Política de Privacidade

Última atualização: 13 de maio de 2026

A CareFollow Inteligência Médica Ltda. ("CareFollow", "nós", "nosso") está comprometida com a proteção da privacidade e dos dados pessoais de todos os seus usuários — médicos, clínicas, pacientes e visitantes. Esta Política explica, de forma transparente, como tratamos seus dados em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD), a Resolução CFM 1.821/2007 (prontuário eletrônico) e as melhores práticas internacionais de segurança da informação.

1. Definições

  • Dado Pessoal: Informação que identifica ou torna identificável uma pessoa natural (ex: nome, CPF, CRM, e-mail, endereço IP).
  • Dado Pessoal Sensível: Dado sobre origem racial, convicção religiosa, opinião política, saúde, genética ou biometria (art. 5º, II, LGPD).
  • Dado de Saúde: Informação clínica, diagnósticos, exames, prescrições, prontuários e histórico médico — tratado como sensível nos termos do art. 11 da LGPD.
  • Titular: Pessoa natural a quem os dados se referem (médico, paciente, colaborador).
  • Controlador: CareFollow — quem decide sobre o tratamento dos dados.
  • Operador: Terceiro que realiza o tratamento em nome do controlador (ex: provedor de nuvem).
  • Tratamento: Qualquer operação com dados: coleta, uso, armazenamento, compartilhamento, eliminação.
  • ANPD: Autoridade Nacional de Proteção de Dados — órgão fiscalizador da LGPD.

2. Identificação do Controlador

CareFollow Inteligência Médica Ltda.

CNPJ: 55.050.608/0001-03

Av. Paulista, 1000 — Bela Vista, São Paulo/SP — CEP 01310-000

E-mail: contato@CareFollow.com.br

Encarregado (DPO): Juliana Amaral — dpo@CareFollow.com.br

3. Dados que Coletamos

Coletamos apenas o mínimo necessário para a prestação do serviço. Nenhum dado é coletado sem finalidade legítima e explícita.

3.1 Dados do Médico/Clínica (Usuário Contratante)

  • Cadastrais: nome completo, CPF, CRM/UF, especialidade, e-mail, telefone, endereço profissional.
  • Financeiros: dados de cobrança e pagamento (processados por gateway PCI-DSS; não armazenamos CVV).
  • Uso da Plataforma: logs de acesso, IP, dispositivo, funcionalidades utilizadas, tempo de sessão.

3.2 Dados de Pacientes (Titular Indireto)

  • Identificação: nome, CPF, data de nascimento, sexo, endereço, telefone, convênio.
  • Dados de Saúde (Sensíveis): prontuários, diagnósticos, exames laboratoriais, prescrições, imagens médicas, evolução clínica, histórico cirúrgico, códigos TUSS.
  • Comunicação: mensagens de WhatsApp/SMS/E-mail de follow-up automatizado.
Importante: Nos termos da LGPD, o médico é o controlador dos dados de seus pacientes. A CareFollow atua como operadora desses dados, tratando-os estritamente conforme as instruções do médico e para a finalidade contratada.

4. Finalidades do Tratamento

Tratamos dados pessoais exclusivamente para:

  1. Prestação dos serviços contratados: gestão de prontuário, codificação TUSS, faturamento cirúrgico, follow-up automatizado, CRM e pipeline de pacientes.
  2. Cumprimento de obrigações legais e regulatórias: guarda de prontuários (20 anos — CFM), emissão de notas fiscais, retenção contábil (5 anos).
  3. Segurança da plataforma: prevenção a fraudes, detecção de acessos indevidos, auditoria de logs.
  4. Melhoria do produto: análise anonimizada de uso para recomendar funcionalidades (apenas com dados agregados e não identificáveis).
  5. Comunicação: envio de atualizações do produto, newsletters e ofertas (apenas com consentimento prévio e revogável).

5. Bases Legais (Art. 7º e 11 da LGPD)

FinalidadeBase LegalFundamento
Execução dos serviços contratadosArt. 7º, VExecução de contrato
Guarda de prontuários (20 anos)Art. 7º, IIObrigação legal (CFM 1.821/07)
Dados de saúde (sensíveis)Art. 11, II, "a"Obrigação legal / Exercício da medicina
Segurança e prevenção a fraudesArt. 7º, IXLegítimo interesse
Marketing e newslettersArt. 7º, IConsentimento (opt-in)
Melhoria do produto (dados anonimizados)Art. 7º, IVEstudos por órgão de pesquisa

6. Compartilhamento de Dados

Não vendemos, alugamos ou comercializamos dados pessoais. O compartilhamento ocorre apenas nas seguintes hipóteses:

  • Infraestrutura de nuvem: Amazon Web Services (AWS Brasil, região sa-east-1 — São Paulo), com servidores em território nacional e certificação ISO 27001.
  • Gateway de pagamento: Stripe (PCI-DSS Level 1) — processa transações sem que a CareFollow tenha acesso ao número completo do cartão.
  • Comunicação: Twilio (WhatsApp/SMS) e SendGrid (e-mail) — enviam mensagens de follow-up conforme programação do médico.
  • Ordem judicial ou requisição de autoridade: mediante intimação válida, nos estritos limites legais.
  • Operadoras de saúde: exclusivamente para envio de guias TUSS de faturamento, sob instrução e responsabilidade do médico.

7. Transferência Internacional

Como regra, todos os dados são armazenados em servidores localizados no Brasil (AWS sa-east-1). Eventualmente, dados anonimizados de uso podem ser processados por ferramentas de analytics nos EUA (Google Analytics, Mixpanel), sempre sob cláusulas contratuais padrão e garantias adequadas de proteção conforme art. 33 da LGPD.

8. Segurança da Informação

Adotamos medidas técnicas e organizacionais compatíveis com padrões ISO 27001 e ISO 27701:

Criptografia

AES-256 em repouso e TLS 1.3 em trânsito

Autenticação

MFA obrigatório, SSO disponível, senhas com hash bcrypt

Auditoria

Logs imutáveis de todos os acessos a dados clínicos

Backups

Diários, redundantes, retidos por 30 dias em região separada

Infraestrutura

Servidores dedicados no Brasil, firewall WAF, DDoS protection

Controle de Acesso

RBAC granular com princípio do menor privilégio

Em caso de incidente de segurança envolvendo dados pessoais, notificaremos a ANPD e os titulares afetados no prazo máximo de 48 horas úteis, conforme art. 48 da LGPD.

9. Retenção e Eliminação

  • Prontuários e dados clínicos: 20 anos (Resolução CFM 1.821/07, art. 6º).
  • Dados cadastrais e contratuais: 5 anos após o término do contrato (prescrição civil).
  • Dados de marketing: até a revogação do consentimento ou 2 anos de inatividade.
  • Logs de acesso e auditoria: 6 meses (Marco Civil da Internet) ou conforme obrigação regulatória.
  • Dados anonimizados: podem ser retidos indefinidamente para fins estatísticos.

Após o prazo de retenção, os dados são eliminados de forma segura (sobregravação criptográfica) ou descaracterizados de forma irreversível.

10. Direitos do Titular (Art. 18, LGPD)

Você pode exercer gratuitamente os seguintes direitos a qualquer momento:

Confirmação da existência de tratamento
Acesso aos dados
Correção de dados incompletos ou inexatos
Anonimização, bloqueio ou eliminação
Portabilidade dos dados a outro fornecedor
Eliminação de dados tratados com consentimento
Informação sobre compartilhamento
Revogação do consentimento
Oposição ao tratamento em desacordo com a LGPD
Revisão de decisões automatizadas
Petição à ANPD

11. Cookies e Tecnologias de Rastreamento

Utilizamos cookies essenciais (autenticação, segurança) e cookies analíticos (Google Analytics, anonimizados). Cookies de marketing só são ativados com consentimento via banner. Você pode gerenciar preferências de cookies nas configurações do navegador a qualquer momento.

12. Consentimento e Menores

A CareFollow não coleta intencionalmente dados de menores de 18 anos sem consentimento dos responsáveis legais. O cadastro de pacientes menores deve ser realizado exclusivamente pelo médico responsável, que atesta possuir autorização legal para o tratamento.

13. Encarregado de Dados (DPO)

Nome: Juliana Amaral

E-mail: dpo@CareFollow.com.br

Endereço: Av. Paulista, 1000 — São Paulo/SP — CEP 01310-000

O DPO está disponível para esclarecer dúvidas, receber reclamações e comunicações dos titulares e da ANPD. Respondemos em até 15 dias úteis.

14. Alterações nesta Política

Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas com antecedência mínima de 15 dias via e-mail e aviso no painel da plataforma. O uso continuado após a vigência da nova política implica concordância com os termos atualizados.

15. Compromisso LGPD e CFM

  • Somos 100% aderentes à LGPD e mantemos relatório de impacto à proteção de dados (RIPD) atualizado.
  • Seguimos integralmente a Resolução CFM 1.821/2007 sobre prontuário eletrônico.
  • Todos os colaboradores assinam termo de confidencialidade e recebem treinamento LGPD anual.
  • Realizamos auditorias internas semestrais de conformidade e segurança.
  • Para denúncias ou reclamações, você também pode contatar a ANPD em gov.br/anpd .