Política de Privacidade
Tratamos seus dados com responsabilidade e transparência. Leia como coletamos, usamos e protegemos suas informações, incluindo dados médicos e de análise clínica.
Última atualização: 15 de maio de 2025 · Versão 1.0
Introdução
A MedBrief("nós", "nosso" ou "Plataforma") é um serviço de suporte à decisão clínica que utiliza inteligência artificial para análise de relatórios de monitoramento contínuo de glicose (CGM) e entrega de briefings médicos personalizados via WhatsApp e e-mail.
Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e demais normas aplicáveis.
Ao utilizar o MedBrief, você declara ter lido e concordado com os termos desta Política. Caso não concorde, pedimos que não utilize a Plataforma.
Dados coletados
Coletamos os seguintes dados, conforme a funcionalidade utilizada:
2.1 Dados de cadastro
| Nome completo | Identificação da conta e personalização |
| Endereço de e-mail | Comunicação, autenticação e envio de relatórios |
| Número de WhatsApp | Entrega de briefings e análises via WhatsApp |
| Especialidade médica | Personalização dos briefings clínicos |
| Senha (hash) | Autenticação segura — nunca armazenada em texto puro |
2.2 Dados de uso da Plataforma
| Logs de interação | Rastreio de comandos enviados via WhatsApp |
| Histórico de análises CGM | Armazenamento dos resultados de análise |
| Dados de uso e acesso | Diagnóstico técnico e melhoria do serviço |
| Endereço IP | Segurança e prevenção a fraudes |
2.3 Dados médicos e de saúde (sensíveis)
Quando você envia um relatório CGM para análise, processamos temporariamente:
- Arquivo PDF do relatório CGM (CareLink, Medtrum, Dexcom, LibreView ou similar)
- Métricas glicêmicas: TIR, TAR, TBR, GMI, CV%, DDT, perfis de glicose
- Configurações do dispositivo (RIC, FS, alvo glicêmico, duração de insulina ativa)
- Dados de identificação do paciente contidos no cabeçalho do relatório
Finalidade do tratamento
Tratamos seus dados exclusivamente para as seguintes finalidades:
Análise clínica de CGM
Processar relatórios CGM enviados pelo usuário e gerar laudos de suporte à decisão clínica em formato PDF.
Entrega de briefings
Enviar diariamente via WhatsApp e e-mail briefings médicos personalizados por especialidade.
Autenticação e segurança
Gerenciar acesso à Plataforma, prevenir fraudes e garantir a integridade dos dados.
Melhoria do serviço
Analisar padrões de uso de forma agregada e anonimizada para aprimorar a qualidade das análises.
Comunicação
Enviar notificações sobre a conta, atualizações de serviço e, com seu consentimento, informações comerciais.
Cumprimento legal
Atender obrigações regulatórias, responder a requisições de autoridades competentes e exercer direitos em processos.
Base legal: O tratamento de dados é fundamentado no consentimento do titular (art. 7º, I), na execução de contrato (art. 7º, V) e no legítimo interesse do controlador (art. 7º, IX), conforme aplicável a cada finalidade. Para dados sensíveis de saúde, a base legal é o consentimento específico e destacado (art. 11, I).
Uso de Inteligência Artificial
O MedBrief utiliza modelos de linguagem de grande escala (Large Language Models — LLMs) fornecidos pela Anthropic, Inc. (família Claude) para processar relatórios CGM e gerar análises clínicas estruturadas.
4.1 Como funciona o processamento
- O usuário envia um PDF de relatório CGM via WhatsApp.
- O arquivo é transmitido de forma segura à API da Anthropic via HTTPS com autenticação por chave de API.
- O modelo analisa o relatório conforme o protocolo clínico configurado e retorna um JSON estruturado.
- O MedBrief processa o JSON, gera o PDF do laudo e descarta o arquivo temporário.
- O PDF é enviado ao usuário via WhatsApp e, opcionalmente, por e-mail.
4.2 Retenção de dados pela Anthropic
De acordo com a política de privacidade da Anthropic, dados enviados via API (sem uso da interface web) não são utilizados para treinar modelos e são retidos por período limitado para fins de segurança e moderação. Para informações detalhadas, consulte a Política de Privacidade da Anthropic.
4.3 Limitações e responsabilidade
As análises geradas pela IA são ferramentas de suporte à decisão e podem conter imprecisões. O profissional de saúde é sempre o responsável pela conduta clínica final. O MedBrief não assume responsabilidade por decisões tomadas exclusivamente com base nas análises geradas.
Integração com WhatsApp
O MedBrief utiliza a API Oficial do WhatsApp Business fornecida pela Meta Platforms, Inc. para receber mensagens, PDFs e enviar respostas e relatórios aos usuários.
5.1 Dados processados via WhatsApp
- Número de telefone do usuário (usado como identificador único na Plataforma)
- Conteúdo das mensagens enviadas ao número do MedBrief
- Arquivos PDF enviados pelo usuário (relatórios CGM)
- Metadados da mensagem: timestamp, tipo de mídia, ID da mensagem
5.2 Uso dos dados do WhatsApp
Os dados recebidos via WhatsApp são usados exclusivamente para processar a solicitação do usuário (análise de relatório ou entrega de briefing) e para registro de interações. Não são utilizados para marketing, rastreamento comportamental ou vendidos a terceiros.
5.3 Política da Meta
A Meta pode processar metadados de mensagens conforme sua própria política de privacidade. O MedBrief não controla o tratamento de dados realizado pela Meta. Para mais informações, consulte a Política de Privacidade do WhatsApp.
Dados médicos e sensíveis
Dados de saúde são classificados como dados pessoais sensíveis pela LGPD e recebem tratamento especial e reforçado.
6.1 Princípios aplicados
Minimização
Coletamos apenas os dados estritamente necessários para a análise clínica solicitada.
Finalidade restrita
Dados de saúde são usados exclusivamente para gerar o laudo solicitado.
Temporalidade
O arquivo PDF original é descartado após o processamento. Apenas métricas estruturadas são retidas.
Acesso restrito
Apenas sistemas automatizados e, em casos de suporte técnico, equipe autorizada têm acesso aos dados.
6.2 O que é armazenado
Após o processamento, o MedBrief armazena no banco de dados as métricas estruturadas da análise (TIR, TAR, TBR, GMI, alertas, recomendações) associadas ao ID do assinante. O arquivo PDF original do relatório CGM não é armazenado — é processado em memória temporária e descartado imediatamente após a geração do laudo.
6.3 Dados de pacientes em relatórios
Quando um profissional de saúde envia um relatório CGM de um paciente, é de responsabilidade do profissional garantir que possui autorização do paciente para compartilhar esses dados com a Plataforma, conforme as obrigações éticas e legais aplicáveis (LGPD, CFM, CFN conforme aplicável).
Compartilhamento de dados
O MedBrief não vende, aluga ou comercializa seus dados pessoais. O compartilhamento ocorre apenas nas seguintes situações:
Anthropic (API Claude)
Dados: Conteúdo do relatório CGM PDF
Motivo: Processamento de IA para geração do laudo clínico
Execução de contratoMeta (WhatsApp Business API)
Dados: Número de telefone, mensagens, arquivos PDF
Motivo: Recebimento e envio de mensagens e relatórios
Execução de contratoSupabase
Dados: Dados de cadastro, métricas de análise
Motivo: Banco de dados e autenticação da Plataforma
Execução de contratoRailway (infraestrutura)
Dados: Logs de aplicação
Motivo: Hospedagem e operação da Plataforma
Legítimo interesseAutoridades competentes
Dados: Conforme requisição legal
Motivo: Cumprimento de obrigação legal ou regulatória
Obrigação legalTodos os suboperadores são contratados com cláusulas de proteção de dados compatíveis com a LGPD e, quando aplicável, com o GDPR.
Retenção e exclusão de dados
| Dado | Período de retenção | Critério |
|---|---|---|
| Dados de cadastro | Enquanto a conta estiver ativa + 2 anos | Prazo para obrigações legais |
| Métricas de análise CGM | Enquanto a conta estiver ativa + 1 ano | Histórico clínico do assinante |
| PDF original do relatório | Não armazenado | Processamento em memória e descarte imediato |
| Logs de interação WhatsApp | 12 meses | Diagnóstico técnico e suporte |
| Logs de servidor | 90 dias | Segurança e monitoramento |
Você pode solicitar a exclusão dos seus dados a qualquer momento conforme descrito na seção 10. Após a exclusão da conta, os dados são removidos dos sistemas ativos e, após os prazos acima, dos backups.
Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados:
Criptografia em trânsito
Todas as comunicações utilizam TLS 1.2+.
Banco de dados seguro
Supabase com criptografia em repouso e autenticação por Row-Level Security.
Autenticação
Senhas armazenadas com hash seguro. Tokens de acesso com expiração.
Minimização
PDFs de relatórios não são persistidos — descartados após processamento.
Controle de acesso
Acesso ao banco restrito por políticas de segurança em nível de linha.
Monitoramento
Logs de aplicação monitorados para detecção de acessos não autorizados.
Em caso de incidente de segurança que possa afetar seus dados, notificaremos os titulares afetados e a ANPD (Autoridade Nacional de Proteção de Dados) nos prazos previstos pela LGPD.
Direitos do titular (LGPD)
A LGPD garante a você, como titular de dados pessoais, os seguintes direitos (art. 18):
Confirmação e acesso
Confirmar se tratamos seus dados e obter cópia dos dados que mantemos sobre você.
Correção
Solicitar a correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação
Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD.
Portabilidade
Receber seus dados em formato estruturado para transferência a outro fornecedor, quando tecnicamente viável.
Eliminação
Solicitar a exclusão dos dados pessoais tratados com base no consentimento, salvo exceções legais.
Informação sobre compartilhamento
Saber com quais terceiros seus dados são compartilhados.
Revogação do consentimento
Retirar seu consentimento a qualquer momento, sem prejuízo do tratamento realizado anteriormente.
Oposição
Opor-se a tratamento realizado com fundamento em bases legais diversas do consentimento, em caso de descumprimento da LGPD.
Revisão de decisões automatizadas
Solicitar revisão humana de decisões tomadas com base exclusivamente em tratamento automatizado.
Para exercer qualquer desses direitos, entre em contato pelo e-mail privacidade@medbrief.com.br. Responderemos em até 15 dias úteis, conforme previsto na LGPD.
Contato e DPO
Para dúvidas sobre esta Política, para exercer seus direitos ou para comunicar qualquer incidente de privacidade, entre em contato com nosso Encarregado de Dados (DPO):
Esta Política pode ser atualizada periodicamente. Notificaremos sobre mudanças relevantes via e-mail e/ou WhatsApp. A versão vigente estará sempre disponível nesta página com data de atualização.