Política de Privacidade

Este modelo é base para sua conformidade com a LGPD (Lei 13.709/2018). Revise com seu DPO antes de publicar em produção.

1. Quem somos

O PEP Neuro é operado por [NOME DA EMPRESA, CNPJ, ENDEREÇO]. Encarregado pelo Tratamento de Dados (DPO): [NOME, EMAIL].

2. Dois papéis distintos de tratamento

Em relação ao médico assinante, o PEP Neuro é controlador dos dados cadastrais (nome, CRM, e-mail, financeiro).

Em relação aos pacientes do médico, o PEP Neuro é operador. O controlador é o próprio médico/clínica assinante. Não fazemos tratamento dos dados de pacientes para finalidade própria.

3. Dados que coletamos

• Dados de cadastro do médico: nome, CRM, RQE, CPF, e-mail, telefone, endereço.
• Dados de uso: logs técnicos, IPs, ações no sistema (para auditoria).
• Dados financeiros: histórico de pagamentos via provedor (Stripe/MercadoPago).
• Dados de pacientes inseridos pelo médico: ficam isolados no banco, criptografados em repouso, acessíveis apenas via login do próprio médico.

4. Como protegemos

• Hospedagem em datacenter Tier 3 (Supabase/AWS) com certificações ISO 27001 e SOC 2.
• Criptografia em repouso (AES-256) e em trânsito (TLS 1.3).
• Isolamento de dados entre tenants via Row-Level Security do PostgreSQL.
• Autenticação multifator opcional via Supabase Auth.
• Logs de auditoria de acesso por 12 meses.

5. Seus direitos (Art. 18 LGPD)

Você pode requisitar acesso, correção, anonimização ou portabilidade dos seus dados a qualquer momento por e-mail. Atendemos em até 15 dias.

6. Compartilhamento com terceiros

Compartilhamos dados apenas com integradores essenciais ao serviço, sempre sob acordo de operação:

• Supabase / AWS: hospedagem do banco e arquivos.
• Stripe / MercadoPago: processamento de pagamentos da assinatura.
• Memed, NotaaS, Anthropic, OpenAI, Google: apenas quando o médico ativa e configura essas integrações. As credenciais são do próprio médico.

7. Retenção

Dados de pacientes são retidos enquanto a assinatura estiver ativa. Após cancelamento, 30 dias de janela de exportação; depois disso, exclusão permanente, exceto o que a lei exigir manter (ex: 20 anos para prontuário, conforme CFM).

8. Contato

Dúvidas: [email do DPO] ou via formulário no site.