Política de Privacidade
Versão 1.0 — vigente desde 27/05/2026 — em conformidade com a LGPD (Lei 13.709/2018)
Índice
- Quem é o controlador dos dados
- Quais dados coletamos
- Para que usamos cada dado
- Base legal de cada tratamento
- Com quem compartilhamos
- Por quanto tempo guardamos
- Como protegemos
- Seus direitos como titular
- Cookies e dados de navegação
- Transferência internacional
- Crianças e adolescentes
- Incidentes de segurança
- Alterações desta política
- Como falar com o DPO
1. Quem é o controlador dos dados
O controlador dos seus dados pessoais é:
- Pavei Sistemas Digitais Ltda
- CNPJ: 66.272.743/0001-29
- Endereço: Barueri/SP
- Encarregado (DPO): dpo@receitanozap.com.br
O médico que atende o paciente é controlador conjunto dos dados clínicos no exercício de sua atividade profissional (art. 5º, VI, da LGPD; Código de Ética Médica).
2. Quais dados coletamos
2.1. Dados de identificação
- Nome completo
- CPF
- Data de nascimento / idade
- Sexo biológico (relevante para conduta clínica)
- Endereço (para a receita médica, quando emitida)
- Telefone (WhatsApp)
- E-mail (opcional)
2.2. Dados de saúde (sensíveis, LGPD art. 5º, II)
- Queixa principal e história clínica relatada
- Medicamentos em uso
- Alergias e reações adversas conhecidas
- Comorbidades e cirurgias prévias
- Hábitos relevantes (tabagismo, álcool, atividade física)
- Áudios e imagens enviadas para fins clínicos
- Diagnóstico, conduta e prescrição registrados pelo médico
- Histórico de consultas anteriores no serviço
2.3. Dados de pagamento
Tratados pela Stripe Brasil. Recebemos apenas o status e os 4 últimos dígitos do cartão. Não armazenamos dados de cartão em servidores próprios.
2.4. Dados técnicos de navegação
- Endereço IP
- Tipo de dispositivo e navegador
- Páginas visitadas e timestamps
- Origem do acesso (UTM, referrer)
3. Para que usamos cada dado
| Dado | Finalidade |
|---|---|
| Identificação | Comprovação de identidade, emissão de receita nominal, prontuário |
| Dados de saúde | Avaliação clínica, conduta médica, prescrição, prontuário, segurança |
| Pagamento | Confirmação, emissão de NF, antifraude |
| Navegação | Segurança, prevenção a fraudes, melhoria do serviço |
| Contato WhatsApp | Realização do atendimento, comunicação, envio da receita |
4. Base legal de cada tratamento
Dados de saúde (sensíveis)
- LGPD art. 11, II, "f" — tutela da saúde, em procedimento realizado por profissionais ou serviços de saúde
- LGPD art. 11, I — consentimento específico (Termo de Consentimento da consulta)
Identificação e contato
- LGPD art. 7º, V — execução de contrato (a consulta)
- LGPD art. 7º, II — cumprimento de obrigação legal (CFM, ANVISA, fiscal)
Pagamento
- LGPD art. 7º, V — execução de contrato
- LGPD art. 7º, II — obrigação fiscal (5 anos)
Navegação
- LGPD art. 7º, IX — legítimo interesse (segurança, melhoria, antifraude)
5. Com quem compartilhamos
Seus dados são compartilhados, no mínimo necessário, com:
- Médico(s) responsável(is) pelo atendimento — controlador(es) conjunto(s) dos dados clínicos, com obrigação de sigilo médico (CEM, arts. 73-89)
- Stripe Brasil — processamento de pagamento
- Provedor W-API — roteamento de mensagens WhatsApp
- Anthropic (Claude API) — processador da triagem inicial. Dados pseudonimizados quando possível; sem uso para treinamento conforme contrato vigente
- Vidaas/Soluti — autoridade certificadora ICP-Brasil (MP 2.200-2/2001)
- Hospedagem (Hetzner Online GmbH) — datacenter na Alemanha (UE), criptografia
- Autoridades públicas — mediante ordem judicial ou requisição legal (art. 26 LGPD)
Não vendemos, alugamos ou cedemos seus dados para terceiros para fins comerciais.
6. Por quanto tempo guardamos
- Prontuário médico: 20 anos a contar do último atendimento — Res. CFM 1.821/2007
- Receita emitida: mesmo prazo do prontuário
- Dados fiscais (NF, pagamento): 5 anos — art. 174 do CTN
- Dados de contato (lista de espera, marketing): até a sua revogação
- Logs de acesso (Marco Civil): 6 meses — Lei 12.965/2014, art. 15
- Áudios e imagens: integrados ao prontuário, mesmo prazo
7. Como protegemos
- Criptografia em trânsito — TLS 1.2+ em todas as conexões
- Criptografia em repouso — discos criptografados (LUKS) e backups criptografados
- Controle de acesso — autenticação multifator; prontuário restrito ao médico responsável e ao paciente
- Pseudonimização — separa dados identificáveis dos clínicos para processamento auxiliar (IA)
- Logs de auditoria — acessos registrados em audit log imutável
- Backups — diários, criptografados, retidos 30 dias rotativos
- Plano de resposta a incidentes — documentado e revisado anualmente
- RIPD/DPIA — elaborado conforme art. 38 LGPD
8. Seus direitos como titular
Nos termos do art. 18 da LGPD, você tem direito a:
- Confirmação da existência de tratamento
- Acesso aos seus dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
- Portabilidade para outro fornecedor (conforme ANPD)
- Eliminação de dados tratados com consentimento (preservados os de obrigação legal)
- Informação sobre as entidades de compartilhamento
- Informação sobre a possibilidade de não fornecer consentimento
- Revogação do consentimento a qualquer momento
- Oposição a tratamento em desacordo com a LGPD
- Revisão de decisões automatizadas (a anamnese inicial pode usar IA; toda decisão clínica é humana)
Para exercer: dpo@receitanozap.com.br. Resposta em até 15 dias.
9. Cookies e dados de navegação
- Cookies estritamente necessários: funcionamento básico. Não exigem consentimento.
- Cookies analíticos: usados apenas após consentimento explícito. Pode desativar a qualquer momento.
Não usamos cookies de publicidade comportamental nem compartilhamos dados de navegação com redes de anúncios para esse fim.
10. Transferência internacional
- Hetzner (Alemanha) — hospedagem em país com nível adequado (GDPR/UE)
- Anthropic (EUA) — IA, sob cláusulas contratuais e DPA
- Stripe (EUA/BR) — pagamento sob regras próprias
Transferências com salvaguardas contratuais (art. 33 LGPD).
11. Crianças e adolescentes
Serviço destinado exclusivamente a maiores de 18 anos. Não tratamos intencionalmente dados de menores. Caso identifique uso por menor, comunique o DPO para exclusão.
12. Incidentes de segurança
Em caso de incidente que possa acarretar risco ou dano relevante, comunicaremos a ANPD e os titulares afetados em prazo razoável (art. 48 LGPD).
13. Alterações desta política
Esta política pode ser alterada. Versão vigente em receitanozap.com.br/privacidade. Alterações significativas comunicadas com 15 dias de antecedência.
14. Como falar com o DPO
- E-mail: dpo@receitanozap.com.br
- Endereço: Pavei Sistemas Digitais Ltda, Barueri/SP, CNPJ 66.272.743/0001-29
Você também pode reclamar à ANPD.