Política de Privacidade

Última atualização: 24 de abril de 2026

Esta Política descreve como a Praxia trata seus dados pessoais em conformidade com a Lei n.º 13.709/2018 (LGPD).

1. Controlador dos Dados

Praxia Tecnologia em Saúde Ltda.

CNPJ: a ser registrado · Sede: São Paulo/SP

Encarregado de Proteção de Dados (DPO): privacidade@praxiaapp.com.br

2. Dados Coletados

Dados de cadastro: nome completo, endereço de e-mail, senha (armazenada com hash bcrypt), número de registro profissional (CRM/CRP, quando aplicável), CPF.

Dados de uso: endereço IP, data/hora de acesso, tipo de dispositivo, logs de ações na plataforma para fins de auditoria e segurança.

Dados de saúde (dados sensíveis — art. 11 LGPD): informações inseridas em prontuários eletrônicos, histórico de consultas, diagnósticos, prescrições medicamentosas e documentos clínicos. Estes dados são criptografados em repouso com AES-256-GCM, com chave derivada por paciente.

Dados financeiros: últimos 4 dígitos do cartão, histórico de pagamentos e faturas. Dados completos de cartão são processados exclusivamente por nossos provedores de pagamento (Stripe/Pagar.me), nunca armazenados pela Praxia.

3. Finalidade do Tratamento

  • Prestação dos serviços contratados (agendamento, videoconsulta, prontuário, receituário);
  • Cumprimento de obrigações legais e regulatórias (CFM, CFP, LGPD, legislação tributária);
  • Prevenção a fraudes, segurança da informação e auditoria de acessos;
  • Comunicações sobre o serviço: confirmações de consulta, avisos de segurança, atualizações de política;
  • Melhorias da Plataforma com base em dados agregados e anonimizados (nunca dados de saúde individualizados).

4. Base Legal

AtividadeBase legal (LGPD)
Conta e acesso à plataformaExecução de contrato (art. 7º, V)
Dados de saúde em prontuáriosConsentimento (art. 11, I) + tutela da saúde (art. 11, II, f)
Retenção de prontuários por 20 anosObrigação legal (art. 7º, II) — Res. CFM n.º 1.821/2007
Logs de auditoriaInteresse legítimo (art. 7º, IX) e obrigação legal
Marketing e novidades do produtoConsentimento (art. 7º, I) — opt-in explícito

5. Retenção de Dados

Prontuários e documentos clínicos: 20 anos a partir da data de criação, conforme Resolução CFM n.º 1.821/2007. Após este prazo, os dados são excluídos de forma segura.

Dados pessoais não médicos (nome, e-mail, etc.): mantidos até a revogação do consentimento ou encerramento da conta. Após o encerramento, são anonimizados em até 30 dias, exceto quando a retenção for exigida por lei.

Logs de auditoria: 5 anos, para fins de segurança e conformidade regulatória.

Dados financeiros: conforme exigência fiscal e contábil (mínimo 5 anos — Lei n.º 9.430/1996).

6. Direitos do Titular

Nos termos dos arts. 17 a 22 da LGPD, você tem os seguintes direitos sobre seus dados:

  • Acesso: confirmar a existência e obter cópia dos seus dados;
  • Correção: solicitar a atualização de dados incompletos, inexatos ou desatualizados;
  • Portabilidade: receber seus dados em formato estruturado e interoperável;
  • Exclusão: solicitar a eliminação de dados tratados com base no consentimento (observados prazos legais de retenção);
  • Revogação do consentimento: retirar o consentimento a qualquer momento, sem prejuízo dos tratamentos anteriores;
  • Oposição: opor-se ao tratamento realizado com base no interesse legítimo.

Para exercer seus direitos, acesse seu perfil ou envie solicitação para privacidade@praxiaapp.com.br. Responderemos em até 15 dias corridos.

7. Segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados:

  • Criptografia em repouso: AES-256-GCM com chave derivada por paciente via HKDF;
  • Criptografia em trânsito: TLS 1.3 em todas as comunicações;
  • Autenticação com JWT de curta duração + refresh token em cookie httpOnly;
  • Controle de acesso por papel (RBAC) com princípio do menor privilégio;
  • Logs de auditoria imutáveis de todos os acessos a dados sensíveis;
  • Testes periódicos de penetração e revisão de dependências.

Em caso de incidente de segurança que possa afetar seus dados, notificaremos a ANPD e os titulares afetados no prazo legal.

8. Cookies

Utilizamos os seguintes tipos de cookies:

  • Sessão (httpOnly, Secure): necessários para manter o Usuário autenticado durante a navegação. Expiram ao fechar o navegador ou após timeout de inatividade;
  • Autenticação persistente: refresh token armazenado em cookie httpOnly com validade de 30 dias, utilizado para renovar automaticamente o token de acesso;
  • Preferências: armazena configurações de idioma e interface localmente (localStorage).

Não utilizamos cookies de rastreamento publicitário ou de terceiros para fins de marketing.

9. Compartilhamento de Dados

Não vendemos nem cedemos seus dados a terceiros para fins comerciais. Compartilhamos dados apenas com:

  • Provedores de infraestrutura (hospedagem, armazenamento) sob acordos de confidencialidade e DPA compatível com LGPD;
  • Processadores de pagamento (Stripe, Pagar.me) para viabilizar cobranças;
  • Autoridades públicas, mediante ordem judicial ou obrigação legal.

10. Foro

Esta Política é regida pelas leis da República Federativa do Brasil. Para dirimir controvérsias, fica eleito o foro da Comarca de São Paulo/SP.

11. Alterações desta Política

Podemos atualizar esta Política periodicamente. Quando forem feitas alterações relevantes, notificaremos os Usuários por e-mail e/ou aviso destacado na Plataforma, com antecedência mínima de 15 dias. A data da última atualização é sempre indicada no topo desta página.