Política de Privacidade
Versão 1.0 · Vigência: 17/05/2026 · Em conformidade com a LGPD (Lei 13.709/2018)
1. Quem somos (Controlador)
Instituto Lúcida é o controlador dos seus dados pessoais,
responsável pelas decisões sobre como e por que os dados são tratados.
Contato: contato@institutolucida.com.br
2. Dados coletados e finalidades
| Dado | Finalidade | Base legal (LGPD Art. 7) | Retenção |
|---|---|---|---|
| Nome e e-mail do profissional | Identificação, acesso à conta, comunicação | Execução de contrato (Art. 7, V) | Enquanto conta ativa + 90 dias |
| IP (hash SHA-256 com salt) | Segurança, logs de acesso | Legítimo interesse / Marco Civil Art. 15 | 180 dias |
| User-Agent (truncado, 256 chars) | Compatibilidade e segurança | Legítimo interesse | 180 dias |
| Arquivos EEG (.edf) | Prestação do serviço de análise QEEG | Execução de contrato (Art. 7, V) | Enquanto conta ativa + 90 dias |
| Dados do paciente (nome criptografado, diagnóstico criptografado) | Prontuário clínico — gerenciado pelo profissional | Tutela da saúde / execução de contrato | Conforme exclusão pelo profissional |
| Transações de crédito | Faturamento e auditoria fiscal | Obrigação legal (Lei 9.430/96) | 5 anos (dados anonimizados) |
3. Como protegemos seus dados
- Dados sensíveis de pacientes (nome, diagnóstico, cidade) são criptografados com AES-256 (Fernet) em repouso.
- Endereços IP são pseudonimizados com hash SHA-256 + salt antes do armazenamento — o IP original nunca é persistido.
- Toda comunicação usa TLS 1.3 (HTTPS obrigatório).
- Infraestrutura Google Cloud Platform (região: us-central1) com criptografia em repouso.
- Acesso aos dados restrito por autenticação multifator para administradores.
4. Compartilhamento de dados
Não vendemos nem compartilhamos dados com terceiros para fins de marketing. Os dados podem ser acessados por:
- Google Cloud Platform — hospedagem e armazenamento (processador de dados, DPA vigente).
- Autoridades regulatórias — somente quando exigido por lei ou ordem judicial.
5. Transferência internacional
Os dados são armazenados em servidores Google Cloud nos Estados Unidos (us-central1). A transferência é realizada com base em cláusulas contratuais padrão (LGPD Art. 33, II) e o Google Cloud possui adequação reconhecida para dados de saúde (HIPAA BAA disponível).
6. Seus direitos (LGPD Art. 18)
- Acesso: solicitar cópia dos seus dados.
- Correção: corrigir dados incompletos ou desatualizados.
- Exclusão: excluir sua conta e dados em Configurações → Excluir conta.
- Portabilidade: receber seus dados em formato estruturado (CSV/JSON).
- Revogação do consentimento: a qualquer momento, sem prejuízo dos tratamentos anteriores.
Para exercer seus direitos, entre em contato: dpo@institutolucida.com.br
7. Encarregado de Dados (DPO)
Responsável pelo tratamento de dados pessoais: Instituto Lúcida
E-mail do DPO: dpo@institutolucida.com.br
Prazo de resposta: até 15 dias úteis (LGPD Art. 18, §4°).
8. Cookies
Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma (autenticação de sessão, CSRF). Nenhum cookie de rastreamento ou marketing é utilizado.
9. Alterações nesta política
Notificaremos usuários por e-mail com 15 dias de antecedência em caso de mudanças materiais. A versão e data de vigência estão no topo desta página.