Política de Privacidade e Proteção de Dados
Última atualização: 13 de julho de 2026
Esta Política descreve como o EscutaMed, operado por NEXUS CODE LTDA, CNPJ nº 67.731.038/0001-05, com sede na Rua Ocrisia, nº 100, Anexo Tor 3, Apt 409, City America, São Paulo/SP, CEP 05101-100 ("Plataforma"), trata dados pessoais no contexto da prestação de seus serviços, em conformidade com a Lei nº 13.709/2018 (LGPD).
1. Papéis no tratamento de dados
A Plataforma desempenha dois papéis distintos e simultâneos:
- Operadora (dados de Pacientes): quando o Profissional grava um atendimento, gera transcrição, anamnese ou insights, é ele quem decide as finalidades desse tratamento. O Profissional é o Controlador e a Plataforma é a Operadora, executando o tratamento conforme suas instruções. Cabe ao Profissional obter o consentimento do Paciente para a gravação (ou amparar o tratamento em outra base legal, como a tutela da saúde) e prestar as informações exigidas pela LGPD;
- Controladora (dados do Profissional): em relação aos dados de cadastro, cobrança, suporte, segurança e uso da conta do Profissional, a Plataforma decide as finalidades e é a Controladora.
2. Dados do Profissional que tratamos
- Cadastro e conta: nome, título (Dr./Dra.), e-mail, telefone, CRM, especialidade, endereço do consultório, credenciais de acesso — base legal: execução de contrato; retenção: vigência da conta e prazos legais;
- Uso e medição: metadados de consultas (duração, tokens de IA consumidos), registros técnicos — base legal: execução de contrato e legítimo interesse; retenção: vigência da conta;
- Segurança: endereço IP, logs de acesso — base legal: obrigação legal (Marco Civil) e legítimo interesse; retenção: mínimo de 6 meses;
- Registro de aceite: versão e data do aceite dos Termos e desta Política.
Podemos verificar a regularidade do registro profissional em bases públicas dos Conselhos para confirmar a elegibilidade de uso.
3. Dados de Pacientes que tratamos por conta do Profissional
A Plataforma adota o princípio da minimização: o Paciente é identificado apenas por um rótulo interno definido pelo Profissional (ex.: iniciais), podendo incluir ano de nascimento, sexo e observações clínicas de base. Nome completo, CPF e dados de contato do Paciente não são solicitados pela Plataforma e devem permanecer no prontuário eletrônico habitual do Profissional.
- Áudio do atendimento — não armazenado: o áudio é transmitido para transcrição e descartado ao final do processamento. Nenhum arquivo de áudio é retido pela Plataforma;
- Transcrição: texto do atendimento com rótulos de locutor (dado sensível de saúde) — retido conforme instrução do Profissional;
- Conteúdo gerado: sugestão de anamnese, resumo e insights de apoio — retidos conforme instrução do Profissional.
A base legal do tratamento dos dados do Paciente (tutela da saúde — art. 11, II, "f" — ou consentimento) é definida e assegurada pelo Profissional, na qualidade de Controlador. Solicitações de Pacientes relativas a dados clínicos devem ser dirigidas ao Profissional; a Plataforma auxiliará tecnicamente quando necessário.
4. Inteligência artificial e suboperadores
As funcionalidades de transcrição e geração de documentação utilizam serviços externos, que atuam como suboperadores sob contratos de tratamento de dados:
- Deepgram (EUA) — transcrição de fala em texto;
- Anthropic (EUA) — geração da documentação clínica a partir da transcrição, via API;
- Supabase (EUA/UE) — banco de dados e autenticação;
- Vercel (EUA) — hospedagem da aplicação;
- Provedores de pagamento — processamento de cobranças do Profissional, quando aplicável.
Esses provedores são utilizados em modalidade corporativa/API, configurada para que o conteúdo clínico não seja utilizado para treinamento de modelos de inteligência artificial nem para finalidades próprias dos provedores. O conteúdo gerado por IA constitui apoio à decisão clínica, e não decisão automatizada que produza efeitos jurídicos sobre o Paciente — a validação permanece integralmente com o Profissional.
5. Transferência internacional
Os dados podem ser processados em servidores localizados fora do Brasil (p. ex., Estados Unidos e União Europeia). Toda transferência internacional observa os requisitos da LGPD, mediante cláusulas contratuais de proteção de dados com cada provedor, criptografia em trânsito (TLS) e em repouso, e monitoramento das orientações da ANPD.
6. Compartilhamento
Compartilhamos dados apenas com os suboperadores listados acima, na medida necessária à prestação do serviço, e com autoridades públicas mediante requisição legal válida. Não comercializamos dados pessoais e não compartilhamos dados de saúde para fins de publicidade.
7. Segurança
- Criptografia dos dados em trânsito (TLS) e em repouso;
- Isolamento por conta: cada Profissional acessa exclusivamente os dados de seus próprios pacientes e consultas (controle de acesso em nível de linha no banco de dados);
- Áudio descartado após a transcrição — nunca persistido;
- Registro de operações para fins de auditoria e segurança.
8. Direitos dos titulares
Nos termos do art. 18 da LGPD, o titular pode solicitar confirmação de tratamento, acesso, correção, anonimização, eliminação, portabilidade, informação sobre compartilhamento e revogação de consentimento. Pedidos relativos a dados de Pacientes devem ser dirigidos ao Profissional responsável (Controlador); pedidos relativos a dados de conta do Profissional serão atendidos diretamente por nós. O titular também pode peticionar à ANPD.
9. Retenção e eliminação
Retemos dados pelo tempo necessário às finalidades desta Política ou para cumprir obrigações legais. Os prazos de guarda do prontuário do Paciente são definidos e cumpridos pelo Profissional, conforme normas do CFM (em regra, mínimo de 20 anos) — a Plataforma é ferramenta de apoio e não substitui essa guarda. Encerrada a relação contratual, o Conteúdo Clínico poderá ser exportado pelo Profissional no prazo de 3 (três) meses e, após, eliminado, ressalvadas as hipóteses legais. Dados anonimizados podem ser mantidos por prazo indeterminado.
10. Cookies
Utilizamos apenas cookies necessários ao funcionamento da Plataforma (autenticação, sessão e segurança) e armazenamento local para preferências de aparência (tema). Não utilizamos cookies de publicidade.
11. Incidentes de segurança
Em caso de incidente que possa acarretar risco relevante: quando Controladora, comunicaremos a ANPD e os titulares nos termos do art. 48 da LGPD; quando Operadora, comunicaremos o Profissional (Controlador) em até 48 horas após a confirmação, com a natureza do incidente, os dados potencialmente afetados e as medidas adotadas.
12. Alterações desta Política
Podemos atualizar esta Política periodicamente. Alterações relevantes serão comunicadas por e-mail cadastrado e/ou aviso na Plataforma, com atualização da data de "Última atualização".
13. Contato e Encarregado
Para dúvidas, solicitações ou exercício de direitos relativos a dados pessoais: luccasfraga@gmail.com.