Política de Privacidade
Última atualização: 13 de maio de 2026
A CareFollow Inteligência Médica Ltda. ("CareFollow", "nós", "nosso") está comprometida com a proteção da privacidade e dos dados pessoais de todos os seus usuários — médicos, clínicas, pacientes e visitantes. Esta Política explica, de forma transparente, como tratamos seus dados em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD), a Resolução CFM 1.821/2007 (prontuário eletrônico) e as melhores práticas internacionais de segurança da informação.
1. Definições
- Dado Pessoal: Informação que identifica ou torna identificável uma pessoa natural (ex: nome, CPF, CRM, e-mail, endereço IP).
- Dado Pessoal Sensível: Dado sobre origem racial, convicção religiosa, opinião política, saúde, genética ou biometria (art. 5º, II, LGPD).
- Dado de Saúde: Informação clínica, diagnósticos, exames, prescrições, prontuários e histórico médico — tratado como sensível nos termos do art. 11 da LGPD.
- Titular: Pessoa natural a quem os dados se referem (médico, paciente, colaborador).
- Controlador: CareFollow — quem decide sobre o tratamento dos dados.
- Operador: Terceiro que realiza o tratamento em nome do controlador (ex: provedor de nuvem).
- Tratamento: Qualquer operação com dados: coleta, uso, armazenamento, compartilhamento, eliminação.
- ANPD: Autoridade Nacional de Proteção de Dados — órgão fiscalizador da LGPD.
2. Identificação do Controlador
CareFollow Inteligência Médica Ltda.
CNPJ: 55.050.608/0001-03
Av. Paulista, 1000 — Bela Vista, São Paulo/SP — CEP 01310-000
E-mail: contato@CareFollow.com.br
Encarregado (DPO): Juliana Amaral — dpo@CareFollow.com.br
3. Dados que Coletamos
Coletamos apenas o mínimo necessário para a prestação do serviço. Nenhum dado é coletado sem finalidade legítima e explícita.
3.1 Dados do Médico/Clínica (Usuário Contratante)
- Cadastrais: nome completo, CPF, CRM/UF, especialidade, e-mail, telefone, endereço profissional.
- Financeiros: dados de cobrança e pagamento (processados por gateway PCI-DSS; não armazenamos CVV).
- Uso da Plataforma: logs de acesso, IP, dispositivo, funcionalidades utilizadas, tempo de sessão.
3.2 Dados de Pacientes (Titular Indireto)
- Identificação: nome, CPF, data de nascimento, sexo, endereço, telefone, convênio.
- Dados de Saúde (Sensíveis): prontuários, diagnósticos, exames laboratoriais, prescrições, imagens médicas, evolução clínica, histórico cirúrgico, códigos TUSS.
- Comunicação: mensagens de WhatsApp/SMS/E-mail de follow-up automatizado.
4. Finalidades do Tratamento
Tratamos dados pessoais exclusivamente para:
- Prestação dos serviços contratados: gestão de prontuário, codificação TUSS, faturamento cirúrgico, follow-up automatizado, CRM e pipeline de pacientes.
- Cumprimento de obrigações legais e regulatórias: guarda de prontuários (20 anos — CFM), emissão de notas fiscais, retenção contábil (5 anos).
- Segurança da plataforma: prevenção a fraudes, detecção de acessos indevidos, auditoria de logs.
- Melhoria do produto: análise anonimizada de uso para recomendar funcionalidades (apenas com dados agregados e não identificáveis).
- Comunicação: envio de atualizações do produto, newsletters e ofertas (apenas com consentimento prévio e revogável).
5. Bases Legais (Art. 7º e 11 da LGPD)
| Finalidade | Base Legal | Fundamento |
|---|---|---|
| Execução dos serviços contratados | Art. 7º, V | Execução de contrato |
| Guarda de prontuários (20 anos) | Art. 7º, II | Obrigação legal (CFM 1.821/07) |
| Dados de saúde (sensíveis) | Art. 11, II, "a" | Obrigação legal / Exercício da medicina |
| Segurança e prevenção a fraudes | Art. 7º, IX | Legítimo interesse |
| Marketing e newsletters | Art. 7º, I | Consentimento (opt-in) |
| Melhoria do produto (dados anonimizados) | Art. 7º, IV | Estudos por órgão de pesquisa |
6. Compartilhamento de Dados
Não vendemos, alugamos ou comercializamos dados pessoais. O compartilhamento ocorre apenas nas seguintes hipóteses:
- Infraestrutura de nuvem: Amazon Web Services (AWS Brasil, região sa-east-1 — São Paulo), com servidores em território nacional e certificação ISO 27001.
- Gateway de pagamento: Stripe (PCI-DSS Level 1) — processa transações sem que a CareFollow tenha acesso ao número completo do cartão.
- Comunicação: Twilio (WhatsApp/SMS) e SendGrid (e-mail) — enviam mensagens de follow-up conforme programação do médico.
- Ordem judicial ou requisição de autoridade: mediante intimação válida, nos estritos limites legais.
- Operadoras de saúde: exclusivamente para envio de guias TUSS de faturamento, sob instrução e responsabilidade do médico.
7. Transferência Internacional
Como regra, todos os dados são armazenados em servidores localizados no Brasil (AWS sa-east-1). Eventualmente, dados anonimizados de uso podem ser processados por ferramentas de analytics nos EUA (Google Analytics, Mixpanel), sempre sob cláusulas contratuais padrão e garantias adequadas de proteção conforme art. 33 da LGPD.
8. Segurança da Informação
Adotamos medidas técnicas e organizacionais compatíveis com padrões ISO 27001 e ISO 27701:
Criptografia
AES-256 em repouso e TLS 1.3 em trânsito
Autenticação
MFA obrigatório, SSO disponível, senhas com hash bcrypt
Auditoria
Logs imutáveis de todos os acessos a dados clínicos
Backups
Diários, redundantes, retidos por 30 dias em região separada
Infraestrutura
Servidores dedicados no Brasil, firewall WAF, DDoS protection
Controle de Acesso
RBAC granular com princípio do menor privilégio
Em caso de incidente de segurança envolvendo dados pessoais, notificaremos a ANPD e os titulares afetados no prazo máximo de 48 horas úteis, conforme art. 48 da LGPD.
9. Retenção e Eliminação
- Prontuários e dados clínicos: 20 anos (Resolução CFM 1.821/07, art. 6º).
- Dados cadastrais e contratuais: 5 anos após o término do contrato (prescrição civil).
- Dados de marketing: até a revogação do consentimento ou 2 anos de inatividade.
- Logs de acesso e auditoria: 6 meses (Marco Civil da Internet) ou conforme obrigação regulatória.
- Dados anonimizados: podem ser retidos indefinidamente para fins estatísticos.
Após o prazo de retenção, os dados são eliminados de forma segura (sobregravação criptográfica) ou descaracterizados de forma irreversível.
10. Direitos do Titular (Art. 18, LGPD)
Você pode exercer gratuitamente os seguintes direitos a qualquer momento:
11. Cookies e Tecnologias de Rastreamento
Utilizamos cookies essenciais (autenticação, segurança) e cookies analíticos (Google Analytics, anonimizados). Cookies de marketing só são ativados com consentimento via banner. Você pode gerenciar preferências de cookies nas configurações do navegador a qualquer momento.
12. Consentimento e Menores
A CareFollow não coleta intencionalmente dados de menores de 18 anos sem consentimento dos responsáveis legais. O cadastro de pacientes menores deve ser realizado exclusivamente pelo médico responsável, que atesta possuir autorização legal para o tratamento.
13. Encarregado de Dados (DPO)
Nome: Juliana Amaral
E-mail: dpo@CareFollow.com.br
Endereço: Av. Paulista, 1000 — São Paulo/SP — CEP 01310-000
O DPO está disponível para esclarecer dúvidas, receber reclamações e comunicações dos titulares e da ANPD. Respondemos em até 15 dias úteis.
14. Alterações nesta Política
Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas com antecedência mínima de 15 dias via e-mail e aviso no painel da plataforma. O uso continuado após a vigência da nova política implica concordância com os termos atualizados.
15. Compromisso LGPD e CFM
- Somos 100% aderentes à LGPD e mantemos relatório de impacto à proteção de dados (RIPD) atualizado.
- Seguimos integralmente a Resolução CFM 1.821/2007 sobre prontuário eletrônico.
- Todos os colaboradores assinam termo de confidencialidade e recebem treinamento LGPD anual.
- Realizamos auditorias internas semestrais de conformidade e segurança.
- Para denúncias ou reclamações, você também pode contatar a ANPD em gov.br/anpd .