Política de Privacidade
Última atualização: 3 de junho de 2026
1. Controlador dos Dados
Raras Health Ltda — CNPJ 66.763.825/0001-76
Encarregado de Proteção de Dados (DPO): Dimas Timmers
Contato DPO: [email protected] · [email protected] · página oficial: /encarregado
Canal de segurança: [email protected] · security.txt (RFC 9116)
Responsável Médico: Dr. Alexandre Kawassaki — CRM-SP 117803 / RQE 49066
2. Leis e Regulamentos Aplicáveis
O Raras está comprometido com o cumprimento das principais legislações de proteção de dados:
2.1 LGPD — Lei Geral de Proteção de Dados (Brasil)
Lei 13.709/2018 — legislação primária que rege o tratamento de dados pessoais no Brasil. Cumprimos integralmente os artigos 7 (bases legais), 11 (dados sensíveis de saúde), 14 (menores), 18 (direitos dos titulares) e 46 (segurança).
2.2 GDPR — Regulamento Geral de Proteção de Dados (UE/EEE/Portugal)
Regulamento (UE) 2016/679 — aplicável a utilizadores localizados na União Europeia, Espaço Económico Europeu e Portugal. Para utilizadores portugueses e europeus, aplicam-se as seguintes garantias adicionais:
- Base legal (Art. 6 e 9 GDPR) — consentimento explícito para dados de saúde (categoria especial)
- Direito ao apagamento (Art. 17) — "direito ao esquecimento" plenamente respeitado
- Portabilidade (Art. 20) — exportação de dados em formato estruturado (JSON/CSV)
- Minimização (Art. 5.1.c) — recolhemos apenas dados estritamente necessários
- Privacy by Design (Art. 25) — proteção integrada na conceção do sistema
- DPO designado (Art. 37) — contacto: [email protected]
- CNPD (Portugal) — utilizadores em Portugal podem apresentar reclamação à Comissão Nacional de Proteção de Dados (cnpd.pt)
- Autoridade de Controlo (Art. 77) — utilizadores na UE podem reclamar junto da autoridade de proteção de dados do seu país
2.3 HIPAA — Health Insurance Portability and Accountability Act (EUA)
Embora o Raras não seja uma entidade coberta pelo HIPAA (covered entity), adotamos voluntariamente os padrões técnicos e administrativos da HIPAA como referência de melhores práticas para proteção de dados de saúde:
- Privacy Rule — dados de saúde protegidos (PHI) nunca compartilhados sem consentimento explícito
- Security Rule — salvaguardas administrativas, físicas e técnicas implementadas
- Criptografia AES-256-GCM — padrão exigido pelo HIPAA para dados em repouso
- Controle de acesso — autenticação obrigatória, RLS (Row Level Security), princípio do menor privilégio
- Trilha de auditoria — registro completo de acessos a dados de saúde
- Breach Notification — compromisso de notificação em até 72 horas em caso de incidente
2.4 Outras Regulamentações
- ECA Digital (Lei 15.007/2024) — proteção de menores no ambiente digital
- Marco Civil da Internet (Lei 12.965/2014) — privacidade e proteção de dados na internet
- CFM (Resoluções do Conselho Federal de Medicina) — tratamento ético de dados médicos
- ISO 27001 — seguimos as diretrizes da norma internacional de segurança da informação
- ISO 27799 — diretrizes específicas para segurança da informação em saúde
3. Dados que Coletamos
3.1 Dados pessoais
Nome, e-mail, estado, ano de nascimento — necessários para criar sua conta.
3.2 Dados sensíveis de saúde (Art. 11 LGPD / Art. 9 GDPR)
Condições médicas (doenças raras), sintomas (fenótipos HPO), tratamentos, medicamentos, exames, histórico médico, dados genéticos. Estes dados são coletados APENAS com seu consentimento explícito e são essenciais para o funcionamento da Carteira de Saúde.
3.3 Dados de uso
Interações na plataforma, comunidades participadas, buscas realizadas. Coletados com base em interesse legítimo (Art. 7, IX LGPD / Art. 6.1.f GDPR), sempre anonimizados quando possível.
3.4 Dados não coletados
O Raras NÃO coleta: geolocalização precisa, dados financeiros ou bancários, biometria facial, histórico de navegação fora da plataforma.
4. Base Legal para o Tratamento
| Tipo de Dado | Base Legal (LGPD) | Base Legal (GDPR) |
|---|---|---|
| Dados pessoais básicos | Execução de contrato (Art. 7, V) | Execução de contrato (Art. 6.1.b) |
| Dados sensíveis de saúde | Consentimento explícito (Art. 11, I) | Consentimento explícito (Art. 9.2.a) |
| Dados de uso/analytics | Interesse legítimo (Art. 7, IX) | Interesse legítimo (Art. 6.1.f) |
| Processamento por IA | Consentimento explícito (Art. 11, I) | Consentimento explícito (Art. 9.2.a / Art. 22) |
5. Finalidade do Tratamento
- Manter sua Carteira de Saúde digital
- Conectar você a especialistas e associações relevantes
- Oferecer sugestões personalizadas via IA (Copilot)
- Identificar elegibilidade para ensaios clínicos
- Facilitar participação em comunidades de doenças raras
- Encontrar pacientes similares (dados anonimizados)
6. Compartilhamento de Dados
Seus dados NÃO são vendidos. Compartilhamos apenas com:
- Supabase Inc. — infraestrutura de banco de dados (região: us-east-1)
- Neo4j/Aura — grafo de conhecimento (dados pseudonimizados)
- Provedores de IA — para funcionalidades do Copilot (sem dados identificáveis)
- Especialistas/Associações — apenas dados que você escolhe compartilhar
7. Transferência Internacional de Dados
Alguns subprocessadores estão localizados fora do Brasil. As transferências internacionais seguem a Resolução CD/ANPD nº 19/2024 (vigente desde 23/08/2025) e o GDPR (UE):
- Cláusulas-Padrão Contratuais Brasil (CCP) — anexadas aos contratos com Supabase, Vercel, Google (Vertex), Anthropic, Cloudflare
- Decisão de Adequação — usada para subprocessadores em jurisdição UE (HuggingFace, etc.) reconhecida pela ANPD
- Consentimento específico (Art. 33, VIII LGPD) — base usada para subprocessadores em jurisdições sem CCP ou adequação (informados explicitamente ao titular antes do uso)
- SCCs UE (GDPR Art. 46.2.c) — aplicadas adicionalmente para usuários localizados na UE
Lista pública detalhada de subprocessadores + status de cláusulas: docs/compliance/SCCs-PROCESSADORES.md.
8. Seus Direitos
Você tem os seguintes direitos garantidos pela LGPD (Art. 18) e pelo GDPR (Arts. 15-22):
Acesso
Consultar todos os seus dados pessoais
Retificação
Corrigir dados incompletos ou incorretos
Eliminação
Solicitar exclusão dos seus dados
Portabilidade
Exportar seus dados em formato estruturado
Oposição
Opor-se ao tratamento em certas situações
Revogação
Revogar consentimento a qualquer momento
Limitação
Restringir o tratamento dos seus dados
Não-discriminação
Não ser prejudicado por exercer seus direitos
Para exercer seus direitos: [email protected]
Prazo de resposta: até 15 dias (LGPD) / 30 dias (GDPR).
9. Retenção e Exclusão
- Dados pessoais e de saúde: excluídos em até 15 dias após solicitação
- Documentos médicos verificados: auto-excluídos em 30 dias após verificação
- Documentos rejeitados: retidos por 7 dias para recurso, depois purgados
- Posts em comunidades: anonimizados (autoria removida)
- Dados no grafo de conhecimento: removidos completamente
- Logs de auditoria médica: mantidos conforme obrigação legal (CFM/ANVISA)
10. Segurança Técnica e Organizacional
Medidas de segurança implementadas:
A segurança dos dados é revisada periodicamente. Adotamos os princípios de Privacy by Design (GDPR Art. 25) e Segurança por Padrão, garantindo que as medidas de proteção estejam incorporadas desde a concepção do sistema.
11. IA e Processamento Automatizado
O Copilot utiliza modelos de Inteligência Artificial generativa para responder perguntas e apresentar informações sobre doenças raras. Atendemos integralmente:
- LGPD art. 20 — Nenhuma decisão automatizada com efeito jurídico significativo. Direito a revisão humana garantido via [email protected]
- Resolução CFM 2.454/2026 (vigência ago/2026) — Disclosure visível "Resposta gerada por IA" em cada mensagem do Copilot + botão "Como cheguei aqui?" expandindo fontes + modelo + limitações
- ANVISA RDC 657/2022 art. 4º IV — Copilot é informativo, NÃO é dispositivo médico; política completa em docs/compliance/POLICY-SaMD-EXCLUSION.md
- Modelos usados: DeepSeek V4 Flash (primário, opt-in granular), Google Vertex Gemini Flash (multimodal e fallback). Cláusula contratual "no training" com cada provedor.
- RIPD (Relatório de Impacto) publicado em docs/compliance/RIPD-COPILOT.md
- Você pode desativar o processamento por IA a qualquer momento em /configuracoes/privacidade
- Para emergências, ligue SAMU 192 ou 193. Copilot não substitui consulta médica.
12. Cookies e Tecnologias de Rastreamento
- Essenciais — cookies de sessão e autenticação (sempre ativos)
- Funcionais — preferências de consentimento (localStorage)
- Analíticos — Google Analytics, Microsoft Clarity — apenas com consentimento
Você pode gerenciar suas preferências de cookies a qualquer momento no banner de consentimento.
13. Menores de Idade
Para pacientes menores de 18 anos (Brasil) ou 16 anos (Portugal/UE — Art. 8, GDPR), o cadastro deve ser feito pelo responsável legal, conforme Art. 14 da LGPD e ECA Digital (Lei 15.007/2024).
14. Incidentes de Segurança
Em caso de violação de dados pessoais:
- Notificação à ANPD e aos titulares afetados conforme Art. 48 da LGPD
- Notificação à autoridade de controlo da UE em até 72 horas (Art. 33, GDPR)
- Comunicação direta aos titulares quando houver risco elevado (Art. 34, GDPR)
- Registro de todos os incidentes com avaliação de impacto e medidas corretivas
15. Contato e Reclamações
DPO / Encarregado: Dimas Timmers — [email protected]
Autoridades de Proteção de Dados:
- Brasil: ANPD — Autoridade Nacional de Proteção de Dados (gov.br/anpd)
- Portugal: CNPD — Comissão Nacional de Proteção de Dados (cnpd.pt)
- UE: Autoridade de controlo do seu Estado-Membro (Art. 77, GDPR)
16. Alterações a Esta Política
Esta política pode ser atualizada periodicamente. Alterações substanciais serão comunicadas por e-mail e/ou notificação na plataforma com antecedência mínima de 30 dias. A versão atualizada estará sempre disponível nesta página com a data da última modificação.