1. Quem somos
Esta política aplica-se ao ecossistema SeuSaúde Tecnologia e Inovação (CNPJ XX.XXX.XXX/0001-XX), responsável pelos sistemas e serviços listados abaixo, todos sujeitos a esta mesma política, salvo quando uma página específica indicar regra adicional:
- SeuNutricionista (SeuCenoura): ERP de gestão para nutricionistas, app paciente e portal de alta nutricional.
- Denvo e GinecoLab: sistemas SaaS de gestão para clínicas odontológicas e ginecológicas.
- JotaERP: ERP web para varejo e gestão comercial.
- SSHub: plataforma unificada de atendimento e comunicação omnichannel.
- SSCoworkings: SaaS multi-tenant para coworkings de saúde.
- Ponto eletrônico: controle de jornada digital com check-in por GPS e reconhecimento facial.
- Mentorias e Congresso: plataformas de educação continuada e eventos médicos.
- Fernanda: assistente virtual da Dra. Nathália Assunção para suporte ao consultório.
- Sites institucionais e landing pages dos produtos acima.
O encarregado de proteção de dados (DPO) está identificado no item 13.
2. Quais dados coletamos
Dados de cadastro e identificação
Nome completo, CPF ou CNPJ, data de nascimento, sexo, e-mail, telefone, endereço, profissão e número de registro profissional (CRN, CRO, CRM, COREN, conforme aplicável).
Dados de saúde (sensíveis)
Quando você é paciente ou usuário final de um profissional cliente, podemos tratar dados sensíveis como histórico clínico, anamnese, medidas antropométricas, exames, prescrições, fotos clínicas, prontuário e demais informações necessárias ao atendimento. Esse tratamento ocorre nos termos do art. 11 da LGPD.
Dados financeiros e de cobrança
Informações necessárias para emissão de cobranças, faturas e notas fiscais, processadas via gateway de pagamento. Não armazenamos número completo de cartão de crédito nas nossas bases.
Dados de uso e técnicos
Endereço IP, identificador de sessão, tipo de navegador e sistema operacional, páginas visitadas, data e hora de acesso, registros (logs) de auditoria e cookies conforme item 6.
Dados de comunicação
Conteúdo de mensagens, áudios e mídias enviados em canais oficiais (WhatsApp, e-mail, formulários de contato), com a finalidade exclusiva de prestação do serviço solicitado.
3. Como usamos seus dados
- Executar contrato e prestar os serviços que você ou seu profissional contratou.
- Permitir agendamento, atendimento e acompanhamento clínico.
- Emitir cobranças, recibos e notas fiscais.
- Comunicar lembretes de consulta, confirmações e avisos operacionais.
- Enviar comunicação comercial (apenas com seu consentimento, revogável a qualquer momento).
- Garantir segurança, prevenir fraude e investigar incidentes.
- Cumprir obrigações legais e regulatórias (CFM, CRN, Receita Federal, fisco municipal e estadual).
- Melhorar nossos produtos com base em análises estatísticas agregadas e anonimizadas.
4. Bases legais
Todo tratamento de dados pessoais que realizamos é fundamentado em uma das hipóteses dos artigos 7º e 11 da LGPD:
- Execução de contrato (art. 7º, V): para prestar os serviços contratados por você ou por um profissional cliente.
- Cumprimento de obrigação legal ou regulatória (art. 7º, II): para guarda de prontuário, emissão fiscal e atendimento a fiscalizações.
- Consentimento (art. 7º, I e art. 11, I): para comunicações de marketing, cookies não essenciais e tratamento de dados sensíveis fora das hipóteses específicas.
- Tutela da saúde (art. 11, II, "f"): para procedimentos realizados por profissionais da área da saúde em benefício do titular.
- Legítimo interesse (art. 7º, IX): para garantir a segurança das plataformas, prevenir fraudes e melhorar a experiência, sempre com avaliação prévia de impacto.
- Exercício regular de direitos (art. 7º, VI): em processos administrativos, judiciais ou arbitrais.
5. Com quem compartilhamos
Não vendemos seus dados. Compartilhamos com terceiros estritamente necessários à operação dos serviços, sob contratos de tratamento de dados e dever de sigilo:
| Operador | Finalidade |
|---|---|
| Asaas | Gateway de pagamento (PIX, boleto, cartão) e emissão de cobranças. |
| Brevo | Envio transacional de e-mails (confirmações, alertas, lembretes). |
| Evolution API | Integração com WhatsApp para confirmações, lembretes e atendimento. |
| Google (GA4, Calendar, Drive) | Métricas de uso anônimas, sincronização de agenda e armazenamento de documentos quando habilitado. |
| Meta (Pixel, Ads) | Medição de campanhas e remarketing, somente após seu consentimento no banner de cookies. |
| Cloudflare | CDN, mitigação de ataques e camada de segurança (WAF). |
| Provedores de IA (Anthropic, Google Gemini, Moonshot) | Processamento de linguagem natural e análise estruturada para assistentes virtuais como a Fernanda. Dados sensíveis utilizados nessas integrações seguem o item 11 (transferência internacional). |
| ResellerClub e parceiros de hospedagem | Provisionamento de domínios, e-mails corporativos e serviços de hospedagem contratados via Soluções Online. |
| Contadores e auditores | Cumprimento de obrigações fiscais e contábeis, sob sigilo profissional. |
Também podemos compartilhar dados com autoridades públicas quando exigido por lei, ordem judicial ou requisição regulatória legítima.
6. Cookies e tecnologias similares
Usamos cookies de três tipos:
- Essenciais: mantêm sua sessão autenticada, com atributos HttpOnly, Secure e SameSite. Não dependem de consentimento.
- De preferência: guardam sua decisão sobre o banner de privacidade (chave
ss_lgpd_consent_v1), com validade de 12 meses. - Analíticos e de marketing: Google Analytics 4 e Meta Pixel. Só são ativados após você clicar em "Aceitar" no banner. Se recusar, esses scripts permanecem desativados.
Você pode revisar sua escolha a qualquer momento abrindo o console do navegador e executando ssLgpdConsent.reset(), ou limpando o armazenamento local do site.
7. Segurança da informação
Adotamos medidas técnicas e organizacionais proporcionais ao risco do tratamento, entre elas:
- Conexões cifradas em TLS 1.2 ou superior em todos os subdomínios.
- Senhas armazenadas com algoritmos de hash de uso recomendado, nunca em texto claro.
- Tokens de aplicação armazenados como hash SHA-256, sem o valor original em base.
- Cofre de credenciais administrativas com autenticação em dois fatores (TOTP + OTP por e-mail) e log de acesso.
- Segregação de bancos de dados por produto (multi-tenant lógico ou banco isolado).
- Backups regulares e janela de retenção controlada.
- Monitoramento de logs, controle de acesso por perfil e revisão periódica de permissões.
- Avaliação contínua de fornecedores e operadores que tratam dados em nosso nome.
Apesar de todo esforço, nenhuma plataforma é 100% imune a incidentes. Caso ocorra um incidente de segurança com risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados nos prazos exigidos pela LGPD.
8. Retenção dos dados
- Prontuário e dados clínicos: mantidos pelo prazo mínimo exigido pelos conselhos profissionais (em regra, 20 anos a partir do último atendimento, conforme normativos do CFM, CRN e correlatos).
- Dados financeiros e fiscais: mantidos pelos prazos legais aplicáveis à legislação tributária (em regra, 5 anos).
- Dados de marketing: mantidos enquanto válido o consentimento, com revogação imediata mediante solicitação.
- Logs de acesso: mantidos por até 6 meses para fins de segurança e auditoria, conforme art. 15 do Marco Civil da Internet.
- Backups: mantidos por até 30 dias e descartados em rotação.
Findo o prazo de retenção, os dados são eliminados ou anonimizados de forma segura.
9. Seus direitos e como exercer
O art. 18 da LGPD garante a você, titular dos dados, os seguintes direitos:
- Confirmação da existência de tratamento.
- Acesso aos seus dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade a outro fornecedor de serviço ou produto, mediante requisição expressa.
- Eliminação dos dados tratados com base em consentimento, salvo nas hipóteses de guarda legal obrigatória (item 8).
- Informação sobre as entidades públicas e privadas com as quais compartilhamos dados.
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
- Revogação do consentimento, a qualquer tempo, mediante manifestação expressa.
- Revisão de decisões automatizadas que afetem seus interesses.
10. Crianças e adolescentes
Nossos serviços são destinados a profissionais de saúde e a pacientes adultos. Quando o atendimento envolve crianças e adolescentes, o tratamento ocorre no melhor interesse do menor (art. 14 da LGPD), com consentimento específico e em destaque dado por ao menos um dos pais ou pelo responsável legal. Não solicitamos dados de menores em formulários públicos de marketing.
11. Transferência internacional de dados
Alguns operadores essenciais à operação dos serviços têm infraestrutura fora do Brasil:
- Estados Unidos: Google (GA4, Calendar, Drive), Meta (Pixel, Ads), Cloudflare, Anthropic.
- Europa: Brevo (sede na França).
- Outros países: provedores de IA podem operar a partir de jurisdições adicionais, conforme infraestrutura do fornecedor.
Essas transferências ocorrem com base nas hipóteses do art. 33 da LGPD e em contratos que asseguram nível adequado de proteção. Sempre que possível, processamos os dados no Brasil e minimizamos o conteúdo enviado a terceiros, evitando o envio de dados sensíveis quando não estritamente necessário ao serviço.
12. Alterações desta política
Podemos atualizar esta política periodicamente, para refletir novas funcionalidades, mudanças regulatórias ou melhores práticas. A data da última revisão é exibida no topo desta página. Alterações materiais serão comunicadas pelos canais habituais (e-mail, banner no site ou aviso no painel administrativo) com antecedência razoável.
13. Contato do encarregado (DPO)
Em conformidade com o art. 41 da LGPD, indicamos um encarregado pelo tratamento de dados pessoais. Para dúvidas, solicitações, reclamações ou comunicações de incidente envolvendo seus dados:
Encarregado de Proteção de Dados (DPO)
Jayme Assunção
SeuSaúde Tecnologia e Inovação
Feira de Santana, BA, Brasil
Se entender que sua solicitação não foi atendida adequadamente, você pode levar o caso à Autoridade Nacional de Proteção de Dados (ANPD), por meio do site www.gov.br/anpd.