Pular para o conteúdo

Política de Privacidade — MyHealth

Versão (policy_version): 1.4 Última atualização: 11 de junho de 2026 Vigência: a partir da data de publicação na App Store.


Em resumo (leia primeiro)

O MyHealth é um aplicativo de iPhone que ajuda você a organizar o seu próprio prontuário de saúde, contando com um assistente de inteligência artificial (IA) que lê os documentos e fotos que você enviar para extrair e preencher registros (que você confirma antes de salvar) e oferece uma leitura educativa de apoio. Você reúne os seus exames, condições, medicações, vacinas, consultas, medidas e documentos em um único lugar, e o app monta uma linha do tempo da sua saúde para preparar você para a conversa com o seu médico.

Os pontos mais importantes:

O texto completo abaixo detalha tudo isso e descreve os seus direitos legais.


1. Quem somos (o Controlador) e o Encarregado/DPO

O responsável pelo tratamento dos seus dados pessoais ("Controlador" na LGPD; "Controller" no GDPR) é:

BAS AI — BAS ARTIFICIAL INTELLIGENCE LTDA
CNPJ: 64.106.409/0001-70
Site: www.bas-ai.com
Endereço: Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil

Neste documento, "MyHealth", "nós" ou "o aplicativo" se referem a esse Controlador.

Encarregado pelo Tratamento de Dados Pessoais (DPO)

Para qualquer assunto de privacidade e proteção de dados, fale com o nosso Encarregado (LGPD Art. 41 / Data Protection Officer, GDPR Art. 37):

E-mail: privacy@bas-ai.com
Nome do Encarregado: Guilherme Kaschny Bastian
Endereço para correspondência: Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil

[A CONFIRMAR: se o MyHealth vier a oferecer o serviço de forma significativa a titulares na União Europeia/EEE sem estabelecimento na UE, será necessário nomear um Representante na UE (GDPR Art. 27) — e avaliar também a necessidade de Representante no Reino Unido — indicando o contato aqui.]


2. A quem esta Política se aplica

Esta Política se aplica a todas as pessoas que usam o aplicativo MyHealth, em qualquer país. O app é global e multi-idioma (português, inglês e espanhol).

O lançamento inicial tem foco no Brasil, mas, onde a lei do seu país for mais protetiva, ela prevalece. Tratamos a LGPD (Lei nº 13.709/2018, Brasil) e o GDPR (Regulamento (UE) 2016/679) como o nosso padrão mínimo em qualquer lugar.

Crianças e adolescentes: o cadastro próprio é destinado a maiores de 18 anos. Os dados de menores só podem ser incluídos por um responsável legal, que gere o perfil do dependente (ver Seção 11).


3. Quais dados coletamos

Coletamos apenas o necessário para o app funcionar (princípio da minimização). Abaixo, o que coletamos e onde isso fica.

3.1 Dados de identidade (PII) — cifrados em cofre

Os seguintes dados identificam você diretamente e ficam guardados em um cofre de identidade (identity_vault), criptografados campo a campo (XChaCha20-Poly1305), fisicamente apartados das tabelas clínicas. Eles só são decifrados por uma função segura, sob a sua própria identidade:

As tabelas clínicas não contêm esses dados — elas se referem a você apenas por um código de perfil (pseudônimo). No perfil pseudonimizado guardamos apenas o mínimo clínico-demográfico necessário para interpretar corretamente os dados (por exemplo, sexo biológico e data de nascimento/idade, importantes para faixas de referência de exames).

3.2 Dados de saúde / sensíveis (PHI)

São dados pessoais sensíveis (saúde) e recebem a proteção máxima. Coletamos, conforme você os registra ou importa:

Quando esses dados se referem a um menor sob sua guarda, aplicam-se as mesmas proteções (ver Seção 11).

3.3 Localidade e idioma (opcionais, em claro)

De forma opcional, para adaptar a experiência e preparar funcionalidades futuras (como recomendação de profissionais por cidade), podemos guardar país, estado/província, cidade e o idioma preferido. Não coletamos endereço completo, latitude/longitude nem localização precisa. Esses campos de localidade ficam em claro porque a granularidade "cidade" não é, por si, um dado sensível, e protegidos pelas mesmas regras de acesso da sua conta.

3.4 Dados de conta, sessão e segurança

3.5 Dados de uso de-identificados

Coletamos dados mínimos de estabilidade e diagnóstico (telemetria) — falhas, erros, desempenho — de forma de-identificada e sem nenhum conteúdo de saúde, para manter o app seguro e funcionando (ver Seção 13). Trata-se de tratamento interno: não usamos SDK de analytics nem rastreamento de terceiros. Por autolimitação de minimização, retemos essa telemetria por até cerca de 12 meses (ver Seções 12 e 13).

3.6 O que NÃO coletamos / NÃO fazemos


4. Finalidades e bases legais

Toda atividade de tratamento tem uma base legal. Como tratamos dados sensíveis de saúde, somos especialmente rigorosos: cada finalidade sensível é registrada no nosso registro de consentimento com a base legal e a versão da Política correspondentes.

FinalidadeO que éBase legal — LGPDBase legal — GDPR
Processamento clínico (clinical_processing)Organizar os seus documentos, estruturar valores, montar a linha do tempo e as tendências do prontuárioBase primária: Art. 7, II e Art. 11, II, "a" (consentimento específico e destacado para dado sensível). Base subsidiária (apenas para segurança, integridade, cumprimento de obrigação legal e operação da exclusão): Art. 7, II e Art. 10. Não invocamos a tutela da saúde (Art. 11, II, "f")Base primária: Art. 6(1)(a) + Art. 9(2)(a) (consentimento explícito para dado de saúde). Base subsidiária (segurança, integridade, obrigação legal e exclusão): Art. 6(1)(c) e (f). Não invocamos o Art. 9(2)(h): o Art. 9(3) exigiria um profissional de saúde sujeito a sigilo no fluxo, e não há médico no circuito
Processamento por IA (ai_processing)Enviar o conteúdo clínico pseudonimizado (sem identificadores diretos) para a IA (Anthropic) ler os documentos e fotos que você enviar e deles extrair e preencher registros (exames, medicações, vacinas, medidas, profissionais — que você confirma antes de salvar), estruturar o prontuário e gerar uma leitura educativa de apoio (assistente, nunca diagnóstica — ver Seção 6)Art. 7, I e Art. 11, I (consentimento específico)Art. 6(1)(a) + Art. 9(2)(a)
Transferência internacional (intl_transfer)Quando, e somente quando, necessário, processar dados sem identificação fora do Brasil (ver Seção 9)Art. 7, I; Art. 11, I; Art. 33 (transferência internacional)Art. 6(1)(a) + Art. 9(2)(a); Art. 44–49
Compartilhamento familiar (family_sharing)Você autoriza um familiar a ler o seu prontuário, de forma revogável (ver Seção 7)Art. 7, I e Art. 11, I (consentimento)Art. 6(1)(a) + Art. 9(2)(a)
Dados de menores sob guardaOrganizar o prontuário de um dependenteArt. 14 (melhor interesse da criança/adolescente; consentimento de ao menos um dos pais ou do responsável legal)Art. 8 + Art. 9(2)(a), exercido pelo responsável legal
Atestação de idade (age_attestation)Você declara ter 18+; o cadastro de menor de 18 é bloqueado e a atestação é registrada de forma imutável, com data/hora do servidorArt. 14 + Lei 15.211/2025 (ECA Digital)Art. 8
Segurança, prevenção a fraude e auditoriaLogs de acesso, defesa contra ataques, cumprimento de obrigações legais de registroArt. 7, II (cumprimento de obrigação legal) e Art. 10 (legítimo interesse, limitado)Art. 6(1)(c) (obrigação legal) e Art. 6(1)(f) (legítimo interesse)
Telemetria técnica / estabilidadeDiagnóstico de falhas, sem dado de saúde, em tratamento interno (sem SDK de analytics ou rastreamento de terceiros)Art. 7, IX (legítimo interesse), com minimização autolimitada (Art. 6, III)Art. 6(1)(f) (legítimo interesse)
Conta, assinatura e créditosManter a conta e processar assinaturas e créditos de IA (em regra, 1 crédito = 1 página). O consumo de IA de um menor é cobrado do responsávelArt. 7, VArt. 6(1)(b)
Pesquisa pseudonimizada (opt-in na exclusão)Coorte de pesquisa pseudonimizada (apenas sexo, faixa etária e ano, em coortes aleatórias, sem profile_id, sem texto livre e sem data exata) que você pode autorizar no momento de apagar a conta (ver Seção 12)Art. 7, II e Art. 11, II, "a" (consentimento específico); dado pseudonimizado, não dado anônimo irreversívelArt. 6(1)(a) + Art. 9(2)(a) (consentimento explícito); cf. Art. 9(2)(j) (fins de pesquisa)

Base legal do núcleo clínico — esclarecimento. A base primária do tratamento do seu prontuário é o seu consentimento específico e destacado (LGPD Art. 11, II, "a" / GDPR Art. 9(2)(a)), coerente com o posicionamento de "prontuário soberano": você autoriza, e pode revogar. Reservamos uma base subsidiária apenas para o que o consentimento não cobre — segurança da informação, integridade dos dados, cumprimento de obrigação legal e a própria operação de exclusão da conta —, apoiada na LGPD Art. 7, II e Art. 10 e no GDPR Art. 6(1)(c) e (f). Não adotamos a hipótese de tutela da saúde (LGPD Art. 11, II, "f" / GDPR Art. 9(2)(h)): no GDPR, o Art. 9(3) condiciona essa hipótese à presença, no fluxo, de um profissional de saúde sujeito a dever de sigilo, e não há médico no circuito do MyHealth.


5. Consentimento e como revogar

Quando você autoriza uma finalidade sensível, esse consentimento é:

O nosso sistema só executa uma operação se o consentimento correspondente estiver ativo. Por exemplo: se você não autorizar o "Processamento por IA", o app não envia nada para a IA — essa verificação acontece automaticamente, no servidor (função has_active_consent), a cada operação.

Como funciona o registro: cada autorização ou revogação é gravada como um evento imutável no nosso registro de consentimento (consent_events), com a finalidade, a base legal, o idioma e a versão da Política vigente. Revogar não apaga o histórico do consentimento — registra um novo evento que interrompe o tratamento futuro daquela finalidade.

A revogação não torna ilícito o tratamento já realizado licitamente, mas interrompe o uso futuro daquela finalidade. Você não perde o acesso ao prontuário que já havia organizado.


6. Como a Inteligência Artificial (IA) trata os seus dados

A IA é peça central do MyHealth (assistente e extração de dados de documentos), então explicamos isso com transparência total. O nosso fornecedor de IA é a Anthropic (modelo Claude), que atua como subprocessador.

6.1 A IA recebe o conteúdo clínico do seu prontuário, sem os seus identificadores diretos

6.2 NÃO usamos seus dados para treinar IA

6.3 Salvaguardas técnicas


7. Compartilhamento familiar (opt-in, somente leitura, revogável)

O MyHealth permite que você compartilhe o seu prontuário com um familiar, de forma controlada:

O familiar também precisa ser usuário do app. Esse compartilhamento é entre você e a pessoa que você escolher — não é um compartilhamento com terceiros nem com fins comerciais.


8. Apple Health (HealthKit)

O MyHealth permite importar medidas do Apple Health (HealthKit) — peso, altura, composição corporal, glicemia, pressão, frequência cardíaca, saturação e temperatura — para o seu prontuário.

Conexão com pulseiras e anéis inteligentes (Oura e WHOOP)

Além do Apple Saúde, você pode, de forma opcional e revogável, conectar vestíveis de terceiros, com consentimento específico por provedor (wearable_sync_oura, wearable_sync_whoop):

A autorização usa OAuth: os tokens de acesso ficam cifrados (AES-256-GCM) no nosso servidor e não são acessíveis pelo aplicativo. A Oura opera na Finlândia (Espaço Econômico Europeu) e a WHOOP nos Estados Unidos; conectar esses serviços implica transferência internacional de entrada, sob as salvaguardas da Seção 9.1. A Oura e a WHOOP atuam como fontes de dados (controladoras independentes das próprias plataformas), não como nossos subprocessadores, e não recebem dados do seu prontuário.

Ao desconectar um vestível:

Os dados importados de vestíveis e do Apple Saúde são sempre gravados no seu próprio prontuário (titular da conta) e nunca no perfil de um dependente, ainda que você esteja visualizando o perfil de um menor.


9. Subprocessadores e transferências internacionais

Nós não vendemos os seus dados. Para operar o serviço, usamos um conjunto mínimo de fornecedores ("subprocessadores"/"operadores"), cada um sob contrato de tratamento de dados (DPA — assinado ou a firmar antes do lançamento, conforme indicado na coluna "Salvaguardas" de cada linha), confidencialidade e segurança, tratando dados apenas sob as nossas instruções.

SubprocessadorO que fazQue dado trataOndeSalvaguardas
SupabaseBanco de dados (PostgreSQL), autenticação, armazenamento de documentos e funções de bordaDados clínicos pseudonimizados; PII cifrada no cofre; documentos cifrados; metadados de contaSão Paulo, Brasil (sa-east-1)DPA «a firmar»; criptografia em trânsito (TLS) e em repouso; criptografia adicional de campo sob a nossa gestão de chaves; isolamento por RLS; SCC para eventuais transferências fora do EEE
Anthropic, PBCModelo de IA (Claude) para análise do prontuário, extração de documentos e chatConteúdo clínico pseudonimizado (valores, datas, anotações, hábitos de vida, ciclo, agregados de vestível) e, na análise de documento, a própria imagem/PDF — de forma transienteEstados UnidosDPA «a firmar»; não-treinamento contratual; retenção limitada (~30 dias); SCC; TLS
ResendEnvio de e-mails transacionais (código de acesso/OTP e avisos da conta)Apenas o seu e-mail e o conteúdo do e-mail; sem conteúdo de saúdeEUA / globalDPA «a firmar»; SCC; TLS
Apple (App Store / In-App Purchase / HealthKit / push)Distribuição, HealthKit, notificações e processamento de pagamentos de assinaturas e créditos como merchant of recordDados de compra/recibo; não recebemos dados do seu cartão; sem conteúdo de saúde no fluxo de pagamentoEUA / globalTermos da App Store; Diretriz 5.1.3

A Oura e a WHOOP não figuram nesta tabela: são fontes de dados que você conecta (Seção 8), atuando como controladoras independentes das próprias plataformas, e não como nossos subprocessadores. [A CONFIRMAR: firmar os DPAs e as cláusulas contratuais-padrão (SCC) acima antes do lançamento, e manter uma página pública de subprocessadores atualizada em «DECISÃO DO FUNDADOR: URL pública de subprocessadores». Avisaremos antes de adicionar um novo subprocessador relevante.]

9.1 Transferências internacionais

O seu prontuário fica armazenado no Brasil (São Paulo) — essa é a regra. Transferências para fora do Brasil ocorrem de forma limitada e com a sua autorização (intl_transfer): no processamento por IA (Anthropic, Estados Unidos — Seção 6), no qual enviamos o conteúdo clínico sem os seus identificadores diretos (mas, na extração de documento, o próprio arquivo, que pode conter nome ou CPF impressos no laudo); na conexão de vestíveis (Oura, na Finlândia/EEE; WHOOP, nos Estados Unidos — Seção 8); e na distribuição pela Apple (Estados Unidos). Quando houver transferência internacional, adotamos as salvaguardas exigidas:

Também podemos divulgar dados quando exigido por lei (ordem judicial ou autoridade competente), sempre limitado ao estritamente necessário e, quando legalmente permitido, notificando você.


10. Segurança da informação

A confidencialidade dos seus dados de saúde é o nosso controle número um. As principais medidas:

Buscamos alinhamento às melhores práticas internacionais de segurança da informação em saúde. Nenhum sistema é 100% imune; por isso mantemos planos de resposta a incidentes (ver Seção 14).


11. Dados de crianças e adolescentes (menores)

A proteção de crianças e adolescentes observa o Estatuto da Criança e do Adolescente (Lei 8.069/1990), a Lei 15.211/2025 (ECA Digital), o Art. 14 da LGPD e o Art. 8 do GDPR (EEE).

Adotamos, em qualquer país, o limite único de 18 anos para conta própria. Esse requisito refere-se à titularidade da conta e não se confunde com a idade de consentimento digital autônomo do GDPR (Art. 8, entre 13 e 16 anos conforme o país). Abaixo de 18, o tratamento de dados só ocorre por meio de um perfil gerenciado por um responsável adulto.

Usuários nos Estados Unidos (COPPA): o MyHealth não oferece contas a menores nem coleta dados diretamente de crianças. Qualquer dado de menor é inserido e controlado por um adulto responsável, que exerce o consentimento parental verificável.


12. Retenção e descarte

Adotamos o princípio da minimização: guardamos cada categoria de dado apenas pelo tempo necessário à sua finalidade ou exigido por lei.

12.1 Prazos de retenção

CategoriaPrazoPor quê
Prontuário e cofre de identidade (dados clínicos + PII)Enquanto a sua conta existir; removidos na exclusão da conta (ver 12.2)Você mantém o prontuário organizado enquanto quiser
Registros de acesso / auditoria (access_log — data/hora, IP, ação; nunca conteúdo clínico)Mínimo de 6 mesesGuarda mínima de registros de acesso (Marco Civil da Internet, Lei 12.965/2014, Art. 15). É um piso de guarda; o log de acesso (data/hora + IP) não é dado de saúde e não justifica reter o prontuário
Dados de faturamento e fiscais (recibos, movimentação de créditos/assinatura)5 anosPrazos tributários (CTN, Arts. 173 e 174)
Telemetria técnica de-identificadaAté cerca de 12 mesesPolítica interna de minimização (LGPD Art. 6, III) — não é prazo legal
Registros de consentimento (consent_events)Mantidos como histórico imutávelComprovar a licitude e as autorizações concedidas/revogadas (accountability)

Lacuna que assumimos com transparência: ainda não há expurgo automático por inatividade (uma conta sem uso por longo período não é apagada sozinha). Isso é uma lacuna a definir — quando formos adotar uma política de inatividade, atualizaremos esta Seção e a versão da Política. Não descrevemos aqui, como rotina vigente, algo que o app ainda não faz.

12.2 Exclusão definitiva da conta (direito ao apagamento — LGPD Art. 18, VI / GDPR Art. 17)

A exclusão está disponível diretamente no app, em Perfil › Privacidade › Apagar minha conta (exigência da Apple). Ao confirmar, executamos a remoção permanente em cascata — uma operação imediata — do seu cofre de identidade (identity_vault) e de todos os dados clínicos (exames, condições, medicações, vacinas, documentos, medidas, histórico, consultas, conversas com a IA, dados de vestíveis), revogamos as conexões de vestíveis e encerramos a sua conta de acesso.

As cópias de segurança (backups) podem, por um período, ainda conter dados já excluídos: elas são sobrescritas no ciclo normal de retenção do nosso operador, após o que deixam de existir. (Não alegamos "destruição de chaves" nem expurgo instantâneo do backup.)

Recibo de exclusão (accountability — LGPD Art. 6º, X): podemos confirmar a conclusão da exclusão mediante solicitação ao DPO. Não há emissão de recibo automático, e a exclusão não é total — permanecem os registros mínimos descritos abaixo, por imposição legal.

O que permanece após a exclusão, e por quê:

12.3 Falecimento do titular

A LGPD e o GDPR protegem pessoas vivas e, em regra, não alcançam o falecido (ANPD, Nota Técnica nº 3/2023; GDPR, Considerando 27). Ainda assim, o prontuário de uma pessoa falecida envolve direitos da personalidade que sobrevivem à morte (Código Civil, Art. 12, parágrafo único) e questões de sucessão.


13. Cookies, telemetria e rastreamento

O MyHealth é um aplicativo nativo de iPhone (não um site), então não usa cookies de navegação no sentido tradicional.

[A CONFIRMAR: se for adotada qualquer ferramenta de analytics ou relatório de falhas de terceiros, listá-la na Seção 9 e revisar os rótulos da App Store e a necessidade (ou não) de App Tracking Transparency (ATT).]


14. Incidentes de segurança e notificação

Mantemos planos de resposta a incidentes. Em caso de incidente de segurança que possa gerar risco relevante a você:


15. Os seus direitos

Você é o titular dos seus dados e tem direitos garantidos pela LGPD (Art. 18) e pelo GDPR (Capítulo III):

DireitoO que significaComo exercer no MyHealth
Acesso / confirmaçãoSaber quais dados temos e obter uma cópia (LGPD Art. 18, I–II; GDPR Art. 15)Ver o prontuário completo no app; exportar
CorreçãoCorrigir dados incompletos ou errados (LGPD Art. 18, III; GDPR Art. 16)Você revisa e edita os dados diretamente
Exclusão / esquecimentoApagar os seus dados e a conta (LGPD Art. 18, VI; GDPR Art. 17)Excluir conta / dados no app (ver Seção 12)
PortabilidadeLevar os seus dados em formato estruturado e interoperável (LGPD Art. 18, V; GDPR Art. 20)Exportação em FHIR R4 e em PDF
Revogação do consentimentoRetirar uma autorização (LGPD Art. 8, §5; GDPR Art. 7(3))Desligar uma finalidade (ex.: "Processamento por IA") nas configurações (ver Seção 5)
Informação sobre compartilhamentoSaber com quem compartilhamos (LGPD Art. 18, VII)Esta Política (Seção 9) e a página de subprocessadores
Oposição / limitaçãoOpor-se a um tratamento ou pedir sua limitação (LGPD Art. 18, §2; GDPR Art. 18 e 21)Contate o DPO
Não submissão a decisão automatizada / revisãoA IA não decide nada sozinha (LGPD Art. 20; GDPR Art. 22)Você sempre revisa e confirma (ver Seção 6.3)
Ver o histórico de acessosTransparência sobre quem acessou o quêO seu log de acessos fica disponível
Petição à autoridade (ANPD)Peticionar contra o controlador junto à autoridade nacional (LGPD Art. 18, §1)Contate-nos (Seção 1) e/ou a ANPD — ver "Reclamações" abaixo

Como exercer: muitos direitos são exercidos diretamente no app (revisar, exportar, excluir, revogar consentimento). Para os demais, ou se algo não funcionar, escreva ao nosso DPO (Seção 1). Respondemos no prazo legal (em regra, até 15 dias para confirmação de existência ou acesso, conforme a LGPD; até 30 dias sob o GDPR, prorrogáveis quando a lei permitir).

Reclamações: se você entender que tratamos os seus dados de forma inadequada, pode reclamar à autoridade competente — no Brasil, a ANPD (https://www.gov.br/anpd); na Europa, a autoridade de proteção de dados do seu país. Pedimos, porém, que fale antes com o nosso DPO — queremos resolver diretamente com você.


16. O MyHealth NÃO é um serviço médico


17. Alterações nesta Política e versionamento

Podemos atualizar esta Política para refletir mudanças no app, em fornecedores ou na lei. A Política tem versão (policy_version):

O histórico de versões fica disponível em «DECISÃO DO FUNDADOR: URL do histórico/changelog».


18. Fale conosco

Dúvidas, pedidos ou reclamações sobre os seus dados:


MyHealth — o seu prontuário, soberano e privado. Esta Política foi redigida em português como base para tradução aos demais idiomas do app (no mínimo PT/EN/ES). Em caso de divergência entre versões, prevalece o português.