Sistema de verificacao publica de receitas

Politica de Privacidade

Endopront · Lei Geral de Proteção de Dados (Lei 13.709/2018) · Atualizada em 05/06/2026

Texto modelo. Este documento foi elaborado como ponto de partida juridicamente fundamentado. Cada clinica deve revisa-lo com seu proprio advogado/encarregado (DPO) e adapta-lo as finalidades especificas de tratamento.

1. Controlador dos Dados

O controlador dos dados pessoais coletados é a clínica médica titular do prontuário (Endopront é a plataforma operadora). O encarregado pela proteção de dados (DPO) está designado na própria clínica e disponível para contato conforme indicado no rodapé do sistema.

2. Dados Coletados

  • Dados cadastrais: nome, CPF, data de nascimento, contato (telefone e e-mail), endereço.
  • Dados clínicos sensíveis (art. 11 LGPD): histórico médico, diagnósticos, prescrições, resultados de exames, anamnese.
  • Dados de uso: logs de acesso ao prontuário, IP, registro de consentimentos.

3. Finalidades do Tratamento

  • Execução do cuidado em saúde (consultas, prescrições, exames).
  • Cumprimento de obrigação legal: prontuário (CFM 2.232/2019), receitas controladas (Portaria 344/98), retenção de 20 anos (CFM 1.821/2007).
  • Comunicações operacionais (agendamento, lembretes, resultados).

4. Bases Legais (art. 7 e 11)

  • Tutela da saúde (art. 11, II, "f") — base principal para dados clínicos.
  • Cumprimento de obrigação legal — retenção do prontuário.
  • Consentimento — telemedicina, pesquisa científica, uso off-label, compartilhamento com terceiros.

5. Compartilhamento

Os dados podem ser compartilhados, dentro dos limites legais, com:

  • Convênios e operadoras de saúde (apenas o necessário para autorização e faturamento).
  • Laboratórios e clínicas de imagem indicados pelo médico assistente.
  • Autoridades sanitárias (notificações compulsórias) e ANVISA quando exigido por lei.
  • Plataforma Endopront, como operadora, exclusivamente para hospedagem segura e processamento técnico.

6. Direitos do Titular (art. 18)

Você tem direito a:

  • Confirmação da existência e acesso aos seus dados (no portal do paciente).
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
  • Portabilidade dos dados em formato estruturado (JSON).
  • Revogação de consentimento, quando o tratamento se basear nele.
  • Saber quem acessou seu prontuário (log de acesso disponível no portal).

Solicitações devem ser feitas pelo portal do paciente ou em contato direto com a clínica/DPO. Prazo de resposta: 15 dias (art. 19).

7. Retenção

O prontuário médico é retido pelo prazo mínimo de 20 anos a contar do último registro (Resolução CFM 1.821/2007). Após esse período, os dados podem ser anonimizados para fins estatísticos ou eliminados.

8. Segurança

Adotam-se medidas técnicas e administrativas para proteger os dados: criptografia em trânsito (HTTPS/TLS), criptografia em repouso para CPF, controle de acesso por perfil, registro de auditoria (paper_trail), rate limiting (Rack::Attack), backups diários e plano de resposta a incidentes (runbook ANPD 72h).

9. Incidentes

Em caso de incidente de segurança envolvendo risco relevante, a clínica notificará a ANPD e os titulares afetados em prazo máximo de 72 horas a partir da descoberta (art. 48 LGPD).

10. Cookies

O sistema utiliza apenas cookies estritamente necessários para autenticação (sessão Devise) e segurança (CSRF). Não há cookies de rastreamento, publicidade ou analytics de terceiros.

11. Contato

Para exercer seus direitos ou esclarecer dúvidas, contate o encarregado (DPO) da clínica. O nome e e-mail do DPO estão indicados no rodapé do sistema quando publicados. Você também pode registrar reclamação na ANPD (Autoridade Nacional de Proteção de Dados) em gov.br/anpd.

Documento gerado em 05/06/2026 00:46.

Politica de Privacidade · Termos de Uso