Pular para o conteúdo
Versão preliminar — pendente revisão jurídica

Política de Privacidade

Esta política descreve o tratamento de dados pessoais realizado pela plataforma clínica NexusNephro, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, doravante “LGPD”). O controlador dos dados é o Dr. Matheus Jorge Assali, nefrologista, inscrito no CRM-SP sob o nº 210.257 e RQE 130.535, responsável técnico e desenvolvedor da plataforma. Encarregado pelo Tratamento de Dados (DPO): [A CONFIRMAR DPO].

1. Escopo e natureza da plataforma

NexusNephro é uma plataforma de prontuário eletrônico (EMR) e apoio à decisão clínica em nefrologia. O acesso é restrito a profissionais médicos identificados por inscrição ativa no Conselho Regional de Medicina. A plataforma não atende paciente final, não presta serviço de telemedicina ao público leigo e não oferece aconselhamento médico fora do contexto do exercício profissional do usuário registrado.

2. Dados tratados e finalidades

A plataforma trata dois grupos de dados pessoais. O primeiro é composto por dados de identificação e cadastro do profissional médico (nome, e-mail institucional, número de inscrição no CRM e Registro de Qualificação de Especialista quando informado), com finalidade de autenticação, controle de acesso e auditoria de operações realizadas. O segundo grupo compreende dados clínicos de pacientes assistidos pelo profissional, tratados sob a responsabilidade direta do médico usuário, incluindo identificação, histórico clínico, resultados laboratoriais, sessões dialíticas, prescrições, condutas e evoluções, com finalidade exclusiva de assistência à saúde.

3. Bases legais

O cadastro voluntário em lista de acesso antecipado é tratado com base no consentimento do titular, conforme art. 7º, inciso I, da LGPD, e pode ser revogado a qualquer tempo mediante solicitação ao controlador. O tratamento de dados clínicos de pacientes ocorre sob a hipótese específica do art. 11, inciso II, alínea “f”, da LGPD — tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. O exercício dos direitos do titular previstos no art. 18 da LGPD (confirmação, acesso, correção, anonimização, eliminação, portabilidade, informação sobre compartilhamento e revogação do consentimento) é assegurado mediante requisição formal ao Encarregado.

4. Segurança da informação

Em atenção ao art. 46 da LGPD, são adotadas medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Dados clínicos sensíveis em repouso são cifrados com algoritmo simétrico AES-256-GCM ao nível aplicação. O acesso à plataforma exige autenticação por credenciais individuais e registra trilha de auditoria por requisição. A infraestrutura de armazenamento opera em território nacional.

5. Retenção

Dados clínicos vinculados a prontuário médico são retidos pelo prazo mínimo de vinte anos contados do último registro, conforme determina a Lei 13.787/2018 e a regulação do Conselho Federal de Medicina, sem prejuízo de prazos superiores quando aplicáveis. Dados de cadastro voluntário em lista de acesso antecipado são retidos enquanto vigente o interesse do titular e são eliminados em até trinta dias após revogação expressa do consentimento, salvo obrigação legal de guarda em sentido contrário.

6. Compartilhamento

Dados pessoais não são comercializados nem cedidos a terceiros para finalidades estranhas às descritas nesta política. O compartilhamento ocorre apenas com operadores de infraestrutura estritamente necessários à prestação do serviço, sob contrato e instrução do controlador, e mediante requisição de autoridade competente nos termos da legislação vigente.

7. Direitos do titular e canal de contato

Para exercer qualquer dos direitos previstos no art. 18 da LGPD, ou para esclarecimento sobre o tratamento de dados pessoais realizado pela plataforma, o titular deve contatar o Encarregado pelo Tratamento de Dados em [A CONFIRMAR DPO]. A resposta é fornecida no prazo legal, contado da requisição.

Data de última revisão: [A CONFIRMAR data efetiva]. Versão dev.