Política de privacidade

Como tratamos os dados da sua clínica e das suas pacientes.

Esta política explica, em linguagem clara, como a SeuSaúde Tecnologia (controladora do GinecoLab) trata dados pessoais e dados de saúde na operação da plataforma. Vigência desde 26 de maio de 2026.

1. Quem somos

O GinecoLab é uma plataforma de gestão clínica operada pela SeuSaúde Tecnologia, com sede em Salvador, Bahia, Brasil. Para a maioria das operações envolvendo dados de pacientes, atuamos como operador (Art. 39 e seguintes da LGPD), ao passo que a clínica contratante atua como controlador dos dados clínicos das suas pacientes.

Para os dados cadastrais da clínica e dos seus profissionais junto a nós (CNPJ, faturamento, contatos comerciais), atuamos como controlador.

2. Definições

  • Dados pessoais: qualquer informação que identifique ou possa identificar uma pessoa natural.
  • Dados pessoais sensíveis: entre eles, os dados de saúde, conforme Art. 5, II da LGPD.
  • Tratamento: qualquer operação com dados pessoais, da coleta à eliminação.
  • Controlador / Operador: conforme Art. 5, VI e VII da LGPD.

3. Dados que coletamos

3.1 Dados da clínica contratante (na contratação)

  • Razão social, CNPJ, endereço fiscal.
  • Dados do representante legal: nome, e-mail, telefone, CPF (quando indispensável para emissão fiscal e contrato).
  • Dados de pagamento: tratados pelo nosso processador autorizado (Asaas).

3.2 Dados dos profissionais usuários

  • Nome, CRM, especialidade, e-mail e telefone profissional.
  • Logs de acesso (data, IP, user agent) para auditoria de segurança.

3.3 Dados das pacientes (inseridos pela clínica)

A clínica usa o GinecoLab para registrar dados das suas pacientes. Esses dados pertencem à clínica e à paciente, sendo a SeuSaúde Tecnologia o operador. Podem incluir prontuário, anamnese, exames, prescrição, evolução gineco-obstétrica e histórico cirúrgico.

4. Dados de saúde (LGPD Art. 11)

Dados de saúde são classificados como dados pessoais sensíveis pela LGPD (Art. 5, II) e seu tratamento é disciplinado pelo Art. 11. No GinecoLab, tratamos dados de saúde exclusivamente para:

  • Tutela da saúde da titular, em procedimento realizado por profissionais de saúde (Art. 11, II, "f").
  • Execução do contrato firmado com a clínica contratante (Art. 11, II, "a", em conjunto com Art. 7, V).
  • Cumprimento de obrigação legal ou regulatória pelo controlador (Art. 11, II, "a").

Não realizamos comunicação ou uso compartilhado de dados de saúde para obtenção de vantagem econômica, exceto nas hipóteses expressamente permitidas pelo Art. 11, parágrafos 4 e 5 (por exemplo, portabilidade de dados de saúde por solicitação da titular).

5. Bases legais que utilizamos

  • Execução de contrato: para operar a plataforma para a clínica contratante.
  • Cumprimento de obrigação legal: guarda de prontuário por 20 anos (Resolução CFM 1.821/2007), legislação fiscal, NF-e.
  • Legítimo interesse: para segurança, prevenção a fraudes e melhoria do serviço, sem prejuízo aos direitos do titular.
  • Tutela da saúde: para dados sensíveis, conforme Art. 11, II, "f".
  • Consentimento: em hipóteses específicas (ex.: comunicações de marketing, Pixel Meta).

6. Papel de operador (LGPD Art. 41)

Em relação aos dados das pacientes registrados pela clínica, atuamos como operador nos termos do Art. 39. Nesse papel, seguimos as instruções do controlador (a clínica) e:

  • Não usamos dados de pacientes para fins próprios.
  • Não compartilhamos dados de pacientes com terceiros, salvo quando determinado pelo controlador ou por obrigação legal.
  • Mantemos registro de atividades de tratamento (Art. 37) e oferecemos meios para que o controlador atenda solicitações de titulares.
  • Indicamos um Encarregado de Dados (DPO) conforme Art. 41.

7. Compartilhamento com terceiros

Compartilhamos dados estritamente necessários com operadores tecnológicos subcontratados:

  • Asaas: processamento de cobrança recorrente.
  • PlugNotas: emissão de NF-e quando solicitado pela clínica.
  • Brevo: envio de e-mails transacionais e comerciais (com consentimento).
  • Evolution API: envio de mensagens WhatsApp da clínica para a paciente, conforme configurado pela clínica.
  • Cloudflare: camada de segurança de borda.
  • Provedores de infraestrutura no Brasil: hospedagem em datacenter nacional.

Não vendemos dados pessoais. Não realizamos transferência internacional de dados de pacientes para finalidades de marketing.

8. Retenção

Dados de prontuário são retidos pelo prazo legal aplicável ao controlador (clínica), comumente 20 anos para prontuários médicos (Resolução CFM 1.821/2007). Dados cadastrais da clínica e de cobrança são retidos pelo período legal fiscal (mínimo 5 anos). Logs de segurança são retidos por 6 meses, salvo quando relevantes para investigação em curso.

Ao término do contrato, o controlador pode solicitar exportação dos dados em formato estruturado. Após exportação concluída, os dados são eliminados em até 90 dias, exceto quando obrigatória a retenção por lei.

9. Segurança

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256 para PII).
  • Senhas com hash bcrypt e segundo fator (TOTP) disponível.
  • Auditoria detalhada de acessos clínicos.
  • Backups diários com retenção de 7 a 30 dias.
  • WAF, rate-limit e monitoramento de anomalias.
  • Procedimentos de resposta a incidentes com comunicação à ANPD em até 72 horas, quando aplicável.

10. Direitos do titular

Conforme Art. 18 da LGPD, você pode solicitar:

  • Confirmação da existência de tratamento.
  • Acesso aos dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários.
  • Portabilidade.
  • Eliminação dos dados tratados com consentimento.
  • Informação sobre compartilhamentos.
  • Revogação de consentimento.

Para dados clínicos, a solicitação deve ser direcionada inicialmente à clínica controladora. Para dados cadastrais da clínica ou colaborador, use o canal do DPO indicado abaixo.

11. Cookies, analytics e Pixel Meta

Usamos cookies estritamente necessários para autenticação e segurança. Cookies analíticos e o Pixel Meta são carregados apenas mediante consentimento via gate LGPD. O Pixel Meta utilizado em páginas comerciais é o identificador 25008058932224819. Você pode revogar o consentimento a qualquer momento na própria página.

12. DPO e contato

Encarregado de Dados (DPO): [email protected].

Contato geral de privacidade: [email protected].

Você também pode entrar em contato com a Autoridade Nacional de Proteção de Dados (ANPD): https://www.gov.br/anpd.

Versão desta política: 26 de maio de 2026. Atualizações materiais serão comunicadas com 30 dias de antecedência.