1. Quem é o Responsável pelos Seus Dados
O controlador dos seus dados pessoais é:
Mentor em Saúde Integral · Naturopatia
São Bernardo do Campo (SP), Brasil
Site: marceloitalo.com.br
Contato sobre privacidade: marcelo@marceloitalo.com.br
Esta Política se aplica ao site marceloitalo.com.br e à plataforma MI Saúde Integral, incluindo todas as funcionalidades de anamnese, protocolos e avaliações psicossociais, tanto para pessoas físicas quanto para empresas contratantes.
2. Quais Dados Coletamos
Coletamos apenas os dados necessários para cada finalidade, respeitando o princípio da minimização (Art. 6°, III, LGPD):
| Dado | Por que coletamos | Base Legal |
|---|---|---|
| Nome, e-mail, telefone, foto | Criar sua conta e estabelecer contato | Execução de contrato (Art. 7°, V) |
| CPF, data de nascimento | Identificação e emissão de documentos | Execução de contrato (Art. 7°, V) |
| Histórico de saúde, medicamentos, alergias sensível | Avaliação naturopática e elaboração de protocolos | Tutela da saúde (Art. 11°, II, f) + Consentimento |
| Resultados de exames sensível | Análise laboratorial e acompanhamento clínico | Tutela da saúde (Art. 11°, II, f) + Consentimento |
| Notas de sessões e transcrições sensível | Registro clínico para continuidade do atendimento | Tutela da saúde + Consentimento explícito |
| Respostas a questionários psicossociais sensível | Avaliação de saúde mental e psicossocial (NR-01, COPSOQ III) | Tutela da saúde (Art. 11°, II, f) + Consentimento |
| Dados de navegação (cookies, IP) | Análise de desempenho do site (Google Analytics) | Legítimo interesse (Art. 7°, IX) |
Classificados pela LGPD como dados pessoais sensíveis (Art. 5°, II), somente são tratados com base em finalidade específica de saúde ou com o seu consentimento explícito.
3. Como Usamos Seus Dados
Seus dados são usados exclusivamente para:
- Criar e gerenciar sua conta na plataforma
- Realizar avaliação naturopática e elaborar protocolos de saúde personalizados
- Registrar e acompanhar o histórico clínico de sessões e atendimentos
- Aplicar avaliações psicossociais e gerar relatórios de saúde ocupacional (empresas recebem apenas dados agregados — nunca dados individuais identificáveis)
- Enviar comunicações relacionadas ao seu atendimento
- Melhorar a experiência no site (dados de navegação sem qualquer dado de saúde)
- Cumprir obrigações legais de guarda de prontuários e de conformidade com a NR-01
Não vendemos, alugamos ou cedemos seus dados a terceiros para fins comerciais.
4. Com Quem Compartilhamos
| Destinatário | Dado compartilhado | Proteção aplicada |
|---|---|---|
| Anthropic Inc. (EUA) API de Inteligência Artificial |
Perfil de saúde mínimo necessário para geração do protocolo personalizado (princípio da minimização — Art. 6°, III, LGPD) | Somente mediante consentimento explícito e específico do titular, coletado antes de qualquer transmissão; transferência internacional com base no Art. 33, I, LGPD; Anthropic Inc. não usa dados transmitidos via API para treinar seus modelos (Política de Uso Comercial da Anthropic) |
| Microsoft OneDrive Armazenamento de backup |
Backup criptografado de todos os dados | Criptografia GPG AES-256 aplicada antes da transmissão — dados são completamente ilegíveis sem a chave privada, mesmo em caso de comprometimento da conta |
| Google Analytics Análise de uso do site |
Dados de navegação (IP, páginas visitadas, tempo de sessão) — sem qualquer dado de saúde | IP anonimizado via configuração do Analytics; Política de Privacidade do Google aplicável; dados usados exclusivamente para análise de desempenho do site |
| Locaweb Serviços de Internet S.A. Hospedagem — VPS Brasil |
Todos os dados da plataforma (hospedagem de infraestrutura) | Servidor localizado em São Paulo (BR); dados nunca saem do território nacional por este canal; contrato de serviço com cláusulas de confidencialidade |
| Empresas contratantes B2B Clientes corporativos |
Relatórios agregados de saúde psicossocial dos colaboradores | Apenas dados consolidados e sem identificação individual; nunca dados individuais identificáveis sem consentimento explícito do colaborador; regido por Contrato de Tratamento de Dados (CTD/DPA) |
A única transferência internacional de dados ocorre via Anthropic Inc. (EUA) para geração de protocolos com inteligência artificial. Esta transferência é realizada com base no Art. 33, I, LGPD, mediante consentimento específico e destacado do titular, coletado previamente e de forma separada dos demais consentimentos. O backup via Microsoft OneDrive pode envolver servidores fora do Brasil, porém os dados são criptografados com GPG AES-256 antes da transmissão e permanecem ilegíveis sem a chave privada mantida exclusivamente pelo controlador.
5. Por Quanto Tempo Guardamos
| Tipo de dado | Tempo de retenção | Motivo |
|---|---|---|
| Dados de saúde (prontuário) | 20 anos após encerramento do vínculo | Obrigação legal — CFM 1638/2002 |
| Dados de conta | Duração do vínculo + 5 anos | Código Civil, Art. 206 |
| Backups | 30 dias (rotação automática) | Política de DR e continuidade operacional |
| Dados de navegação | 26 meses | Padrão Google Analytics |
| Dados de colaboradores (B2B) B2B | 20 anos (dados individuais); indefinido (dados agregados) | Obrigação legal NR-01 + CFM 1638/2002 |
Após os prazos de retenção, os dados são excluídos de forma segura com certificado de destruição disponível mediante solicitação.
6. Como Protegemos Seus Dados
- Criptografia em trânsito: HTTPS com TLS 1.3 em todo acesso ao site e à plataforma
- Criptografia em repouso: backups criptografados com GPG AES-256
- Controle de acesso: cada usuário acessa somente seus próprios dados; profissionais acessam somente seus interagentes
- Integridade: documentos médicos verificados com hash SHA-256
- Infraestrutura: servidor dedicado no Brasil (Locaweb, São Paulo) com containers Docker isolados e firewall UFW
- Monitoramento: detecção de intrusão (fail2ban), alertas automáticos de vulnerabilidades (Dependabot) e scanner de credenciais no código (Gitleaks)
- Recuperação de desastres: backup diário com RTO ≤ 2 horas e RPO ≤ 24 horas
7. Seus Direitos (Art. 18, LGPD)
A LGPD garante a você os seguintes direitos, exercíveis a qualquer momento:
| Direito | O que significa |
|---|---|
| Confirmação | Saber se tratamos seus dados |
| Acesso | Receber cópia completa dos seus dados |
| Correção | Corrigir dados incompletos ou incorretos |
| Anonimização ou exclusão | Bloquear ou apagar dados desnecessários ou tratados em desconformidade |
| Portabilidade | Receber seus dados em formato estruturado (CSV/JSON) para outro fornecedor |
| Revogação do consentimento | Retirar o consentimento dado anteriormente a qualquer momento, sem prejuízo |
| Oposição | Opor-se ao tratamento com base em legítimo interesse |
| Informação sobre compartilhamento | Saber com quais entidades públicas e privadas seus dados foram compartilhados |
Exercer seus direitos
Responderemos em até 15 dias úteis a partir do recebimento da solicitação.
Enviar solicitação8. Empresas Contratantes (B2B) Seção Corporativa
Esta seção é específica para empresas que contratam a MI Saúde Integral para aplicação de avaliações psicossociais (NR-01, COPSOQ III, ISO 45003, HSE) e programas de saúde ocupacional com seus colaboradores.
8.1 Papéis no Tratamento de Dados
8.2 Contrato de Tratamento de Dados (CTD / DPA)
Todo contrato B2B é acompanhado de um Contrato de Tratamento de Dados (CTD), equivalente ao Data Processing Agreement (DPA) exigido por normas internacionais. O CTD estabelece:
- Finalidade e escopo do tratamento
- Obrigações e responsabilidades de cada parte
- Medidas de segurança técnicas e organizacionais
- Regras para suboperadores (lista do item 8.4)
- Procedimento de notificação de incidentes
- Obrigações ao término do contrato (devolução e exclusão de dados)
8.3 Dados dos Colaboradores
No âmbito da avaliação psicossocial (NR-01), os seguintes dados dos colaboradores são tratados:
| Dado | Finalidade | Acesso |
|---|---|---|
| Nome e e-mail corporativo | Criação de conta e envio de instrumentos de avaliação | Gestor MI Saúde Integral + colaborador |
| Respostas aos questionários psicossociais sensível | Avaliação de risco psicossocial conforme NR-01, COPSOQ III e ISO 45003 | Apenas o colaborador e o profissional responsável pela análise |
| Scores e níveis de risco individuais sensível | Acompanhamento longitudinal e intervenções personalizadas | Apenas o colaborador e o profissional responsável |
| Relatórios agregados (sem identificação) | Entrega à empresa para cumprimento da NR-01 e tomada de decisão organizacional | Gestão da empresa + RH — nunca com dados individuais identificáveis |
8.4 Suboperadores (Sub-processors)
A MI Saúde Integral utiliza os seguintes suboperadores no tratamento de dados de clientes B2B:
| Suboperador | País | Função | Proteção |
|---|---|---|---|
| Locaweb Serviços de Internet S.A. | Brasil 🇧🇷 | Hospedagem VPS (servidor principal) | Contrato de serviço com cláusulas de confidencialidade; dados nunca saem do BR por este canal |
| Microsoft Corporation (OneDrive) | EUA / Global 🌐 | Armazenamento de backup | GPG AES-256 aplicado antes da transmissão; dados ilegíveis sem chave privada; Microsoft Data Protection Addendum (DPA) disponível |
| Anthropic Inc. | EUA 🇺🇸 | API de IA para geração de protocolos de saúde (quando aplicável) | Consentimento explícito do colaborador coletado previamente; dado mínimo necessário; Anthropic não treina modelos com dados via API (Política Comercial); HTTPS |
| Google LLC (Analytics) | EUA / Global 🌐 | Análise de uso do site público | Apenas dados de navegação do site público, sem qualquer dado de saúde ou dado de colaboradores |
A MI Saúde Integral notificará a empresa contratante com antecedência mínima de 30 dias sobre qualquer adição ou substituição de suboperador que possa afetar o tratamento de dados dos colaboradores.
8.5 Término do Contrato — Devolução e Exclusão de Dados
Ao término do contrato, a MI Saúde Integral adotará, conforme escolha da empresa contratante:
- Devolução: exportação completa dos dados em formato estruturado (CSV/JSON/PDF) entregue à empresa em até 30 dias após o encerramento
- Exclusão segura: destruição dos dados com certificado de exclusão emitido em até 30 dias após o encerramento
Excetuam-se os dados que devam ser retidos por obrigação legal (prontuários por 20 anos conforme CFM 1638/2002 e NR-01).
8.6 Notificação de Incidentes de Segurança
Em caso de incidente que possa afetar dados de colaboradores, a MI Saúde Integral:
- Notificará a empresa contratante em até 48 horas após a ciência do incidente
- Notificará a ANPD conforme prazo determinado pelo Art. 48, LGPD
- Fornecerá relatório de incidente com: natureza dos dados afetados, número estimado de titulares, medidas tomadas e medidas recomendadas
8.7 Auditorias e Evidências de Conformidade
A empresa contratante pode solicitar, a qualquer momento e com aviso prévio de 10 dias úteis:
- Relatório de conformidade com as medidas de segurança descritas nesta Política
- Evidências das medidas técnicas implementadas (backups, criptografia, controle de acesso)
- Cópia do CTD/DPA vigente e de eventuais contratos com suboperadores
8.8 Direitos dos Colaboradores (Titulares)
Os colaboradores cujos dados são tratados no âmbito do contrato B2B possuem todos os direitos do Art. 18 da LGPD (listados na Seção 7). Esses direitos podem ser exercidos:
- Diretamente com a MI Saúde Integral: pelo e-mail marcelo@marceloitalo.com.br
- Via empresa contratante: que encaminhará a solicitação à MI Saúde Integral
O prazo de resposta é de 15 dias úteis a partir do recebimento da solicitação.
Canal Dedicado para Empresas
Para CTD/DPA, auditorias, notificações de incidentes ou qualquer questão de governança de dados corporativa.
marcelo@marceloitalo.com.br9. Cookies e Rastreamento
| Cookie | Finalidade | Duração |
|---|---|---|
| Google Analytics (_ga, _gid) | Análise de visitantes e comportamento de navegação no site público (sem dados de saúde) | Até 2 anos |
| Cookies de sessão | Manter login na plataforma de forma segura | Sessão / 8 horas |
| CSRF Token | Proteção contra ataques de falsificação de requisição (segurança) | Sessão |
Você pode desativar cookies nas configurações do seu navegador, o que pode afetar algumas funcionalidades da plataforma.
10. Crianças e Adolescentes
Nossos serviços são destinados a adultos. Não coletamos intencionalmente dados de menores de 18 anos sem o consentimento dos responsáveis legais. Caso identifique dados de menores coletados sem autorização, entre em contato para exclusão imediata.
11. Alterações nesta Política
Alterações relevantes serão comunicadas no site com antecedência mínima de 15 dias. Clientes B2B serão notificados diretamente por e-mail. A data da última atualização é sempre exibida no topo desta página. O uso continuado após a data de vigência implica aceitação da nova versão.
12. Contato e Encarregado de Dados (DPO)
E-mail: marcelo@marceloitalo.com.br
WhatsApp: (11) 91280-1019
Prazo de resposta: até 15 dias úteis (pessoas físicas) · até 48 horas para incidentes B2B
Você também pode registrar reclamações junto à ANPD (Autoridade Nacional de Proteção de Dados): www.gov.br/anpd