Política de Privacidade — Solys

Versão: 1.0 Vigência a partir de: 30 de abril de 2026 Última atualização: 30 de abril de 2026

1. Quem somos

A plataforma Solys é operada por AURA MEDICAL TECNOLOGIA DA INFORMAÇÃO LTDA (doravante "Solys", "nós", "nosso"), pessoa jurídica de direito privado inscrita no CNPJ sob o nº 58.107.486/0001-41, com sede em Avenida Paulista, 1106 — São Paulo/SP, doravante denominada Controladora dos dados pessoais tratados nos termos desta Política, conforme definido pelo art. 5º, VI, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — "LGPD").

Encarregado pelo Tratamento de Dados Pessoais (DPO): Arthur Teixeira de Almeida E-mail: contato@solys.io Endereço para correspondência: o mesmo da sede.

Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos os dados pessoais dos usuários da plataforma Solys (médicos cadastrados — doravante "Usuários" ou "Titulares") e dos visitantes dos sites publicados na plataforma.

2. A quem se aplica esta Política

Esta Política se aplica a três categorias de titulares:

Usuários (Médicos): profissionais de medicina regularmente inscritos no Conselho Regional de Medicina ("CRM") que se cadastram na plataforma Solys para criar e gerenciar sua presença digital profissional.
Visitantes dos sites publicados: pessoas que acessam os sites profissionais hospedados em solys.io/m/[slug] ou em domínios próprios apontados ao Solys, incluindo potenciais pacientes em busca de informações sobre o profissional.
Visitantes do site institucional Solys: pessoas que acessam solys.io ou domínios equivalentes para conhecer ou contratar a plataforma.

Esclarecimento importante: o Solys não é prestador de serviços médicos e não trata dados pessoais de pacientes em contexto clínico. Quando um visitante entra em contato com um médico através de um site publicado na plataforma, o médico é o controlador desses dados, e o Solys atua, quando aplicável, como operador, nos termos do art. 5º, VII, da LGPD, na medida estritamente necessária à prestação dos serviços contratados.

3. Dados pessoais que coletamos

3.1. Dados fornecidos diretamente pelo Usuário Médico

No momento do cadastro e durante o uso da plataforma, coletamos:

Identificação profissional: nome completo, número de inscrição no CRM, unidade federativa do CRM, número de Registro de Qualificação de Especialista (RQE), especialidade médica e área de atuação declarada.
Identificação pessoal: e-mail, telefone celular, e (quando o Usuário optar pelo plano pago) CPF, endereço completo e dados de cobrança.
Localização do consultório: cidade, estado, código IBGE do município, bairro (opcional) e endereço comercial do consultório.
Imagem: fotografia de perfil enviada pelo Usuário ou obtida via integração com Instagram (mediante consentimento explícito).
Conteúdo descritivo: narrativa profissional, biografia, descrição de serviços prestados, definição de público preferencial e demais textos inseridos pelo Usuário em campos abertos do onboarding.
Configurações de identidade visual: paleta de cores escolhida, tipografia (planos pagos), logotipo (quando aplicável).
Dados de contato profissional para publicação: WhatsApp comercial, e-mail profissional, links de redes sociais (Instagram, LinkedIn, Doctoralia, site externo) que o Usuário escolher exibir publicamente.

3.2. Dados coletados via integrações de terceiros (mediante consentimento)

Quando o Usuário optar por conectar contas de terceiros, coletamos exclusivamente os dados autorizados via os respectivos protocolos de OAuth:

Integração Instagram (Meta Platforms): nome de usuário (handle), nome de exibição, foto de perfil, biografia, contagem de seguidores, lista de mídias publicadas (URL, legenda, métricas básicas) e identificadores internos da Meta. A coleta ocorre via Instagram Graph API utilizando as permissões instagram_business_basic e, quando aplicável, instagram_business_manage_insights. Não coletamos mensagens diretas, comentários de terceiros, lista de seguidores ou qualquer dado pessoal de outros usuários do Instagram além do próprio Médico autenticado.
Integração Google Business Profile (planos pagos, fase futura): identificador de estabelecimento, nome, endereço, telefone, horários e avaliações públicas.
Integração Asaas (gateway de pagamento): identificador de cliente, status de assinatura, registros de cobrança. Dados de cartão de crédito não são armazenados pelo Solys — são processados e armazenados exclusivamente pela Asaas Gestão Financeira S.A., parceira de pagamentos.

3.3. Dados coletados automaticamente

Durante o uso da plataforma, coletamos automaticamente:

Dados de autenticação e sessão: identificador de sessão, token de acesso, registro de horário de login e logout, endereço IP, tipo de dispositivo, sistema operacional, navegador e idioma.
Dados de uso: páginas acessadas, ações realizadas no painel, tempo de permanência, sequência de cliques, eventos disparados (criação de site, edição de informações, aprovação de posts).
Cookies e tecnologias similares: ver Seção 8.

3.4. Dados de Visitantes dos sites publicados

Quando uma pessoa visita um site profissional hospedado na plataforma (solys.io/m/[slug]):

Dados técnicos automáticos: endereço IP, tipo de dispositivo, navegador, referenciador (URL de origem), página acessada, horário de acesso.
Dados estatísticos agregados: contagem de visitas, tempo médio na página, taxa de cliques em CTAs (WhatsApp, agendamento, telefone). Esses dados são apresentados ao Médico em forma agregada e anonimizada.
Dados de contato, somente quando o Visitante opta voluntariamente por enviá-los (preenchendo formulário de contato, clicando em link de WhatsApp etc.): nesse caso, os dados são transmitidos diretamente ao Médico, sem retenção pelo Solys, salvo logs técnicos mínimos para fins de auditoria de envio.

3.5. Dados que não coletamos

O Solys não solicita, não armazena e não trata:

Dados clínicos, prontuários, diagnósticos ou prescrições médicas;
Dados de pacientes em contexto assistencial;
Dados sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, dados referentes à saúde, vida sexual, dado genético ou biométrico) — exceto quando estritamente necessários e mediante consentimento explícito (ex.: especialidade médica do Usuário, que é dado público registrado em conselho profissional);
Dados de pessoas menores de 18 anos. A plataforma destina-se exclusivamente a profissionais médicos adultos.

4. Finalidades do tratamento e bases legais

Tratamos dados pessoais com finalidades específicas, sempre amparados em uma das bases legais previstas no art. 7º da LGPD:

#	Finalidade	Base legal (art. 7º LGPD)
1	Cadastro, autenticação e operação da conta do Usuário	Execução de contrato (inciso V)
2	Geração e publicação do site profissional do Usuário	Execução de contrato (inciso V)
3	Cobrança, faturamento e prevenção à fraude (planos pagos)	Execução de contrato (V) e cumprimento de obrigação legal (II)
4	Comunicações transacionais (e-mails sobre status do site, recuperação de senha, alertas de segurança)	Execução de contrato (V)
5	Comunicações de marketing direto sobre novidades da plataforma	Consentimento (I), com opt-out a qualquer tempo
6	Integração com Instagram para puxar avatar, bio e publicações	Consentimento explícito (I) durante o fluxo de OAuth
7	Geração de posts em redes sociais por meio de inteligência artificial	Execução de contrato (V) — todo conteúdo passa por aprovação manual do Médico antes de publicação
8	Análise estatística e melhoria da plataforma	Legítimo interesse (IX), com salvaguardas (anonimização, agregação)
9	Cumprimento de obrigações legais e regulatórias (CFM, fiscais, ANPD)	Cumprimento de obrigação legal (II)
10	Defesa de direitos em processo administrativo, judicial ou arbitral	Exercício regular de direitos (VI)
11	Atendimento ao Titular (suporte, dúvidas, exercício de direitos LGPD)	Execução de contrato (V) e cumprimento de obrigação legal (II)

5. Como utilizamos inteligência artificial

A plataforma Solys utiliza modelos de linguagem fornecidos pela Anthropic, PBC (modelos da família Claude) para auxiliar na geração de conteúdo, sugestão de identidade visual, redação de textos institucionais e elaboração de posts para redes sociais. Os Usuários reconhecem e concordam que:

As informações que o Usuário insere no onboarding e no painel podem ser enviadas aos modelos da Anthropic para processamento dentro do escopo da prestação dos serviços.
A Anthropic atua como operadora do Solys e tem por contrato a obrigação de não utilizar os dados dos Usuários para treinamento de modelos, conforme suas políticas vigentes para clientes de API empresarial.
Todo conteúdo gerado por IA voltado à publicação pública (site, post de rede social) é submetido a um agente de validação de conformidade com a Resolução CFM nº 2.336/2023 e, em seguida, passa por aprovação manual do Médico antes de qualquer publicação.
O Médico permanece único e exclusivo responsável pelo conteúdo final publicado em seu nome, em estrita observância às normas do CFM e à legislação aplicável.

6. Compartilhamento com terceiros

O Solys compartilha dados pessoais exclusivamente com operadores e parceiros estritamente necessários à prestação dos serviços, mediante contratos com cláusulas de proteção de dados:

Terceiro	Finalidade	Categoria de dados	Localização
Vercel Inc.	Hospedagem do frontend e edge functions	Dados de sessão, IP, logs técnicos	EUA
Supabase Inc.	Banco de dados, autenticação, armazenamento de arquivos	Todos os dados de cadastro do Usuário	EUA
Anthropic, PBC	Processamento por modelos de IA	Dados textuais inseridos pelo Usuário	EUA
Render Services Inc.	Worker de processamento assíncrono	Dados em trânsito durante geração de conteúdo	EUA
Resend (Resend Inc.)	Envio de e-mails transacionais	E-mail, nome, conteúdo da mensagem	EUA
Asaas Gestão Financeira S.A.	Processamento de pagamentos e assinaturas	CPF, dados de cobrança, histórico de pagamentos	Brasil
Meta Platforms Ireland Ltd.	Integração Instagram (mediante consentimento)	Token de acesso, dados públicos do perfil Instagram	Irlanda / EUA
Cloudflare, Inc.	DNS e proteção contra ataques	IP, dados técnicos de requisição	EUA
Plausible Insights OÜ	Analytics agregado e privacy-first	Dados anônimos de uso	Estônia (UE)

Não vendemos, alugamos ou cedemos dados pessoais a terceiros para fins de marketing alheio à plataforma. Compartilhamentos com autoridades públicas ocorrem apenas mediante ordem judicial, requisição administrativa formal fundamentada ou cumprimento de obrigação legal.

7. Transferência internacional de dados

Parte de nossa infraestrutura está localizada fora do Brasil (Estados Unidos, Irlanda e Estônia, conforme Seção 6). Tais transferências são realizadas com fundamento no art. 33 da LGPD, mediante:

Contratos com cláusulas-padrão de proteção contratual com cada operador;
Verificação de que os países de destino oferecem grau de proteção adequado ou que o operador adota práticas alinhadas à LGPD;
Aplicação de medidas técnicas (criptografia em trânsito via TLS 1.2+ e em repouso) e organizacionais adequadas.

8. Cookies e tecnologias similares

Utilizamos cookies e tecnologias semelhantes para:

Cookies estritamente necessários: autenticação, manutenção de sessão, segurança. Não podem ser desativados sem comprometer a funcionalidade da plataforma.
Cookies de preferências: idioma, tema. Aprimoram a experiência do Usuário.
Cookies analíticos (Plausible): mensuração de uso agregado, privacy-first, sem identificação individual e sem cross-site tracking.

Não utilizamos cookies publicitários de terceiros nem pixels de rastreamento de redes sociais nas páginas autenticadas da plataforma. O gerenciamento de cookies pode ser feito pelo painel de privacidade no rodapé do site.

9. Retenção de dados

Mantemos os dados pessoais pelo período necessário ao cumprimento das finalidades para as quais foram coletados:

Categoria	Prazo de retenção
Dados de cadastro do Usuário ativo	Enquanto a conta estiver ativa
Dados de cadastro após encerramento da conta	90 dias para reativação; após, anonimização ou exclusão definitiva, salvo obrigação legal de retenção
Registros financeiros e fiscais	5 anos (art. 174 do Código Tributário Nacional)
Logs de acesso a aplicação (art. 15, Marco Civil da Internet)	6 meses
Logs de conexão (art. 13, Marco Civil da Internet)	1 ano
Conteúdo gerado e publicado	Enquanto o site estiver no ar; após despublicação, 30 dias em backup
Comunicações de suporte	2 anos a contar do encerramento do atendimento
Tokens OAuth de terceiros (Instagram, etc.)	Revogados imediatamente após desconexão pelo Usuário

Após os respectivos prazos, os dados são excluídos ou anonimizados de forma irreversível, exceto quando existir obrigação legal, regulatória ou exercício regular de direitos que justifique a retenção.

10. Direitos do Titular

Nos termos do art. 18 da LGPD, o Titular pode, a qualquer tempo e gratuitamente, exercer os seguintes direitos:

Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
Portabilidade dos dados a outro fornecedor de serviço, observados os segredos comercial e industrial;
Eliminação dos dados tratados com consentimento, ressalvadas as hipóteses do art. 16 da LGPD;
Informação sobre entidades públicas ou privadas com as quais houve uso compartilhado;
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Revogação do consentimento, quando aplicável;
Oposição a tratamento realizado com fundamento em hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD;
Revisão de decisões automatizadas que afetem seus interesses.

Como exercer

Solicitações podem ser enviadas a contato@solys.io ou pelo painel "Privacidade e Dados" dentro da própria plataforma, em até 24 (vinte e quatro) horas após o recebimento. Atenderemos a solicitação no prazo de 15 (quinze) dias, conforme art. 19, §3º, da LGPD.

Endpoint de exclusão para integrações Meta

Em conformidade com os requisitos da Meta Platforms para apps que integram Instagram, disponibilizamos endpoint público para solicitação de exclusão de dados: https://solys.io/legal/data-deletion A solicitação retorna um identificador de confirmação e processa a exclusão em até 30 (trinta) dias.

11. Segurança da informação

Adotamos medidas técnicas, administrativas e organizacionais aptas a proteger os dados contra acessos não autorizados, alteração indevida, perda ou divulgação não autorizada, conforme art. 46 da LGPD. Entre elas:

Criptografia em trânsito (TLS 1.2 ou superior) em todas as conexões;
Criptografia em repouso para dados sensíveis e tokens de acesso;
Row-Level Security (RLS) no banco de dados, garantindo que cada Usuário só acesse seus próprios dados;
Autenticação por magic link ou senha forte, com expiração configurada;
Logging e monitoramento de eventos de segurança;
Controle de acesso baseado em função (RBAC) para colaboradores internos;
Backups diários com retenção mínima de 30 dias;
Auditorias periódicas de configuração de infraestrutura;
Testes de penetração quando da introdução de novas funcionalidades críticas.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, na forma do art. 48 da LGPD.

12. Crianças e adolescentes

A plataforma Solys destina-se exclusivamente a profissionais médicos maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos cadastro de menor de idade, a conta será suspensa e os dados eliminados.

13. Alterações desta Política

Esta Política pode ser atualizada periodicamente. Alterações materiais serão comunicadas com antecedência mínima de 15 (quinze) dias, via e-mail e aviso destacado no painel da plataforma, antes de produzirem efeitos. A continuidade no uso após a vigência da nova versão implica concordância tácita, sem prejuízo dos direitos de oposição e revogação previstos na LGPD.

14. Encarregado pelo Tratamento de Dados (DPO) e contato

Dúvidas, reclamações ou exercício de direitos podem ser dirigidos ao Encarregado:

Arthur Teixeira de Almeida E-mail: contato@solys.io Endereço: Avenida Paulista, 1106 — São Paulo/SP

Ou diretamente à Autoridade Nacional de Proteção de Dados: ANPD — https://www.gov.br/anpd/pt-br

15. Foro

Fica eleito o foro da Comarca de São Paulo, Estado de SP, com renúncia expressa a qualquer outro, por mais privilegiado que seja, para dirimir quaisquer questões oriundas da aplicação ou interpretação desta Política de Privacidade, ressalvado ao Titular o direito de optar pelo foro de seu domicílio nos termos do Código de Defesa do Consumidor, quando aplicável.