Politica de privacidade

Como tratamos os dados da sua clinica e das suas pacientes.

Esta politica explica, em linguagem clara, como a SeuSaude Tecnologia (controladora do GinecoLab) trata dados pessoais e dados de saude na operacao da plataforma. Vigencia desde 26 de maio de 2026.

1. Quem somos

O GinecoLab e uma plataforma de gestao clinica operada pela SeuSaude Tecnologia, com sede em Salvador, Bahia, Brasil. Para a maioria das operacoes envolvendo dados de pacientes, atuamos como operador (Art. 39 e seguintes da LGPD), ao passo que a clinica contratante atua como controlador dos dados clinicos das suas pacientes.

Para os dados cadastrais da clinica e dos seus profissionais junto a nos (CNPJ, faturamento, contatos comerciais), atuamos como controlador.

2. Definicoes

  • Dados pessoais: qualquer informacao que identifique ou possa identificar uma pessoa natural.
  • Dados pessoais sensiveis: entre eles, os dados de saude, conforme Art. 5, II da LGPD.
  • Tratamento: qualquer operacao com dados pessoais, da coleta a eliminacao.
  • Controlador / Operador: conforme Art. 5, VI e VII da LGPD.

3. Dados que coletamos

3.1 Dados da clinica contratante (na contratacao)

  • Razao social, CNPJ, endereco fiscal.
  • Dados do representante legal: nome, e-mail, telefone, CPF (quando indispensavel para emissao fiscal e contrato).
  • Dados de pagamento: tratados pelo nosso processador autorizado (Asaas).

3.2 Dados dos profissionais usuarios

  • Nome, CRM, especialidade, e-mail e telefone profissional.
  • Logs de acesso (data, IP, user agent) para auditoria de seguranca.

3.3 Dados das pacientes (inseridos pela clinica)

A clinica usa o GinecoLab para registrar dados das suas pacientes. Esses dados pertencem a clinica e a paciente, sendo a SeuSaude Tecnologia o operador. Podem incluir prontuario, anamnese, exames, prescricao, evolucao gineco-obstetrica e historico cirurgico.

4. Dados de saude (LGPD Art. 11)

Dados de saude sao classificados como dados pessoais sensiveis pela LGPD (Art. 5, II) e seu tratamento e disciplinado pelo Art. 11. No GinecoLab, tratamos dados de saude exclusivamente para:

  • Tutela da saude da titular, em procedimento realizado por profissionais de saude (Art. 11, II, "f").
  • Execucao do contrato firmado com a clinica contratante (Art. 11, II, "a", em conjunto com Art. 7, V).
  • Cumprimento de obrigacao legal ou regulatoria pelo controlador (Art. 11, II, "a").

Nao realizamos comunicacao ou uso compartilhado de dados de saude para obtencao de vantagem economica, exceto nas hipoteses expressamente permitidas pelo Art. 11, paragrafos 4 e 5 (por exemplo, portabilidade de dados de saude por solicitacao da titular).

5. Bases legais que utilizamos

  • Execucao de contrato: para operar a plataforma para a clinica contratante.
  • Cumprimento de obrigacao legal: guarda de prontuario por 20 anos (Resolucao CFM 1.821/2007), legislacao fiscal, NF-e.
  • Legitimo interesse: para seguranca, prevencao a fraudes e melhoria do servico, sem prejuizo aos direitos do titular.
  • Tutela da saude: para dados sensiveis, conforme Art. 11, II, "f".
  • Consentimento: em hipoteses especificas (ex.: comunicacoes de marketing, Pixel Meta).

6. Papel de operador (LGPD Art. 41)

Em relacao aos dados das pacientes registrados pela clinica, atuamos como operador nos termos do Art. 39. Nesse papel, seguimos as instrucoes do controlador (a clinica) e:

  • Nao usamos dados de pacientes para fins proprios.
  • Nao compartilhamos dados de pacientes com terceiros, salvo quando determinado pelo controlador ou por obrigacao legal.
  • Mantemos registro de atividades de tratamento (Art. 37) e oferecemos meios para que o controlador atenda solicitacoes de titulares.
  • Indicamos um Encarregado de Dados (DPO) conforme Art. 41.

7. Compartilhamento com terceiros

Compartilhamos dados estritamente necessarios com operadores tecnologicos subcontratados:

  • Asaas: processamento de cobranca recorrente.
  • PlugNotas: emissao de NF-e quando solicitado pela clinica.
  • Brevo: envio de e-mails transacionais e comerciais (com consentimento).
  • Evolution API: envio de mensagens WhatsApp da clinica para a paciente, conforme configurado pela clinica.
  • Cloudflare: camada de seguranca de borda.
  • Provedores de infraestrutura no Brasil: hospedagem em datacenter nacional.

Nao vendemos dados pessoais. Nao realizamos transferencia internacional de dados de pacientes para finalidades de marketing.

8. Retencao

Dados de prontuario sao retidos pelo prazo legal aplicavel ao controlador (clinica), comumente 20 anos para prontuarios medicos (Resolucao CFM 1.821/2007). Dados cadastrais da clinica e de cobranca sao retidos pelo periodo legal fiscal (minimo 5 anos). Logs de seguranca sao retidos por 6 meses, salvo quando relevantes para investigacao em curso.

Ao termino do contrato, o controlador pode solicitar exportacao dos dados em formato estruturado. Apos exportacao concluida, os dados sao eliminados em ate 90 dias, exceto quando obrigatoria a retencao por lei.

9. Seguranca

  • Criptografia em transito (TLS 1.3) e em repouso (AES-256 para PII).
  • Senhas com hash bcrypt e segundo fator (TOTP) disponivel.
  • Auditoria detalhada de acessos clinicos.
  • Backups diarios com retencao de 7 a 30 dias.
  • WAF, rate-limit e monitoramento de anomalias.
  • Procedimentos de resposta a incidentes com comunicacao a ANPD em ate 72 horas, quando aplicavel.

10. Direitos do titular

Conforme Art. 18 da LGPD, voce pode solicitar:

  • Confirmacao da existencia de tratamento.
  • Acesso aos dados.
  • Correcao de dados incompletos, inexatos ou desatualizados.
  • Anonimizacao, bloqueio ou eliminacao de dados desnecessarios.
  • Portabilidade.
  • Eliminacao dos dados tratados com consentimento.
  • Informacao sobre compartilhamentos.
  • Revogacao de consentimento.

Para dados clinicos, a solicitacao deve ser direcionada inicialmente a clinica controladora. Para dados cadastrais da clinica ou colaborador, use o canal do DPO indicado abaixo.

11. Cookies, analytics e Pixel Meta

Usamos cookies estritamente necessarios para autenticacao e seguranca. Cookies analiticos e o Pixel Meta sao carregados apenas mediante consentimento via gate LGPD. O Pixel Meta utilizado em paginas comerciais e o identificador 25008058932224819. Voce pode revogar o consentimento a qualquer momento na propria pagina.

12. DPO e contato

Encarregado de Dados (DPO): [email protected].

Contato geral de privacidade: [email protected].

Voce tambem pode entrar em contato com a Autoridade Nacional de Protecao de Dados (ANPD): https://www.gov.br/anpd.

Versao desta politica: 26 de maio de 2026. Atualizacoes materiais serao comunicadas com 30 dias de antecedencia.