Simpla.fy Saúde Simpla.fy Seguros Acesse seu Simplafy Teste grátis Quero simplificar
Documentos Legais

Política de Privacidade

Última atualização: Abril de 2026

Português (vinculante) + English (informational)

Esta versão em inglês é fornecida apenas para conveniência. Em caso de conflito, a versão em português prevalecerá.

VERSÃO VINCULANTE — PORTUGUÊS

A presente Política de Privacidade descreve como a Simplafy Ltda realiza o tratamento de dados pessoais por meio das plataformas Simpla.fy Saúde, Simpla.fy Seguros e Simpla.fy Hub, em conformidade com a Lei nº 13.709/2018 (LGPD) e demais normas aplicáveis.

CLÁUSULA PRIMEIRA — PAPÉIS NO TRATAMENTO

1.1. Em regra, o cliente/USUÁRIO é o Controlador dos dados pessoais inseridos na Plataforma (inclusive dados de terceiros e de seus clientes finais).

1.2. A Simplafy Ltda atua como Operadora desses dados, tratando-os conforme as instruções do Controlador e para execução do serviço.

1.3. A Simplafy Ltda atua como Controladora apenas dos dados administrativos, cadastrais, comerciais e de suporte necessários à sua relação contratual (ex.: dados de faturamento, cadastro e comunicações de serviço).

CLÁUSULA SEGUNDA — DADOS COLETADOS E TRATADOS

2.1. Poderão ser tratados: (i) dados cadastrais e contratuais; (ii) dados técnicos (IP, navegador, dispositivo), logs e registros de acesso; (iii) métricas de uso; e (iv) Conteúdos processados conforme instruções do Controlador.

2.2. Informações de pagamento podem ser processadas por prestadores terceirizados, conforme a oferta contratada e os meios de pagamento utilizados.

2.3. A Plataforma suporta comunicação por múltiplos canais, incluindo WhatsApp, Telegram e chat via web, podendo processar mensagens, mídias e metadados associados a essas interações.

2.4. Documentos, arquivos e conteúdos enviados pelo Controlador para funcionalidades de base de conhecimento (RAG/KB) são processados para indexação e recuperação de informações.

2.5. Credenciais de integração fornecidas pelo Controlador são armazenadas com criptografia AES-256-GCM.

CLÁUSULA SEGUNDA-A — COOKIES, RASTREAMENTO E TECNOLOGIAS SIMILARES

2-A.1. O site institucional (simplafy.com.br) utiliza Google Tag Manager (GTM) para gerenciamento de tags de análise de tráfego e desempenho.

2-A.2. Meta Pixel é utilizado para fins de remarketing e mensuração de campanhas publicitárias. Os dados coletados incluem páginas visitadas, ações realizadas e identificadores de dispositivo.

2-A.3. Langfuse é utilizado para observabilidade de funcionalidades de inteligência artificial, processando exclusivamente metadados operacionais (latência, tokens, modelos utilizados), sem acesso a dados pessoais de titulares finais.

2-A.4. O USUÁRIO pode gerenciar cookies por meio das configurações do navegador. A desativação de determinados cookies pode limitar funcionalidades do site.

CLÁUSULA TERCEIRA — FINALIDADES DO TRATAMENTO

3.1. Os dados são utilizados para: (i) fornecer, operar e melhorar a Plataforma; (ii) autenticação, suporte e segurança; (iii) processamento de pagamentos e gestão contratual; (iv) comunicações relacionadas ao serviço; (v) prevenção a fraudes e incidentes; e (vi) cumprimento de obrigações legais.

CLÁUSULA QUARTA — BASES LEGAIS (LGPD)

4.1. O tratamento poderá se basear, conforme o caso, em: execução de contrato; cumprimento de obrigação legal/regulatória; legítimo interesse; e consentimento, quando aplicável.

CLÁUSULA QUINTA — DADOS PESSOAIS SENSÍVEIS (SAÚDE)

5.1. Em contextos específicos, especialmente na área da saúde, a Plataforma poderá tratar dados pessoais sensíveis (incluindo dados de saúde) exclusivamente para execução do serviço e conforme instruções do Controlador.

5.2. O Controlador é responsável por assegurar a base legal adequada para tratamento de dados sensíveis, inclusive consentimentos quando exigidos.

CLÁUSULA QUINTA-A — TRATAMENTO DE DADOS POR INTELIGÊNCIA ARTIFICIAL

5-A.1. Funcionalidades da Plataforma baseadas em inteligência artificial (IA) podem processar dados pessoais e dados pessoais sensíveis exclusivamente para a execução do serviço contratado e conforme as instruções do Controlador.

5-A.2. O processamento por IA observa as mesmas bases legais, finalidades e medidas de segurança aplicáveis ao tratamento convencional de dados descrito nesta Política. Não há criação de bases de dados adicionais ou transferência de dados para finalidades distintas das contratadas.

5-A.3. Dados processados por funcionalidades de IA não são utilizados para treinamento de modelos de inteligência artificial de terceiros, salvo quando expressamente autorizado pelo Controlador.

5-A.4. O Controlador mantém todos os direitos e responsabilidades sobre os dados processados por funcionalidades de IA, nos mesmos termos das demais funcionalidades da Plataforma.

CLÁUSULA QUINTA-B — COMPLEMENTARIDADE COM NORMATIVOS SETORIAIS

5-B.1. O tratamento de dados pessoais pela Plataforma observa, além da LGPD, normativos setoriais aplicáveis ao contexto de saúde, incluindo a Resolução CFM nº 2.454/2026 (vigência em agosto/2026), que regulamenta o uso de inteligência artificial na medicina.

5-B.2. A Resolução CFM nº 2.454/2026 não substitui, dispensa ou limita as obrigações de proteção de dados decorrentes da LGPD. A Plataforma observa ambos os normativos de forma complementar.

5-B.3. O setor de saúde está entre as áreas prioritárias de atuação da Autoridade Nacional de Proteção de Dados (ANPD). A Simplafy Ltda mantém suas práticas de governança e segurança de dados atualizadas e em conformidade com as orientações da ANPD.

CLÁUSULA SEXTA — SEGURANÇA DA INFORMAÇÃO

6.1. Adotamos medidas técnicas e organizacionais adequadas, compatíveis com a natureza dos dados e riscos envolvidos, incluindo controles de acesso, registros de eventos, rotinas de backup e medidas de proteção contra acesso não autorizado.

6.2. Credenciais de integração do Controlador são armazenadas com criptografia AES-256-GCM, com chave-mestre gerida por cofre de segredos dedicado (Infisical), isolado por ambiente.

6.3. A infraestrutura utiliza isolamento multi-tenant por organização, garantindo que dados de um Controlador não sejam acessíveis por outro.

CLÁUSULA SÉTIMA — COMPARTILHAMENTO E SUBOPERADORES

7.1. Poderá haver compartilhamento com prestadores essenciais (suboperadores), sob obrigações contratuais de confidencialidade e proteção de dados. Os principais suboperadores são:

  • OpenAI (Estados Unidos) — Processamento de linguagem natural e geração de texto
  • Google Cloud (Estados Unidos) — Infraestrutura de nuvem e modelos de IA
  • Cohere (Canadá) — Processamento de linguagem e embeddings para busca semântica
  • Evolution API (Brasil) — Integração com canais WhatsApp e Telegram
  • Brevo (Sendinblue) (França) — Envio de e-mails transacionais e notificações
  • Stripe (Estados Unidos) — Processamento de pagamentos
  • Supabase (Estados Unidos) — Banco de dados e autenticação (produto Saúde)
  • Hetzner (Alemanha/Finlândia) — Infraestrutura de servidores

7.2. A lista de suboperadores poderá ser atualizada. Alterações relevantes serão comunicadas ao Controlador por meio da Plataforma ou do site institucional.

7.3. Integrações com plataformas de terceiros (ex.: Pipefy, Gmail, Followize) podem ser ativadas pelo Controlador/USUÁRIO, conforme suas escolhas e autorizações. Dados trafegados para essas plataformas são de responsabilidade do Controlador, que deve assegurar bases legais adequadas junto aos respectivos provedores.

CLÁUSULA OITAVA — TRANSFERÊNCIA INTERNACIONAL

8.1. Dados pessoais poderão ser transferidos para suboperadores localizados fora do Brasil, conforme listado na Cláusula Sétima. Nestes casos, são adotadas cláusulas contratuais padrão (SCCs) e/ou outros mecanismos reconhecidos pela LGPD para assegurar nível de proteção adequado.

8.2. Os seguintes suboperadores operam fora do território brasileiro: OpenAI (EUA), Google Cloud (EUA), Cohere (Canadá), Brevo (França), Stripe (EUA), Supabase (EUA) e Hetzner (Alemanha/Finlândia).

CLÁUSULA NONA — RETENÇÃO E DESCARTE

9.1. Os dados serão mantidos pelo tempo necessário às finalidades informadas, para exercício regular de direitos, ou por períodos legalmente exigidos. Após, serão excluídos ou anonimizados, quando aplicável.

9.2. Documentos enviados para a base de conhecimento (RAG/KB) são retidos enquanto a conta do Controlador estiver ativa e serão excluídos em até 30 (trinta) dias após o cancelamento da conta ou solicitação de exclusão.

9.3. Credenciais de integração são excluídas imediatamente após a desativação da integração correspondente ou o cancelamento da conta.

CLÁUSULA DÉCIMA — DIREITOS DOS TITULARES

10.1. Os titulares podem solicitar confirmação de tratamento, acesso, correção, exclusão, portabilidade, revogação de consentimento e oposição, nos termos da LGPD.

10.2. Canal: falecom@simplafy.com.br. Responderemos no prazo de até 15 (quinze) dias, conforme o Art. 18, §5º da LGPD.

CLÁUSULA DÉCIMA PRIMEIRA — INCIDENTES DE SEGURANÇA

11.1. Incidentes relevantes serão avaliados e, quando exigido, comunicados ao Controlador/cliente e à Autoridade Nacional de Proteção de Dados (ANPD), nos termos aplicáveis.

CLÁUSULA DÉCIMA SEGUNDA — ENCARREGADO (DPO)

12.1. Contato do Encarregado de Proteção de Dados (DPO): dpo@simplafy.com.br.

CLÁUSULA DÉCIMA TERCEIRA — ALTERAÇÕES DESTA POLÍTICA

13.1. Esta Política poderá ser atualizada para refletir mudanças legais, técnicas ou operacionais. A versão vigente será disponibilizada ao USUÁRIO por meio da Plataforma ou do site institucional.

CLÁUSULA DÉCIMA QUARTA — FORO

14.1. Aplica-se a legislação brasileira, elegendo-se o foro da Comarca de Brasília/DF.

INFORMATIONAL TRANSLATION — ENGLISH

This version is provided for convenience. In case of conflict, the Portuguese version shall prevail.

This Privacy Policy describes how Simplafy Ltda processes personal data through the Simpla.fy Saúde, Simpla.fy Seguros and Simpla.fy Hub platforms in accordance with Brazil's General Data Protection Law (LGPD — Law No. 13,709/2018) and other applicable rules.

SECTION 1 — PROCESSING ROLES

1.1. As a rule, the client/USER acts as the Data Controller of personal data entered into the Platform (including data of third parties and end customers).

1.2. Simplafy Ltda acts as the Data Processor for such data, processing it under the Controller's instructions and for the execution of the services.

1.3. Simplafy Ltda acts as Data Controller only for its own administrative, registration, commercial and support data required for the contractual relationship (e.g., billing, account and service communications).

SECTION 2 — DATA COLLECTED AND PROCESSED

2.1. The Platform may process: (i) registration and contractual data; (ii) technical data (IP, browser, device), logs and access records; (iii) usage metrics; and (iv) Content processed according to the Controller's instructions.

2.2. Payment information may be processed by third-party providers, depending on the contracted offer and payment method.

2.3. The Platform supports multi-channel communication, including WhatsApp, Telegram and web chat, and may process messages, media and metadata associated with those interactions.

2.4. Documents, files and content uploaded by the Controller for knowledge base features (RAG/KB) are processed for indexing and information retrieval.

2.5. Integration credentials provided by the Controller are stored with AES-256-GCM encryption.

SECTION 2-A — COOKIES, TRACKING AND SIMILAR TECHNOLOGIES

2-A.1. The institutional website (simplafy.com.br) uses Google Tag Manager (GTM) for traffic analysis and performance tag management.

2-A.2. Meta Pixel is used for remarketing and advertising campaign measurement. Data collected includes pages visited, actions taken and device identifiers.

2-A.3. Langfuse is used for AI feature observability, processing only operational metadata (latency, tokens, models used), without access to end-user personal data.

2-A.4. The USER may manage cookies through browser settings. Disabling certain cookies may limit website functionality.

SECTION 3 — PURPOSES OF PROCESSING

3.1. Data is used to: (i) provide, operate and improve the Platform; (ii) authentication, support and security; (iii) payment processing and contract management; (iv) service-related communications; (v) fraud and incident prevention; and (vi) compliance with legal obligations.

SECTION 4 — LEGAL BASES (LGPD)

4.1. Processing may rely, as applicable, on contract performance, legal/regulatory obligation, legitimate interests, and consent.

SECTION 5 — SENSITIVE PERSONAL DATA (HEALTH)

5.1. In specific contexts, especially healthcare, the Platform may process sensitive personal data (including health-related data) solely for the execution of the services and under the Controller's instructions.

5.2. The Controller is responsible for ensuring an appropriate legal basis for processing sensitive data, including obtaining consents where required.

SECTION 5-A — DATA PROCESSING BY ARTIFICIAL INTELLIGENCE

5-A.1. AI-powered Platform features may process personal data and sensitive personal data solely for the execution of contracted services and under the Controller's instructions.

5-A.2. AI processing observes the same legal bases, purposes and security measures applicable to conventional data processing described in this Policy. No additional databases are created nor is data transferred for purposes other than those contracted.

5-A.3. Data processed by AI features is not used for training third-party artificial intelligence models, unless expressly authorized by the Controller.

5-A.4. The Controller retains all rights and responsibilities over data processed by AI features, on the same terms as other Platform features.

SECTION 5-B — COMPLEMENTARITY WITH SECTOR REGULATIONS

5-B.1. Data processing by the Platform complies, in addition to the LGPD, with applicable sector regulations in the healthcare context, including CFM Resolution No. 2,454/2026 (effective August/2026), which regulates the use of artificial intelligence in medicine.

5-B.2. CFM Resolution No. 2,454/2026 does not replace, waive or limit data protection obligations arising from the LGPD. The Platform observes both regulatory frameworks in a complementary manner.

5-B.3. The healthcare sector is among the priority areas of the Brazilian Data Protection Authority (ANPD). Simplafy Ltda maintains its data governance and security practices updated and in compliance with ANPD guidance.

SECTION 6 — INFORMATION SECURITY

6.1. We adopt appropriate technical and organizational measures, compatible with the nature of the data and the risks involved, including access controls, event logging, backup routines and safeguards against unauthorized access.

6.2. Controller integration credentials are stored with AES-256-GCM encryption, with the master key managed through a dedicated secrets vault (Infisical), isolated per environment.

6.3. The infrastructure uses multi-tenant isolation per organization, ensuring that one Controller's data is not accessible by another.

SECTION 7 — DATA SHARING AND SUB-PROCESSORS

7.1. Data may be shared with essential sub-processors, under contractual confidentiality and data protection obligations. The main sub-processors are:

  • OpenAI (United States) — Natural language processing and text generation
  • Google Cloud (United States) — Cloud infrastructure and AI models
  • Cohere (Canada) — Language processing and embeddings for semantic search
  • Evolution API (Brazil) — WhatsApp and Telegram channel integration
  • Brevo (Sendinblue) (France) — Transactional emails and notifications
  • Stripe (United States) — Payment processing
  • Supabase (United States) — Database and authentication (Saúde product)
  • Hetzner (Germany/Finland) — Server infrastructure

7.2. The sub-processor list may be updated. Relevant changes will be communicated to the Controller through the Platform or institutional website.

7.3. Integrations with third-party platforms (e.g., Pipefy, Gmail, Followize) may be enabled by the Controller/USER based on their choices and authorizations. Data flowing to those platforms is the Controller's responsibility, who must ensure adequate legal bases with the respective providers.

SECTION 8 — INTERNATIONAL TRANSFERS

8.1. Personal data may be transferred to sub-processors located outside Brazil, as listed in Section 7. In such cases, standard contractual clauses (SCCs) and/or other mechanisms recognized by the LGPD are adopted to ensure an adequate level of protection.

8.2. The following sub-processors operate outside Brazilian territory: OpenAI (USA), Google Cloud (USA), Cohere (Canada), Brevo (France), Stripe (USA), Supabase (USA) and Hetzner (Germany/Finland).

SECTION 9 — RETENTION AND DISPOSAL

9.1. Data is retained only as long as necessary for the stated purposes, for the exercise of rights, or for legally required periods. Afterwards, it will be deleted or anonymized, as applicable.

9.2. Documents uploaded to the knowledge base (RAG/KB) are retained while the Controller's account is active and will be deleted within 30 (thirty) days after account cancellation or deletion request.

9.3. Integration credentials are deleted immediately upon deactivation of the corresponding integration or account cancellation.

SECTION 10 — DATA SUBJECT RIGHTS

10.1. Data subjects may request confirmation of processing, access, correction, deletion, portability, withdrawal of consent and objection, as provided by the LGPD.

10.2. Contact channel: falecom@simplafy.com.br. We will respond within 15 (fifteen) days, as required by LGPD Art. 18, §5.

SECTION 11 — SECURITY INCIDENTS

11.1. Relevant incidents will be assessed and, where required, communicated to the Controller/client and to the Brazilian Data Protection Authority (ANPD) under applicable rules.

SECTION 12 — DATA PROTECTION OFFICER (DPO)

12.1. DPO contact: dpo@simplafy.com.br.

SECTION 13 — CHANGES TO THIS POLICY

13.1. This Policy may be updated to reflect legal, technical or operational changes. The current version will be made available through the Platform or the official website.

SECTION 14 — GOVERNING LAW AND JURISDICTION

14.1. Brazilian law applies, with exclusive jurisdiction of the courts of Brasília, DF, Brazil.