Política de Privacidade

Versão 2026-06-03 — última atualização: 3 de junho de 2026

1. Controlador dos Dados

O controlador dos dados pessoais tratados por meio da plataforma MedLab AI é Caio IA Informática LTDA — CNPJ 17.155.262/0001-28 — com sede em São Paulo/SP, Brasil. Para fins de relação médico-paciente, o médico que utiliza a plataforma atua como controlador dos dados clínicos de seus pacientes, enquanto a Caio IA Informática LTDA atua como operador nos termos do Art. 39 da LGPD, mediante contrato bilateral aceito eletronicamente no primeiro acesso do médico à plataforma.

2. Dados Pessoais Coletados

A plataforma coleta e trata as seguintes categorias de dados:

• Dados cadastrais: nome completo, nome social, endereço de email, telefone, CPF ou passaporte, data de nascimento, sexo biológico, identidade de gênero;
• Dados profissionais (médicos): CRM, especialidade, especialidades adicionais, foto profissional, biografia;
• Dados profissionais (secretárias): nome, email, telefone, vínculo com médico(s);
• Dados sensíveis de saúde: resultados de exames laboratoriais e de imagem, prescrições médicas, registros de consultas (prontuário), documentos clínicos (atestados, laudos, encaminhamentos), sinais vitais, condições médicas (CID-10), histórico cirúrgico, histórico familiar, medicamentos e alergias;
• Gravações de consulta: áudio de consultas médicas (mediante consentimento explícito do paciente), transcrições e extrações estruturadas geradas por IA;
• Dados de agendamento: datas, horários, locais de consultas (presenciais e online/teleconsulta), status de agendamentos;
• Dados de uso: endereço IP, user agent do navegador, registros de acesso e auditoria (incluindo leituras de dados sensíveis);
• Dados de tarefas e lembretes: título, descrição, responsável, paciente vinculado, datas.

3. Base Legal para o Tratamento

O tratamento de dados pessoais sensíveis de saúde é realizado com base no consentimento explícito do titular (Art. 11, I da LGPD), obtido no momento do cadastro na plataforma, e na tutela da saúde por profissional de saúde (Art. 11, II, "f" da LGPD) para a relação médico-paciente direta. Para dados cadastrais e de uso, a base legal é a execução do contrato (Art. 7, V) e o legítimo interesse (Art. 7, IX) para fins de segurança.

4. Finalidade do Tratamento

Os dados pessoais são tratados para as seguintes finalidades:

• Gestão e organização de exames laboratoriais e de imagem, incluindo extração automatizada de dados por inteligência artificial;
• Agendamento e gestão de consultas médicas (presenciais e online);
• Elaboração e armazenamento de prescrições e registros clínicos;
• Gestão de documentos clínicos (atestados, laudos, encaminhamentos);
• Transcrição de consultas médicas por IA (mediante consentimento);
• Comunicação com o usuário, incluindo lembretes de consulta por email e confirmações de agendamento;
• Geração de visualizações comparativas e gráficos de evolução de parâmetros laboratoriais;
• Gestão de tarefas e lembretes do consultório;
• Segurança da plataforma, prevenção a fraudes e auditoria de acessos.

5. Compartilhamento de Dados

Os dados pessoais poderão ser compartilhados com os seguintes subprocessadores, estritamente para as finalidades descritas. A lista nominal completa, com país de processamento, certificações e link público do contrato (DPA) de cada subprocessador, está disponível em /subprocessadores.

Transferência internacional (LGPD Art. 33): para os subprocessadores localizados fora do Brasil, incorporamos as Cláusulas-Padrão Contratuais publicadas pela ANPD na Resolução CD/ANPD nº 19/2024 (Anexo II) ou cláusulas contratuais materialmente equivalentes nos DPAs públicos firmados com cada fornecedor.

• Anthropic (Claude AI): dados textuais de exames laboratoriais e de imagem são enviados para os servidores da Anthropic nos Estados Unidos para extração automatizada por IA. Antes do envio, os dados textuais passam por pseudonimização determinística (LGPD Art. 13): CPF, nome, data de nascimento, endereço, telefone e email são substituídos por marcadores automaticamente. Trata-se de pseudonimização e não de anonimização (LGPD Art. 5º, XI): o registro original permanece em nosso banco e o dado segue reidentificável internamente. PDFs sem texto extraível (escaneados) e imagens são enviados sem pseudonimização — o que é informado ao usuário no momento do upload. A Anthropic, conforme cláusula §B dos Anthropic Commercial Terms, não utiliza os inputs/outputs da API para treinar seus modelos;
• Resend: endereço de email e nome do paciente para envio de comunicações transacionais (confirmações, lembretes de consulta, reset de senha, confirmação de email);
• Supabase: provedor de infraestrutura para armazenamento de dados. Os dados são armazenados na região sa-east-1 (São Paulo, Brasil), garantindo que os dados permaneçam em território nacional;
• Vercel: provedor de hospedagem da aplicação. Serverless functions configuradas para executar na região gru1 (São Paulo, Brasil);
• Salad (Transcription): provedor de transcrição de áudio das gravações de consulta. O arquivo de áudio é enviado aos servidores da Salad apenas mediante consentimento explícito do paciente, transcrito em texto e devolvido à plataforma. O áudio é removido do nosso storage após o processamento, conforme cron de limpeza. Não há retenção do áudio na Salad além do tempo necessário para a transcrição;
• Sentry: provedor de monitoramento de erros e performance da aplicação. Recebe stack traces, breadcrumbs de navegação e metadata de requisições para diagnóstico de problemas. Nenhum dado clínico, identificador de paciente, CPF, email, telefone, JWT ou conteúdo de prontuário é enviado ao Sentry — tudo é removido por filtros automatizados de proteção de dados (PHI scrubbing) em três camadas antes do envio. Servidores nos Estados Unidos;
• Slack: destino interno de notificações operacionais do MedLab AI (marcos de adoção, eventos críticos, resumo diário de métricas e alertas de erro). As mensagens são destinadas exclusivamente à equipe de operação. Por design, nenhum dado de paciente é incluído nestas mensagens — apenas eventos agregados e identificadores opacos (UUIDs). Defesa em três camadas (schema estrito, filtro de PHI e validação posterior) impede vazamento acidental. Servidores nos Estados Unidos;
• Médicos autorizados: no modelo multi-médico, um paciente pode autorizar o acesso de outros médicos aos seus dados clínicos, mediante solicitação e consentimento explícito via portal;
• Secretárias vinculadas: secretárias autorizadas pelo médico podem acessar dados cadastrais e de agendamento dos pacientes, mas não têm acesso a resultados clínicos, prescrições ou registros de consulta.

6. Armazenamento e Segurança dos Dados

Os dados pessoais são armazenados em banco de dados PostgreSQL hospedado na Supabase, na região sa-east-1 (São Paulo, Brasil). As seguintes medidas técnicas e administrativas são adotadas:

• Row Level Security (RLS): políticas granulares em todas as tabelas que restringem o acesso conforme o perfil do usuário;
• Criptografia em repouso: AES-256 no banco de dados e storage (nativa do Supabase);
• Criptografia em trânsito: TLS 1.3+ em todas as comunicações;
• Autenticação multifator (MFA): médicos podem ativar autenticação em duas etapas via TOTP (aplicativo autenticador);
• Timeout de sessão: logout automático após 30 minutos de inatividade;
• Trilha de auditoria completa: todas as operações de criação, leitura, alteração e exclusão de dados sensíveis são registradas com identificação do autor, data/hora e tipo de ação;
• Versionamento de prontuário: alterações em registros de consulta, prescrições e documentos clínicos são versionadas automaticamente, preservando o histórico completo de cada alteração;
• Pseudonimização determinística para IA (LGPD Art. 13): identificadores diretos (CPF, nome, data de nascimento, endereço, telefone, email) são substituídos por marcadores antes do envio para processamento por inteligência artificial em fluxos textuais. Não se aplica a PDFs escaneados nem a imagens;
• Rate limiting: proteção contra tentativas excessivas de acesso em rotas sensíveis;
• Security headers: CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Permissions-Policy.

7. Período de Retenção

Os dados clínicos (exames, prescrições e registros de consulta) são mantidos por um período mínimo de 20 (vinte) anos, em conformidade com a Resolução CFM n.º 2.299/2021. A exclusão de dados clínicos utiliza soft delete (marcação como excluído), preservando os registros para o período legal de retenção. Os dados cadastrais são mantidos enquanto a conta permanecer ativa. Os registros de consentimento e auditoria são mantidos por prazo indeterminado para fins de comprovação legal.

8. Direitos do Titular

Nos termos da LGPD (Art. 18), o titular dos dados pessoais tem direito a:

• Acesso: visualizar todos os dados no portal do paciente e exportar em formato JSON;
• Retificação: corrigir dados pessoais no perfil do portal;
• Exclusão: solicitar a eliminação dos dados via portal, com workflow de aprovação e soft delete (respeitando prazos legais);
• Portabilidade: exportar todos os dados vinculados em formato JSON estruturado;
• Revogação do consentimento: revogar o acesso de médicos via portal do paciente;
• Informação: consultar esta política para saber com quem os dados são compartilhados;
• Oposição: opor-se ao tratamento quando este violar a LGPD.

Para exercer qualquer destes direitos, utilize o formulário de contato ou envie email para o Departamento de Proteção de Dados (Seção 10).

9. Uso de Inteligência Artificial

A plataforma utiliza inteligência artificial (Anthropic Claude) para:

• Extração automatizada de dados de exames laboratoriais (PDFs), incluindo exames de bioimpedância e composição corporal (InBody, Fitdays, Tanita e equivalentes);
• Categorização de exames de imagem;
• Transcrição e estruturação de áudio de consultas;
• Importação inteligente de dados de planilhas Excel.

Os resultados gerados por IA são meramente sugestivos e devem ser validados pelo profissional de saúde. A plataforma exibe avisos na interface quando dados foram processados por IA. Os dados textuais passam por pseudonimização determinística antes do envio (CPF, nome, data de nascimento, endereço, telefone e email são substituídos por marcadores — tratamento previsto no Art. 13 da LGPD, distinto da anonimização do Art. 5º, XI). PDFs escaneados em fallback visual e imagens não passam por pseudonimização, conforme aviso exibido no momento do upload.

10. Encarregado pelo Tratamento de Dados (DPO)

Em conformidade com o Art. 41 da LGPD e a Resolução CD/ANPD n.º 18/2024, o Encarregado pelo Tratamento de Dados, nomeado pela Caio IA Informática LTDA (CNPJ 17.155.262/0001-28), é Caio Oliveira, contatável pelo email dedicado: encarregado@caioia.com ou pelo formulário de contato do encarregado. Dúvidas, reclamações ou solicitações relacionadas ao tratamento de dados pessoais podem ser direcionadas a este canal. O prazo de resposta é de até 15 dias úteis, conforme Art. 18, §5 da LGPD.

11. Alterações nesta Política

O MedLab AI reserva-se o direito de atualizar esta Política de Privacidade a qualquer momento, mediante notificação prévia aos usuários por meio da plataforma ou por email. Em caso de alterações que impactem o tratamento de dados sensíveis, será solicitado novo consentimento explícito.

12. Legislação Aplicável e Foro

Esta Política de Privacidade é regida pela Lei Geral de Proteção de Dados (Lei n.º 13.709/2018) e demais normas aplicáveis da legislação brasileira. Para a resolução de quaisquer controvérsias, fica eleito o foro da Comarca de São Paulo, Estado de São Paulo.