Política de Privacidade

1. Introdução

Esta Política de Privacidade descreve como a WERAD ("nós", "nosso" ou "empresa") coleta, usa, armazena e protege as informações pessoais e dados sensíveis de saúde dos usuários de nossa plataforma de laudos médicos.

O WERAD é um sistema médico especializado que processa dados sensíveis de saúde, incluindo informações de pacientes e laudos médicos. Estamos comprometidos em proteger a privacidade e confidencialidade dessas informações em conformidade com:

• Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018)
• Código de Ética Médica (Resolução CFM nº 2.217/2018)
• Normas do Conselho Federal de Medicina (CFM)
• Normas ISO 27001 e ISO 27799 para segurança da informação em saúde

2. Definições

Para os fins desta política, consideram-se:

Dados Pessoais:

Informação relacionada a pessoa natural identificada ou identificável.

Dados Sensíveis de Saúde:

Dados pessoais sobre saúde física ou mental de uma pessoa, incluindo informações sobre diagnósticos, tratamentos, exames e procedimentos médicos.

Titular dos Dados:

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (paciente).

Controlador:

Instituição de saúde (hospital, clínica, laboratório) que utiliza o WERAD e tem competência para tomar decisões sobre o tratamento de dados.

Operador:

WERAD, que realiza o tratamento de dados pessoais em nome do controlador.

Tratamento:

Toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

3. Coleta de Dados

3.1. Dados de Pacientes

Coletamos e processamos os seguintes dados de pacientes através dos profissionais de saúde que utilizam nossa plataforma:

• Dados de Identificação: Nome completo, data de nascimento, CPF, RG, CNS (Cartão Nacional de Saúde)
• Dados de Contato: Endereço, telefone, e-mail
• Dados de Saúde: Histórico médico, resultados de exames, imagens médicas, laudos, diagnósticos, observações clínicas
• Dados Demográficos: Sexo, idade, etnia (quando relevante para o diagnóstico)
• Dados Biométricos: Medidas antropométricas, índices corporais

3.2. Dados de Usuários Profissionais

Coletamos dados dos profissionais de saúde e colaboradores que utilizam o sistema:

• Dados Cadastrais: Nome completo, CPF, CRM/registro profissional, especialidade
• Dados de Acesso: E-mail, senha criptografada, telefone
• Dados de Uso: Logs de acesso, ações realizadas no sistema, endereço IP, navegador, dispositivo
• Dados Institucionais: Vínculo profissional, cargo, permissões de acesso

3.3. Dados de Instituições

• Dados Cadastrais: Razão social, CNPJ, inscrições estadual/municipal
• Dados de Contato: Endereço, telefone, e-mail institucional
• Dados Financeiros: Dados de faturamento e pagamento
• Dados Técnicos: Configurações do sistema, integrações, preferências

3.4. Métodos de Coleta

Os dados são coletados através de:

• Cadastro direto pelos profissionais de saúde na plataforma
• Importação de sistemas PACS, RIS e HIS integrados
• Upload de imagens e documentos médicos
• Registros automáticos de uso e acesso ao sistema
• Cookies e tecnologias similares (apenas dados não sensíveis)

4. Uso das Informações

4.1. Finalidades do Tratamento

Utilizamos os dados coletados exclusivamente para as seguintes finalidades legítimas:

Finalidades Primárias (Assistência à Saúde):

• Gerar laudos médicos automatizados de densitometria óssea (módulo WeDO)
• Fornecer assistência de IA para elaboração de laudos médicos (módulo WeLaudo)
• Armazenar histórico de exames e laudos dos pacientes
• Permitir comparação evolutiva de resultados ao longo do tempo
• Facilitar o diagnóstico e acompanhamento clínico por profissionais de saúde

Finalidades Secundárias (Operacionais):

• Gerenciar contas e acessos de usuários profissionais
• Garantir a segurança e integridade dos dados
• Melhorar os algoritmos de IA através de machine learning (dados anonimizados)
• Fornecer suporte técnico aos usuários
• Realizar auditoria e conformidade regulatória
• Cumprir obrigações legais e regulatórias
• Gerar estatísticas e relatórios agregados (dados anonimizados)

4.2. Base Legal para Tratamento

O tratamento de dados sensíveis de saúde é realizado com base nas seguintes hipóteses legais previstas na LGPD:

• Art. 11, II, a: Tutela da saúde em procedimento realizado por profissionais de saúde
• Art. 7, V: Execução de contrato (prestação de serviços)
• Art. 7, VI: Exercício regular de direitos em processo judicial, administrativo ou arbitral
• Art. 7, IX: Legítimo interesse do controlador

5. Compartilhamento de Dados

5.1. Não Compartilhamento

A WERAD NÃO compartilha, vende, aluga ou divulga dados pessoais ou de saúde de pacientes com terceiros para fins comerciais, publicitários ou de marketing.

5.2. Compartilhamento Autorizado

Dados podem ser compartilhados apenas nas seguintes situações:

• Com a Instituição Controladora: Dados pertencem à instituição de saúde que utiliza o WERAD
• Com Profissionais Autorizados: Médicos e profissionais da equipe com permissão de acesso
• Provedores de Infraestrutura: Serviços de cloud computing com cláusulas contratuais de proteção de dados
• Por Ordem Judicial: Quando legalmente obrigado por autoridade competente
• Situações de Emergência: Para proteção da vida ou saúde do titular
• Auditoria e Fiscalização: Órgãos reguladores (CFM, ANPD) no exercício de suas atribuições

5.3. Transferência Internacional

Os dados são armazenados em servidores localizados no Brasil. Caso haja necessidade de transferência internacional, será feita apenas para países com nível adequado de proteção de dados conforme LGPD e com seu consentimento prévio.

6. Segurança da Informação

6.1. Medidas Técnicas

Implementamos medidas robustas de segurança para proteger dados sensíveis de saúde:

• Criptografia: Dados em trânsito (TLS 1.3) e em repouso (AES-256)
• Autenticação: Autenticação multifator (MFA) para todos os usuários
• Controle de Acesso: Permissões baseadas em função (RBAC) com princípio do menor privilégio
• Firewall e IDS/IPS: Proteção de rede multicamadas
• Backups: Backups automáticos diários com retenção criptografada
• Monitoramento: Monitoramento 24/7 de atividades suspeitas
• Logs de Auditoria: Registro completo de todos os acessos e alterações
• Segregação de Dados: Isolamento lógico entre diferentes instituições

6.2. Medidas Organizacionais

• Treinamento regular de segurança para toda equipe
• Política de segurança da informação documentada
• Contratos de confidencialidade com colaboradores e parceiros
• Processo de gestão de incidentes de segurança
• Auditorias de segurança periódicas
• Testes de penetração (pentest) anuais
• Plano de continuidade de negócios e recuperação de desastres

6.3. Certificações

Nossos processos e infraestrutura são certificados por:

• ISO 27001 - Gestão de Segurança da Informação
• ISO 27799 - Gestão de Segurança da Informação em Saúde
• Certificação de Boas Práticas em Proteção de Dados (em processo)

6.4. Notificação de Incidentes

Em caso de incidente de segurança que possa representar risco aos direitos e liberdades dos titulares, notificaremos:

• A Autoridade Nacional de Proteção de Dados (ANPD) em até 48 horas
• Os titulares afetados através de comunicação direta
• As instituições controladoras imediatamente

7. Direitos dos Titulares

Em conformidade com a LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

Como Exercer Seus Direitos

Para exercer qualquer um desses direitos, entre em contato através dos canais indicados na seção de Contato desta política. Responderemos sua solicitação em até 15 dias corridos.

8. Retenção de Dados

8.1. Prazos de Retenção

Mantemos os dados pelo tempo necessário para cumprir as finalidades descritas nesta política e obrigações legais:

• Dados de Pacientes e Laudos: Mínimo de 20 anos conforme Resolução CFM nº 1.821/2007 (prontuário médico)
• Imagens Médicas: Mínimo de 5 anos conforme legislação aplicável
• Dados de Usuários Profissionais: Durante vigência do contrato + 5 anos para fins de auditoria
• Logs de Acesso: 6 meses a 1 ano para fins de segurança
• Dados Financeiros: 5 anos conforme legislação tributária

8.2. Descarte Seguro

Ao final do prazo de retenção, os dados são eliminados de forma segura e irreversível através de:

• Sobrescrita criptográfica de dados em disco
• Destruição de backups e cópias
• Anonimização irreversível para dados estatísticos

9. Conformidade com LGPD

9.1. Encarregado de Dados (DPO)

Designamos um Encarregado de Proteção de Dados (DPO) para atuar como canal de comunicação entre a empresa, os titulares de dados e a ANPD:

Nome: [Nome do DPO]
E-mail: dpo@werad.com.br
Telefone: +55 (11) 0000-0000

9.2. Relatório de Impacto à Proteção de Dados (RIPD)

Realizamos avaliação de impacto à proteção de dados pessoais para identificar e mitigar riscos relacionados ao tratamento de dados sensíveis de saúde.

9.3. Privacidade por Design

Desenvolvemos o WERAD com princípios de privacidade desde a concepção:

• Minimização de dados coletados
• Criptografia padrão para todos os dados
• Controles de acesso restritivos
• Anonimização para análises estatísticas
• Transparência no processamento

10. Contato e Solicitações

Canal de Privacidade

Para exercer seus direitos, esclarecer dúvidas ou fazer solicitações relacionadas à privacidade:

Ouvidoria ANPD

Você também pode entrar em contato diretamente com a Autoridade Nacional de Proteção de Dados:

Website: www.gov.br/anpd

Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente. Notificaremos sobre alterações significativas através de:

• Aviso destacado na plataforma
• E-mail para usuários cadastrados
• Publicação da nova versão nesta página

Recomendamos revisar esta política regularmente para se manter informado sobre nossas práticas de privacidade.