Privacidade
Política de Privacidade
Versão v1.1
em vigor desde 20 de maio de 2026
Controladora principal: FELIPE MOREIRA LANNA DESENVOLVIMENTO DE SOFTWARE LTDA (nome fantasia LANNA IT · marca Veera)
CNPJ: 60.333.118/0001-63
Endereço: Rua Barra Grande, 145, Apt 201, bairro Indaiá, Belo Horizonte/MG, CEP 31270-080
CNAE principal: 62.02-3-00 (desenvolvimento e licenciamento de programas de computador customizáveis)
Encarregado (DPO): Felipe Moreira Lanna, contato@veera.com.br (assunto "LGPD")
Em conformidade com: LGPD (Lei 13.709/2018), Marco Civil da Internet (Lei 12.965/2014), CDC (Lei 8.078/1990), regulações CFM, ANVISA, CFN, CREF pertinentes.
1. Quem somos e como tratamos seus dados
A Veera é plataforma de software que conecta você a Médicos Parceiros (profissionais autônomos registrados no CRM) e Farmácias Licenciadas Indicadas (estabelecimentos licenciados pela ANVISA), para acompanhamento médico do emagrecimento. Esta política explica: quais dados tratamos, base legal, com quem compartilhamos (e com quem não), por quanto tempo guardamos, e seus direitos.
Os Termos de Uso são parte integrante desta política. Leia os dois juntos.
1.1 Princípios (Art. 6º LGPD)
Tratamos seus dados conforme os 10 princípios: finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação e responsabilização.
2. Papéis LGPD: controladores e operadores
2.1 Controladores independentes
| Controlador | Responsabilidade |
|---|---|
| Veera (LANNA IT) | Controladora dos dados de identificação, contato, comerciais e operacionais. Responsável pelo fluxo pré-consulta (quiz, cadastro, checkout) e pelo software usado durante o acompanhamento. |
| Médico Parceiro | Controlador dos dados clínicos (consulta, prontuário, receita) a partir do vínculo clínico. Guarda do prontuário por 20 anos (Lei 13.787/2018) e segredo médico (CFM). |
| Farmácia Licenciada | Controladora dos dados necessários à dispensação (identificação, receita retida, endereço, SNGPC). Relação de simples indicação, sem contrato formal com a Plataforma. |
2.2 Fluxo de dados por etapa
- Quiz de triagem: dados tratados apenas pela Veera, base Art. 11 I (consentimento específico).
- Contratação e pagamento: Veera controladora, base Art. 7º V (execução do contrato).
- Consulta e prescrição: ao aceitar consulta com Médico específico, passa a haver controle conjunto; base migra para Art. 11 II "f" (tutela da saúde).
- Dispensação do medicamento: Farmácia se torna controladora independente dos dados de dispensação.
2.3 Operadores (sob DPA)
| Operador | Função | Local |
|---|---|---|
| Railway | Hospedagem e banco de dados | EUA |
| Supabase | Autenticação e banco auxiliar | EUA |
| Cloudflare R2 | Armazenamento de arquivos e backups | Global (edge) |
| Asaas | Processamento de pagamento | Brasil |
| Resend | E-mails transacionais | EUA |
| Google (Gmail, OAuth) | Autenticação via Google | Global |
| Anthropic (Claude API) | Chat de suporte com Zero Data Retention ativo | EUA |
| Sentry, Axiom, Better Stack | Monitoramento técnico, logs | EUA |
| PostHog | Analytics de produto (anonimizado) | UE (Cloud EU) |
2.4 Transferência internacional (Art. 33 IX LGPD)
Parte dos dados é processada fora do Brasil (EUA e UE), sob cláusulas contratuais padrão e garantias específicas previstas nos DPAs, em alguns casos cumulativa com Art. 33 II (cooperação em temas de saúde). Nível de proteção adequado garantido em todas as transferências.
3. Dados que tratamos e finalidades
3.1 Categorias
- A. Identificação e contato: nome, data de nascimento, CPF (cifrado), e-mail, WhatsApp, endereço.
- B. Dados sensíveis de saúde (Art. 11 LGPD): altura, peso, IMC, condições médicas declaradas, medicamentos em uso, histórico de emagrecimento, estado gestacional, contraindicações, anotações do Médico, receitas, arquivos de exame.
- C. Comerciais e operacionais: histórico de compras, pagamentos, subscrições, reembolsos, notas fiscais (software e honorário médico pela Plataforma; medicamento direto farmácia↔paciente).
- D. Técnicos e de uso: IP (hash), device, browser, timestamps, audit log, cookies.
3.2 Bases legais por finalidade
| Finalidade | Dado | Base legal |
|---|---|---|
| Quiz de triagem | Sensíveis de saúde | Art. 11 I (consentimento específico) |
| Cadastro e contato para acompanhamento | Identificação | Art. 7º V (execução de contrato) |
| Pagamento e obrigações fiscais | ID + comerciais + CPF | Art. 7º V + 7º II (obrigação legal RFB) |
| Consulta médica e prontuário | Sensíveis de saúde | Art. 11 II "f" (tutela da saúde) |
| Dispensação do medicamento | ID + receita | Art. 11 II "f" + 7º II (RDC 973/2025, SNGPC) |
| Guarda de prontuário 20 anos | Sensíveis de saúde | Art. 7º II (Lei 13.787/2018) |
| E-mails transacionais | Identificação | Art. 7º V |
| Marketing opcional | Identificação | Art. 7º I (consentimento revogável) |
| Fraude e abuso | Técnicos | Art. 7º IX (interesse legítimo) |
| Ordem judicial | Conforme ordem | Art. 7º VI |
| Analytics agregado | Anonimizados | Art. 7º IX / Art. 12 (anonimizados fora LGPD) |
3.3 Quiz: base Art. 11 I (e não tutela da saúde)
O quiz coleta dados sensíveis de saúde antes do vínculo clínico com Médico Parceiro. A base legal é consentimento específico Art. 11 I, via checkbox obrigatório destacado. Não usamos Art. 11 II "f" (tutela da saúde) no quiz, porque esse dispositivo exige envolvimento direto de profissional de saúde no tratamento, o que ainda não ocorre. A partir do momento em que você aceita consulta com Médico específico, a base legal migra para Art. 11 II "f".
3.4 Cookies
- Necessários: sessão, segurança. Base: execução de contrato.
- Analíticos: PostHog agregado. Base: interesse legítimo, com opt-out em /minha-conta/privacidade.
- Marketing: somente com consentimento no banner.
4. Compartilhamento
4.1 Compartilhamento necessário
- Médico Parceiro: ao aceitar avaliação, recebe respostas do quiz, histórico relevante e acesso ao painel. Controlador independente desses dados, sob regras do CFM (segredo médico, Art. 102 Cód. Ética Médica).
- Farmácia indicada: quando há prescrição, recebe identificação, endereço, receita. Não recebe conteúdo integral do quiz nem anotações clínicas. Controladora independente.
- Operadores (§2.3): mínimo necessário por função.
4.2 Não compartilhamos
A Veera nunca:
- Vende, aluga ou licencia seus dados.
- Compartilha com anunciantes ou intermediários de marketing sem consentimento explícito.
- Usa dados sensíveis de saúde para precificação diferenciada, discriminação ou perfilamento comercial.
- Compartilha dados entre Pacientes.
4.3 Ordem legal
Compartilhamos mediante ordem judicial válida ou requisição legal de autoridade competente (ANPD, RFB, ANVISA, Polícia, MP), nos limites da norma. Quando possível, informamos você antes, exceto quando proibido por lei (segredo de justiça).
5. Retenção
| Categoria | Prazo | Base |
|---|---|---|
| Quiz anônimo/abandonado | 180 dias | Minimização + interesse legítimo |
| Cadastro | Vínculo + 5 anos | CDC + CC Art. 206 |
| Prontuário, consultas, receitas | 20 anos | Lei 13.787/2018 Art. 6º |
| Arquivos de exame | 2 anos após última atualização | Interesse legítimo + minimização |
| Orders, pagamentos, NFs | 5 anos | CTN Art. 174 + Lei 9.430/96 |
| Consents e audit log | 5 anos | LGPD Art. 38 (prova de cumprimento) |
| Mensagens chat Lia | 5 anos | Auditoria clínica + fiscal |
| Logs de acesso a aplicações | 6 meses | Marco Civil Art. 15 |
| Backups cifrados | Até 20 anos | Restauração + obrigação prontuário |
Ao fim de cada prazo, dados são anonimizados irreversivelmente(função anonymize_customer()) ou eliminados. Pedidos de eliminação antecipada: dados de cadastro anonimizados imediatamente; dados com prazo legal de guarda (prontuário, fiscal) permanecem pelo prazo (exceção do Art. 16 LGPD).
6. Seus direitos (Art. 18 LGPD)
- Confirmar a existência de tratamento.
- Acessar os dados que temos sobre você.
- Corrigir dados incompletos, inexatos ou desatualizados.
- Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade.
- Portar dados a outro fornecedor em formato estruturado (JSON).
- Eliminar dados tratados por consentimento (respeitadas exceções legais).
- Informar-se sobre compartilhamento.
- Revogar consentimento.
- Contestar tratamento com base em interesse legítimo.
- Opor-se a tratamento em descumprimento da LGPD.
6.1 Canais
Prioritário: /minha-conta/privacidade , hub self-service. Alternativo: contato@veera.com.br (assunto "LGPD: [direito exercido]").
6.2 Prazo de resposta
Confirmação e acesso: até 15 dias (Art. 19 § 1º II). Demais direitos: prazo razoável, tipicamente 15 dias. Sem custo.
6.3 Identificação do requerente
Podemos solicitar identificação extra (selfie com documento) quando houver dúvida razoável sobre identidade, proteção contra acesso por terceiros.
6.4 Reclamação à ANPD
Se seus direitos não forem atendidos, reclamação gov.br/anpd. Agradecemos a oportunidade de resolver internamente antes.
7. Segurança e incidentes
7.1 Medidas
- Criptografia em repouso: AES-256-GCM para PII e Art. 11.
- Criptografia em trânsito: TLS 1.2+ obrigatório.
- Backups cifrados com chave separada.
- Controle de acesso mínimo privilégio, autenticação forte, audit log.
- Revisão técnica em PRs + Dependabot.
- Dados reais não transitam em staging/dev.
- Monitoramento 24/7 (Sentry + Axiom + Better Stack).
7.2 Resposta a incidente (Art. 48 LGPD)
Em incidente que possa acarretar risco relevante, comunicamos ANPD e titulares afetados em até 72h da ciência, conforme docs/plan/ANPD-INCIDENT-PLAYBOOK.md. Comunicação inclui natureza dos dados, quantidade estimada, medidas técnicas, riscos e mitigação.
7.3 RIPD
Mantemos Relatório de Impacto (RIPD) atualizado. Síntese disponível mediante requisição fundamentada da ANPD ou titular interessado.
8. Disposições gerais
8.1 Dados de menores
Plataforma destinada a adultos maiores de 18 anos. Não coletamos conscientemente dados de menores. Coleta inadvertida é eliminada; reporte para contato@veera.com.br.
8.2 Alterações
Alterações materiais comunicadas com 30 dias de antecedência por e-mail. Cada versão arquivada com hash criptográfico; você pode consultar a versão aceita em /minha-conta/privacidade.
8.3 Interpretação
Dúvidas de interpretação são dirimidas em favor da melhor proteção do titular.
8.4 Contato
- DPO (Encarregado): Felipe Moreira Lanna
- E-mail: contato@veera.com.br (assunto "LGPD")
- WhatsApp: +55 48 9 9118-6033
- Endereço postal: Rua Barra Grande, 145, Apt 201, bairro Indaiá, Belo Horizonte/MG, CEP 31270-080