Política LGPD — Ávimus health & tech

Artigo 1

Nosso compromisso com a LGPD

A Ávimus health & tech, CNPJ 65.250.160/0001-34, está comprometida com o cumprimento integral da Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018 — LGPD) em todas as operações da plataforma ClarIA e no site avimus.com.br.

O LGPD nativo não é apenas uma postura regulatória — é um pilar estrutural do nosso produto. Desde o início do desenvolvimento da ClarIA, a privacidade e a proteção de dados foram incorporadas à arquitetura da plataforma (privacy by design), e não adicionadas como camada posterior.

Esta Política complementa a Política de Privacidade e detalha especificamente como a Ávimus atende aos requisitos da LGPD no contexto do tratamento de dados de saúde — uma categoria especialmente sensível sob a lei brasileira.

Artigo 2

Dados pessoais tratados

No âmbito das atividades da Ávimus, são tratados os seguintes dados pessoais:

Categoria	Dados	Papel da Ávimus
Pacientes	Nome, celular (WhatsApp), data de consulta, conteúdo de mensagens clínicas	Operadora
Dados de prontuário	Dados extraídos do EHR (Tasy) por integração API, na extensão autorizada pela clínica	Operadora
Clientes (clínicas)	Nome do responsável, e-mail corporativo, cargo, dados de acesso	Controladora
Visitantes do site	Dados de navegação anonimizados via GA4	Controladora

Quando a Ávimus atua como operadora, trata dados por conta e sob instrução da clínica contratante (controladora). Quando atua como controladora, define as finalidades e os meios do tratamento de forma independente.

Artigo 3

Dados de saúde — tratamento de dados sensíveis

Dados de saúde são classificados como dados pessoais sensíveis pelo Art. 5.º, II da LGPD e recebem proteção reforçada. O tratamento de dados de saúde na plataforma ClarIA é realizado com base nas seguintes premissas:

Base legal (Art. 11, II, f): tutela da saúde, exclusivamente realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, sob responsabilidade da clínica contratante.
Minimização: apenas os dados estritamente necessários para a geração das mensagens clínicas são acessados. A ClarIA não tem acesso ao prontuário completo — apenas aos campos necessários para personalização das comunicações.
Finalidade restrita: dados de saúde são usados exclusivamente para gerar e enviar comunicações clínicas pós-consulta. Não são usados para publicidade, pesquisa de mercado ou qualquer finalidade não relacionada ao cuidado do paciente.
Controle do controlador: a clínica contratante define quais pacientes recebem comunicação e quais dados são compartilhados com a integração. A Ávimus não acessa dados além do escopo autorizado.
Não venda: dados de saúde jamais são vendidos, cedidos ou compartilhados com terceiros para fins comerciais.

Artigo 4

Bases legais para o tratamento

Operação de tratamento	Base legal (LGPD)
Geração e envio de mensagens clínicas pós-consulta	Tutela da saúde (Art. 11, II, f) + Execução de contrato (Art. 7.º, V)
Armazenamento de dados de pacientes para relatórios	Execução de contrato (Art. 7.º, V) com clínica contratante
Dados de clientes (clínicas)	Execução de contrato (Art. 7.º, V) + Obrigação legal (Art. 7.º, II)
Análise de navegação no site (GA4)	Legítimo interesse (Art. 7.º, IX)
Comunicações de marketing (quando aplicável)	Consentimento (Art. 7.º, I)
Cumprimento de obrigações fiscais e legais	Cumprimento de obrigação legal (Art. 7.º, II)

Artigo 5

Direitos dos titulares (Art. 18 da LGPD)

Todo titular de dados pessoais tratados pela Ávimus tem os seguintes direitos garantidos pela LGPD:

Acesso

Obter confirmação do tratamento e cópia dos dados que possuímos sobre você.

Correção

Solicitar correção de dados incorretos, incompletos ou desatualizados.

Anonimização ou bloqueio

Solicitar anonimização ou bloqueio de dados desnecessários ou excessivos.

Eliminação

Solicitar eliminação de dados tratados com base no seu consentimento.

Portabilidade

Receber seus dados em formato estruturado para transferência a outro fornecedor.

Informação

Saber com quais entidades seus dados são compartilhados.

Revogação

Revogar o consentimento dado a qualquer momento, sem prejudicar tratamentos anteriores.

Oposição

Opor-se ao tratamento realizado com fundamento em outras hipóteses legais.

Pacientes cujos dados são tratados pela plataforma ClarIA têm seus direitos mediados pela clínica contratante (controladora). Para exercer direitos relacionados a dados de consultas médicas, o paciente deve contatar diretamente a clínica onde foi atendido.

Artigo 6

Como exercer seus direitos

Para exercer qualquer direito previsto no Art. 18 da LGPD em relação a dados sob controle direto da Ávimus (dados de clientes, navegação no site), siga os passos:

Envie e-mail para privacidade@avimus.com.br com o assunto "Exercício de Direito LGPD"
Informe: nome completo, e-mail cadastrado e descrição clara do direito que deseja exercer
Caso necessário, poderemos solicitar documentação para verificar sua identidade
Responderemos em até 15 dias úteis, conforme previsto na LGPD

Se sua solicitação não for atendida de forma satisfatória, você tem direito de peticionar diretamente à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

Artigo 7

Segurança e confidencialidade

Implementamos medidas técnicas e organizacionais para proteger dados pessoais contra acesso não autorizado, perda, alteração ou divulgação indevida:

Medidas técnicas:

Criptografia em trânsito (TLS 1.2+) em todas as comunicações da plataforma
Criptografia em repouso para dados sensíveis
Controle de acesso baseado em funções (RBAC) — cada usuário acessa apenas o que necessita
Logs de auditoria de acesso e operações sobre dados pessoais
Testes periódicos de segurança e revisão de vulnerabilidades

Medidas organizacionais:

Cláusulas de confidencialidade e proteção de dados em contratos com todos os fornecedores que acessam dados pessoais
Treinamento periódico da equipe em LGPD e boas práticas de segurança da informação
Política interna de acesso mínimo — colaboradores só acessam dados pessoais estritamente necessários para suas funções
Revisão periódica das atividades de tratamento de dados

Artigo 8

Transferências internacionais de dados

O tratamento de dados pessoais da Ávimus é realizado, preferencialmente, em servidores localizados no Brasil. Eventual transferência internacional pode ocorrer apenas nas seguintes hipóteses:

WhatsApp Business API (Meta Platforms): a entrega de mensagens via WhatsApp envolve a infraestrutura global da Meta. O conteúdo das mensagens é transmitido para servidores da Meta fora do Brasil para fins de entrega. Esta transferência é amparada pelas cláusulas contratuais padrão da Meta com conformidade com regulamentações internacionais de proteção de dados.
Google Analytics 4: dados de navegação anonimizados são processados pela Google LLC nos EUA, com base nas salvaguardas adequadas previstas no Art. 33 da LGPD.

Dados de saúde dos pacientes não são transferidos internacionalmente. O armazenamento e processamento principal dos dados da plataforma ClarIA ocorre no território nacional.

Artigo 9

Encarregado de Proteção de Dados (DPO)

Nos termos do Art. 41 da LGPD, a Ávimus designou um Encarregado de Proteção de Dados (Data Protection Officer — DPO) responsável por:

Receber comunicações dos titulares de dados e da ANPD
Orientar colaboradores e operadores sobre boas práticas de proteção de dados
Executar demais atribuições determinadas pelo controlador ou por norma complementar

Contato com o DPO:

E-mail: privacidade@avimus.com.br
Ávimus health & tech · CNPJ 65.250.160/0001-34
Florianópolis, SC, Brasil

Artigo 10

Registro das atividades de tratamento

Em conformidade com o Art. 37 da LGPD, a Ávimus mantém registros internos das atividades de tratamento de dados pessoais realizadas. Esses registros incluem:

Descrição das categorias de titulares e dados pessoais tratados
Finalidade de cada operação de tratamento
Base legal aplicável
Prazos de retenção
Identificação dos operadores e fornecedores com acesso aos dados
Medidas de segurança aplicadas

Esses registros ficam disponíveis para a ANPD mediante solicitação e são revisados periodicamente para refletir mudanças nas práticas de tratamento.

Artigo 11

Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Ávimus seguirá o seguinte protocolo:

Identificação e contenção: isolamento imediato do incidente e avaliação do escopo e gravidade
Notificação à ANPD: comunicação à Autoridade Nacional de Proteção de Dados em prazo razoável (conforme regulamentação vigente da ANPD), nos termos do Art. 48 da LGPD
Notificação aos titulares afetados: comunicação aos titulares cujos dados foram comprometidos, com descrição clara da natureza dos dados afetados, dos riscos decorrentes e das medidas adotadas
Notificação ao Cliente (quando operadora): notificação imediata à clínica contratante para que possa tomar as medidas cabíveis junto a seus pacientes
Correção e melhoria: análise de causa-raiz, correção das vulnerabilidades e revisão dos controles de segurança

Para reportar suspeitas de incidentes de segurança ou vulnerabilidades, entre em contato imediatamente pelo e-mail privacidade@avimus.com.br com o assunto "Incidente de Segurança".

Política de Proteção de Dados — LGPD