Política de Privacidade

1. Controlador dos Dados

Universo Ventures — CNPJ 54.196.467/0001-88
Encarregado de Proteção de Dados (DPO): Dimas Timmers
Contato: dimas@raras.org
Diretor Médico: Dr. Alexandre Kawassaki

2. Leis e Regulamentos Aplicáveis

O Raras está comprometido com o cumprimento das principais legislações de proteção de dados:

2.1 LGPD — Lei Geral de Proteção de Dados (Brasil)

Lei 13.709/2018 — legislação primária que rege o tratamento de dados pessoais no Brasil. Cumprimos integralmente os artigos 7 (bases legais), 11 (dados sensíveis de saúde), 14 (menores), 18 (direitos dos titulares) e 46 (segurança).

2.2 GDPR — Regulamento Geral de Proteção de Dados (UE/EEE/Portugal)

Regulamento (UE) 2016/679 — aplicável a utilizadores localizados na União Europeia, Espaço Económico Europeu e Portugal. Para utilizadores portugueses e europeus, aplicam-se as seguintes garantias adicionais:

• Base legal (Art. 6 e 9 GDPR) — consentimento explícito para dados de saúde (categoria especial)
• Direito ao apagamento (Art. 17) — "direito ao esquecimento" plenamente respeitado
• Portabilidade (Art. 20) — exportação de dados em formato estruturado (JSON/CSV)
• Minimização (Art. 5.1.c) — recolhemos apenas dados estritamente necessários
• Privacy by Design (Art. 25) — proteção integrada na conceção do sistema
• DPO designado (Art. 37) — contacto: dimas@raras.org
• CNPD (Portugal) — utilizadores em Portugal podem apresentar reclamação à Comissão Nacional de Proteção de Dados (cnpd.pt)
• Autoridade de Controlo (Art. 77) — utilizadores na UE podem reclamar junto da autoridade de proteção de dados do seu país

2.3 HIPAA — Health Insurance Portability and Accountability Act (EUA)

Embora o Raras não seja uma entidade coberta pelo HIPAA (covered entity), adotamos voluntariamente os padrões técnicos e administrativos da HIPAA como referência de melhores práticas para proteção de dados de saúde:

• Privacy Rule — dados de saúde protegidos (PHI) nunca compartilhados sem consentimento explícito
• Security Rule — salvaguardas administrativas, físicas e técnicas implementadas
• Criptografia AES-256-GCM — padrão exigido pelo HIPAA para dados em repouso
• Controle de acesso — autenticação obrigatória, RLS (Row Level Security), princípio do menor privilégio
• Trilha de auditoria — registro completo de acessos a dados de saúde
• Breach Notification — compromisso de notificação em até 72 horas em caso de incidente

2.4 Outras Regulamentações

• ECA Digital (Lei 15.007/2024) — proteção de menores no ambiente digital
• Marco Civil da Internet (Lei 12.965/2014) — privacidade e proteção de dados na internet
• CFM (Resoluções do Conselho Federal de Medicina) — tratamento ético de dados médicos
• ISO 27001 — seguimos as diretrizes da norma internacional de segurança da informação
• ISO 27799 — diretrizes específicas para segurança da informação em saúde

3. Dados que Coletamos

3.1 Dados pessoais

Nome, e-mail, estado, ano de nascimento — necessários para criar sua conta.

3.2 Dados sensíveis de saúde (Art. 11 LGPD / Art. 9 GDPR)

Condições médicas (doenças raras), sintomas (fenótipos HPO), tratamentos, medicamentos, exames, histórico médico, dados genéticos. Estes dados são coletados APENAS com seu consentimento explícito e são essenciais para o funcionamento da Carteira de Saúde.

3.3 Dados de uso

Interações na plataforma, comunidades participadas, buscas realizadas. Coletados com base em interesse legítimo (Art. 7, IX LGPD / Art. 6.1.f GDPR), sempre anonimizados quando possível.

3.4 Dados não coletados

O Raras NÃO coleta: geolocalização precisa, dados financeiros ou bancários, biometria facial, histórico de navegação fora da plataforma.

4. Base Legal para o Tratamento

5. Finalidade do Tratamento

• Manter sua Carteira de Saúde digital
• Conectar você a especialistas e associações relevantes
• Oferecer sugestões personalizadas via IA (Copilot)
• Identificar elegibilidade para ensaios clínicos
• Facilitar participação em comunidades de doenças raras
• Encontrar pacientes similares (dados anonimizados)

6. Compartilhamento de Dados

Seus dados NÃO são vendidos. Compartilhamos apenas com:

• Supabase Inc. — infraestrutura de banco de dados (região: us-east-1)
• Neo4j/Aura — grafo de conhecimento (dados pseudonimizados)
• Provedores de IA — para funcionalidades do Copilot (sem dados identificáveis)
• Especialistas/Associações — apenas dados que você escolhe compartilhar

7. Transferência Internacional de Dados

Alguns subprocessadores estão localizados fora do Brasil e da UE. As transferências internacionais são realizadas com as seguintes salvaguardas:

• Cláusulas Contratuais Padrão (SCCs) — conforme aprovadas pela Comissão Europeia (Art. 46.2.c GDPR)
• Art. 33, LGPD — transferências baseadas em consentimento específico ou cláusulas contratuais
• Adequação — priorizamos provedores em jurisdições com nível adequado de proteção
• Pseudonimização — dados transferidos são pseudonimizados quando tecnicamente viável

8. Seus Direitos

Você tem os seguintes direitos garantidos pela LGPD (Art. 18) e pelo GDPR (Arts. 15-22):

Para exercer seus direitos: dimas@raras.org
Prazo de resposta: até 15 dias (LGPD) / 30 dias (GDPR).

9. Retenção e Exclusão

• Dados pessoais e de saúde: excluídos em até 15 dias após solicitação
• Documentos médicos verificados: auto-excluídos em 30 dias após verificação
• Documentos rejeitados: retidos por 7 dias para recurso, depois purgados
• Posts em comunidades: anonimizados (autoria removida)
• Dados no grafo de conhecimento: removidos completamente
• Logs de auditoria médica: mantidos conforme obrigação legal (CFM/ANVISA)

10. Segurança Técnica e Organizacional

A segurança dos dados é revisada periodicamente. Adotamos os princípios de Privacy by Design (GDPR Art. 25) e Segurança por Padrão, garantindo que as medidas de proteção estejam incorporadas desde a concepção do sistema.

11. IA e Processamento Automatizado

O Copilot utiliza IA para analisar sintomas e sugerir condições relacionadas.

• Nenhuma decisão automatizada é tomada sem sua confirmação (Art. 22, GDPR / Art. 20, LGPD)
• Dados enviados à IA são despersonalizados (sem nome, e-mail ou identificadores diretos)
• O Copilot NÃO diagnostica, prescreve ou substitui consulta médica
• Você pode desativar o processamento por IA a qualquer momento nas configurações
• Direito à explicação: você pode solicitar esclarecimentos sobre como a IA processou seus dados

12. Cookies e Tecnologias de Rastreamento

• Essenciais — cookies de sessão e autenticação (sempre ativos)
• Funcionais — preferências de consentimento (localStorage)
• Analíticos — Google Analytics, Microsoft Clarity — apenas com consentimento

Você pode gerenciar suas preferências de cookies a qualquer momento no banner de consentimento.

13. Menores de Idade

Para pacientes menores de 18 anos (Brasil) ou 16 anos (Portugal/UE — Art. 8, GDPR), o cadastro deve ser feito pelo responsável legal, conforme Art. 14 da LGPD e ECA Digital (Lei 15.007/2024).

14. Incidentes de Segurança

Em caso de violação de dados pessoais:

• Notificação à ANPD e aos titulares afetados conforme Art. 48 da LGPD
• Notificação à autoridade de controlo da UE em até 72 horas (Art. 33, GDPR)
• Comunicação direta aos titulares quando houver risco elevado (Art. 34, GDPR)
• Registro de todos os incidentes com avaliação de impacto e medidas corretivas

15. Contato e Reclamações

16. Alterações a Esta Política

Esta política pode ser atualizada periodicamente. Alterações substanciais serão comunicadas por e-mail e/ou notificação na plataforma com antecedência mínima de 30 dias. A versão atualizada estará sempre disponível nesta página com a data da última modificação.