Anexo de Tratamento de Dados Pessoais (DPA)
1. Apresentação e finalidade
Este Anexo de Tratamento de Dados Pessoais (“Anexo” ou “DPA”) disciplina, quando aplicável, as condições relacionadas ao tratamento de dados pessoais realizado no contexto da utilização da plataforma Corpora pelo usuário.
Este Anexo complementa os Termos de Uso e Condições da Corpora e a Política de Privacidade da Corpora, integrando a relação contratual entre as partes sempre que o usuário utilizar a plataforma para inserir, armazenar, organizar, transmitir, consultar ou de qualquer outra forma tratar dados pessoais de terceiros no contexto de sua atuação profissional.
Em caso de conflito entre este Anexo e os Termos de Uso ou a Política de Privacidade, prevalecerá este Anexo especificamente quanto às disposições relacionadas à relação entre controlador e operadora, quando aplicável.
2. Partes
Para os fins deste Anexo:
Controlador: será o usuário da plataforma que, no contexto de sua atuação profissional, realizar o tratamento de dados pessoais de pacientes, clientes ou terceiros em seu ambiente da Corpora, definindo as finalidades e os meios essenciais desse tratamento.
Operadora: será a Corpora Tecnologia, quando tratar dados pessoais em nome do usuário, mediante o fornecimento da plataforma, da infraestrutura tecnológica e de funcionalidades necessárias à execução dos serviços contratados.
A qualificação da Corpora como operadora nos termos deste Anexo aplica-se exclusivamente às atividades de tratamento realizadas em nome do usuário controlador no contexto de sua atuação profissional, não afastando as hipóteses em que a Corpora atue como controladora de dados pessoais próprios ou de tratamentos vinculados à sua operação, nos termos da Política de Privacidade e da legislação aplicável.
3. Objeto
O presente Anexo tem por objeto disciplinar o tratamento de dados pessoais realizado pela Corpora, na qualidade de operadora, em nome do usuário, na qualidade de controlador, no contexto da disponibilização da plataforma e de suas funcionalidades.
Esse tratamento poderá envolver atividades como coleta indireta, recepção, armazenamento, organização, estruturação, hospedagem, disponibilização, consulta, processamento, transmissão, backup, recuperação, suporte técnico, segurança, exclusão e demais operações necessárias à prestação dos serviços contratados.
A Corpora, na qualidade de operadora, realizará o tratamento de dados pessoais em nome do usuário controlador e segundo as instruções do usuário controlador na medida em que sejam compatíveis com a arquitetura, as funcionalidades, os limites técnicos e operacionais da plataforma, os Termos de Uso, a Política de Privacidade, este Anexo e a legislação aplicável.
4. Natureza e finalidade do tratamento
O tratamento realizado pela Corpora, na condição de operadora, terá natureza instrumental, tecnológica e operacional, com a finalidade de viabilizar a execução da plataforma, a disponibilização de funcionalidades, a manutenção da infraestrutura, a segurança do ambiente, o suporte ao usuário, a continuidade do serviço e outras atividades compatíveis com a operação regular do sistema.
A Corpora não definirá, em nome próprio, as finalidades clínicas, profissionais ou técnicas do tratamento de dados realizado pelo usuário em sua atuação profissional, ressalvadas as hipóteses em que atuar como controladora de dados próprios nos termos da Política de Privacidade.
5. Categorias de dados e titulares
O tratamento realizado pela Corpora, quando atuar como operadora, poderá envolver, conforme a utilização da plataforma pelo usuário:
5.1. Categorias de titulares
pacientes;
clientes;
responsáveis;
contatos;
secretárias;
terceiros cadastrados pelo usuário;
outros titulares cujos dados sejam inseridos no ambiente da plataforma.
5.2. Categorias de dados
dados cadastrais;
dados de contato;
dados financeiros e transacionais;
dados administrativos;
dados inseridos em agenda, cadastro, formulários, documentos e comunicações;
dados sensíveis;
conteúdos clínicos, prontuários, anotações de sessão, documentos clínicos e informações relacionadas ao contexto de saúde ou atendimento, conforme a utilização feita pelo usuário.
6. Obrigações do controlador
Sem prejuízo de outras obrigações legais, caberá ao usuário, na qualidade de controlador:
I. definir as finalidades e os fundamentos legais do tratamento de dados pessoais realizado em sua atuação profissional;
II. garantir que possui legitimidade para inserir e tratar os dados pessoais de terceiros na plataforma;
III. observar a legislação aplicável, inclusive a LGPD, o sigilo profissional e as normas éticas incidentes sobre sua atividade;
IV. assegurar que o tratamento realizado por seu intermédio seja adequado, necessário e compatível com a finalidade declarada;
V. responder perante titulares, autoridades e terceiros pelas decisões relacionadas ao tratamento de dados sob seu controle, ressalvadas as responsabilidades legalmente atribuíveis à Corpora;
VI. utilizar a plataforma de forma segura, inclusive com adequada gestão de acessos, credenciais e permissões concedidas a terceiros autorizados.
7. Obrigações da operadora
Na qualidade de operadora, caberá à Corpora:
I. tratar os dados pessoais no limite do necessário para a prestação dos serviços contratados e para a execução regular da plataforma;
II. adotar medidas técnicas, administrativas e organizacionais razoáveis para proteção dos dados pessoais, compatíveis com a natureza do tratamento e com os riscos envolvidos;
III. manter controles internos relacionados à segurança, continuidade operacional, backup, monitoramento e recuperação, conforme aplicável ao contexto da operação;
IV. respeitar a confidencialidade dos dados tratados no contexto da prestação do serviço;
V. disponibilizar canal para assuntos relacionados à proteção de dados pessoais, nos termos da Política de Privacidade;
VI. adotar providências razoáveis para resposta a incidentes de segurança, conforme a natureza do evento, os riscos envolvidos e a legislação aplicável;
VII. excluir, restringir ou manter dados pessoais conforme as regras de retenção previstas nos Termos de Uso, na Política de Privacidade, na legislação aplicável e nas obrigações legítimas da operação.
8. Suboperadores e terceiros
O usuário declara ciência de que a Corpora poderá utilizar terceiros, fornecedores, subprocessadores, integrações, provedores de infraestrutura, nuvem, segurança, comunicação, analytics, autenticação, pagamentos, inteligência artificial, armazenamento, hospedagem e outras soluções tecnológicas necessárias à operação da plataforma.
A Corpora envidará esforços razoáveis para selecionar fornecedores e suboperadores compatíveis com a natureza da operação e com a legislação aplicável.
A utilização de terceiros poderá envolver tratamento de dados pessoais em território nacional ou internacional, observadas as medidas jurídicas e operacionais cabíveis ao contexto do tratamento.
Os tipos de fornecedores e tecnologias envolvidos poderão ser consultados na Política de Privacidade da Corpora, sem prejuízo de alterações técnicas, operacionais ou comerciais posteriores.
O usuário autoriza a Corpora a contratar suboperadores e fornecedores terceiros necessários à operação da plataforma, permanecendo a Corpora responsável, nos limites da legislação aplicável e deste Anexo, pela seleção razoável desses prestadores e pela coerência do tratamento com as finalidades do serviço.
A Corpora poderá substituir, atualizar, adicionar ou descontinuar suboperadores e fornecedores terceiros conforme necessidades técnicas, operacionais, comerciais, legais ou de segurança, sem necessidade de autorização individual prévia do usuário, observada a coerência com a prestação do serviço e com a legislação aplicável.
9. Segurança da informação
A Corpora adotará medidas razoáveis de segurança da informação para proteção dos dados pessoais tratados no contexto da prestação dos serviços, incluindo, conforme aplicável:
controle de acesso;
autenticação;
segregação de permissões;
registros de atividade;
monitoramento;
proteção de ambiente;
criptografia em trânsito;
criptografia em repouso, quando aplicável;
backup, replicação e mecanismos de recuperação;
procedimentos internos de prevenção e resposta a incidentes.
O usuário reconhece que nenhum sistema é absolutamente invulnerável e que também lhe compete adotar medidas adequadas de segurança no uso da plataforma.
A Corpora adotará medidas razoáveis para assegurar que pessoas autorizadas a tratar dados pessoais no contexto da prestação dos serviços estejam sujeitas a deveres de confidencialidade e a controles internos compatíveis com suas funções.
10. Direitos dos titulares e cooperação
Quando a solicitação de titular disser respeito a dados cujo tratamento tenha sido determinado pelo usuário em sua condição de controlador, caberá a este avaliar a solicitação, seu fundamento legal e as providências cabíveis.
A Corpora poderá prestar cooperação razoável ao usuário, quando tecnicamente possível e proporcional, para atendimento de solicitações relacionadas a dados pessoais tratados em seu ambiente, observados:
a natureza do pedido;
a complexidade técnica envolvida;
os limites da atuação da Corpora como operadora;
a necessidade de validação de identidade;
obrigações legais, regulatórias e de segurança.
A eventual cooperação prestada pela Corpora ao usuário poderá observar limites técnicos, operacionais, jurídicos e de proporcionalidade, inclusive quanto à complexidade do pedido, ao volume de dados envolvido e à necessidade de preservação da segurança, sigilo e continuidade da plataforma.
11. Incidentes de segurança
A Corpora manterá procedimentos internos voltados à prevenção, identificação, tratamento e resposta a incidentes de segurança.
Na hipótese de incidente de segurança envolvendo dados pessoais tratados no contexto da prestação dos serviços, a Corpora adotará as medidas cabíveis conforme a natureza do evento, os riscos envolvidos, o impacto potencial aos titulares e a legislação aplicável.
Quando necessário e juridicamente exigível, a Corpora poderá comunicar o usuário controlador, titulares, autoridades competentes ou demais partes envolvidas, diretamente ou por intermédio do usuário, conforme a natureza da situação e a estrutura da relação jurídica envolvida.
A comunicação de incidentes, quando cabível, observará a avaliação jurídica e técnica da Corpora, a natureza do evento, os riscos envolvidos, a estrutura da relação contratual e a legislação aplicável.
12. Retenção, devolução e exclusão
Os dados pessoais tratados pela Corpora serão mantidos pelo tempo necessário à execução dos serviços contratados, ao cumprimento das finalidades legítimas da operação, às regras de retenção previstas nos Termos de Uso e na Política de Privacidade, e às obrigações legais, regulatórias ou de exercício regular de direitos.
Em caso de cancelamento, downgrade, exclusão da conta ou encerramento da relação contratual, a devolução, exportação, restrição, permanência ou exclusão de dados seguirá as regras operacionais e prazos vigentes da Corpora, inclusive quanto a:
manutenção temporária de conteúdos compatíveis com o plano gratuito;
prazo para exportação de conteúdos vinculados a funcionalidades exclusivas do plano PRO;
arquivamento por inatividade;
exclusão por inatividade prolongada;
retenção obrigatória de dados por força legal ou regulatória.
13. Responsabilidade
Cada parte responderá, na medida de sua atuação e conforme a legislação aplicável, pelas obrigações que lhe forem atribuídas no tratamento de dados pessoais.
O usuário, na qualidade de controlador, permanece responsável pelas decisões relacionadas à legitimidade, finalidade, adequação e base legal do tratamento de dados pessoais realizado em sua atividade profissional.
A Corpora, na qualidade de operadora, responderá pelos atos de tratamento que lhe forem diretamente imputáveis nos limites da legislação aplicável, dos Termos de Uso, da Política de Privacidade e deste Anexo.
Nada neste Anexo afasta ou limita responsabilidades que não possam ser excluídas por lei.
14. Vigência
Este Anexo vigorará enquanto a Corpora realizar tratamento de dados pessoais em nome do usuário no contexto da prestação dos serviços, sem prejuízo das obrigações que devam subsistir após o término da relação contratual, especialmente quanto à confidencialidade, retenção legal, segurança e exercício regular de direitos.
15. Integração contratual
Este Anexo integra os Termos de Uso e Condições da Corpora e a Política de Privacidade da Corpora, devendo ser interpretado em conjunto com tais documentos e com eventuais regras complementares aplicáveis a funcionalidades específicas da plataforma.
Versão vigente a partir de Março de 2026.