Política de Privacidade

Esta Política de Privacidade descreve como a Lumyto (“nós”) coleta, usa e protege dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

1. Controlador de Dados

O profissional de saúde cadastrado na plataforma atua como controlador dos dados de seus pacientes. A Lumyto atua como operadora, processando dados sob instruções do controlador.

Canal de privacidade: privacidade@lumyto.com.br

Encarregado pelo Tratamento de Dados (DPO): pode ser contatado pelo canal de privacidade acima, conforme Art. 41 da LGPD.

2. Dados Coletados

2.1 Dados do Profissional

• Nome completo, registro profissional (CREFITO)
• E-mail, telefone
• Dados bancários (para emissão de recibos)
• Credenciais de acesso (senha armazenada com hash bcrypt)

2.2 Dados dos Pacientes

• Nome, data de nascimento, CPF (opcional), endereço
• Dados de saúde: diagnóstico, objetivos de tratamento, evoluções clínicas
• Rede de assistência (familiares, cuidadores, equipe de saúde)
• Gravações de áudio de atendimentos (quando registradas)

3. Base Legal (Art. 7, LGPD)

• Execução de contrato — prestação do serviço ao profissional
• Tutela da saúde (Art. 7, VIII) — dados de pacientes para fins de atendimento
• Obrigação legal — manutenção de prontuários conforme regulamentação profissional

4. Medidas de Segurança

• Criptografia AES-256-GCM para campos sensíveis (diagnóstico, evolução)
• Isolamento multi-tenant (cada profissional acessa apenas seus dados)
• Autenticação via JWT com cookies HttpOnly e SameSite
• Rate limiting para prevenção de ataques de força bruta
• Registro de auditoria de acessos e operações sobre os dados (leitura de prontuário, criação, edição, exclusão, exportação e anonimização)
• HTTPS obrigatório com HSTS
• Validação de uploads por magic bytes (conteúdo real)

5. Compartilhamento de Dados e Operadores

Não vendemos dados pessoais nem os compartilhamos para fins de marketing. O tratamento é realizado com o apoio dos seguintes operadores/sub-operadores:

• Hostinger — hospedagem da infraestrutura (servidores).
• WhatsApp / Meta — quando o profissional ativa os lembretes por WhatsApp, a mensagem enviada ao contato do paciente inclui nome do paciente, data, horário e endereço do atendimento, processados pela infraestrutura do WhatsApp/Meta.

Também podemos divulgar dados quando exigido por lei ou ordem judicial.

6. Retenção de Dados

Dados de prontuário são mantidos pelo período mínimo de 20 anos conforme Resolução COFFITO. Dados financeiros seguem a legislação tributária (5 anos). Dados podem ser exportados ou excluídos a pedido do profissional, respeitados os prazos legais.

7. Direitos dos Titulares (Art. 18, LGPD)

Pacientes e profissionais podem exercer os seguintes direitos:

• Confirmação da existência de tratamento de dados
• Acesso aos dados pessoais
• Correção de dados incompletos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários
• Portabilidade dos dados
• Informação sobre compartilhamento
• Revogação do consentimento

Para exercer estes direitos, entre em contato pelo canal: privacidade@lumyto.com.br

Prazo de resposta: até 15 dias úteis, conforme Art. 18, §5 da LGPD.

8. Cookies

Utilizamos apenas um cookie essencial (lumyto_token) para manutenção da sessão autenticada. Não utilizamos cookies de rastreamento, analytics ou publicidade.

9. Transferência Internacional

Os dados são armazenados em servidores localizados no Brasil. Contudo, quando o profissional ativa os lembretes por WhatsApp, o envio das mensagens é processado pela infraestrutura do WhatsApp/Meta, que pode tratar dados fora do Brasil — o que caracteriza transferência internacional (Art. 33, LGPD), limitada aos dados necessários ao envio do lembrete. O profissional deve obter o consentimento específico do paciente ou responsável para o uso desse canal.

10. Alterações

Esta política pode ser atualizada. Alterações relevantes serão comunicadas por e-mail ou notificação na plataforma.