DOCUMENTO LEGAL

Política de Privacidade e Proteção de Dados

Última atualização: 30 de abril de 2026 · Versão 1.0

1. Quem somos e o que é este documento

A ImpactMed Telemedicina Integrada, CNPJ 44.608.285/0001-13, é a controladora dos dados pessoais tratados no âmbito da plataforma ImpactMed. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos seus dados pessoais, em cumprimento à Lei Geral de Proteção de Dados (Lei 13.709/2018 - LGPD) e demais normas aplicáveis.

O escopo desta política abrange todos os dados tratados por meio da plataforma de telemedicina ImpactMed, incluindo o aplicativo móvel, o portal web e o site institucional, acessíveis em impactmed.vercel.app.

Nosso Encarregado de Proteção de Dados (DPO) está disponível pelo e-mail privacidade@impactmed.com.br para responder quaisquer dúvidas sobre o tratamento de seus dados.

2. Quais dados coletamos

Coletamos apenas os dados necessários para a prestação dos nossos serviços, organizados nas seguintes categorias:

Dados de identificação: nome completo, CPF, data de nascimento, e-mail, telefone e, quando aplicável, documento de identidade.

Dados de saúde (dados sensíveis - LGPD art. 5, II): historico clinico, queixas e sintomas relatados, diagnosticos, prescricoes, laudos, resultados de exames e prontuario eletronico. Esses dados recebem proteção reforçada conforme descrito na seção 5 desta política.

Dados de acesso e uso: endereço IP, tipo de dispositivo, sistema operacional, navegador, páginas visitadas, horários de acesso e logs de atividade na plataforma.

Dados de pagamento: processamos pagamentos por meio de parceiros certificados PCI-DSS. Não armazenamos dados completos de cartao de credito em nossos servidores. Mantemos apenas as ultimas quatro digitos e a bandeira do cartao para identificação de cobranças.

Dados de localização: coletamos localização aproximada (nível de cidade) para direcionar o atendimento e cumprir obrigações regulatórias de registro médico.

3. Como usamos os dados

Utilizamos os dados coletados para as seguintes finalidades:

  • Prestação do servico de telemedicina: conectar pacientes a medicos credenciados, viabilizar consultas por videoconferencia, chat ou audio, conforme a modalidade contratada.
  • Geracao de prontuario eletronico: registrar o historico clinico do paciente em prontuario digital, acessivel ao paciente e ao medico responsavel pelo atendimento.
  • Emissao de receita digital: gerar prescricoes com validade juridica nacional, conforme a Lei 14.510/2022 e a Resolução CFM n. 2.314/2022.
  • Comunicacoes transacionais: enviar confirmações de agendamento, lembretes de consulta, notificações de resultado e comunicados relacionados diretamente ao servico contratado.
  • Relatorios para gestores institucionais (B2B): fornecer métricas de uso e indicadores de saúde corporativa em formato estritamente agregado e anonimizado, sem identificação individual de pacientes.
  • Melhoria da plataforma: analisar padrões de uso de forma anonimizada para aperfeiçoar funcionalidades, corrigir falhas e desenvolver novos recursos.

4. Base legal (LGPD)

Todo tratamento de dados realizado pela ImpactMed possui base legal expressamente prevista na LGPD:

  • Art. 7, II - Execucao de contrato: tratamento necessário para a execução do contrato de prestação de servicos de telemedicina entre o usuário e a ImpactMed ou a empresa parceira.
  • Art. 7, V - Execucao de politicas publicas: nos contratos firmados com municipios e entes públicos, o tratamento de dados pode ser necessário à execução de políticas públicas de saúde.
  • Art. 11, II, a - Tutela da saude: o tratamento de dados de saude (dados sensíveis) é realizado com fundamento na tutela da saúde, em procedimento realizado por profissionais de saúde habilitados ou por entidade sanitária.
  • Art. 7, IX - Legitimo interesse: para comunicações de melhoria da plataforma e analise anonimizada de uso, desde que não prevaleça sobre os interesses ou direitos fundamentais do titular.
  • Consentimento (art. 7, I e art. 11, I): solicitado expressamente quando a lei exigir ou quando o tratamento não se enquadrar nas demais hipoteses legais, com opção clara de revogação a qualquer tempo.

5. Dados de saude: proteção reforçada

Os dados de saude são classificados como dados sensíveis pela LGPD (art. 5, II) e recebem, por isso, camadas adicionais de proteção:

  • O acesso ao prontuario eletronico é restrito ao medico responsável pela consulta e ao proprio paciente titular dos dados.
  • Gestores institucionais (empresas, municipios, operadoras) acessam exclusivamente dados agregados e anonimizados. Nenhuma informação clinica individual é disponibilizada a esses perfis.
  • Não compartilhamos dados de saude com terceiros para fins comerciais, publicitarios ou de perfilamento.
  • Todo acesso ao prontuario é registrado em log de auditoria imutável, com identificação do profissional, data, hora e finalidade.
  • Os dados sensíveis são criptografados em repouso com AES-256 e em transito com TLS 1.3.

6. Compartilhamento de dados

Compartilhamos seus dados apenas nas hipoteses abaixo, sempre com a finalidade de viabilizar a prestação do servico ou cumprir obrigações legais:

  • Medicos credenciados: as informações necessárias para a realização da consulta são compartilhadas com o medico que prestará o atendimento. Esse compartilhamento é inerente e indispensável ao servico contratado.
  • Parceiros de infraestrutura tecnologica: provedores de nuvem, processadores de pagamento e fornecedores de servicos de comunicação que atuam como operadores de dados, sempre mediante contrato de sigilo e cláusulas de proteção de dados compatíveis com a LGPD.
  • Autoridades regulatorias e orgaos publicos: quando houver determinação legal, judicial ou administrativa, como requisições do CFM, da ANS, da ANVISA ou no contexto de vigilância epidemiologica.
  • Nunca vendemos dados: a ImpactMed não vende, aluga ou cede dados pessoais a terceiros para qualquer finalidade comercial ou de marketing.

7. Segurança e armazenamento

Adotamos medidas tecnicas e organizacionais adequadas para proteger seus dados contra acessos não autorizados, perdas, destruição ou divulgação indevida:

  • Criptografia em transito com protocolo TLS 1.3 e em repouso com AES-256 para todos os dados, especialmente os dados sensíveis de saude.
  • Servidores e infraestrutura de armazenamento localizados em territorio nacional, em conformidade com a LGPD.
  • Autenticação multifator (MFA) obrigatoria para todos os profissionais de saude que acessam prontuarios e informações clinicas.
  • Logs de auditoria de todos os acessos a prontuarios, com identificação do profissional, data, horario e ação realizada.
  • Controle de acesso baseado em perfis (RBAC), garantindo que cada usuário acesse somente os dados estritamente necessários às suas funções.
  • Retencao de dados clinicos: os dados do prontuario eletronico são mantidos pelo prazo mínimo de 20 anos a contar da ultima consulta, conforme a Resolução CFM n. 1.821/2007. Após esse prazo, os dados são eliminados com segurança ou anonimizados.

8. Seus direitos como titular (LGPD art. 18)

A LGPD garante a você, como titular dos dados, os seguintes direitos que podem ser exercidos a qualquer momento:

  • Confirmacao da existencia de tratamento: saber se tratamos seus dados pessoais.
  • Acesso aos dados: obter uma copia de todos os seus dados que tratamos.
  • Correcao: solicitar a correção de dados incompletos, inexatos ou desatualizados.
  • Anonimizacao, bloqueio ou eliminacao: solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade: receber seus dados em formato estruturado e interoperavel para transferência a outro fornecedor de servico.
  • Revogacao do consentimento: retirar o consentimento a qualquer momento, sem prejuizo da licitude do tratamento realizado antes da revogação.
  • Informacao sobre compartilhamento: saber com quais entidades públicas e privadas compartilhamos seus dados.
  • Oposicao ao tratamento: opor-se ao tratamento realizado com base em hipoteses distintas do consentimento, em caso de descumprimento da LGPD.

Para exercer qualquer um desses direitos, envie sua solicitação para privacidade@impactmed.com.br. Responderemos no prazo de 15 dias uteis a contar do recebimento.

9. Cookies e tecnologias de rastreamento

Utilizamos cookies e tecnologias similares para garantir o funcionamento da plataforma e melhorar sua experiência. Veja os tipos utilizados:

  • Cookies essenciais: necessários para o funcionamento da plataforma, como manutenção de sessão autenticada e preferências de segurança. Não podem ser desativados, pois comprometem o funcionamento do servico.
  • Cookies analiticos: utilizados para medir o desempenho da plataforma, identificar erros e compreender padrões de uso de forma anonimizada. Podem ser recusados sem prejuizo ao uso do servico.
  • Sem cookies de publicidade: não utilizamos cookies de publicidade, rastreamento comportamental ou remarketing.

Para gerenciar cookies, acesse as configurações do seu navegador. Consulte a documentação do seu navegador para instruções detalhadas sobre como bloquear ou excluir cookies.

10. Transferencia internacional de dados

A ImpactMed não realiza transferências internacionais de dados para países ou organizações internacionais que não ofereçam nível de proteção de dados equivalente ao previsto na LGPD.

Nossos parceiros de infraestrutura em nuvem operam em conformidade com a LGPD e, quando aplicável, com regulamentos internacionais reconhecidos de proteção de dados. Quaisquer transferências eventuais ocorrem somente com as salvaguardas exigidas pelo art. 33 da LGPD.

11. Criancas e adolescentes

A ImpactMed oferece servicos de pediatria e atendimentos que podem envolver menores de 18 anos. Para esses casos:

  • O cadastro e o tratamento de dados de menores de 18 anos exigem o consentimento expresso e verificavel do responsavel legal.
  • Os dados de crianças e adolescentes recebem nível de proteção elevado, conforme o art. 14 da LGPD.
  • Não coletamos dados de menores de idade para qualquer finalidade que não seja estritamente necessaria à prestação do servico de saude.
  • O responsavel legal pode exercer, em nome do menor, todos os direitos previstos no art. 18 da LGPD.

12. Alteracoes desta politica

Esta política pode ser atualizada periodicamente para refletir mudanças nos nossos servicos, na legislação aplicavel ou nas nossas praticas de privacidade.

  • Em caso de alterações materiais que afetem seus direitos ou a forma como tratamos seus dados sensíveis, notificaremos por e-mail com antecedência mínima de 15 dias.
  • A versão atualizada estará sempre disponível em impactmed.vercel.app/privacidade, com a data da ultima revisão indicada no topo deste documento.
  • A continuidade do uso da plataforma após as alterações implica a aceitação da política revisada.

13. Contato e DPO

Para exercer seus direitos, esclarecer duvidas ou registrar reclamações relacionadas ao tratamento dos seus dados pessoais, entre em contato com nosso Encarregado de Proteção de Dados (DPO):

  • E-mail do DPO: privacidade@impactmed.com.br
  • Prazo de resposta: 15 dias uteis a contar do recebimento da solicitação.
  • Autoridade Nacional de Proteção de Dados (ANPD): caso sua solicitação não seja atendida a contento pela ImpactMed, você tem o direito de peticionar à ANPD, acessível em www.gov.br/anpd.

A ImpactMed está comprometida com a transparência e com a proteção dos seus dados. Estamos à disposição para quaisquer duvidas.