LGPD

Política de Privacidade

Esta política descreve como tratamos dados pessoais no Gestor AASS com base na Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e nos requisitos da Google Cloud.

Última atualização: 14 de Fevereiro de 2026

1. Controlador e Encarregado

O Gestor AASS atua como controlador dos dados pessoais tratados no contexto deste sistema. O contato do nosso Encarregado de Proteção de Dados (DPO) é [email protected].

Quando o sistema é distribuído para empresas clientes, cada empresa pode assumir a posição de controlador em relação aos dados dos seus próprios pacientes, colaboradores ou parceiros. Nesses casos, o Gestor AASS atua como operador de acordo com contratos específicos.

2. Quais dados coletamos

Os dados pessoais tratados variam conforme as funcionalidades utilizadas pela empresa cliente, incluindo:

  • Dados de identificação: nome, CPF, RG, data de nascimento, sexo, nacionalidade.
  • Dados de contato: telefone, e-mail, endereço completo.
  • Dados profissionais: CRM/COREN/CRP, especialidade, agenda e disponibilidade.
  • Dados de saúde e prontuário: informações de atendimento, CID, prescrições, anexos clínicos e registros históricos, sempre com base legal apropriada.
  • Dados financeiros e administrativos: convênios, autorizações, cobranças e histórico de faturamento.
  • Registros técnicos: logs de acesso, endereço IP, identificadores de dispositivo, carimbos de data e hora e preferências de navegação necessárias para auditoria e segurança.

Dados sensíveis são tratados apenas quando fornecidos voluntariamente e vinculados às finalidades de assistência à saúde, suporte ao prontuário ou obrigações legais do controlador.

3. Finalidades e bases legais

Tratamos dados pessoais com as seguintes bases legais:

  • Execução de contrato (Art. 7º, V, LGPD): cadastro de pacientes, agenda, faturamento, comunicações e suporte.
  • Cumprimento de obrigação legal ou regulatória (Art. 7º, II): emissão de notas fiscais, relatórios sanitários, registros contábeis.
  • Proteção da vida ou da incolumidade física (Art. 11, II, “a”): acesso rápido a informações críticas em emergências clínicas.
  • Legítimo interesse (Art. 7º, IX): melhoria contínua da plataforma, prevenção a fraudes e manutenção de segurança, sempre com avaliação de impacto e salvaguardas.
  • Consentimento (Art. 7º, I): envio de comunicações de marketing ou utilização de recursos opcionais quando exigido.

4. Uso de infraestrutura Google Cloud Platform

O Gestor AASS utiliza serviços da Google Cloud Platform (GCP) como provedor de nuvem. As principais medidas adotadas são:

  • Localização de dados: preferencialmente em regiões da América do Sul (ex.: southamerica-east1, São Paulo). Caso seja necessário distribuir para outras regiões para alta disponibilidade, asseguramos cláusulas de proteção equivalentes.
  • Criptografia: dados em repouso são protegidos com chaves gerenciadas pela Google (AES-256) e, quando aplicável, chaves adicionais gerenciadas pelo Gestor AASS. Dados em trânsito utilizam TLS 1.2+.
  • Subprocessadores auditados: seguimos o Data Processing Addendum (DPA) da Google Cloud e mantemos inventário de subprocessadores disponível para clientes mediante solicitação.
  • Monitoramento: registros de acesso, alertas de segurança e políticas de retenção são configurados usando Cloud Logging, Cloud Monitoring e Identity and Access Management (IAM).

Quando a empresa cliente contrata integrações adicionais (por exemplo, APIs de IA, SMS ou e-mail), novos subprocessadores podem ser envolvidos mediante acordo específico.

5. Compartilhamento e transferência internacional

Compartilhamos dados pessoais somente com:

  • Empresas do mesmo grupo econômico estritamente para suporte ou faturamento.
  • Operadores essenciais (provedores de hospedagem, mensageria e suporte técnico) com cláusulas contratuais de proteção de dados.
  • Autoridades públicas quando houver obrigação legal ou ordem judicial.

Transferências internacionais podem ocorrer devido ao uso da Google Cloud ou de integrações específicas. Utilizamos cláusulas contratuais padrão, avaliações de impacto e, quando necessário, mecanismos adicionais para garantir nível adequado de proteção (Art. 33 a 36 da LGPD).

6. Segurança da informação

Implementamos controles administrativos, técnicos e físicos alinhados às melhores práticas (ISO 27001, NIST CSF), incluindo:

  • Controle de acesso com autenticação multifator para contas privilegiadas.
  • Registro e monitoramento de atividades críticas com retenção mínima de 12 meses.
  • Testes periódicos de resiliência, backup criptografado e plano de continuidade.
  • Princípio do mínimo privilégio e segregação de ambientes de produção, homologação e desenvolvimento.

Em caso de incidente de segurança, notificaremos o controlador e a Autoridade Nacional de Proteção de Dados (ANPD) quando exigido, descrevendo impacto, medidas adotadas e orientações de mitigação.

7. Direitos dos titulares

Os titulares de dados podem exercer os direitos previstos nos Art. 18 e 20 da LGPD:

  1. Confirmação da existência de tratamento.
  2. Acesso aos dados.
  3. Correção de dados incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
  5. Portabilidade a outro fornecedor, observados segredos comerciais.
  6. Eliminação de dados tratados com consentimento.
  7. Informação sobre compartilhamento e responsabilidade dos agentes.
  8. Revogação do consentimento.

Para exercer os direitos, abra um chamado no canal indicado pela sua empresa ou envie mensagem para [email protected]. Solicitaremos comprovação de identidade antes de responder.

8. Retenção e descarte

Os dados são mantidos somente enquanto necessários para cumprir as finalidades declaradas, contratos vigentes e obrigações legais. Após esse período, adotamos técnicas seguras de descarte ou anonimização, salvo quando a lei exigir conservação por prazo superior.

9. Cookies e tecnologias similares

Utilizamos cookies estritamente necessários ao funcionamento da plataforma (autenticação, balanceamento de carga e segurança). Cookies opcionais de analytics só são ativados mediante consentimento. É possível gerenciar cookies no navegador; a desativação pode afetar funcionalidades essenciais.

10. Atualizações desta política

Podemos atualizar esta política para refletir mudanças legislativas, contratuais ou tecnológicas. Quando alterações relevantes ocorrerem, avisaremos pelo sistema ou pelos canais de comunicação cadastrados. A versão vigente estará sempre disponível nesta página.

11. Como falar conosco

Entre em contato com o nosso Encarregado de Proteção de Dados pelo e-mail [email protected]. Informe detalhes da solicitação e, se aplicável, a empresa controladora responsável pelo tratamento.