Política de Privacidade

Última atualização: 17 de maio de 2026 · Versão 1.0

Esta Política de Privacidade descreve como a Prontuário Zero ("Prontuário Zero", "nós", "nossa") coleta, usa, armazena e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.

1. Quem somos

A Prontuário Zero é uma plataforma de software como serviço (SaaS) destinada a profissionais de medicina humana e veterinária inscritos em seus respectivos Conselhos profissionais. Operamos com o seguinte controlador de dados:

• Razão social: [A definir — em constituição]
• CNPJ: [A definir]
• Endereço: [A definir — Blumenau/SC]
• E-mail: contato@prontuariozero.com.br
• Encarregado de Dados (DPO): dpo@prontuariozero.com.br

2. Definições de papéis (LGPD Art. 5º)

A relação com os dados tem dois cenários distintos:

2.1 Dados do profissional (médico ou veterinário)

A Prontuário Zero atua como controlador dos dados pessoais do profissional cliente da plataforma (nome, e-mail, CRM/CRMV, especialidade, dados de pagamento etc).

2.2 Dados dos pacientes

O profissional (médico/veterinário) é o controlador dos dados dos pacientes que ele atende. A Prontuário Zero atua como operadora, processando esses dados conforme as instruções e finalidades estabelecidas pelo profissional. O contrato de operador é firmado eletronicamente no aceite destes Termos.

3. Quais dados coletamos

3.1 Dados do profissional

• Dados cadastrais: nome, e-mail, telefone, CRM/CRMV, especialidade, endereço profissional.
• Dados de pagamento: processados via gateway (Cakto/Stripe). Não armazenamos dados de cartão.
• Dados de uso: logs de acesso, IP (armazenado em hash), user-agent, ações no sistema.

3.2 Dados dos pacientes (tratados pela Prontuário Zero como operadora)

• Áudio da consulta (categoria sensível — saúde): gravado mediante consentimento específico, criptografado, retido por até 30 dias por padrão (configurável pelo profissional) e apagado automaticamente.
• Transcrição da consulta: texto da gravação, criptografado, integrante do prontuário.
• Prontuário SOAP estruturado: anamnese, hipóteses, conduta, prescrição.
• Dados identificadores do paciente: nome, idade, sexo. CPF (se fornecido) é armazenado apenas como hash, nunca em claro.
• Para pacientes veterinários: nome do animal, espécie, raça, peso, dados do tutor (idem proteção).

4. Base legal do tratamento (LGPD Art. 7º e 11)

Dado	Base legal	Artigo
Cadastro do profissional	Execução de contrato	Art. 7º, V
Dados de pagamento	Cumprimento de obrigação legal e contratual	Art. 7º, II e V
Logs e auditoria	Legítimo interesse (segurança)	Art. 7º, IX
Áudio e transcrição da consulta (saúde)	Consentimento específico do paciente + tutela da saúde	Art. 11, II, "a" e "f"
Prontuário estruturado	Exercício regular de direito (CFM/CFMV) + tutela da saúde	Art. 11, II, "f"
Marketing por e-mail	Consentimento (opt-in no cadastro)	Art. 7º, I

5. Finalidades

Tratamos os dados exclusivamente para:

• Prestar o serviço de transcrição e estruturação de consulta médica/veterinária.
• Gerar documentos clínicos (prontuário, prescrição, atestado, relatório).
• Cumprir obrigações legais (prontuário, retenção, fiscal).
• Cobrar a assinatura e prestar suporte.
• Melhorar a segurança e o desempenho da plataforma.

O que NÃO fazemos:

• Não vendemos, alugamos ou compartilhamos dados de pacientes com terceiros para fins comerciais.
• Não usamos áudio ou transcrição de pacientes para treinar modelos de IA.
• Não acessamos dados de pacientes salvo (a) para suporte técnico mediante autorização explícita do profissional ou (b) por determinação judicial.

6. Onde os dados ficam armazenados

Toda a infraestrutura primária está localizada no Brasil:

• Banco de dados e storage: Supabase, região São Paulo (AWS sa-east-1).
• Edge/CDN: Cloudflare, com cache configurado para nunca persistir conteúdo autenticado.
• Transcrição: Deepgram (provedor especializado em ASR). Áudio enviado em streaming e descartado pelo provedor após processamento. Acordo de operador firmado.
• Modelo de linguagem: Anthropic Claude API. Texto enviado para estruturação SOAP. Anthropic confirma por contrato que não usa dados de API para treinamento.

Em caso de transferência internacional de dado pessoal (apenas para Deepgram e Anthropic, para fins de processamento técnico), aplicamos cláusulas contratuais padrão e o paciente é informado no termo de consentimento.

7. Segurança

Implementamos medidas técnicas e organizacionais incluindo:

• Criptografia em repouso: AES-256 nativo no banco e storage.
• Criptografia em trânsito: TLS 1.3 em todas as conexões.
• Isolamento por tenant: Row Level Security (RLS) garante que um profissional jamais acessa dados de outro.
• Autenticação forte: senha mínima 8 caracteres; 2FA recomendado.
• Logs de auditoria: todo acesso a dados sensíveis é registrado.
• Backups diários criptografados, com retenção alinhada à lei.
• CSP, headers de segurança e proteção contra XSS, CSRF, SQLi e demais OWASP Top 10.
• Auditoria de segurança documentada e revisada periodicamente.

8. Retenção

Dado	Prazo	Base
Áudio da consulta	30 dias por padrão (até 90 dias, configurável). Apagado automaticamente.	Princípio da necessidade
Transcrição e prontuário (humano)	20 anos	CFM Res. 1.821/2007
Transcrição e prontuário (veterinário)	5 anos	CFMV Res. 1.275/2019
Logs de auditoria	5 anos	Marco Civil da Internet
Cadastro do profissional	Vigência do contrato + 5 anos	Prazos fiscais e legais

9. Direitos do titular dos dados (LGPD Art. 18)

Você (paciente ou profissional) pode, a qualquer momento, exercer os seguintes direitos:

• Confirmação da existência de tratamento
• Acesso aos dados
• Correção de dados incompletos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários
• Portabilidade dos dados
• Eliminação de dados tratados com base em consentimento
• Informação sobre compartilhamentos
• Revogação do consentimento

Para exercer qualquer direito, contate: dpo@prontuariozero.com.br. Respondemos em até 15 dias úteis.

Profissionais clientes têm exportação e exclusão self-service no painel da plataforma.

10. Compartilhamento com terceiros (operadores)

Operador	Finalidade	País
Supabase Inc.	Banco de dados e storage	BR (região SP)
Cloudflare Inc.	CDN e edge functions	Global (sem armazenar conteúdo autenticado)
Deepgram Inc.	Transcrição de áudio (ASR)	EUA (cláusulas contratuais)
Anthropic PBC	Estruturação SOAP via LLM	EUA (cláusulas contratuais; sem uso para treino)
Cakto/Stripe	Processamento de pagamento	BR / EUA
Microsoft Azure	Envio de e-mail transacional (M365 Graph)	EUA (cláusulas contratuais)

11. Cookies

Usamos cookies estritamente necessários para autenticação e funcionamento da plataforma. Cookies analíticos e de marketing são opt-in. Veja a barra de cookies no rodapé.

12. Crianças e adolescentes

A plataforma é destinada a profissionais maiores de 18 anos. Pacientes menores de idade têm seus dados tratados sob responsabilidade do profissional, mediante autorização do responsável legal.

13. Incidente de segurança

Em caso de incidente que possa acarretar risco aos titulares, comunicaremos a ANPD e os titulares afetados em até 2 dias úteis, conforme orientação atual da Autoridade Nacional.

14. Alterações desta política

Podemos atualizar esta política. Mudanças relevantes são comunicadas por e-mail aos profissionais clientes com 30 dias de antecedência. O histórico de versões fica disponível em /privacidade-versoes.html.

15. Autoridade competente

Você pode também apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd.

Contato

Encarregado de Proteção de Dados (DPO): dpo@prontuariozero.com.br
Suporte e demais assuntos: contato@prontuariozero.com.br

© 2026 Prontuário Zero · Termos de Uso · Termo de Consentimento