Política de Privacidade

Última atualização: 23/04/2026

Versão 2.0 — em vigor desde 23/04/2026. Em conformidade com a Lei nº 13.709/2018 (LGPD) e Marco Civil da Internet (Lei nº 12.965/2014).

1. Introdução

Esta Política de Privacidade ("Política") explica como a Átimo coleta, utiliza, compartilha, armazena e protege os dados pessoais tratados em razão do uso da nossa plataforma de gestão de escalas médicas e plantões.

Esta Política integra os Termos de Uso e aplica-se a todos os Usuários — Profissionais, Coordenadores e visitantes do site. Ao utilizar a Plataforma, você reconhece ter lido e compreendido esta Política.

2. Controlador dos Dados e Encarregado (DPO)

Controlador: Code Squirrel Tech, inscrita no CNPJ 44.032.708/0001-08, com sede em Rua Capitão Cavalcanti, 341 — Vila Mariana, São Paulo/SP, CEP 04017-000, mantenedora da plataforma Átimo Saúde.

O Controlador é a pessoa jurídica que toma as decisões sobre o tratamento dos dados pessoais (LGPD, art. 5º, VI).

Encarregado pelo Tratamento de Dados (DPO): Encarregado de Dados — Code Squirrel Tech
E-mail: privacidade@atimosaude.com.br
Canal direto para esclarecimentos e exercício dos direitos previstos na LGPD, nos termos do art. 41.

3. Dados Pessoais Coletados

Coletamos diretamente do Usuário, ou geramos durante o uso da Plataforma, as seguintes categorias de dados:

3.1. Dados cadastrais

Informados pelo Usuário no cadastro e nas configurações:

  • Nome completo;
  • E-mail;
  • CPF;
  • Telefone;
  • Endereço (CEP, rua, número, complemento, bairro, cidade, estado);
  • Senha (armazenada exclusivamente como hash bcrypt — nunca em texto puro);
  • Tipo de conta (Profissional ou Coordenador).

3.2. Dados profissionais (quando aplicável)

  • Registros de classe (CRM, COREN, CRO etc.) declarados pelo Usuário;
  • Especialidades e funções;
  • Vínculos com clínicas e setores.

3.3. Dados de pagamento (somente Coordenador)

  • Identificadores tokenizados retornados pelo gateway (Pagar.me): ID do cliente, ID do cartão, ID do pedido;
  • Bandeira e quatro últimos dígitos do cartão (apenas para exibição);
  • Status e histórico de cobranças.

A Átimo não armazena número completo do cartão, CVV ou data de validade. Esses dados são tratados exclusivamente pelo gateway certificado PCI-DSS.

3.4. Dados gerados pelo uso

  • Escalas, plantões, convites e respostas;
  • Mensagens, notificações e configurações;
  • Logs de acesso (IP, user-agent, data/hora, endpoint, sessão), conforme exigência do art. 15 do Marco Civil;
  • Eventos de auditoria (criação, alteração, exclusão de registros).

3.5. Dados de comunicação

  • Mensagens enviadas pelo formulário de contato;
  • E-mails trocados com o suporte e com o Encarregado.
Não coletamos dados de localização em tempo real, biometria, dados de saúde clínica do paciente, nem qualquer dado adicional não essencial à operação da Plataforma.

4. Finalidades e Bases Legais

Cada uso dos seus dados está vinculado a uma finalidade específica e a uma base legal prevista no art. 7º (ou art. 11 quando sensíveis) da LGPD:

Finalidade Dados utilizados Base legal (LGPD)
Criar e manter a conta; autenticar acessos Cadastrais (3.1) Execução de contrato (art. 7º, V)
Operar gestão de escalas, convites, vínculos e notificações Cadastrais (3.1), profissionais (3.2), de uso (3.4) Execução de contrato (art. 7º, V)
Processar pagamentos e renovações Cadastrais (3.1), pagamento (3.3) Execução de contrato (art. 7º, V) e cumprimento de obrigação legal/regulatória (art. 7º, II)
Enviar comunicações operacionais (boas-vindas, recibos, recuperação de senha, alertas) Cadastrais (3.1), comunicação (3.5) Execução de contrato (art. 7º, V)
Prevenir fraudes, abusos e ataques; proteger a segurança da Plataforma e dos demais Usuários Cadastrais (3.1), logs (3.4) Legítimo interesse (art. 7º, IX) e exercício regular de direitos (art. 7º, VI)
Cumprir guarda de logs de acesso Logs (3.4) Cumprimento de obrigação legal — Marco Civil art. 15 (LGPD art. 7º, II)
Atender solicitações de suporte e exercício de direitos LGPD Cadastrais (3.1), comunicação (3.5) Cumprimento de obrigação legal (art. 7º, II)
Atender ordens judiciais ou requisições de autoridades Conforme requisitado Cumprimento de obrigação legal (art. 7º, II)
Defesa em processos judiciais, administrativos ou arbitrais Conforme necessário Exercício regular de direitos (art. 7º, VI)
Melhorar a Plataforma com base em métricas agregadas Logs (3.4) — agregados/anonimizados Legítimo interesse (art. 7º, IX)
Enviar comunicações de marketing (novidades, dicas) E-mail (3.1) Consentimento (art. 7º, I) — opcional, com opt-out

Os dados são tratados estritamente para essas finalidades. Qualquer uso para finalidade diversa só ocorrerá mediante nova base legal específica ou novo consentimento.

5. Dados Profissionais e de Saúde

A Plataforma é uma ferramenta de organização administrativa. Não coletamos nem tratamos dados clínicos de pacientes (prontuários, exames, diagnósticos, prescrições etc.).

Tratamos dados de Profissionais da saúde (CRM, especialidade, escalas), que são dados pessoais comuns no contexto profissional. Eventuais dados sensíveis incidentalmente presentes em escalas (ex: ausências por motivo de saúde) seguirão o regime do art. 11 da LGPD, com base legal de execução de contrato com o titular ou cumprimento de obrigação legal pelo Coordenador empregador/contratante.

6. Com Quem Compartilhamos

A Átimo não vende dados pessoais. O compartilhamento ocorre apenas com operadores e parceiros essenciais à operação:

Parceiro Finalidade Categoria de dados
Pagar.me Pagamentos S.A. (gateway) Processar cobrança, tokenizar cartão, executar renovação Dados de pagamento e identificação do titular
Microsoft Azure (cloud) Hospedagem da aplicação e do banco de dados PostgreSQL Todos os dados armazenados pela Plataforma
Google LLC — Gmail/Workspace (SMTP) Envio de e-mails transacionais (boas-vindas, recibos, alertas, recuperação de senha) Nome e e-mail do destinatário e conteúdo do e-mail
Cloudflare / CDNs públicas Entrega de bibliotecas estáticas (Bootstrap, Font Awesome) IP e user-agent (registro técnico padrão)
Coordenadores e Profissionais vinculados Operação natural da escala (você só é exposto a quem tem vínculo contratual/operacional com você) Nome, contato profissional e dados de escala
Autoridades competentes Cumprimento de ordem judicial, requisição de autoridade ou investigação de incidente de segurança Conforme requisitado
Assessoria jurídica e contábil Defesa em processos e cumprimento de obrigações fiscais/contábeis Estritamente o necessário

Todos os operadores são contratualmente obrigados a tratar os dados conforme a LGPD e exclusivamente para a finalidade contratada.

7. Transferência Internacional

Parte da nossa infraestrutura — em especial Microsoft Azure e Google (Gmail/Workspace) — pode operar a partir de servidores localizados fora do Brasil. Tais transferências ocorrem com base nas hipóteses do art. 33 da LGPD:

  • Provedores que oferecem garantias adequadas mediante cláusulas contratuais padrão e certificações internacionais (ISO 27001, SOC 2, GDPR);
  • Necessidade para execução de contrato com o titular;
  • Cumprimento de obrigação legal/regulatória;
  • Exercício regular de direitos.

A Átimo prioriza regiões de hospedagem no Brasil ou em países com nível adequado de proteção sempre que tecnicamente viável.

8. Retenção e Eliminação

Mantemos seus dados apenas pelo prazo necessário às finalidades, observando obrigações legais:

Categoria Prazo Justificativa
Dados cadastrais ativos Enquanto a conta estiver ativa Execução do contrato
Dados após encerramento da conta Até 5 anos Defesa em processos judiciais (art. 27 do CDC, prescrição quinquenal de pretensões cíveis)
Logs de acesso 6 meses Marco Civil da Internet, art. 15
Registros de pagamento e fiscais 5 a 10 anos Legislação tributária e contábil (CTN art. 173)
Mensagens de suporte 2 anos após o encerramento do atendimento Histórico de relacionamento e defesa

Findos os prazos, os dados são eliminados ou anonimizados de forma irreversível, ressalvada a anonimização para fins estatísticos.

9. Medidas de Segurança

Adotamos medidas técnicas e organizacionais razoáveis para proteger seus dados (LGPD art. 46), incluindo:

  • Criptografia em trânsito (HTTPS/TLS 1.2+) com HSTS habilitado;
  • Senhas armazenadas como hash bcrypt (nunca texto puro);
  • Sessões com cookie HttpOnly + Secure + SameSite=Strict e regeneração de ID;
  • Controle de acesso por perfil e por escopo (Profissional, Coordenador, Administrador);
  • Prepared statements em todas as queries para prevenção de SQL Injection;
  • Escape de saída e Content Security Policy contra XSS;
  • Tokens CSRF em endpoints sensíveis;
  • Logs de auditoria e monitoramento de acessos;
  • Ambiente em nuvem com firewall, isolamento de rede e backups regulares;
  • Controle de acesso interno restrito por função (princípio do menor privilégio).
Apesar das medidas, nenhum sistema é 100% imune. Em caso de incidente, agimos conforme a cláusula 13.

10. Seus Direitos como Titular

Conforme o art. 18 da LGPD, você pode, a qualquer momento, requerer:

Direitos básicos

  • Confirmação da existência de tratamento
  • Acesso aos seus dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade

Direitos adicionais

  • Portabilidade dos dados a outro fornecedor
  • Eliminação dos dados tratados com base em consentimento (ressalvadas as hipóteses legais de retenção)
  • Informação sobre entidades públicas e privadas com quem compartilhamos seus dados
  • Revogação do consentimento, quando for a base legal
  • Oposição a tratamento realizado em desconformidade com a LGPD
Como exercer: envie sua solicitação para privacidade@atimosaude.com.br. Responderemos em até 15 dias, conforme art. 19, §1º da LGPD. Para garantir a segurança, podemos solicitar a confirmação da sua identidade antes de atender.

Você também tem o direito de peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD) em caso de discordância — gov.br/anpd.

11. Cookies e Tecnologias Similares

Cookies são pequenos arquivos armazenados no seu dispositivo. A Plataforma utiliza apenas cookies essenciais, indispensáveis para autenticar a sessão, proteger contra CSRF e manter o login ativo.

Essenciais

Cookie de sessão (PHPSESSID) e token CSRF. Sem eles não é possível fazer login nem usar a Plataforma com segurança. Por serem estritamente necessários à execução do contrato, não exigem consentimento prévio (LGPD art. 7º, V).

Funcionais

Quando você ajusta preferências da própria Plataforma (ex: visualização de calendário), elas são salvas localmente para manter sua experiência consistente entre sessões.

Não utilizamos cookies de marketing, rastreamento publicitário ou analytics de terceiros (Google Analytics, Meta Pixel, etc.). Caso isso venha a mudar, a presente Política será atualizada e o consentimento prévio será solicitado por meio de banner antes da ativação.

Você pode bloquear ou apagar cookies nas configurações do seu navegador. Bloquear os cookies essenciais impedirá o login e o uso da Plataforma.

12. Menores de Idade

A Plataforma é destinada exclusivamente a maiores de 18 anos. Não coletamos conscientemente dados de crianças ou adolescentes (LGPD, art. 14). Se identificarmos tratamento indevido, eliminaremos os dados imediatamente. Pais ou responsáveis que identifiquem cadastro irregular devem entrar em contato pelo privacidade@atimosaude.com.br.

13. Incidentes de Segurança

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, contendo:

  • Descrição da natureza do incidente;
  • Categorias de dados afetados;
  • Medidas técnicas e de segurança utilizadas;
  • Riscos relacionados;
  • Medidas adotadas para reverter ou mitigar os efeitos.

Conforme art. 48 da LGPD.

14. Atualizações desta Política

Esta Política poderá ser atualizada para refletir mudanças regulatórias, técnicas ou de negócio. A versão vigente sempre estará disponível nesta página, com a data de "última atualização" no topo. Alterações substanciais serão comunicadas por e-mail e/ou aviso na Plataforma com antecedência razoável.

15. Contato

Átimo Saúde

Code Squirrel Tech

CNPJ: 44.032.708/0001-08