Política de Privacidade - VTIX Health

1. Introdução

Esta Política de Privacidade específica do VTIX Health complementa nossa Política de Privacidade geral e descreve como tratamos dados sensíveis de saúde em conformidade com:

• LGPD (Lei 13.709/2018): Lei Geral de Proteção de Dados
• CFM: Resoluções do Conselho Federal de Medicina
• Lei 13.787/2018: Prontuário eletrônico
• Código de Ética Médica: Sigilo profissional

2. Dados de Saúde Coletados

Como operador de dados de saúde, processamos as seguintes informações sensíveis:

• Dados do profissional: nome, CRM/CRP, especialidade, endereço profissional, CPF/CNPJ
• Dados do paciente: nome, CPF, data de nascimento, telefone, endereço
• Dados clínicos: histórico médico, sintomas, diagnósticos, tratamentos, exames
• Gravações: áudio de consultas médicas (quando autorizado)
• Transcrições: texto transcrito das consultas
• Prontuários: documentos clínicos gerados pela IA e revisados pelo profissional
• Prescrições: medicamentos prescritos e orientações
• Memórias clínicas: resumos e insights sobre histórico de atendimentos

3. Base Legal para Dados de Saúde

O tratamento de dados sensíveis de saúde é realizado com base em:

• Consentimento explícito: do paciente para gravação e processamento de consultas
• Tutela da saúde: fornecimento de assistência à saúde (Art. 11, II, 'f' da LGPD)
• Execução de contrato: prestação de serviços contratados pelo profissional
• Obrigação legal: manutenção de prontuários conforme CFM

Papel do profissional como controlador: O profissional de saúde é o controlador dos dados de seus pacientes. A VTIX atua como operador, processando os dados sob instruções do profissional.

4. Compartilhamento de Dados de Saúde

Dados de saúde são compartilhados apenas quando estritamente necessário:

• Provedores de IA: Anthropic (Claude) para processamento de linguagem natural - dados processados temporariamente, não treinados nos seus dados
• Transcrição: Deepgram, Soniox para transcrição de áudio - processamento temporário, sem retenção
• Infraestrutura: Amazon Web Services (AWS) para armazenamento seguro em nuvem
• Autoridades: quando exigido por ordem judicial ou investigação legal

Não compartilhamos dados de saúde para fins comerciais, marketing ou publicidade.

5. Segurança de Dados Sensíveis

Implementamos medidas técnicas e organizacionais rigorosas:

• Criptografia: AES-256 em repouso, TLS 1.3 em trânsito
• Autenticação: MFA (autenticação multifator) disponível
• Controle de acesso: RBAC com permissões granulares por feature
• Isolamento: Multi-tenancy com isolamento por empresa e realm (consultório)
• Auditoria: Logs completos de acesso e modificações
• Backups: Backups automáticos diários com retenção de 30 dias
• Infraestrutura: Servidores AWS em data centers com certificações internacionais
• Monitoramento: Alertas automáticos para atividades suspeitas

6. Retenção de Dados de Saúde

Dados de saúde são retidos conforme legislação específica:

• Prontuários médicos: mínimo de 20 anos a partir da última consulta (Resolução CFM 1.821/2007, Art. 8º)
• Gravações de consultas: retidas conforme política do profissional e consentimento do paciente (podem ser excluídas após a transcrição)
• Transcrições: integram o prontuário, portanto 20 anos
• Memórias clínicas: mantidas enquanto houver relação ativa médico-paciente
• Logs de auditoria: 5 anos para fins de conformidade

Importante: Mesmo após cancelamento da conta, dados de prontuários são mantidos pelo período legal exigido. O profissional pode solicitar exportação dos dados.

7. Direitos dos Titulares (Pacientes)

Os pacientes têm os seguintes direitos sobre seus dados de saúde:

• Acesso: solicitar cópia de seu prontuário ao profissional
• Correção: solicitar correção de dados incorretos
• Portabilidade: receber dados em formato estruturado (FHIR quando disponível)
• Revogação: revogar consentimento para gravação de futuras consultas
• Informação: ser informado sobre uso de IA no atendimento

Limitações: Alguns direitos podem ser limitados por obrigações legais de retenção de prontuários. A exclusão de dados pode não ser possível durante o período de retenção obrigatório.

Para exercer seus direitos, o paciente deve entrar em contato diretamente com o profissional de saúde responsável. A VTIX auxiliará o profissional no atendimento dessas solicitações.

Você também pode enviar uma solicitação formal de acesso, portabilidade ou deleção de dados (Art. 18 da LGPD) através do nosso formulário de Solicitação LGPD.

8. Processamento de IA e Dados de Treinamento

Seus dados NÃO são usados para treinar modelos de IA:

• Os modelos de IA processam seus dados apenas para gerar os outputs solicitados
• Após o processamento, os provedores de IA não retêm seus dados
• Temos acordos de não-treinamento (zero retention) com nossos provedores
• Dados de consultas não são compartilhados entre empresas ou profissionais
• Cada empresa/consultório tem seus dados completamente isolados

9. Transferência Internacional de Dados

Alguns de nossos provedores de serviço podem processar dados fora do Brasil. Todas as transferências internacionais são realizadas com garantias adequadas de proteção de dados, incluindo cláusulas contratuais padrão e certificações de segurança.

10. Incidentes de Segurança

Em caso de incidente de segurança que afete dados de saúde:

• Notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) em até 48 horas
• Notificaremos o profissional de saúde afetado imediatamente
• O profissional é responsável por notificar seus pacientes conforme LGPD
• Forneceremos todas as informações necessárias para a notificação aos titulares
• Tomaremos medidas imediatas para mitigar o impacto do incidente

11. Encarregado de Dados (DPO)

Nosso Encarregado de Proteção de Dados pode ser contatado:

O DPO é responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências relacionadas à LGPD.

12. Cookies e Rastreamento

O VTIX Health utiliza cookies apenas para:

• Essenciais: autenticação e funcionamento da plataforma
• Análise: métricas de uso agregadas e anônimas
• Não utilizamos: cookies de publicidade ou rastreamento de terceiros na aplicação VTIX Health

13. Vinculação com o Google Ads

Em nossos sites institucionais e de divulgação (por exemplo, páginas de produto e landing pages), podemos utilizar o Google Ads para campanhas de divulgação. Nesse contexto:

• Conversões e medição: o Google pode usar cookies e identificadores para medir a eficácia de anúncios e exibir anúncios relevantes.
• Dados coletados: podem incluir endereço IP, tipo de navegador, páginas visitadas e interações com anúncios, conforme a Política de Privacidade do Google.
• Controle do usuário: você pode gerenciar anúncios personalizados e cookies em Configurações de anúncios do Google e Como o Google usa dados em anúncios.
• Dados de saúde: a aplicação VTIX Health (área logada, prontuários, consultas) não utiliza Google Ads nem compartilha dados de saúde com o Google para publicidade.

14. Dados de Menores

Quando o VTIX Health processar dados de pacientes menores de 18 anos, o profissional de saúde deve garantir que obteve consentimento dos pais ou responsáveis legais conforme exigido pela LGPD (Art. 14) e pelo Estatuto da Criança e do Adolescente (ECA).

15. Anonimização e Pesquisa

Uso de dados anonimizados para pesquisa e melhoria:

• Podemos utilizar dados completamente anonimizados para pesquisa e desenvolvimento
• Anonimização remove todos os identificadores (nomes, CPF, datas específicas, etc.)
• Dados anonimizados não estão sujeitos à LGPD (não são mais dados pessoais)
• Estatísticas agregadas podem ser utilizadas para melhorar modelos de IA
• Nunca compartilhamos dados identificáveis para fins de pesquisa

16. Exportação de Dados

O profissional pode exportar todos os dados a qualquer momento:

• Formato: JSON estruturado ou PDF para prontuários
• Conteúdo: todos os dados de pacientes, consultas, prontuários e memórias
• Frequência: sem limites de exportação
• Após cancelamento: 30 dias para exportar antes da exclusão

17. Alterações na Política

Podemos atualizar esta Política de Privacidade para refletir mudanças em nossas práticas ou na legislação. Notificaremos sobre mudanças materiais com pelo menos 30 dias de antecedência via e-mail. Alterações relacionadas a dados de saúde serão comunicadas com destaque.

18. Contato - Privacidade e Proteção de Dados

Para questões sobre privacidade e proteção de dados no VTIX Health: