Política de Privacidade

Plataforma: Resus_BR | Última Atualização: Dezembro de 2025 | Versão: 2.2.0

Esta Política de Privacidade regula o tratamento de dados pessoais e informações dos usuários da plataforma Resus_BR, em total conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD) e regulamentações internacionais. Nosso compromisso é garantir transparência, segurança e respeito aos seus direitos fundamentais.

📋 Escopo: Resus_BR é uma plataforma de educação continuada em medicina de emergência e cuidados críticos. Esta política detalha como tratamos dados coletados durante seu uso.

1. Introdução e Princípios Fundamentais

Resus_BR opera conforme os sete princípios fundamentais da LGPD:

  • Finalidade: Dados coletados apenas para fins específicos e legítimos informados a você.
  • Adequação: Tratamento compatível com as finalidades comunicadas.
  • Necessidade: Coleta restrita ao mínimo indispensável.
  • Livre Acesso: Você pode acessar seus dados a qualquer momento.
  • Qualidade: Dados precisos, atualizados e relevantes.
  • Transparência: Informação clara sobre tratamento e compartilhamento.
  • Segurança: Proteção técnica e administrativa rigorosa contra abusos.

2. Definições Essenciais (LGPD)

Para melhor compreensão, estes são os termos-chave utilizados:

  • Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável (ex: nome, e-mail, ID de usuário, endereço IP, dados de uso).
  • Dados Sensíveis: Dados especiais sobre origem racial/étnica, convicção religiosa, opinião política, saúde, vida sexual, dados genéticos ou biométricos.
  • Controlador: A entidade que decide sobre tratamento dos dados — Resus_BR.
  • Operador: Terceiro que processa dados em nome do Controlador (ex: Stripe para pagamentos, Amazon S3 para armazenamento).
  • Titular: Pessoa natural a quem os dados se referem — você, usuário.
  • Encarregado de Proteção de Dados (DPO): Profissional responsável por conformidade LGPD — contato no final desta política.
  • ANPD: Autoridade Nacional de Proteção de Dados — órgão regulador brasileiro.

3. Coleta de Dados - O Que Coletamos e Por Quê

3.1 Dados de Cadastro e Autenticação

Dado Base Legal Finalidade Retenção
Nome completo Consentimento + Contrato Identificação, emissão de certificados Duração da conta + 1 ano
E-mail Consentimento + Contrato Login, notificações, suporte Duração da conta + 1 ano
Telefone (opcional) Consentimento 2FA, suporte, notificações SMS Duração da conta + 90 dias
Especialidade médica Consentimento Personalização de conteúdo Duração da conta + 6 meses
Registro profissional (CRM/COREN) Consentimento Verificação de elegibilidade para planos Duração da conta + 2 anos
Hash de senha Contrato Autenticação segura (nunca armazenamos senha em texto) Duração da conta

3.2 Dados de Uso e Interação

  • Histórico de Questões: Respostas no QBank, taxa de acerto, tempo de estudo (base: interesse legítimo em análise educacional).
  • Histórico de Chat IA: Consultas ao EMERGEM! AI e respostas (base: execução de contrato; retenção: 1 ano).
  • Anotações e Notas Pessoais: Conteúdo criado por você (base: contrato; retenção: permanente enquanto conta ativa).
  • Convites e Colaboração: Histórico de convites aceitos/rejeitados, permissões modificadas (base: contrato; retenção: 2 anos para auditoria).
  • Critical Pocus (Atlas de Ultrassom): Imagens e metadados enviados (base: contrato; retenção: conforme política de remoção do usuário).
  • Logs de Acesso: Timestamp, IP, dispositivo, ação realizada (base: interesse legítimo em segurança; retenção: 90 dias).

3.3 Dados de Pagamento e Faturamento

🔒 Segurança Crítica: Resus_BR NÃO ARMAZENA dados de cartão de crédito ou dados financeiros sensíveis. Todos os pagamentos são processados exclusivamente pela Stripe, certificada PCI DSS Nível 1.

Dado Processador Retenção
Histórico de transações (valores, datas) Resus_BR (para faturamento) 3 anos (conformidade fiscal)
Dados de cartão (PAN mascarado) Stripe (externa) Conforme política Stripe
Recibos e comprovantes Resus_BR 3 anos (Lei 5.172/1966 — Código Tributário)
Webhooks Stripe (confirmações) Resus_BR (log apenas) 1 ano (auditoria de pagamentos)

3.4 Dados Técnicos e de Rastreamento

  • Endereço IP: Para segurança, detecção de fraudes e compliance geográfico (base: interesse legítimo).
  • User-Agent, Tipo de Dispositivo: Para otimização de plataforma e suporte técnico.
  • Cookies de Sessão: Para manter autenticação (necessário para funcionamento).
  • Analítica Anônima: Páginas visitadas, tempo de permanência, eventos (via Google Analytics com IP anonimizado; base: interesse legítimo).
  • Erro Logs: Stack traces, mensagens de erro para debug (armazenados 30 dias; base: interesse legítimo em manutenção).

3.5 Dados Sensíveis - Informações Médicas (CRÍTICO)

⚠️ IMPORTANTE: Resus_BR NÃO coleta, nem autoriza o armazenamento de informações médicas sensíveis de pacientes reais nas notas, convites ou Critical Pocus. Você é responsável por não compartilhar:

  • ❌ Nomes ou identificadores de pacientes
  • ❌ Números de prontuário
  • ❌ Datas de nascimento identificáveis
  • ❌ Endereços ou informações de contato
  • ❌ Diagnósticos combinados com identificadores
  • ❌ Imagens que permitam identificação facial

Dados Educacionais (Permitidos): Você pode manter notas anonimizadas sobre casos clínicos fictícios ou reais sem identificadores (ex: "masculino 65 anos com pneumonia comunitária"). Estes dados:

  • Não são compartilhados com terceiros sem seu consentimento
  • Não são utilizados para treinamento de modelos de IA
  • Permanecem privados (padrão) na sua conta
  • Podem ser deletados a qualquer momento via direito de exclusão

4. Tratamento de Dados de IA (EMERGEM! AI)

4.1 Processamento de Consultas

  • O que é enviado: Sua pergunta/prompt ao EMERGEM! AI.
  • Para onde vai: Para modelos de IA (Agno Framework com GPT-4, Groq LLaMA, Deepseek).
  • Processadores: OpenAI, Groq, Deepseek (conforme modelo selecionado).
  • Retenção no Resus_BR: 1 ano (para análise educacional e melhoria).
  • Bases Legais: Execução de contrato + Interesse legítimo em melhoria de serviço.

4.2 Guardrails de Segurança (v2.3.21)

Cada resposta de IA passa por validações automáticas:

  • Validação Médica: Respostas verificadas contra diretrizes clínicas.
  • Detecção de Conteúdo Perigoso: Bloqueio de recomendações inadequadas.
  • Rate Limiting: Proteção contra abuso (limite por usuário/IP).
  • Logging Completo: Cada validação é registrada para auditoria.

4.3 Compartilhamento com Provedores de IA

Importante: Ao enviar consultas ao EMERGEM! AI, seus prompts podem ser processados pelos seguintes provedores:

  • OpenAI (ChatGPT/GPT-4): Sujeita à Política de Privacidade OpenAI (dados podem ser usados para treinamento conforme opt-in).
  • Groq (Groq Cloud): Processamento rápido de queries (sujeita à política Groq).
  • Deepseek: Modelo alternativo open-source (sujeita à política Deepseek).

💡 Dica de Privacidade: Nunca compartilhe dados sensíveis de pacientes reais nas consultas ao EMERGEM! AI. Use casos fictícios, anonimizados ou educacionais. As respostas são para estudo, não para decisão clínica.

5. Dados de Convites e Colaboração

5.1 Sistema de Convites

Dado Coletado Base Legal Retenção Finalidade
E-mail do convidado Contrato 2 anos (auditoria) Envio de convite
Role (Viewer/Editor/Owner) Contrato 2 anos (auditoria) Controle de permissões
Timestamp: criado, aceito, rejeitado Interesse legítimo 2 anos Rastreamento de colaboração
Histórico de mudanças de role Interesse legítimo 2 anos Conformidade e segurança

5.2 Responsabilidade Compartilhada

Quando você convida alguém para colaborar em uma anotação, você compartilha essa responsabilidade. O convidado também deve respeitar esta política e não compartilhar dados de pacientes. Resus_BR registra todas as alterações para auditoria.

6. Dados em Critical Pocus (Atlas de Ultrassom)

6.1 Classificação de Imagens

  • Privadas (Padrão): Vistas apenas por você. Não processadas por IA nem compartilhadas.
  • Públicas (Opcional): Compartilhadas no Atlas Público para comunidade aprender. Requerem moderação obrigatória antes de publicação.

6.2 Moderação de Imagens Públicas

Toda imagem marcada como "Pública" passa por auditoria antes de ser publicada:

  • Verificação de Anonimização: Sem nomes, datas, IDs de paciente.
  • Deidentificação de Imagem: Sem rostos, placas de identidade ou marcas que permitam ID.
  • Conformidade LGPD: Alinhamento com lei de privacidade.
  • Qualidade Técnica: Imagem nítida e educativa.

Se imagem for rejeitada: Você será notificado com motivo. Pode retificar e reenviar.

6.3 Retenção de Imagens Deletadas

  • Imagens privadas: Deletadas imediatamente quando você solicitá-las.
  • Imagens públicas: Removidas do Atlas, mas metadata de auditoria mantida por 1 ano.
  • Backups: Mantidos por 30 dias para recuperação em caso de erro (padrão de infraestrutura).

7. Dados Armazenados em Infraestrutura

7.1 Tecnologias Usadas

  • PostgreSQL: Banco de dados principal (Brasil, Hostinger VPS).
  • pgvector: Embeddings de IA (vetores matemáticos, não conteúdo original).
  • Redis: Cache seguro (retenção: 48 horas para sessões).
  • Amazon S3: Armazenamento de imagens Critical Pocus (criptografia em repouso).
  • Django Channels + Daphne: WebSocket para colaboração real-time (conexões temporárias, sem log persistente).
  • Celery + Redis: Task queue para processamento assíncrono (logs: 30 dias).

7.2 Localização de Dados

Dados Pessoais: Primariamente armazenados em Brasil (Hostinger VPS, São Paulo) em conformidade com LGPD.

Dados Sensíveis de IA: Podem transitar para provedores internacionais (OpenAI, Groq, Deepseek) conforme necessário para processamento. Estes provedores oferecem garantias contratuais (Data Processing Agreement) alinhadas à LGPD.

Backups: Mantidos por 30 dias em infraestrutura segura para recuperação de desastres.

8. Direitos do Titular (LGPD - Artigos 17-22)

Você tem direito a solicitar:

8.1 Acesso (Art. 17)

Solicitar uma cópia de todos os dados pessoais que possuímos sobre você, em formato estruturado e inteligível. Prazo: 15 dias úteis.

8.2 Correção (Art. 19)

Retificar dados incompletos, inexatos ou desatualizados a qualquer tempo. Você pode fazer isso diretamente em Configurações da Conta ou solicitando via email ao DPO.

8.3 Exclusão / Direito ao Esquecimento (Art. 17)

Solicitar eliminação permanente de seus dados, exceto quando há obrigação legal de manter (ex: registros de pagamento por 3 anos, conforme lei fiscal). Prazo: 15 dias úteis.

8.4 Portabilidade (Art. 18)

Obter cópia de seus dados em formato estruturado (JSON/CSV) para transferência a outro serviço. Prazo: 15 dias úteis.

8.5 Revogação do Consentimento (Art. 8, §5º)

Retirar consentimento para coleta/processamento de dados a qualquer momento. Não afeta legalidade de tratamentos anteriores. Após revogação, novos dados não serão coletados.

8.6 Oposição (Art. 21)

Contestar tratamento baseado em interesse legítimo (ex: análise de comportamento). Analisaremos sua solicitação e suspenderemos se interesse seu superar o nosso.

8.7 Informação Sobre Compartihmento (Art. 20)

Solicitar lista de terceiros com quem compartilhamos seus dados. Manteremos registro atualizado.

Como Exercer Seus Direitos

Envie solicitação escrita ao nosso Encarregado de Proteção de Dados (DPO) com:

  • Nome completo e email associado à conta
  • Tipo de direito que quer exercer
  • Descrição clara da solicitação

📧 Email DPO: contato@resusbr.com
⏱️ Prazo de Resposta: Até 15 dias úteis (Art. 18, LGPD)
📌 Sem custo: Primeiro pedido gratuito; solicitações abusivas podem ter taxa administrativa

9. Bases Legais para Tratamento de Dados

Tratamos seus dados apenas sob bases legais previstas na LGPD (Art. 7):

Base Legal Quando Usamos Exemplo
Consentimento Quando você autoriza explicitamente Newsletter, analytics, dados sensíveis
Execução de Contrato Para cumprir serviço contratado Nome, e-mail, histórico de QBank, acesso à plataforma
Obrigação Legal Por exigência de lei/regulação Registros de pagamento (3 anos), cumprimento judicial
Interesse Legítimo Para benefício nosso/de terceiros, sem prejudicar você Segurança, fraude, análise de uso, melhoria de plataforma
Proteção de Vida Para proteção física/saúde em emergência Raramente aplicável; cumprimento de requisição de autoridade

10. Segurança de Dados

10.1 Medidas Técnicas

  • 🔒 Criptografia TLS/HTTPS 1.3+: Todas as conexões criptografadas em trânsito.
  • 🔒 Criptografia em Repouso: Dados no banco PostgreSQL protegidos (VPS com full disk encryption).
  • 🔒 Hash de Senhas: PBKDF2-SHA256, nunca armazenadas em texto.
  • 🔒 2FA (Two-Factor Authentication): django-otp suportado (recomendado para contas).
  • 🔒 Rate Limiting: Proteção contra força bruta (django-axes).
  • 🔒 S3 ACLs: Controle granular de acesso a imagens em bucket S3.

10.2 Medidas Administrativas

  • 👥 Acesso Restrito: Apenas equipe autorizada acessa dados sensíveis (princípio de privilégio mínimo).
  • 👥 Treinamento: Equipe treinada em LGPD e segurança de dados.
  • 👥 Audit Logging: Rastreamento de alterações (quem acessou, quando, o quê).
  • 👥 Contrato de Processamento (DPA): Todos operadores possuem Data Processing Agreement.

10.3 Incidentes de Segurança

Se ocorrer uma violação de dados que acarrete risco ou dano relevante:

  • ✓ Você será notificado sem atrazo desnecessário (geralmente <24h).
  • ✓ ANPD será notificada no prazo legal (geralmente 72h após descoberta).
  • ✓ Informaremos natureza do incidente, dados afetados, medidas tomadas.
  • ✓ Forneceremos meios para mitigação (ex: monitoramento de crédito se financeiro).

11. Compartilhamento de Dados com Terceiros

11.1 Operadores (Subprocessadores)

Compartilhamos dados com terceiros que atuam como Operadores em nosso nome:

Terceiro Tipo de Dado País Finalidade Contrato
Stripe Dados de pagamento, e-mail, endereço EUA (Data Center EU opcional) Processamento de pagamentos DPA ✓
Amazon S3 Imagens Critical Pocus (blob) Brasil ou EUA (via Hostinger) Armazenamento seguro DPA ✓
OpenAI / Groq / Deepseek Prompts de chat IA EUA / Internacional Processamento de IA DPA ✓
Google Analytics IP anonimizado, eventos de uso EUA Análise de uso (opcional, consentimento) DPA ✓
Hostinger (VPS Provider) Todos os dados (criptografados) Brasil Infraestrutura e hospedagem DPA ✓

11.2 Compartilhamento com Autoridades

Resus_BR pode ser obrigada a compartilhar dados com autoridades judiciais ou regulatórias:

  • Por ordem judicial (mandado de busca, subpoena).
  • Por investigação de crime ou violação de termos.
  • Por requerimento de órgão regulador (ANPD, CFM, COREN, etc.).

Quando possível legalmente, notificaremos você antes de divulgar dados a terceiros, exceto se lei proibir.

11.3 SEM Venda de Dados

Importante: Resus_BR NUNCA vende dados pessoais ou sensíveis para terceiros. Nosso modelo de receita é baseado em assinatura, não em comercialização de dados.

12. Retenção de Dados - Quanto Tempo Mantemos

Tipo de Dado Período de Retenção Motivo
Cadastro (nome, email, especialidade) Duração da conta + 1 ano Conformidade, contato pós-conta
Hash de senha Duração da conta Autenticação
Histórico QBank (respostas, score) Duração da conta Análise educacional
Chat IA (prompts + respostas) 1 ano Análise educacional, melhoria IA
Anotações pessoais (Notas/I-PASS) Enquanto conta ativa Seu conteúdo — você controla
Critical Pocus (imagens privadas) Enquanto conta ativa Seu conteúdo — você controla
Convites & colaboração (histórico) 2 anos Auditoria e conformidade
Logs de acesso (IP, timestamp) 90 dias Segurança, detecção de fraudes
Logs Celery (tasks assíncrono) 30 dias Debugging, monitoramento
Dados de pagamento (recibos) 3 anos Lei fiscal (5.172/1966)
Backups (todas dados) 30 dias Recuperação de desastres
Session cookies 2 semanas (inatividade) Manter login, segurança

Deletando Sua Conta: Ao solicitar exclusão da conta (direito ao esquecimento), todos os dados listados acima serão deletados, exceto quando retenção é exigida por lei (recibos de pagamento, por exemplo).

13. Cookies e Tecnologias de Rastreamento

13.1 Tipos de Cookies Utilizados

  • Cookies Essenciais: Mantêm sua sessão autenticada. Necessários para funcionamento da plataforma.
  • Cookies de Preferência: Lembram suas escolhas (tema, idioma). Podem ser desabilitados.
  • Cookies de Análise: Google Analytics para entender uso da plataforma (IP anonimizado). Requerem consentimento.

13.2 Controle de Cookies

Você pode gerenciar preferências diretamente nas configurações do seu navegador. Cookies essenciais não podem ser desativados sem quebrar funcionamento.

13.3 Pixel Tags / Web Beacons

Utilizamos pixel tags para rastrear abertura de emails transacionais (confirmação de pagamento, reset de senha). Você pode desativar carregamento de imagens em seu cliente email.

14. Conformidade com LGPD e GDPR

14.1 Certificações e Padrões

  • LGPD Compliant: Implementação dos artigos 7, 8, 17-22 (direitos do titular).
  • GDPR Compliant: Para usuários na EU, conformidade com GDPR garantida.
  • Standard Contractual Clauses (SCC): Para transferências internacionais.
  • DPO Designado: Encarregado de Proteção de Dados acessível.

14.2 Avaliação de Impacto (DPIA)

Realizamos avaliação de impacto em atividades de alto risco (processamento de IA, compartilhamento com terceiros). Resultados disponíveis sob solicitação ao DPO.

15. Transferências Internacionais de Dados

Alguns dados podem ser transferidos para fora do Brasil (ex: OpenAI nos EUA, Stripe em múltiplos países). Garantias:

  • Adequação: Apenas para países com nível adequado (EUA com SCC, EU).
  • DPA: Contrato de Processamento de Dados com cláusulas padrão.
  • Criptografia: Dados criptografados em trânsito (TLS 1.3+).
  • Transparência: Informamos quando transferências ocorrem.

16. Alterações a Esta Política

Resus_BR pode atualizar esta Política de Privacidade periodicamente para refletir:

  • Mudanças legais ou regulatórias (LGPD, GDPR).
  • Atualizações de infraestrutura ou operação.
  • Novas funcionalidades da plataforma.

Alterações Significativas: Serão notificadas por email ou aviso na plataforma com antecedência de 30 dias. Uso continuado implica aceitação dos termos revisados.

Data da Última Atualização: Dezembro de 2025 (v2.2.0)

17. Contato e Exercício de Direitos

17.1 Encarregado de Proteção de Dados (DPO)

📧 Email: contato@resusbr.com

⏱️ Prazo de Resposta: Até 15 dias úteis (conforme Art. 18, LGPD)

📋 Informações Necessárias: CPF/RG, email associado à conta, tipo de solicitação, descrição clara

💬 Suporte Técnico: Para dúvidas sobre funcionalidades, contate support@resusbr.cloud

17.2 ANPD (Se Insatisfeito com Nossa Resposta)

Você tem direito de acionar a Autoridade Nacional de Proteção de Dados (ANPD) se considerar que sua solicitação foi negada indevidamente:

18. Aceite e Confirmação

CONFIRMAÇÃO DE LEITURA:

Ao se registrar e utilizar Resus_BR, você confirma que:

  • ✓ Leu e compreendeu esta Política de Privacidade na íntegra
  • ✓ Concorda com o tratamento de seus dados conforme descrito
  • ✓ Entende seus direitos e como exercê-los
  • ✓ Aceita as condições de retenção, compartilhamento e segurança
  • ✓ Compromete-se a não compartilhar dados sensíveis de pacientes

Resus_BR | Política de Privacidade v2.2.0 | Dezembro de 2025

Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018

Termos de Uso Voltar à Página Inicial