Acordo de Processamento de Dados (DPA)

1. Definições

"Dados Pessoais" significa qualquer informação relativa a uma pessoa física identificada ou identificável processada pela CBCTHub em nome do Controlador.

"Dados Sensíveis de Saúde" são dados relativos ao estado de saúde, diagnósticos, imagens médicas DICOM e metadados clínicos do paciente.

"Sub-operador" é qualquer terceiro contratado pela CBCTHub para processar Dados Pessoais em nome do Controlador.

2. Objeto e duração do tratamento

A CBCTHub processa Dados Pessoais exclusivamente para fornecer a plataforma SaaS de visualização, armazenamento e compartilhamento de exames radiográficos dentários contratada pelo Controlador.

O tratamento durará enquanto a assinatura do Controlador estiver ativa. Após o término, a CBCTHub eliminará os Dados Pessoais em até 30 dias corridos, exceto quando a lei exigir retenção.

3. Natureza e finalidade do tratamento

A CBCTHub realiza as seguintes operações sobre os Dados Pessoais:

• Recepção e armazenamento criptografado de arquivos DICOM (AES-256 em repouso)
• Visualização web e por aplicativo móvel (processamento DICOM 100% no navegador do usuário final; os pixels não são transmitidos ao servidor)
• Geração de relatórios em PDF a pedido do usuário
• Compartilhamento via link público ou privado com terceiros designados pelo Controlador
• Registro de atividades (audit log) para fins de segurança e conformidade

4. Tipos de dados pessoais e categorias de titulares

Categorias de titulares: pacientes do Controlador, profissionais de saúde associados ao Controlador, encaminhadores e terceiros designados pelo Controlador.

Tipos de dados: nome do paciente, identificador do paciente, data de nascimento, motivo do estudo, imagens DICOM e metadados associados, dados do profissional (nome, e-mail, telefone, clínica).

5. Obrigações do Operador

A CBCTHub se compromete a:

• Processar os Dados Pessoais apenas conforme instruções documentadas do Controlador.
• Garantir confidencialidade por meio de acordos com todo o pessoal com acesso a Dados Pessoais.
• Implementar medidas técnicas e organizacionais apropriadas (ver seção 8).
• Assistir o Controlador no cumprimento dos direitos dos titulares (acesso, retificação, oposição, portabilidade, eliminação).
• Notificar sem demora indevida qualquer violação de segurança relevante (ver seção 9).
• Cooperar com a autoridade de controle conforme legalmente exigido.

6. Sub-operadores autorizados

O Controlador autoriza a CBCTHub a contratar os seguintes sub-operadores:

• Supabase Inc. (Estados Unidos) — Autenticação e banco de dados
• Cloudflare Inc. (global) — Armazenamento de arquivos DICOM (R2)
• Vercel Inc. (Estados Unidos) — Hospedagem da aplicação web
• Stripe Inc. (Estados Unidos) — Processamento de pagamentos (não recebe Dados Sensíveis de Saúde)
• Resend Inc. (Estados Unidos) — Envio transacional de e-mail

7. Transferências internacionais

Alguns sub-operadores processam dados em jurisdições fora do país do Controlador (incluindo Estados Unidos). Tais transferências são amparadas por: (a) Cláusulas Contratuais Padrão (SCC) aprovadas pela Comissão Europeia quando aplicável GDPR; (b) cláusulas equivalentes regionais para LGPD, Lei 21.719 e demais. Os provedores listados mantêm certificações SOC 2 Type II ou ISO 27001.

8. Medidas técnicas e organizacionais

A CBCTHub implementa as seguintes medidas:

• Criptografia de Dados Pessoais em repouso (AES-256) e em trânsito (TLS 1.2+)
• Controle de acesso baseado em funções a nível de linha (RLS no banco de dados)
• Hash criptográfico de senhas (bcrypt via Supabase Auth)
• Registro de auditoria de operações críticas com timestamp e user_id
• Processamento DICOM no cliente — os pixels nunca chegam ao servidor da CBCTHub
• Backups criptografados com retenção de 30 dias
• Testes de segurança e revisão de dependências periódicos

9. Notificação de violação de segurança

A CBCTHub notificará o Controlador sem demora indevida e, em qualquer caso, dentro de 72 horas após tomar conhecimento de uma violação de segurança que afete Dados Pessoais do Controlador. A notificação será enviada ao e-mail registrado do Controlador e incluirá: natureza do incidente, categorias e quantidades aproximadas afetadas, medidas tomadas e contato para mais informações.

Contato de incidentes: security@cbcthub.com

10. Auditoria

A CBCTHub coloca à disposição do Controlador as informações necessárias para demonstrar o cumprimento deste DPA. O Controlador pode solicitar uma auditoria uma vez por ano com aviso prévio razoável de 30 dias, ou quando exigido por autoridade de controle.

11. Devolução e eliminação

À escolha do Controlador e ao término da prestação do serviço, a CBCTHub devolverá ou eliminará todos os Dados Pessoais em até 30 dias, exceto quando a lei aplicável exigir retenção por mais tempo.

12. Limitação de responsabilidade

A responsabilidade sob este DPA é regida pelos Termos de Serviço entre o Controlador e a CBCTHub.

13. Lei aplicável e jurisdição

Este DPA será interpretado conforme a lei do Estado de Wyoming, Estados Unidos, sem prejuízo das normas imperativas de proteção de dados aplicáveis ao Controlador em sua jurisdição de origem.

14. Disposições finais

Para uma versão assinada digitalmente com os dados legais específicos do Controlador, escreva para legal@cbcthub.com indicando: razão social, RUT/CNPJ/EIN, endereço e nome do signatário autorizado.