anthoia
Entrar Beta gratuito

Legal

Política de privacidade

Versão vigente desde 2026-05-10. Em conformidade com a Lei nº 13.709/2018 (LGPD).

1. Quem é o controlador

O controlador dos dados pessoais coletados pela plataforma Anthoia é a MCPC Serviços Médicos LTDA, CNPJ 47.301.808/0001-46, com sede em Bragança Paulista — SP, Brasil.

Encarregado de Proteção de Dados (DPO): lgpd@anthoia.com.br.

2. Quais dados coletamos

Coletamos as seguintes categorias de dados:

  • Cadastro: nome, email, telefone, senha (em hash bcrypt).
  • Profissionais de saúde: CRM/conselho, especialidade, dados da clínica.
  • Pacientes (no Anthoia Cuidar): dados pessoais e dados pessoais sensíveis (saúde) — sob responsabilidade da clínica controladora.
  • Conteúdo gerado: aulas gravadas, transcrições, anotações, prontuários.
  • Faturamento: razão social, CNPJ/CPF, endereço de cobrança, dados do cartão (processados diretamente pelo Stripe — não armazenamos número de cartão).
  • Uso da plataforma: logs de acesso, IP, user-agent, ações em audit trail.

3. Bases legais

Processamos dados pessoais com base em:

  • Execução do contrato (Art. 7º, V): cadastro, login, faturamento.
  • Consentimento (Art. 7º, I; Art. 11): tratamento de dados sensíveis, envio de áudio para análise por IA externa, uso de scribe automático.
  • Cumprimento de obrigação legal (Art. 7º, II): retenção fiscal, audit trail mínimo.
  • Legítimo interesse (Art. 7º, IX): segurança da plataforma, detecção de fraude.

4. Para que usamos seus dados

  • Operar e melhorar a plataforma;
  • Permitir login, autenticação, MFA;
  • Processar pagamentos via Stripe;
  • Enviar comunicações operacionais (welcome, recuperação de senha, fatura paga, lembretes);
  • Cumprir obrigações fiscais e regulatórias;
  • Detectar e prevenir fraude e uso indevido.

5. Compartilhamento

Compartilhamos dados apenas com operadores estritamente necessários:

  • Magalu Cloud (BR) — hospedagem de aplicação e banco de dados.
  • Cloudflare — CDN, WAF, DNS.
  • Stripe BR — processamento de pagamentos.
  • Resend — envio de email transacional.
  • Provedores de IA externa (Google Gemini, OpenAI, Anthropic) — somente quando você opta por análise profunda. Enviamos texto, não áudio. Tentamos remover PII.

Nunca vendemos dados pessoais. Nunca usamos dados do Usuário para treinar modelos de IA.

6. Onde seus dados ficam

Toda a infraestrutura primária (banco de dados, aplicação, áudios, backups) é hospedada em território brasileiro (Magalu Cloud — São Paulo). O modelo Whisper de transcrição roda localmente no nosso servidor. Dados de pagamento são processados pelo Stripe BR (CNPJ brasileiro).

Eventuais transferências internacionais (apenas para LLM externa quando você opta) ocorrem com base em cláusulas contratuais e consentimento específico.

7. Por quanto tempo guardamos

  • Dados de cadastro: enquanto a conta estiver ativa + 5 anos.
  • Dados de prontuário: 20 anos (CFM Resolução 1.821/2007).
  • Audit trail: 5 anos (imutável).
  • Logs de acesso: 6 meses.
  • Backups: 30 dias rolling.
  • Após cancelamento: 30 dias para export, depois anonimização (exceto dados sob retenção legal).

8. Seus direitos (LGPD Art. 17–22)

Você tem direito a:

  • Confirmação e acesso — saber se processamos seus dados e quais.
  • Correção — pedir retificação de dados incorretos.
  • Eliminação — pedir exclusão (respeitada a retenção legal).
  • Portabilidade — receber seus dados em formato estruturado (JSON/CSV).
  • Revogação de consentimento — a qualquer tempo, sem prejuízo do tratamento já realizado.
  • Oposição — quando o tratamento se basear em legítimo interesse.
  • Reclamação à ANPD — autoridade nacional.

Para exercer qualquer direito, escreva para lgpd@anthoia.com.br. Respondemos em até 15 dias úteis.

9. Segurança

Adotamos medidas técnicas e organizacionais incluindo:

  • Criptografia em trânsito (TLS 1.3) e em repouso (pgcrypto para PII);
  • Senhas em hash bcrypt (12 rounds);
  • JWT com rotação de refresh + rate limiting + lock por tentativa;
  • RBAC granular (4 escopos) + audit trail imutável;
  • Backups offsite cifrados em R2;
  • Monitoramento e alerting (Better Stack + Grafana);
  • Procedimento documentado de notificação em caso de incidente.

10. Cookies

Usamos cookies essenciais para sessão (JWT) e preferências da interface. Não usamos cookies de publicidade direcionada nas páginas autenticadas. Páginas de marketing podem usar cookies analíticos (Google Analytics) com consentimento.

11. Crianças e adolescentes

A plataforma não é destinada a menores de 18 anos. Quando uma clínica cadastra paciente menor, o consentimento dos responsáveis legais é responsabilidade da clínica controladora.

12. Mudanças nesta política

Atualizações relevantes são comunicadas por email e/ou banner na plataforma com 30 dias de antecedência. A versão vigente sempre estará em anthoia.com.br/privacidade.

13. Contato do DPO

Encarregado de Proteção de Dados: lgpd@anthoia.com.br
Endereço postal: MCPC Serviços Médicos LTDA, Bragança Paulista — SP.