LGPD

Canal do Titular de Dados

A Lei Geral de Proteção de Dados (Lei 13.709/2018) garante que você controle seus dados pessoais. Aqui estão seus direitos e como exercê-los.

Você já é paciente? O jeito mais rápido é usar o hub self-service em minha conta › privacidade. Lá você exporta seus dados em JSON na hora, revoga consentimentos e solicita eliminação, sem precisar esperar resposta por email.

Seus direitos (art. 18 LGPD)

Acesso e confirmação

Saber se tratamos seus dados e quais. Prazo: 15 dias.

Portabilidade

Receber seus dados em formato estruturado (JSON). Hub self-service em minha conta.

Eliminação / anonimização

Pedir remoção dos dados. Anonimizamos tudo que não for retenção legal obrigatória (prontuário 20 anos, Lei 13.787/2018; fiscal 5 anos, CTN).

Canal escrito (para quem não é paciente ou preferir email)

Encaminhe seu pedido para contato@veera.com.br com o assunto "LGPD: [tipo do pedido]". Respondemos em até 15 dias corridos. Para confirmarmos sua identidade vamos pedir um documento (RG/CNH). Você pode tarjar o que quiser, precisamos só do nome e foto.

Encarregado de Proteção de Dados (DPO): Felipe Moreira Lanna.

Medidas técnicas e administrativas

Resumo público das proteções aplicadas aos seus dados (LGPD art. 46 §1º + art. 50). Detalhes técnicos completos estão no Relatório de Impacto à Proteção de Dados (RIPD) disponível mediante requisição fundamentada.

· Cifragem em trânsito (HTTPS/TLS 1.3) e em repouso (Postgres AES-256) para dados sensíveis (CPF, dados clínicos, prescrição).

· Cifragem de campo (AES-256-GCM) + blind index (HMAC-SHA256) para buscas sem revelar conteúdo.

· Row-Level Security (Postgres RLS) isolando dados por titular em customers, orders, consents, exam_uploads, chat_messages, refunds, prescription_files.

· Trilha de auditoria imutável (triggers BEFORE DELETE/UPDATE) em audit_log, consents, fiscal_invoices, orders, refunds. Eventos jamais removíveis.

· MFA obrigatório (TOTP RFC 6238) para acesso administrativo, médico e secretária.

· Rate-limiting por ator + IP em pagamentos, chat, login e recovery; bloqueio de força bruta.

· Logs filtrados de PII antes de envio externo (Sentry beforeSend + Axiom redact). Stack traces de produção sem email, CPF ou conteúdo de mensagem.

· Plano de Resposta a Incidentes mantido internamente; comunicação à ANPD em até 3 dias úteis (Resolução CD/ANPD 15/2024).

· Dados retidos pelo prazo legal mínimo: prontuário 20 anos (CFM 2.299/2021), fiscal 5 anos (CTN art. 173), LGPD demais finalidades conforme art. 16.

Síntese RIPD ou auditoria de segurança independente: solicitar a contato@veera.com.br (assunto "LGPD: RIPD").

Documentos relacionados: Política de Privacidade · Termos de Uso · Política de Cookies.