A presente Política de Privacidade descreve como a Medwork360 coleta, utiliza, armazena, compartilha e protege os dados pessoais e dados pessoais sensíveis dos Contratantes, Usuários e titulares de dados no âmbito da utilização da Plataforma, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 · LGPD), o Marco Civil da Internet (Lei 12.965/2014) e demais normas aplicáveis.
1. Controlador de Dados
A Medwork360 atua como Controladora de dados pessoais no que se refere aos dados cadastrais dos Contratantes e Usuários, e como Operadora de dados pessoais no que se refere aos dados de terceiros inseridos pelos Usuários durante as consultas (dados de pacientes, trabalhadores, partes processuais).
Encarregado de Proteção de Dados (DPO):
- E-mail: dpo@medwork360.msgy.ai
- Canal de Atendimento: disponível 24 horas via WhatsApp ou e-mail
2. Dados Pessoais Coletados
2.1. Dados Cadastrais do Contratante (Pessoa Jurídica)
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| CNPJ, razão social, nome fantasia | Identificação e formalização contratual | Art. 7º, V · execução de contrato |
| Endereço completo | Emissão de notas fiscais e comunicações | Art. 7º, V · execução de contrato |
| Dados bancários/pagamento | Processamento de pagamentos | Art. 7º, V · execução de contrato |
2.2. Dados Pessoais dos Usuários (Pessoas Físicas)
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome completo | Identificação e personalização | Art. 7º, V · execução de contrato |
| CPF | Verificação de identidade | Art. 7º, V · execução de contrato |
| Comunicações e notificações | Art. 7º, V · execução de contrato | |
| Número de WhatsApp | Acesso à Plataforma (canal principal) | Art. 7º, V · execução de contrato |
| Dados de uso (logs, consultas) | Melhoria do serviço e suporte | Art. 7º, IX · legítimo interesse |
2.3. Dados Pessoais Sensíveis (Art. 11, LGPD)
A Plataforma poderá processar dados pessoais sensíveis nas seguintes categorias, conforme a natureza das consultas realizadas pelos Usuários:
| Categoria | Exemplos | Base Legal (LGPD) |
|---|---|---|
| Dados de saúde ocupacional | CID, diagnósticos, exames ocupacionais, ASOs, PCMSOs, histórico de afastamentos, nexo causal, riscos psicossociais | Art. 11, I · consentimento específico do titular |
| Dados relativos à saúde do trabalhador | Condições de saúde, laudos médicos, atestados, resultados de exames, triagem NR-1 psicossocial | Art. 11, I · consentimento específico do titular |
| Dados de processos trabalhistas | Informações sobre reclamações trabalhistas, partes envolvidas, verbas discutidas, acordos | Art. 11, II, "d" · exercício regular de direitos em processo judicial |
| Dados de acidentes de trabalho | CATs, laudos de acidente, fotos de local de trabalho, condições de insalubridade/periculosidade | Art. 11, II, "f" · proteção da vida ou da incolumidade física |
ATENÇÃO: O tratamento de dados pessoais sensíveis de saúde requer consentimento específico e destacado do titular dos dados, conforme art. 11, I, da LGPD. O Contratante é responsável por obter tal consentimento antes de inserir dados sensíveis de terceiros na Plataforma (vide Termos de Consentimento, documento apartado).
2.4. Dados Coletados Automaticamente
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Endereço IP | Segurança e cumprimento do Marco Civil da Internet (art. 15) | Art. 7º, II · obrigação legal |
| Registros de acesso (logs) | Segurança, auditoria e cumprimento do Marco Civil | Art. 7º, II · obrigação legal |
| Metadados de mensagens WhatsApp | Funcionamento técnico da Plataforma | Art. 7º, IX · legítimo interesse |
| Dados de uso e interação | Melhoria contínua do serviço | Art. 7º, IX · legítimo interesse |
3. Finalidades do Tratamento
Os dados pessoais são tratados para as seguintes finalidades específicas:
a) Prestação do serviço contratado: processamento de consultas via IA, geração de Conteúdo Informativo, gestão de cotas e créditos;
b) Gestão contratual: cadastro, faturamento, cobrança, emissão de documentos fiscais, comunicações operacionais;
c) Segurança da Plataforma: prevenção de fraudes, detecção de uso indevido, proteção contra acessos não autorizados;
d) Cumprimento de obrigações legais: guarda de registros de acesso (Marco Civil da Internet), resposta a requisições judiciais e administrativas;
e) Melhoria dos serviços: análise de padrões de uso em dados anonimizados e agregados, aprimoramento dos modelos de IA;
f) Comunicações: envio de notificações operacionais, alertas de cota, atualizações dos Termos e comunicações relevantes ao serviço.
A Medwork360 NÃO utiliza dados pessoais para:
- Venda ou comercialização a terceiros;
- Publicidade ou marketing direcionado a terceiros;
- Decisões automatizadas com efeitos legais sem possibilidade de revisão humana;
- Transferência internacional sem as garantias previstas na LGPD (arts. 33-36).
4. Compartilhamento de Dados
4.1. Compartilhamento Necessário
A Medwork360 poderá compartilhar dados pessoais com:
| Destinatário | Finalidade | Garantias |
|---|---|---|
| Provedores de IA (Google/Anthropic) | Processamento de consultas | Contrato de processamento de dados, anonimização quando possível |
| WhatsApp/Meta (Evolution API) | Canal de comunicação | Política de privacidade do WhatsApp |
| Gateway de pagamento | Processamento de cobranças | Certificação PCI-DSS |
| Provedores de infraestrutura (cloud) | Hospedagem e armazenamento | Cláusulas contratuais padrão, criptografia |
| Autoridades judiciais/administrativas | Cumprimento de ordem judicial ou administrativa | Apenas mediante ordem válida |
4.2. Garantias de Compartilhamento
Todo compartilhamento de dados com terceiros é regido por:
a) Contratos de processamento de dados (Data Processing Agreements · DPAs) com cláusulas de confidencialidade, segurança e limitação de uso;
b) Avaliação prévia de impacto à proteção de dados (RIPD/DPIA), nos termos do art. 38 da LGPD, quando envolver dados sensíveis;
c) Registro das operações de tratamento, conforme art. 37 da LGPD.
5. Armazenamento e Segurança
5.1. Medidas de Segurança Técnica
A Medwork360 adota as seguintes medidas técnicas de segurança, em conformidade com o art. 46 da LGPD:
a) Criptografia: dados em trânsito (TLS 1.3) e em repouso (AES-256);
b) Controle de acesso: autenticação por Seat (número WhatsApp vinculado), controle de permissões por tenant;
c) Logs de auditoria: registro de todas as operações de acesso e tratamento;
d) Backup: cópias de segurança com criptografia e teste periódico de restauração;
e) Isolamento multi-tenant: segregação lógica de dados entre Empresas Assinantes;
f) Monitoramento contínuo: detecção de acessos anômalos e tentativas de intrusão.
5.2. Medidas Organizacionais
a) Política interna de segurança da informação;
b) Treinamento periódico de colaboradores sobre proteção de dados;
c) Controle de acesso baseado no princípio do menor privilégio;
d) Processo de resposta a incidentes de segurança;
e) Revisão periódica de fornecedores e operadores de dados.
5.3. Armazenamento
Os dados são armazenados em servidores localizados no Brasil ou em países que proporcionem grau de proteção de dados adequado, conforme avaliação da ANPD (art. 33, I, LGPD) ou mediante cláusulas contratuais padrão (art. 33, II, "b", LGPD).
6. Retenção de Dados
Os períodos de retenção de dados pessoais são definidos conforme a finalidade do tratamento:
| Categoria de Dados | Período de Retenção | Base Legal |
|---|---|---|
| Dados cadastrais | Vigência do contrato + 5 anos | Art. 16, I, LGPD c/c art. 206, § 5º, CC |
| Histórico de consultas (Essencial) | 30 dias | Limite contratual do plano |
| Histórico de consultas (Profissional) | 90 dias | Limite contratual do plano |
| Histórico de consultas (Empresarial) | Vigência do contrato | Limite contratual do plano |
| Registros de acesso (logs) | 6 meses | Art. 15, Marco Civil da Internet |
| Dados de faturamento | 5 anos | Art. 173, CTN c/c art. 195, CC |
| Dados sensíveis de saúde | Conforme Política de Retenção e Exclusão de Dados | Art. 15-16, LGPD |
Para detalhes completos sobre retenção e exclusão, consulte a Política de Retenção e Exclusão de Dados.
7. Direitos dos Titulares
Em conformidade com os arts. 17-22 da LGPD, os titulares de dados pessoais têm os seguintes direitos:
7.1. Direitos Garantidos
a) Confirmação da existência de tratamento (art. 18, I): confirmar se seus dados pessoais são objeto de tratamento;
b) Acesso aos dados (art. 18, II): obter cópia dos dados pessoais tratados;
c) Correção de dados (art. 18, III): solicitar correção de dados incompletos, inexatos ou desatualizados;
d) Anonimização, bloqueio ou eliminação (art. 18, IV): de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
e) Portabilidade (art. 18, V): obter a portabilidade dos dados a outro fornecedor de serviço ou produto;
f) Eliminação (art. 18, VI): solicitar a eliminação dos dados pessoais tratados com base no consentimento;
g) Informação sobre compartilhamento (art. 18, VII): obter informações sobre entidades públicas e privadas com as quais os dados foram compartilhados;
h) Informação sobre não consentimento (art. 18, VIII): ser informado sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
i) Revogação do consentimento (art. 18, IX): revogar o consentimento a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado;
j) Revisão de decisões automatizadas (art. 20): solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado.
7.2. Exercício dos Direitos
Os direitos poderão ser exercidos mediante:
a) E-mail: dpo@medwork360.msgy.ai
b) WhatsApp: comando /cleanup para erasure completo de dados
c) Canal dedicado: formulário disponível na plataforma web
O prazo para atendimento das solicitações é de até 15 (quinze) dias, conforme art. 19, II, da LGPD, podendo ser prorrogado mediante justificativa fundamentada.
7.3. Comando /cleanup · Erasure LGPD
A Plataforma disponibiliza o comando /cleanup via WhatsApp para exercício facilitado do direito de eliminação de dados (art. 18, VI, LGPD), que executa:
a) Exclusão do histórico completo de conversas;
b) Eliminação de arquivos de mídia associados;
c) Remoção de dados de análise comportamental;
d) Anonimização de registros de uso;
e) Confirmação por mensagem com prazo de 72 horas para efetivação completa.
8. Cookies e Tecnologias de Rastreamento
A Plataforma opera primariamente via WhatsApp, sem utilização de cookies. Eventual acesso ao painel de gestão web poderá utilizar:
a) Cookies essenciais: estritamente necessários para o funcionamento do painel;
b) Cookies de sessão: para manutenção da autenticação do usuário;
c) Cookies analíticos: para medição de uso do painel, com base no legítimo interesse (art. 7º, IX, LGPD) e possibilidade de opt-out.
9. Incidentes de Segurança
9.1. Notificação à ANPD
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Medwork360 comunicará à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, conforme art. 48 da LGPD, contendo:
a) Descrição da natureza dos dados pessoais afetados;
b) Informações sobre os titulares envolvidos;
c) Indicação das medidas técnicas e de segurança utilizadas;
d) Riscos relacionados ao incidente;
e) Medidas adotadas para reverter ou mitigar os efeitos do incidente;
f) Motivos da demora, caso a comunicação não tenha sido imediata.
9.2. Prazo de Comunicação
A comunicação à ANPD e aos titulares afetados será realizada em prazo razoável, conforme regulamentação da ANPD (Resolução CD/ANPD nº 15/2024), preferencialmente em até 3 (três) dias úteis da ciência do incidente.
10. Transferência Internacional de Dados
Caso dados pessoais sejam transferidos para provedores de serviços localizados no exterior (provedores de IA, infraestrutura cloud), a Medwork360 garantirá:
a) Que o país de destino proporcione grau de proteção adequado, conforme avaliação da ANPD (art. 33, I, LGPD); ou
b) A adoção de cláusulas contratuais padrão aprovadas pela ANPD (art. 33, II, "b", LGPD); ou
c) A obtenção de consentimento específico e em destaque para a transferência (art. 33, VIII, LGPD).
11. Relatório de Impacto à Proteção de Dados (RIPD)
A Medwork360 elabora e mantém atualizado Relatório de Impacto à Proteção de Dados Pessoais (RIPD), nos termos do art. 38 da LGPD, abrangendo:
a) Descrição dos processos de tratamento de dados sensíveis de saúde;
b) Avaliação de necessidade e proporcionalidade do tratamento;
c) Medidas, salvaguardas e mecanismos de mitigação de riscos;
d) Registro das operações de tratamento (art. 37, LGPD).
O RIPD está disponível para consulta pela ANPD quando solicitado.
12. Menores de Idade
A Plataforma NÃO é destinada a menores de 18 (dezoito) anos. Dados pessoais de menores de idade eventualmente contidos em consultas sobre saúde ocupacional ou processos trabalhistas serão tratados com as salvaguardas adicionais previstas no art. 14 da LGPD, incluindo a observância do melhor interesse do menor.
13. Alterações da Política
Eventuais alterações nesta Política serão comunicadas ao Contratante com antecedência mínima de 30 (trinta) dias, por e-mail e/ou notificação via WhatsApp. Alterações substanciais que impactem o tratamento de dados sensíveis exigirão novo consentimento específico.
14. Legislação Aplicável e Foro
Esta Política é regida pelas leis da República Federativa do Brasil, em especial:
- Lei 13.709/2018 · Lei Geral de Proteção de Dados Pessoais (LGPD)
- Lei 12.965/2014 · Marco Civil da Internet
- Decreto 8.771/2016 · Regulamentação do Marco Civil da Internet
- Lei 8.078/1990 · Código de Defesa do Consumidor
Fica eleito o foro da Comarca de São Paulo/SP para dirimir quaisquer controvérsias.
15. Contato
Para dúvidas, solicitações ou reclamações relativas a esta Política de Privacidade ou ao tratamento de dados pessoais:
- Encarregado de Proteção de Dados (DPO): dpo@medwork360.msgy.ai
- Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd