Política de Privacidade

1. Controlador e contato

O controlador dos dados pessoais tratados nesta Plataforma é MedSkill, responsável pelas decisões referentes ao tratamento de dados pessoais dos usuários da Plataforma.

Canal dedicado à privacidade e exercício de direitos do titular: privacidade@medskill.ai.

Esta Política aplica-se ao tratamento de dados de usuários cadastrados (médicos, administradores de clínica e administradores da plataforma) e de dados inseridos no contexto do uso clínico, inclusive dados de pacientes quando informados pelo usuário.

2. Dados que podemos tratar

Recomendamos minimizar dados identificáveis de pacientes na Plataforma, preferindo identificadores internos ou dados estritamente necessários à funcionalidade, conforme orientação institucional e base legal aplicável.

• Dados de cadastro: nome, e-mail, CRM, especialidade, senha (armazenada de forma criptografada), perfil de acesso (médico, clínica, admin).
• Dados de uso: logs de autenticação, sessão, quotas de geração, registros de agentes de IA (prompts/respostas técnicas para auditoria), feedbacks enviados à plataforma.
• Dados clínicos inseridos pelo usuário: queixas, hipóteses, dados demográficos de pacientes (idade, sexo, medidas antropométricas, gestação etc.), textos de prescrições e exames aprovados.
• Dados de assinatura e faturamento: plano, status, histórico de pagamentos (quando integrado a provedor de pagamento).

3. Finalidades e bases legais (LGPD)

Tratamos dados pessoais para as finalidades abaixo, com fundamento nas bases legais indicadas:

• Prestação do contrato e cadastro (Art. 7º, V): criar e gerenciar conta, autenticar, entregar funcionalidades contratadas.
• Legítimo interesse (Art. 7º, IX): segurança, prevenção a fraudes, melhoria do serviço, métricas agregadas, auditoria técnica — sempre com balanceamento de direitos.
• Consentimento (Art. 7º, I): quando exigido, por exemplo para comunicações de marketing ou funcionalidades opcionais.
• Cumprimento de obrigação legal/regulatória (Art. 7º, II): quando aplicável a registros fiscais, ordens judiciais ou normas sanitárias.
• Exercício regular de direitos (Art. 7º, VI): defesa em processos judiciais ou administrativos.

4. Compartilhamento e operadores

Podemos compartilhar dados com operadores estritamente necessários à operação: provedores de hospedagem em nuvem (ex.: Google Cloud / Vertex AI para processamento de IA), banco de dados gerenciado, ferramentas de e-mail transacional e, futuramente, processadores de pagamento.

Exigimos contratos e medidas de segurança compatíveis com a LGPD. O processamento por modelos de IA ocorre para geração de sugestões clínicas; não vendemos dados pessoais a terceiros.

Dados podem ser divulgados por determinação legal, ordem judicial ou requisição de autoridade competente.

5. Transferência internacional

Alguns provedores de infraestrutura ou IA podem processar dados em servidores fora do Brasil (por exemplo, Estados Unidos). Nesses casos, adotamos cláusulas contratuais, avaliações de impacto e medidas técnicas previstas nos arts. 33 a 36 da LGPD, incluindo garantias de nível adequado de proteção.

6. Retenção e eliminação

Mantemos dados pelo tempo necessário às finalidades descritas, cumprimento de obrigações legais, resolução de disputas e exercício de direitos. Logs técnicos e registros de auditoria podem ser retidos por prazos maiores quando justificados por segurança.

Após encerramento da conta, dados serão eliminados ou anonimizados, salvo retenção legal ou legítima. Solicitações de exclusão podem ser enviadas ao canal de privacidade.

7. Segurança da informação

Adotamos medidas técnicas e administrativas proporcionais ao risco: comunicação criptografada (HTTPS), hashing de senhas, controle de acesso por perfil, rate limiting, segregação de ambientes e princípio do menor privilégio.

Nenhum sistema é totalmente imune a incidentes. Em caso de incidente de segurança com risco relevante aos titulares, comunicaremos conforme arts. 48 e 48-A da LGPD e orientações da ANPD.

8. Direitos do titular (Art. 18, LGPD)

Para exercer seus direitos, envie solicitação a privacidade@medskill.ai com identificação razoável do titular. Responderemos nos prazos legais.

Reclamações podem ser apresentadas à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd.

• Confirmação da existência de tratamento e acesso aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
• Portabilidade, quando aplicável.
• Informação sobre compartilhamentos e possibilidade de não consentir (quando o tratamento depender de consentimento).
• Revogação do consentimento e oposição a tratamentos em hipóteses legais.
• Revisão de decisões automatizadas que afetem interesses, observadas as limitações técnicas e legais.

9. Crianças e adolescentes

A Plataforma não se destina ao cadastro direto de menores de 18 anos. Dados de pacientes pediátricos inseridos pelo médico responsável devem observar bases legais aplicáveis (incluindo consentimento de responsável quando necessário) e normas éticas profissionais.

10. Alterações desta Política

Podemos atualizar esta Política para refletir mudanças legais ou operacionais. A data da última revisão constará no topo do documento. Alterações relevantes serão comunicadas por meios razoáveis.