Política de Privacidade

A SYNAPSE INOVAÇÃO E TECNOLOGIA LTDA, inscrita no CNPJ sob nº 58.873.865/0001-42, com sede na Av. Dr. Arnaldo, 2194, Sumaré, São Paulo - SP, CEP 01.255-000 ("Synapse" ou "Nós") respeita a privacidade dos usuários da plataforma URO3D ("Plataforma") e está comprometida com a proteção dos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei 13.709/2018) e demais normas aplicáveis.

Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos e protegemos seus dados pessoais ao utilizar a Plataforma.

1. Dados Coletados

1.1. Dados Pessoais do Usuário

• Nome completo e e-mail (cadastro)
• Registro profissional (CRM, estado)
• Especialidade e instituição
• Foto de perfil (opcional)
• Links profissionais (LinkedIn, Lattes, etc.)

1.2. Dados de Uso

• Endereço IP e user-agent do navegador
• Data e hora de acesso
• Páginas visitadas e funcionalidades utilizadas
• Logs de auditoria (ações realizadas na Plataforma)

1.3. Dados Médicos de Pacientes (Dados Sensíveis)

• Dados de identificação do paciente (nome, CPF, RG, data de nascimento)
• Dados clínicos (anamnese, exame físico, diagnóstico, plano terapêutico)
• Imagens médicas (DICOM, fotografias clínicas, vídeos cirúrgicos)
• Modelos 3D derivados de exames de imagem
• Relatórios pós-operatórios e evoluções clínicas

Importante: Os dados de pacientes são inseridos pelo próprio profissional de saúde (controlador), cabendo a ele a obtenção do consentimento informado do paciente.

2. Base Legal para Tratamento

O tratamento de dados pessoais é realizado com fundamento nas seguintes bases legais da LGPD:

• Consentimento (Art. 7, I e Art. 11, I): Aceite dos Termos de Uso e Política de Privacidade no cadastro, com registro de data/hora.
• Execução de contrato (Art. 7, V): Prestação do serviço contratado (funcionalidades da Plataforma).
• Obrigação legal/regulatória (Art. 7, II): Retenção de logs de auditoria e dados clínicos conforme resoluções do CFM e legislação sanitária.
• Tutela da saúde (Art. 7, VIII e Art. 11, II, f): Tratamento de dados sensíveis de saúde por profissionais habilitados no âmbito do atendimento ao paciente.
• Interesse legítimo (Art. 7, IX): Melhoria contínua da Plataforma, segurança e prevenção de fraudes.

3. Finalidades do Tratamento

• Prover as funcionalidades da Plataforma (gestão de casos, planejamento cirúrgico, documentação)
• Autenticação e controle de acesso com base em papéis (RBAC)
• Gerar logs de auditoria para rastreabilidade de ações (compliance)
• Enviar comunicações transacionais (verificação de e-mail, convites, alertas de segurança)
• Analisar métricas de uso agregadas para melhoria do produto
• Cumprir obrigações legais e regulatórias aplicáveis ao setor de saúde

4. Compartilhamento de Dados

Seus dados pessoais podem ser compartilhados nas seguintes situações:

• Membros da mesma Organização: Dados de projetos/casos são compartilhados com membros da organização conforme suas permissões (ADMIN, EDITOR, VIEWER).
• Compartilhamento de casos (Guest Access): Links temporários com dados anonimizados do paciente (patient token). URLs expiram automaticamente e possuem limite de visualizações.
• Publicações clínicas: Casos publicados no blog com dados do paciente anonimizados. O autor controla a publicação.
• Provedores de infraestrutura: AWS (S3 para armazenamento de arquivos), serviços de e-mail transacional. Todos com contratos de processamento de dados (DPA).
• Sentry (Functional Software Inc.): Monitoramento de erros e performance da aplicação. Pode processar dados técnicos de uso (IP, browser, stack traces). Sede nos EUA.
• Obrigação legal: Quando exigido por lei, ordem judicial ou autoridade competente.

Não vendemos dados pessoais para terceiros em nenhuma circunstância.

5. Direitos do Titular

Em conformidade com o Art. 18 da LGPD, você tem direito a:

• Acesso: Solicitar quais dados pessoais seus estão armazenados na Plataforma.
• Correção: Atualizar dados incompletos, inexatos ou desatualizados (disponível em Configurações > Perfil).
• Eliminação: Solicitar a exclusão de seus dados pessoais (disponível em Configurações > Privacidade), respeitados os prazos legais de retenção.
• Portabilidade: Exportar seus dados em formato estruturado (JSON) através de Configurações > Privacidade.
• Revogação do consentimento: Revogar o consentimento a qualquer momento, sem prejuízo do tratamento realizado anteriormente.
• Informação sobre compartilhamento: Saber com quais entidades seus dados foram compartilhados.
• Oposição: Opor-se ao tratamento de dados em situações específicas.

Para exercer seus direitos, utilize as funcionalidades disponibilizadas na página de Configurações > Privacidade ou entre em contato com nosso Encarregado (DPO) pelo e-mail indicado na seção 10.

6. Retenção de Dados

• Dados de conta: Mantidos enquanto a conta estiver ativa. Após exclusão, dados são anonimizados (soft delete), preservando apenas o necessário para obrigações legais.
• Logs de auditoria: Retidos por 5 anos após a criação, conforme boas práticas de segurança e compliance em saúde.
• Dados clínicos de pacientes: Retidos conforme Resolução CFM 1.821/2007 (mínimo 20 anos) enquanto vinculados a uma organização ativa. A exclusão pelo médico responsável pode ser solicitada individualmente.
• Dados de uso e analytics: Retidos por 2 anos de forma agregada e anonimizada.

7. Segurança dos Dados

Empregamos medidas técnicas e organizacionais para proteger seus dados, incluindo:

• Criptografia em trânsito (HTTPS/TLS) e em repouso
• Autenticação segura com hash de senha (bcrypt, 12 salt rounds) e tokens JWT
• Controle de acesso baseado em papéis (RBAC) por organização e projeto
• Logs de auditoria completos (ações, IP, user-agent, timestamps)
• URLs pré-assinadas (presigned URLs) com tempo de expiração reduzido para acesso a arquivos
• Anonimização automática de dados de pacientes em compartilhamento de casos
• Rate limiting para prevenção de ataques de força bruta
• Backups regulares com criptografia

8. Cookies e Tecnologias de Rastreamento

A Plataforma utiliza as seguintes categorias de cookies:

• Cookies essenciais (obrigatórios): Necessários para o funcionamento básico da Plataforma, incluindo autenticação (cookie de sessão), preferências de tema e segurança. Não podem ser desabilitados.
• Cookies de analytics (opcionais): Utilizados para coletar dados anonimizados de uso da página pública (landing page), como visualizações de página e profundidade de scroll. Podem ser desabilitados pelo usuário através do banner de cookies.

Não utilizamos cookies de publicidade ou rastreamento de terceiros.

9. Transferência Internacional de Dados

Arquivos e modelos 3D são armazenados na AWS (Amazon Web Services), cujos servidores podem estar localizados fora do Brasil. A transferência internacional de dados ocorre em conformidade com o Art. 33 da LGPD, com base em cláusulas contratuais padrão e certificações de proteção de dados do provedor.

10. Encarregado de Proteção de Dados (DPO)

Para exercer seus direitos, esclarecer dúvidas ou reportar incidentes relacionados à proteção de dados, entre em contato com nosso Encarregado:

11. Incidentes de Segurança (Art. 48 LGPD)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, a Synapse compromete-se a:

• Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, não superior a 72 horas após a confirmação do incidente.
• Adotar medidas imediatas de contenção e mitigação dos efeitos do incidente, incluindo isolamento de sistemas comprometidos e preservação de evidências.
• Informar a natureza dos dados afetados, os titulares envolvidos, as medidas técnicas e de segurança adotadas e as providências para reverter ou mitigar os efeitos do incidente.

Canal de comunicação para incidentes de segurança: thiago@synapseops.com

12. Dados de Menores de Idade (Art. 14 LGPD)

A Plataforma pode processar dados de pacientes menores de idade quando o médico responsável tiver obtido consentimento específico e em destaque do responsável legal, conforme exigido pelo Art. 14 da LGPD.

O controlador dos dados (médico) é responsável por obter e documentar esse consentimento antes de inserir quaisquer dados de pacientes menores na Plataforma. A Synapse, na qualidade de operadora, processará tais dados exclusivamente conforme as instruções do controlador e nos limites da finalidade contratada.

13. Alterações nesta Política

Esta Política pode ser atualizada periodicamente. As alterações serão comunicadas por e-mail ou mediante aviso na Plataforma, com antecedência mínima de 30 dias. A versão mais recente estará sempre disponível nesta página.