ArdoMed Voltar
Documento Legal

Política de Privacidade

Última atualização: 13 de abril de 2026

1. Introdução

Esta Política de Privacidade descreve como a ArdoMed coleta, utiliza, armazena e protege os dados pessoais de seus usuários e dos pacientes cadastrados pelas clínicas contratantes, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).

2. Papéis no Tratamento de Dados (LGPD)

  • Clínica Contratante — Controladora: responsável por decidir sobre o tratamento dos dados de seus pacientes, incluindo obtenção de consentimento e atendimento aos direitos dos titulares.
  • ArdoMed — Operadora: trata os dados em nome da Clínica, seguindo suas instruções e as disposições legais.
  • ArdoMed — Controladora: atua como controladora apenas em relação aos dados cadastrais do contratante da assinatura (nome, e-mail, CNPJ, pagamentos).

3. Dados Coletados

3.1. Dados do Contratante (Clínica/Usuário):

  • Identificação: nome, CNPJ, razão social, e-mail, telefone;
  • Dados dos usuários do sistema: nome, e-mail, perfil (admin, médico, secretária), senha (armazenada com hash bcrypt);
  • Dados de pagamento: tratados pelos gateways parceiros (Mercado Pago) — a ArdoMed não armazena dados de cartão de crédito;
  • Dados de navegação: endereço IP, user-agent, logs de acesso e auditoria.

3.2. Dados de Pacientes (inseridos pela Clínica):

  • Dados pessoais: nome, CPF, RG, data de nascimento, endereço, telefone, e-mail;
  • Dados sensíveis de saúde: prontuários, diagnósticos, alergias, medicações em uso, condições preexistentes, exames, laudos, receitas;
  • Documentos anexados (PDFs, imagens de exames, laudos, certificados).

4. Finalidades do Tratamento

  • Prestação do serviço de gestão clínica contratado;
  • Autenticação, controle de acesso e segurança;
  • Emissão de prontuários, receitas, laudos e exames;
  • Comunicação com pacientes via WhatsApp e e-mail (lembretes, confirmações);
  • Cobrança e gestão de assinatura;
  • Cumprimento de obrigações legais e regulatórias (CFM, ANVISA, LGPD);
  • Suporte técnico e melhoria do Serviço;
  • Auditoria e prevenção a fraudes.

5. Base Legal

O tratamento de dados fundamenta-se nas seguintes hipóteses previstas pela LGPD:

  • Execução de contrato (art. 7º, V) — prestação do serviço de SaaS;
  • Cumprimento de obrigação legal (art. 7º, II) — normas médicas e fiscais;
  • Tutela da saúde (art. 11, II, "f") — tratamento de dados sensíveis de saúde pelo profissional;
  • Legítimo interesse (art. 7º, IX) — segurança, auditoria e prevenção a fraudes;
  • Consentimento (art. 7º, I) — quando aplicável, obtido pela Clínica junto ao paciente.

6. Compartilhamento de Dados

A ArdoMed não vende nem aluga dados pessoais. Os dados podem ser compartilhados apenas com:

  • Provedores de infraestrutura: Hostinger (hospedagem);
  • Gateway de pagamento: Mercado Pago (processamento de assinaturas);
  • Comunicação: SMTP (e-mail);
  • Google: integração opcional com Google Calendar (mediante autorização OAuth);
  • Autoridades: quando exigido por lei, ordem judicial ou requisição de autoridade competente.

7. Armazenamento

Os dados são armazenados em servidores localizados no Brasil, em ambiente de hospedagem gerenciado pela Hostinger. A arquitetura multi-tenant garante isolamento lógico completo entre os dados de diferentes clínicas por meio do identificador CLINICA_ID.

8. Medidas de Segurança

  • Conexões criptografadas via HTTPS/TLS;
  • Senhas protegidas por hash bcrypt;
  • Autenticação baseada em JWT com expiração de 8 horas;
  • Controle de acesso por perfil (admin, médico, secretária, superadmin);
  • Logs de auditoria completos (quem, o quê, quando, IP);
  • Backups automáticos diários;
  • Certificados digitais ICP-Brasil com criptografia AES-256-CBC para assinatura de laudos;
  • Isolamento multi-tenant em todas as queries do banco de dados;
  • Bloqueio de edição de prontuários após 72 horas (exceto admin).

9. Prazo de Retenção

  • Durante a vigência do contrato: os dados permanecem disponíveis para a Clínica.
  • Após a rescisão: 30 dias para exportação, após os quais os dados podem ser excluídos.
  • Prontuários médicos: retenção mínima de 20 anos, conforme Resolução CFM nº 1.821/2007, ainda que o contrato seja encerrado (mediante acordo específico).
  • Logs de auditoria: retidos por até 5 anos para fins de segurança e prevenção a fraudes.

10. Direitos do Titular (LGPD art. 18)

O titular dos dados pode, a qualquer momento, exercer os seguintes direitos:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
  • Portabilidade dos dados;
  • Eliminação dos dados tratados com base em consentimento;
  • Informação sobre entidades com as quais os dados foram compartilhados;
  • Revogação do consentimento.

Pacientes devem exercer seus direitos diretamente junto à Clínica controladora. Contratantes podem solicitar à ArdoMed pelo e-mail privacidade@ardomed.com.br.

11. Cookies e Tecnologias Similares

A Plataforma utiliza cookies exclusivamente para fins funcionais: manter a sessão do usuário autenticado, preferências de tema (claro/escuro) e caches de performance. Não são utilizados cookies de rastreamento publicitário ou analytics de terceiros.

12. Transferência Internacional de Dados

A infraestrutura principal da ArdoMed está localizada no Brasil. Eventuais transferências internacionais ocorrem apenas quando necessárias à execução do serviço, por meio de provedores que ofereçam grau de proteção adequado, em conformidade com o art. 33 da LGPD.

13. Dados de Menores

O tratamento de dados de crianças e adolescentes ocorre exclusivamente no contexto do atendimento médico pediátrico, realizado pela Clínica contratante, que é responsável por obter o consentimento específico dos pais ou responsáveis legais, nos termos do art. 14 da LGPD.

14. Alterações nesta Política

Esta Política pode ser atualizada periodicamente para refletir alterações legais ou melhorias no serviço. A versão vigente estará sempre disponível nesta página. Alterações materiais serão comunicadas com antecedência mínima de 15 dias por e-mail ou notificação na Plataforma.

15. Encarregado de Dados (DPO)

Em caso de dúvidas, reclamações ou solicitações relacionadas ao tratamento de dados pessoais, entre em contato com nosso Encarregado:

  • E-mail: privacidade@ardomed.com.br
  • Assunto: LGPD — [sua solicitação]

Para mais informações sobre as condições de uso do serviço, consulte também nossos Termos de Uso.