1. Quem somos

A Anamnis é uma plataforma de tecnologia para profissionais de saúde, operada por [Razão Social], CNPJ [XX.XXX.XXX/XXXX-XX], com sede em [endereço]. Esta Política descreve como tratamos dados pessoais dos Usuários (profissionais) e dados de saúde de pacientes inseridos na Plataforma.

2. Papéis no tratamento de dados (LGPD)

A Anamnis é controladora dos dados dos Usuários e operadora dos dados de saúde dos pacientes inseridos pelos Usuários.

2.1. Dados dos Usuários (profissionais): A Anamnis é controladora, decidindo sobre finalidade e meios do tratamento.

2.2. Dados dos pacientes: O Usuário (profissional) é o controlador; a Anamnis é operadora, processando tais dados exclusivamente para prestação dos serviços contratados, conforme instrução do controlador.

3. Dados que coletamos

Dados de cadastro do Usuário

Nome completo, endereço de e-mail, senha (armazenada como hash bcrypt), número de registro profissional (CRM, CRP, CREFITO etc.), especialidade, endereço profissional, telefone.

Dados de saúde dos pacientes (categoria sensível — art. 11 LGPD)

Nome, CPF, data de nascimento, gênero, contato, endereço. Transcrições de consultas, anamneses, diagnósticos, prescrições e documentos clínicos inseridos pelo Usuário.

Dados de uso e logs

Endereço IP, user-agent, logs de acesso, ações realizadas na Plataforma (audit logs). Necessários para segurança, auditoria e cumprimento de obrigações legais.

Certificados digitais (opcional)

Arquivos PFX/P12 para assinatura digital ICP-Brasil, armazenados com criptografia Fernet (AES-128-CBC + HMAC). A chave privada nunca trafega para nossos servidores — a assinatura ocorre no browser do Usuário.

4. Finalidade e base legal

Finalidade	Base legal (LGPD)
Prestação dos serviços contratados	Execução de contrato (art. 7º, V)
Autenticação e segurança	Legítimo interesse (art. 7º, IX)
Tratamento de dados de saúde dos pacientes	Tutela da saúde (art. 11, II, f)
Comunicações operacionais (2FA, suporte)	Execução de contrato (art. 7º, V)
Cumprimento de obrigações legais e regulatórias	Cumprimento de obrigação legal (art. 7º, II)
Auditoria e logs de segurança	Legítimo interesse (art. 7º, IX)

5. IA e dados — garantia de não uso para treinamento

✓ Compromisso Anamnis

Os dados inseridos na Plataforma — incluindo transcrições de consultas, anamneses e documentos — não são utilizados para treinamento de modelos de inteligência artificial, nem compartilhados com provedores de IA para essa finalidade. As chamadas à API OpenAI são realizadas com configuração de não retenção de dados (zero data retention policy, quando disponível).

6. Compartilhamento de dados

A Anamnis não vende, loca ou comercializa dados pessoais. Os dados podem ser compartilhados com:

OpenAI: para processamento de transcrição (Whisper) e geração de anamnese (GPT), sob acordos de confidencialidade e com política de não retenção;
Prestadores de infraestrutura: servidores em nuvem (hospedagem, banco de dados), sob acordo de sigilo e com medidas de segurança equivalentes;
Autoridades competentes: quando exigido por lei, ordem judicial ou investigação de segurança.

7. Segurança

Adotamos medidas técnicas e organizacionais para proteger os dados, incluindo:

Senhas armazenadas com hash bcrypt (sem armazenamento em texto simples);
PDFs assinados e certificados digitais criptografados com AES-128-CBC (Fernet) em repouso;
Autenticação em dois fatores (2FA) obrigatória a cada login;
Comunicação via HTTPS com TLS 1.2+;
Logs de auditoria de ações sensíveis;
Controle de acesso baseado em papel (RBAC).

8. Retenção e exclusão de dados

8.1. Os dados são retidos enquanto a conta do Usuário estiver ativa e pelo prazo mínimo exigido pela legislação aplicável (em especial, prontuários médicos: 20 anos após o último atendimento, conforme CFM 1.821/2007).

8.2. Após o encerramento da conta, os dados são anonimizados ou excluídos em até 90 dias, salvo obrigação legal de retenção.

9. Direitos do titular (art. 18 LGPD)

O Usuário pode, a qualquer tempo, solicitar:

Confirmação de que seus dados são tratados;
Acesso aos seus dados pessoais;
Correção de dados incompletos ou incorretos;
Anonimização, bloqueio ou eliminação de dados desnecessários;
Portabilidade dos dados;
Informações sobre compartilhamento;
Revogação do consentimento (onde aplicável).

Solicitações devem ser feitas pelo canal de suporte da Plataforma ou por e-mail para privacidade@anamnis.com.br. Respondemos em até 15 dias.

10. Encarregado de dados (DPO)

Nosso Encarregado de Proteção de Dados pode ser contatado pelo e-mail dpo@anamnis.com.br.

11. Alterações nesta política

Reservamo-nos o direito de atualizar esta Política. Alterações materiais serão comunicadas por e-mail e/ou aviso na Plataforma com antecedência mínima de 15 dias. O uso continuado da Plataforma após a vigência das alterações implica aceitação.

Política de Privacidade