Política de Privacidade

Como tratamos seus dados.

Última atualização: 30 de abril de 2026

A Anamnese Tech Inova Simples (doravante, "nós", "Anamnese Tech" ou "Controlador"), operadora da plataforma Qual é o CID? ("Plataforma"), leva a privacidade dos seus dados a sério e cumpre integralmente a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD). Esta Política descreve de forma clara quais dados coletamos, para quais finalidades, por quanto tempo, com quem compartilhamos e como você pode exercer seus direitos.

1. Quem é o Controlador

O Controlador dos dados pessoais tratados nesta Plataforma é:

ANAMNESE TECH INOVA SIMPLES

CNPJ: 66.369.126/0001-46
Natureza jurídica: Empresa Simples de Inovação (LC 167/2019)
Endereço: R. Santa Luzia, 274 — Conjunto Residencial Nossa Senhora de Fátima — Jataí/GO — CEP 75.806-790
Domínio institucional: anamnese.tech

A Qual é o CID? é uma das plataformas operadas pela Anamnese Tech. O contato do Encarregado pelo Tratamento de Dados Pessoais (DPO) está disponível em qualeocid.com/dpo.

2. Quais dados coletamos

Coletamos apenas os dados estritamente necessários para fornecer o serviço:

  • Dados de cadastro da clínica: razão social, CNPJ, e-mail administrativo, telefone de contato.
  • Dados dos usuários convidados: nome, e-mail profissional, papel (administrador ou codificador), senha (armazenada em hash argon2id, nunca em texto plano).
  • Dados de uso da plataforma: histórico de buscas de CID-10, sugestões geradas pela IA, feedback de aprovação/recusa por operadora, timestamps de atividade.
  • Dados de faturamento: plano contratado, forma de pagamento, histórico de cobranças. O processamento efetivo do pagamento é feito pelo nosso parceiro AbacatePay — nunca armazenamos o número completo de cartões.
  • Dados técnicos: endereço IP, tipo de dispositivo, cookies estritamente necessários para manter a sessão autenticada.

Importante: não coletamos dados clínicos de pacientes (prontuário, nome do paciente, CPF, laudo). A Plataforma trabalha apenas com a descrição clínica digitada pelo codificador em forma genérica, sem identificação do paciente.

3. Para que usamos esses dados

  • Operar a funcionalidade contratada (codificação CID-10, TUSS, sugestão por IA).
  • Autenticar e autorizar o acesso de usuários.
  • Emitir cobrança e gerenciar a assinatura.
  • Melhorar a qualidade das sugestões de IA com base em feedback agregado e anonimizado.
  • Atender obrigações legais, fiscais e regulatórias.
  • Enviar comunicações operacionais (boas-vindas, avisos de cobrança, alertas de segurança).

4. Base legal

Tratamos seus dados com base em: execução de contrato (art. 7º, V da LGPD) para a operação do serviço; cumprimento de obrigação legal ou regulatória(art. 7º, II); e legítimo interesse (art. 7º, IX) para melhorias de produto, segurança e prevenção a fraude — sempre ponderado com seus direitos.

5. Com quem compartilhamos

Compartilhamos dados estritamente com operadores que nos ajudam a entregar o serviço, sob contrato que exige os mesmos padrões de proteção:

  • AbacatePay — processamento de pagamentos e emissão de cobranças.
  • Contabo — provedor de infraestrutura (servidores físicos). Nossos dados ficam em território brasileiro.
  • Anthropic — processamento de linguagem natural para sugestão de códigos via API Claude. Apenas a descrição clínica digitada (sem dados do paciente) é enviada, seguindo os termos de API do fornecedor.
  • Resend — entrega dos e-mails transacionais que a Plataforma envia (boas-vindas, recuperação de senha, avisos de cobrança). Recebe apenas o endereço de e-mail do destinatário e o conteúdo da comunicação.
  • Google Workspace — recebimento dos e-mails enviados aos endereços institucionais (@qualeocid.com e @anamnese.tech) e ferramentas internas de colaboração (Gmail, Drive, Calendar) usadas pela Anamnese Tech. Adendo de Tratamento de Dados (CDPA) firmado com a Google sob cláusulas de transferência internacional adequadas.

Não vendemos, alugamos ou cedemos seus dados a terceiros para fins comerciais.

6. Segurança

Aplicamos controles técnicos e organizacionais adequados para proteger seus dados: isolamento lógico por cliente (row-level security) no banco de dados, criptografia em trânsito (TLS 1.2+) e em repouso, senhas com hash argon2id, controle de acesso por papel, registro de auditoria e monitoramento contínuo.

7. Retenção

Mantemos seus dados pelo tempo estritamente necessário para cumprir as finalidades descritas nesta Política, conforme exige o art. 16 da LGPD. Os prazos abaixo são compromissos verificáveis — qualquer alteração entra em vigor com a próxima atualização desta Política.

Categoria de dadoPrazoBase
Dados de cadastro e uso da clínica ativaEnquanto durar o contratoExecução de contrato
Dados operacionais após cancelamento do contrato30 dias e então exclusão definitiva (hard delete)Mínimo necessário (LGPD art. 16)
Dados financeiros e fiscais5 anos após o último fato geradorObrigação legal (CTN, normas fiscais)
Logs de auditoria (audit_logs) — login, troca de plano, ações administrativas90 dias, purga mensal automáticaLegítimo interesse — investigação de incidente
Logs operacionais dos contêineres da aplicação30 dias, rotação automáticaLegítimo interesse — operação e diagnóstico
Backups completos do banco de dados14 dias em cópia local + 90 dias em cópia off-site quando ativadaContinuidade operacional
Sessões de autenticação (refresh token, no Redis)7 dias de TTL absoluto; revogadas no logoutExecução de contrato (acesso autenticado)
Sessões administrativas internas8 horas com renovação por atividadeLegítimo interesse — segurança
Contadores de tentativa de login (lockout)Janela de 15 minutos; bloqueio máximo de 30 minutosLegítimo interesse — antibrute-force
Tokens transitórios (convite, recuperação de senha)72 horas ou uso único — o que ocorrer primeiroExecução de contrato

Após cada prazo, os dados são excluídos de forma irreversível ou anonimizados, salvo quando houver determinação legal ou regulatória que exija retenção adicional. Você pode solicitar antecipação da exclusão para os casos em que a base legal seja consentimento ou legítimo interesse — vide Seção 8.

8. Seus direitos como titular

A LGPD garante ao titular dos dados pessoais os seguintes direitos:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários;
  • Portabilidade dos dados a outro fornecedor;
  • Eliminação dos dados tratados com consentimento;
  • Informação sobre entidades com as quais compartilhamos dados;
  • Revogação do consentimento.

Para exercer qualquer desses direitos, entre em contato pelo canal descrito em qualeocid.com/dpo. Responderemos em até 15 dias corridos.

9. Cookies

Usamos apenas cookies estritamente necessários para autenticação (qcid_at, qcid_rt) e para manter preferências da interface. Não usamos cookies de publicidade nem de rastreamento de terceiros.

10. Alterações nesta Política

Podemos atualizar esta Política para refletir mudanças legais, técnicas ou de produto. Alterações relevantes serão comunicadas por e-mail ao administrador da clínica com pelo menos 15 dias de antecedência. A data da última atualização sempre aparece no topo desta página.

11. Contato

Dúvidas sobre esta Política ou sobre o tratamento dos seus dados? Fale com o Encarregado de Dados ou escreva para contato@qualeocid.com.

Versão inicial. Este texto foi redigido para permitir a operação conforme a LGPD desde o go-live. Revisões posteriores por assessoria jurídica especializada em proteção de dados na saúde serão comunicadas pelo canal habitual.