Versao 2026-04-30 v1

Politica de Privacidade — Vinlet

A Vinlet trata dados pessoais com base na Lei Geral de Protecao de Dados (Lei 13.709/2018 — LGPD), no Codigo de Etica Medica e nas resolucoes do Conselho Federal de Medicina (CFM). Este documento descreve quais dados coletamos, com que finalidade, com quem compartilhamos, por quanto tempo retemos e quais sao os direitos do titular.

1. Quem somos

Controlador: a clinica contratante (cada clinica que utiliza a plataforma Vinlet e a controladora dos dados de seus pacientes).
Operadora: Vinlet Tecnologia (CNPJ a ser registrado), atuando como operadora dos dados nos termos do art. 5º VIII da LGPD.

2. Encarregado de Tratamento de Dados (DPO)

Em conformidade com o art. 41 da LGPD, o Encarregado pode ser contatado em dpo@vinlet.com.br. Solicitacoes serao respondidas em ate 15 dias.

3. Quais dados coletamos

• Dados de identificacao: nome, CPF, RG, data de nascimento, endereco, telefone, e-mail.
• Dados de saude (categoria sensivel — art. 5º II + art. 11): historico clinico, prontuario, evolucoes, exames, prescricoes, atestados, fotos clinicas, transcricoes de consulta.
• Dados financeiros: valores de procedimentos, formas de pagamento (sem armazenar dados de cartao).
• Dados de uso: logs de acesso (Marco Civil da Internet art. 15), cliques, dispositivos.

4. Bases legais (art. 7 e art. 11)

• Execucao de contrato com a clinica para prestacao do servico (art. 7º V).
• Cumprimento de obrigacao legal (CFM Res. 1.821/2007 — retencao minima de 20 anos do prontuario).
• Consentimento especifico para tratamento de dados sensiveis (art. 11 I) e para envio de mensagens via WhatsApp (art. 7º I).
• Tutela da saude exclusivamente por profissionais de saude (art. 11 II f).

5. Subprocessadores e transferencia internacional

Para prestar o servico utilizamos os seguintes subprocessadores. Alguns operam fora do territorio brasileiro — esta transferencia ocorre com base no art. 33 da LGPD e em garantias contratuais equivalentes.

• Google Cloud / Firebase (Estados Unidos) — banco de dados, autenticacao e armazenamento.
• Vercel (Estados Unidos) — hospedagem da aplicacao web.
• Groq (Estados Unidos) — modelos de inteligencia artificial. Os dados enviados para a Groq sao previamente anonimizados (CPF, telefone, e-mail e nomes substituidos por tokens) em conformidade com o art. 12 da LGPD.
• Meta WhatsApp Business — envio de mensagens autorizadas pelo paciente.
• Sentry (Estados Unidos) — monitoramento de erros tecnicos. Configurado para remover dados pessoais antes do envio (PHI scrubbing).
• Upstash Redis — cache e limitacao de taxa.
• Memed (Brasil) — emissao de receituario digital conforme legislacao da Anvisa.

A lista atualizada de subprocessadores esta disponivel em /privacidade/subprocessadores. Mudancas substanciais serao comunicadas com 30 dias de antecedencia.

6. Retencao de dados

• Prontuario, evolucoes, prescricoes, atestados: 20 anos a partir da ultima consulta (CFM Res. 1.821/2007).
• Receituario controlado: 5 anos (Portaria SVS 344/1998 art. 57).
• Logs de acesso: minimo de 6 meses (Marco Civil art. 15).
• Mensagens WhatsApp: 24 meses ou ate revogacao do consentimento.
• Dados financeiros: 5 anos (CTN art. 174).

Apos esses prazos os dados sao anonimizados (art. 12) ou eliminados (art. 16 IV). Em caso de cancelamento da clinica, os prontuarios sao mantidos em arquivo seguro pelo prazo legal e disponibilizados a clinica sucessora ou ao paciente mediante solicitacao.

7. Direitos do titular (art. 18)

O titular pode, a qualquer momento, solicitar:

• Confirmacao da existencia de tratamento;
• Acesso aos dados;
• Correcao de dados incompletos, inexatos ou desatualizados;
• Anonimizacao, bloqueio ou eliminacao de dados desnecessarios;
• Portabilidade dos dados;
• Eliminacao dos dados tratados com consentimento;
• Informacao sobre compartilhamento;
• Revogacao do consentimento.

Solicitacoes devem ser enviadas para dpo@vinlet.com.br ou pelo portal do paciente. Resposta em ate 15 dias.

8. Seguranca

Aplicamos medidas tecnicas e administrativas: criptografia em transito (HTTPS, HSTS), criptografia em repouso (AES-256-GCM com chaves derivadas por clinica), controle de acesso por papel (RBAC), autenticacao multifator (2FA) para administradores e medicos, registro de auditoria imutavel, segregacao multi-tenant.

9. Incidentes de seguranca

Em caso de incidente que cause risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados em prazo razoavel, conforme art. 48 da LGPD.

10. Menores

O tratamento de dados de menores de 18 anos requer consentimento especifico de pelo menos um dos pais ou responsavel legal (art. 14). A clinica e responsavel por coletar este consentimento.

11. Atualizacoes desta politica

Mudancas substanciais serao comunicadas pelo portal e por e-mail. A versao vigente (2026-04-30 v1) substitui versoes anteriores.

12. Foro

Foro da comarca da clinica contratante. Em caso de pacientes, prevalece o foro do domicilio do titular.

Ultima revisao: 2026-04-30 v1