo a obtenção de consentimento quando necessário.

4. Subprocessadores

Para fornecer nossos serviços, utilizamos os seguintes subprocessadores. Todos possuem contratos de processamento de dados (DPA) e mantêm padrões adequados de segurança e privacidade. Não vendemos nem compartilhamos dados com terceiros para fins de marketing.

SubprocessadorFunçãoDados ProcessadosLocalizaçãoPolítica
SupabaseBanco de dados e autenticaçãoTodos os dados da plataformaEUAsupabase.com/privacy
VercelHospedagem e entrega de conteúdoRequisições HTTP e logs de acessoEUAvercel.com/legal/privacy-policy
StripeProcessamento de pagamentosDados de faturamento e cobrançaEUAstripe.com/privacy
AnthropicProcessamento de IA (agente inteligente)Conversas e contexto do agenteEUAanthropic.com/privacy
Evolution API / RailwayIntegração com WhatsAppMensagens de WhatsAppEUArailway.app/legal/privacy
ResendE-mails transacionaisEndereços de e-mail e nomesEUAresend.com/legal/privacy-policy
Daily.coTelemedicina (videochamadas)Dados de vídeo e áudio das consultasEUAdaily.co/legal/privacy

Além dos subprocessadores listados acima, podemos compartilhar dados com autoridades competentes quando exigido por lei, ordem judicial ou procedimento administrativo.

5. Transferência Internacional de Dados

Conforme indicado na tabela de subprocessadores, seus dados podem ser processados em servidores localizados nos Estados Unidos. Estas transferências internacionais são realizadas em conformidade com o Capítulo V da LGPD (Arts. 33 a 36), com as seguintes salvaguardas:

  • Cláusulas Contratuais Padrão (SCCs): nossos contratos com subprocessadores incluem cláusulas contratuais que garantem o mesmo nível de proteção de dados exigido pela legislação brasileira.
  • Certificações dos fornecedores: todos os subprocessadores listados possuem certificações de segurança reconhecidas internacionalmente (SOC 2 Type II, ISO 27001 ou equivalentes) e mantêm programas de conformidade com legislações de proteção de dados.
  • Compromisso de nível adequado de proteção: garantimos que os dados transferidos internacionalmente recebem nível de proteção equivalente ao exigido pela LGPD, incluindo criptografia em trânsito e em repouso, controles de acesso rigorosos e monitoramento contínuo.

Caso a ANPD (Autoridade Nacional de Proteção de Dados) publique regulamentação específica sobre transferências internacionais, nos adequaremos prontamente às novas exigências.

6. Retenção de Dados

Mantemos seus dados pelo período necessário para a prestação dos serviços e cumprimento de obrigações legais. Os prazos de retenção variam conforme a categoria de dados:

Categoria de DadosPeríodo de RetençãoFundamento
Dados da conta ativaDurante toda a vigência do contratoExecução de contrato
Pós-cancelamento90 dias para reativação ou exportaçãoLegítimo interesse e cortesia ao cliente
Após 90 dias do cancelamentoExclusão segura ou anonimização irreversívelFim da finalidade de tratamento
Dados fiscais e tributários5 anosLegislação tributária (CTN, Art. 173)
Prontuários médicosMínimo de 20 anosCFM — Resolução nº 1.821/2007
Prontuários odontológicosMínimo de 20 anosCFO — Código de Ética Odontológica
Logs de acesso à plataforma6 mesesMarco Civil da Internet (Lei 12.965/2014)
Conversas de IA90 dias após cancelamento da contaFim da finalidade de tratamento

Importante para clínicas: a responsabilidade pela guarda de prontuários médicos e odontológicos pelo prazo legal (mínimo 20 anos) é da clínica como Controladora dos dados. Recomendamos que a clínica mantenha backups próprios dos prontuários, especialmente em caso de cancelamento da assinatura do Movoon. Disponibilizamos ferramentas de exportação para facilitar esse processo.

7. Direitos dos Titulares (LGPD)

Em conformidade com os Arts. 17 a 22 da LGPD, você, como titular de dados pessoais, possui os seguintes direitos, que podem ser exercidos a qualquer momento:

  • Confirmação de existência de tratamento (Art. 18, I): você pode solicitar a confirmação de que tratamos seus dados pessoais.
  • Acesso aos dados (Art. 18, II): você pode solicitar uma cópia completa dos dados pessoais que mantemos sobre você, em formato legível e estruturado.
  • Correção de dados (Art. 18, III): você pode solicitar a correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação (Art. 18, IV): você pode solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade (Art. 18, V): você pode solicitar a portabilidade dos seus dados a outro fornecedor de serviço, em formato estruturado e interoperável (CSV, JSON).
  • Eliminação dos dados tratados com consentimento (Art. 18, VI): quando o tratamento for baseado em consentimento, você pode solicitar a eliminação dos dados, exceto quando houver obrigação legal de retenção.
  • Informação sobre compartilhamento (Art. 18, VII): você pode solicitar informações sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
  • Informação sobre a possibilidade de não consentir (Art. 18, VIII): você pode solicitar informações sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogação do consentimento (Art. 18, IX): você pode revogar o consentimento a qualquer momento, mediante manifestação expressa, de forma gratuita e facilitada.
  • Oposição (Art. 18, §2º): você pode se opor a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, caso haja descumprimento da LGPD.
  • Revisão de decisões automatizadas (Art. 20): você pode solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, incluindo as interações do agente de IA.

Como exercer seus direitos: envie sua solicitação para privacidade@movoon.com.br informando seu nome completo, e-mail cadastrado e o direito que deseja exercer. Responderemos em até 15 dias úteis, conforme previsto na LGPD.

Para pacientes: se você é paciente de uma clínica que utiliza o Movoon, seus direitos devem ser exercidos diretamente junto à clínica (Controladora). Caso a clínica nos instrua a atender sua solicitação, o faremos nos prazos indicados acima.

Caso sua solicitação não seja atendida de forma satisfatória, você tem o direito de apresentar reclamação à ANPD (Autoridade Nacional de Proteção de Dados) através do site gov.br/anpd.

8. Decisões Automatizadas pela IA

O Movoon oferece um agente de IA que pode interagir automaticamente com pacientes via WhatsApp e outros canais de comunicação. É importante que você entenda como esse agente funciona e quais são seus limites:

O que o agente de IA faz:

  • Responde mensagens de pacientes automaticamente, conforme configurado pela clínica
  • Auxilia no agendamento de consultas e envio de informações sobre a clínica
  • Responde dúvidas frequentes com base nas instruções definidas pela clínica

O que o agente de IA NÃO faz:

  • Não toma decisões clínicas, diagnósticas ou terapêuticas
  • Não toma decisões financeiras (cobranças, descontos, alterações de preço)
  • Não acessa prontuários médicos para responder pacientes, a menos que explicitamente configurado pela clínica
  • Não substitui o julgamento profissional de médicos, dentistas ou outros profissionais de saúde

Dados que alimentam a IA:

  • Conversas em andamento entre o paciente e o agente
  • Configurações e instruções personalizadas definidas pela clínica
  • Informações sobre a clínica (horários, serviços, endereço) conforme cadastrado

Direito à revisão humana:

Conforme o Art. 20 da LGPD, qualquer titular de dados pode solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado. Na prática, isso significa que o paciente ou a clínica pode solicitar que uma interação seja revisada por um humano. Para solicitar revisão, entre em contato com privacidade@movoon.com.br.

9. Notificação de Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, seguimos o procedimento previsto no Art. 48 da LGPD:

O que constitui um incidente de segurança:

  • Acesso não autorizado a dados pessoais armazenados na plataforma
  • Vazamento, divulgação ou exposição indevida de dados pessoais
  • Destruição, perda ou alteração não autorizada de dados pessoais
  • Qualquer violação de segurança que comprometa a confidencialidade, integridade ou disponibilidade dos dados

Prazos e procedimentos:

  • ANPD: notificação em até 72 horas após a confirmação do incidente, conforme Resolução CD/ANPD nº 15/2024, contendo a descrição da natureza dos dados afetados, os titulares envolvidos, as medidas técnicas e de segurança utilizadas, os riscos relacionados e as medidas adotadas para reverter ou mitigar os efeitos.
  • Titulares afetados: notificação assim que o incidente for confirmado e sua extensão for avaliada, em linguagem clara e acessível, informando quais dados foram afetados, os riscos envolvidos e as medidas que estamos adotando.
  • Clínicas (Controladoras): notificação imediata para que possam cumprir suas próprias obrigações de comunicação junto aos pacientes afetados.

Canal de comunicação de incidentes:

Para reportar vulnerabilidades ou incidentes de segurança, entre em contato imediatamente com seguranca@movoon.com.br. Tratamos todas as comunicações de segurança com máxima prioridade e confidencialidade.

10. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias similares para garantir o funcionamento da plataforma e melhorar sua experiência. Abaixo detalhamos os tipos de cookies que utilizamos:

Cookies essenciais (obrigatórios):

Necessários para o funcionamento básico da plataforma. Sem eles, o Movoon não funciona corretamente. Não é possível recusá-los.

  • Cookies de sessão: mantêm você autenticado enquanto usa a plataforma
  • Cookies de autenticação: tokens de segurança do Supabase Auth
  • Cookies de proteção CSRF: previnem ataques de falsificação de requisições

Cookies funcionais (obrigatórios):

Armazenam suas preferências de uso para melhorar a experiência na plataforma.

  • Preferências de tema: claro ou escuro
  • Estado da sidebar: aberta ou fechada
  • Preferências de idioma e formatação

Cookies analíticos (opcionais — com consentimento):

Utilizados para entender como a plataforma é utilizada, de forma agregada e anonimizada. Só são ativados com seu consentimento explícito.

  • Vercel Analytics: métricas de desempenho e uso anonimizado
  • Dados coletados: páginas visitadas, tempo de uso, tipo de dispositivo (sem identificação pessoal)

Como gerenciar cookies:

Você pode gerenciar cookies através das configurações do seu navegador. A maioria dos navegadores permite bloquear ou excluir cookies. Consulte a documentação do seu navegador para instruções específicas. Lembre-se de que bloquear cookies essenciais pode impedir o funcionamento correto da plataforma.

10.1 Meta Pixel e Rastreamento de Anúncios

Utilizamos tecnologias de rastreamento do Meta (Facebook) para medir a eficácia de campanhas publicitárias das clínicas que optam por usar as funcionalidades de marketing do Movoon:

  • Meta Pixel: código de rastreamento que coleta páginas visitadas, ações realizadas, dados do dispositivo e navegador.
  • Meta Conversions API (CAPI): envio server-side de eventos de conversão — Lead (novo lead), Schedule (agendamento), Purchase (consulta realizada) — para otimização de campanhas.
  • Dados hasheados: dados pessoais enviados ao Meta são hasheados com SHA-256 antes do envio (email, telefone) — é impossível recuperar os dados originais a partir do hash.
  • Dados adicionais enviados ao Meta: endereço IP, user agent, fbclid (click ID do Facebook).
  • Deduplicação: utilizamos event_id único para evitar contagem duplicada entre Pixel e CAPI.
  • Como desativar: você pode desativar o rastreamento do Meta Pixel nas configurações de cookies do navegador. Para opt-out do Facebook Ads: facebook.com/ads/preferences.

10.2 Google Calendar e Google Ads

Google Calendar API:

Quando a clínica conecta sua conta Google, sincronizamos agendamentos bidirecionalmente. Permissão solicitada: "Ver e editar eventos em todas as suas agendas" e "Ver e baixar qualquer agenda". A clínica pode revogar o acesso a qualquer momento nas configurações de Integrações ou em myaccount.google.com/permissions.

Google Ads API:

Quando a clínica conecta sua conta Google Ads, lemos métricas de campanhas (impressões, cliques, custo, leads). Permissão solicitada: ads_read. Não criamos, editamos ou deletamos campanhas. A clínica pode revogar o acesso a qualquer momento nas configurações de Integrações ou em myaccount.google.com/permissions.

10.3 Telemedicina

O Movoon utiliza o Daily.co para videochamadas de telemedicina:

  • Dados processados: vídeo e áudio em tempo real durante a consulta.
  • Gravação: as chamadas não são gravadas pelo Movoon, salvo se a clínica ativar gravação explicitamente.
  • Armazenamento: os dados de vídeo são processados pela Daily.co e não são armazenados após o término da chamada.

11. Menores de Idade

O Movoon é uma plataforma B2B destinada a clínicas de saúde. Não coletamos dados pessoais diretamente de menores de idade (pessoas com menos de 18 anos).

Pacientes menores de idade: quando a clínica insere dados de pacientes menores de idade na plataforma, a responsabilidade pelo tratamento desses dados é integralmente da clínica (Controladora), que deve garantir o cumprimento do Art. 14 da LGPD, incluindo a obtenção de consentimento específico de pelo menos um dos pais ou responsável legal. O Movoon, como Operador, processará esses dados exclusivamente conforme as instruções da clínica e com o mesmo nível de segurança aplicado a todos os dados sensíveis de saúde.

12. Comunicações e Marketing

Distinguimos claramente entre comunicações obrigatórias (necessárias para o funcionamento do serviço) e comunicações opcionais de marketing:

E-mails transacionais (obrigatórios):

Estes e-mails são necessários para o funcionamento do serviço e não podem ser desativados enquanto sua conta estiver ativa:

  • Confirmação de cadastro e verificação de e-mail
  • Redefinição de senha
  • Lembretes de pagamento e faturas
  • Notificações de segurança (alteração de senha, novos acessos)
  • Avisos sobre alterações nos Termos de Uso ou Política de Privacidade
  • Notificações de incidentes de segurança

E-mails de marketing (opcionais):

Estes e-mails são enviados apenas com seu consentimento e podem ser cancelados a qualquer momento:

  • Novidades e atualizações da plataforma
  • Dicas de uso e melhores práticas para clínicas
  • Conteúdos educativos sobre gestão clínica
  • Ofertas especiais e promoções

Como cancelar e-mails de marketing:

  • Clique no link "Cancelar inscrição" presente no rodapé de todo e-mail de marketing
  • Acesse as configurações da sua conta na plataforma e desative as notificações de marketing
  • Envie um e-mail para privacidade@movoon.com.br solicitando o cancelamento

O cancelamento de e-mails de marketing será processado em até 5 dias úteis. Isso não afeta o recebimento de e-mails transacionais.

13. Atualizações desta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, na legislação aplicável ou nos serviços oferecidos. Nosso compromisso com a transparência:

  • Aviso prévio de 30 dias: qualquer alteração significativa nesta Política será comunicada com pelo menos 30 dias de antecedência antes de entrar em vigor.
  • Notificação por e-mail: enviaremos um e-mail para todos os titulares de conta informando sobre as mudanças, com um resumo claro das alterações realizadas.
  • Destaque das alterações: as mudanças serão destacadas para facilitar a identificação do que foi alterado em relação à versão anterior.
  • Direito de discordar: caso você não concorde com as alterações, poderá encerrar sua conta e solicitar a exclusão dos seus dados antes que a nova versão entre em vigor, sem qualquer penalidade.

A data da última atualização está sempre indicada no topo deste documento. Recomendamos que você revise esta Política periodicamente.

14. Contato e Encarregado de Dados (DPO)

Para qualquer questão relacionada a esta Política de Privacidade, ao tratamento dos seus dados pessoais ou ao exercício dos seus direitos, entre em contato conosco através dos canais abaixo:

Privacidade e direitos dos titulares:

privacidade@movoon.com.br

Encarregado de Proteção de Dados (DPO):

dpo@movoon.com.br

Incidentes e vulnerabilidades de segurança:

seguranca@movoon.com.br

O Encarregado de Proteção de Dados (DPO) é o responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e contratados sobre as práticas de proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (Art. 41, §2º da LGPD).

© 2026 Movoon by MOVVO Agency. Todos os direitos reservados.

Termos de UsoEntrar