Política de Privacidade
Última atualização: 21 de março de 2026
A Windmind Tecnologia em Saúde Ltda. (“Windmind”, “nós”) é responsável pelo tratamento dos dados pessoais coletados por meio da plataforma ArterioPulse. Esta Política descreve quais dados coletamos, como os utilizamos, com quem os compartilhamos e quais são os seus direitos, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).
1. Controlador de Dados
O controlador dos dados pessoais tratados nesta plataforma é:
Windmind Tecnologia em Saúde Ltda.
CNPJ: 60.961.846/0001-10
E-mail de contato: privacidade@arteriopulse.com.br
2. Dados que Coletamos
Coletamos os seguintes dados dos médicos usuários da plataforma:
- Dados de cadastro: nome completo, e-mail, senha (armazenada em hash), CRM e UF de registro, telefone e nome da clínica (opcionais).
- Dados de perfil: foto de perfil, carimbo e assinatura digital (armazenados em nuvem privada).
- Dados de uso: logs de acesso, ações realizadas na plataforma (audit logs) para fins de segurança e conformidade.
- Dados de pagamento: processados diretamente pelo Stripe; não armazenamos dados de cartão de crédito.
3. Finalidade e Base Legal do Tratamento
Tratamos seus dados para as seguintes finalidades, com as respectivas bases legais da LGPD:
| Finalidade | Base Legal (LGPD) |
|---|---|
| Prestação do serviço clínico da plataforma | Execução de contrato (Art. 7º, V) |
| Autenticação e segurança da conta | Legítimo interesse (Art. 7º, IX) |
| Cumprimento de obrigações legais e regulatórias | Obrigação legal (Art. 7º, II) |
| Logs de auditoria para conformidade LGPD | Obrigação legal (Art. 7º, II) |
| Comunicações transacionais (reset de senha, alertas) | Execução de contrato (Art. 7º, V) |
| Cobrança e gestão de assinatura | Execução de contrato (Art. 7º, V) |
4. Dados dos Pacientes
A ArterioPulse processa dados de saúde de pacientes em nome do médico usuário, atuando como operadora de dados nos termos do Art. 5º, VII da LGPD. O médico é o controlador responsável perante seus pacientes.
Os dados de pacientes armazenados incluem:
- Nome completo, data de nascimento e sexo biológico
- Telefone e e-mail (opcionais)
- Dados clínicos de exames (pressão arterial, MAPA, MRPA, hemodinâmica central)
- Notas clínicas livres inseridas pelo médico
- Registro de consentimento LGPD do paciente
Todos os dados de pacientes são isolados por médico via Row-Level Security (RLS) no banco de dados — nenhum médico pode acessar dados de pacientes de outro médico.
A base legal para tratamento de dados de saúde é a tutela da saúde (LGPD Art. 11, II, f), mediante consentimento documentado do paciente, coletado no momento do cadastro.
5. Compartilhamento de Dados
Não vendemos, alugamos nem comercializamos dados pessoais. Compartilhamos dados apenas com os seguintes fornecedores de infraestrutura, sob acordos de confidencialidade:
- Supabase Inc. — banco de dados e armazenamento de arquivos (servidores na AWS, região us-east-1 em desenvolvimento; sa-east-1/São Paulo em produção).
- Stripe Inc. — processamento de pagamentos. Dados de cartão não passam por nossos servidores.
- Vercel Inc. — hospedagem da interface web.
- Render Inc. — hospedagem da API backend.
Podemos compartilhar dados com autoridades públicas quando exigido por lei ou ordem judicial.
6. Armazenamento e Segurança
Adotamos as seguintes medidas técnicas e organizacionais de segurança:
- Comunicação criptografada com TLS 1.2+ em todas as conexões
- Senhas armazenadas exclusivamente como hash bcrypt (gerenciado pelo Supabase Auth)
- Isolamento de dados por médico via Row-Level Security no PostgreSQL
- Arquivos de laudos e carimbos em buckets privados com URLs temporárias (expiração em 1 hora)
- Logs de auditoria imutáveis de todas as operações de escrita
- Chaves de serviço nunca expostas ao navegador
- Rate limiting e proteção contra força bruta nos endpoints de autenticação
7. Retenção de Dados
Mantemos seus dados enquanto sua conta estiver ativa. Ao solicitar a exclusão da conta (direito ao esquecimento), todos os dados de pacientes, exames e laudos são excluídos imediatamente de forma permanente, via exclusão em cascata no banco de dados.
Logs de auditoria podem ser retidos por até 5 anos para fins de cumprimento de obrigações legais, após o que são excluídos automaticamente.
8. Seus Direitos (LGPD Art. 18)
Como titular de dados, você tem os seguintes direitos, que podem ser exercidos a qualquer momento pelo e-mail privacidade@arteriopulse.com.br:
- Confirmação e acesso: saber quais dados tratamos e obter uma cópia (disponível via “Exportar meus dados” no painel).
- Correção: solicitar a correção de dados incompletos ou incorretos.
- Anonimização ou exclusão: solicitar a exclusão de dados desnecessários ou tratados em desconformidade com a LGPD.
- Portabilidade: receber seus dados em formato estruturado (JSON) para transferência a outro serviço.
- Revogação do consentimento: revogar consentimentos concedidos anteriormente, sem prejuízo da licitude do tratamento anterior.
- Oposição: se opor ao tratamento realizado com base em legítimo interesse.
- Direito ao esquecimento: solicitar a exclusão completa da conta e de todos os dados associados.
Respostas serão fornecidas em até 15 dias úteis. Em caso de insatisfação, você pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD).
10. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Alterações materiais serão comunicadas por e-mail com antecedência mínima de 15 dias. A versão em vigor sempre estará disponível nesta página, com a data de atualização indicada no topo.
11. Contato e Encarregado (DPO)
Para exercer seus direitos ou esclarecer dúvidas sobre esta Política, entre em contato com nosso Encarregado de Proteção de Dados (DPO):
Encarregado de Proteção de Dados — ArterioPulse
E-mail: privacidade@arteriopulse.com.br
Windmind Tecnologia em Saúde Ltda. · CNPJ 60.961.846/0001-10
ArterioPulse · Windmind Tecnologia em Saúde Ltda. · CNPJ 60.961.846/0001-10
Versão 1.0 · Vigente a partir de 21 de março de 2026