Política de Privacidade — MyHealth
Versão (policy_version): 1.9 Última atualização: 21 de junho de 2026 Vigência: a partir da data de publicação na App Store.
Em resumo (leia primeiro)
O MyHealth é um aplicativo de iPhone que ajuda você a organizar o seu próprio prontuário de saúde, contando com um assistente de inteligência artificial (IA) que lê os documentos e fotos que você enviar para extrair e preencher registros (que você confirma antes de salvar) e oferece uma leitura educativa de apoio. Você reúne os seus exames, condições, medicações, vacinas, consultas, medidas e documentos em um único lugar, e o app monta uma linha do tempo da sua saúde para preparar você para a conversa com o seu médico.
Os pontos mais importantes:
- Quem você é fica separado dos seus dados de saúde. O seu nome, e-mail, telefone e documento (como o CPF) ficam guardados em um cofre criptografado (criptografia XChaCha20-Poly1305) e só são decifrados sob a sua própria identidade, por uma função segura. As tabelas clínicas se referem a você apenas por um código (pseudônimo).
- Os seus dados ficam no Brasil. O banco de dados está hospedado na região de São Paulo (
sa-east-1). - A IA recebe o conteúdo clínico do seu prontuário — sem os seus identificadores diretos — e somente se você consentir. Pode incluir exames, medicações, sintomas, sono e métricas de vestíveis, eventos do seu aparelho, hábitos de vida que você declara (fumo, álcool, atividade, sono) e registros de ciclo menstrual, além do seu sexo e idade. Nome, CPF, e-mail e telefone ficam cifrados num cofre à parte e não vão à IA. Os seus dados não treinam modelos. Esse processamento envolve transferência internacional para os Estados Unidos (Anthropic). Veja as Seções 6 e 9.
- A conta é para maiores de 18 anos. Menores só entram como perfil gerenciado por um responsável adulto (Seção 11).
- As funções de IA são pagas e consomem a sua cota de uso (páginas analisadas e prompts do AI Chat). Há uma cortesia inicial gratuita, uma assinatura que renova a cota a cada ciclo e pacotes avulsos que não expiram. As compras são processadas pela Apple (App Store); o uso de IA de um menor é cobrado do responsável. Veja a Seção 9 e os Termos.
- Você manda. Pode acessar, corrigir, exportar (em formato padrão de saúde FHIR R4 e em PDF), revogar consentimentos e apagar a sua conta quando quiser.
- O MyHealth NÃO é um médico e não é dispositivo médico. Ele não faz diagnóstico e não prescreve. As leituras e as respostas do assistente de IA são educativas — você deve sempre confirmar com o seu médico. Para te preparar melhor para a consulta, a leitura educativa pode explicar o significado e o contexto dos seus achados (o mecanismo, o que a prática clínica costuma investigar de modo geral e o que vale levar ao especialista), mas continua sendo informação educativa: nunca define o seu diagnóstico, a sua conduta, a sua investigação ou o seu tratamento — isso é decisão do seu médico.
- Lembrete de vacinas (perfis de menores). Para um perfil de dependente menor de idade, a leitura educativa pode, com base no calendário de imunização recomendado (referência da OMS / do seu país) e nas vacinas que você registrou, sinalizar de forma informativa que alguma vacina pode estar pendente. É apenas um lembrete educativo ao responsável: a ausência de registro no app NÃO significa que a vacina não foi aplicada (pode ter sido dada em outro lugar), não é cobrança nem recomendação individual de imunização, e deve ser confirmada na caderneta, com o pediatra ou no serviço de imunização.
O texto completo abaixo detalha tudo isso e descreve os seus direitos legais.
1. Quem somos (o Controlador) e o Encarregado/DPO
O responsável pelo tratamento dos seus dados pessoais ("Controlador" na LGPD; "Controller" no GDPR) é:
BAS AI — BAS ARTIFICIAL INTELLIGENCE LTDA
CNPJ: 64.106.409/0001-70
Site: www.bas-ai.com
Endereço: Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil
Neste documento, "MyHealth", "nós" ou "o aplicativo" se referem a esse Controlador.
Encarregado pelo Tratamento de Dados Pessoais (DPO)
Para qualquer assunto de privacidade e proteção de dados, fale com o nosso Encarregado (LGPD Art. 41 / Data Protection Officer, GDPR Art. 37):
E-mail: privacy@bas-ai.com
Nome do Encarregado: Guilherme Kaschny Bastian
Endereço para correspondência: Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil
Hoje o MyHealth não conta com representante na União Europeia; se o serviço passar a ser oferecido de forma significativa a titulares no EEE/Reino Unido, nomearemos um representante (GDPR Art. 27) e o indicaremos aqui.
2. A quem esta Política se aplica
Esta Política se aplica a todas as pessoas que usam o aplicativo MyHealth, em qualquer país. O app é global e multi-idioma (português, inglês e espanhol).
O lançamento inicial tem foco no Brasil, mas, onde a lei do seu país for mais protetiva, ela prevalece. Tratamos a LGPD (Lei nº 13.709/2018, Brasil) e o GDPR (Regulamento (UE) 2016/679) como o nosso padrão mínimo em qualquer lugar.
Crianças e adolescentes: o cadastro próprio é destinado a maiores de 18 anos. Os dados de menores só podem ser incluídos por um responsável legal, que gere o perfil do dependente (ver Seção 11).
3. Quais dados coletamos
Coletamos apenas o necessário para o app funcionar (princípio da minimização). Abaixo, o que coletamos e onde isso fica.
3.1 Dados de identidade (PII) — cifrados em cofre
Os seguintes dados identificam você diretamente e ficam guardados em um cofre de identidade (identity_vault), criptografados campo a campo (XChaCha20-Poly1305), fisicamente apartados das tabelas clínicas. Eles só são decifrados por uma função segura, sob a sua própria identidade:
- Nome (ou nome de exibição);
- E-mail;
- Telefone;
- Documento (por exemplo, CPF).
As tabelas clínicas não contêm esses dados — elas se referem a você apenas por um código de perfil (pseudônimo). No perfil pseudonimizado guardamos apenas o mínimo clínico-demográfico necessário para interpretar corretamente os dados (por exemplo, sexo biológico e data de nascimento/idade, importantes para faixas de referência de exames).
3.2 Dados de saúde / sensíveis (PHI)
São dados pessoais sensíveis (saúde) e recebem a proteção máxima. Coletamos, conforme você os registra ou importa:
- Exames e marcadores laboratoriais (valores, unidades, faixas de referência, datas);
- Condições e sistemas do corpo (linha "cabeça aos pés");
- Medicações (item, dose, indicação, período, prescritor, status ativo/inativo);
- Alergias e intolerâncias (substância, categoria, reação, gravidade);
- Vacinas;
- Consultas / atendimentos;
- Sinais vitais e bioimpedância — peso, percentual de gordura, massa magra, circunferências, glicemia, pressão arterial, frequência cardíaca, saturação, temperatura;
- Sintomas e queixas;
- Atividade física;
- Documentos e laudos (PDFs, fotos e arquivos de texto — exames, receitas, relatórios, registros que você envia);
- História familiar de saúde;
- Equipe de cuidados (profissionais, área, instituição, motivo);
- Cartão / informações de emergência (tipo sanguíneo, alergias, contato de emergência);
- Notas, perguntas e mensagens que você escreve no app (incluindo o chat com o assistente de IA), na medida em que contenham dado de saúde.
- Eventos de dispositivo — eventos que o seu aparelho registra: classificação de ECG (ritmo sinusal / fibrilação atrial / inconclusivo) com a frequência cardíaca média, notificações de ritmo irregular e de frequência cardíaca alta ou baixa, carga de fibrilação atrial e detecção de queda. Guardamos a classificação e os metadados do evento — nunca o traçado bruto (forma de onda) do ECG, que permanece só no seu aparelho e não é enviado à IA.
- Ciclo menstrual e saúde reprodutiva — fluxo menstrual, sangramento intermenstrual, testes de ovulação, qualidade do muco cervical e testes de gravidez, quando você os registra ou os importa. Sinais correlatos, como a temperatura basal corporal, podem ser importados como sinais vitais. Se você for do sexo feminino e tiver 40 anos ou mais, o app pode, de forma opcional, perguntar a sua fase em relação à menopausa (ainda menstrua, em transição ou já na menopausa — com a opção de não responder); essa informação é autodeclarada por você, não importada do Apple Saúde, e ajuda a IA a interpretar melhor os seus hormônios (por exemplo, FSH, LH e estradiol). Não importamos registros de atividade sexual. São dados sensíveis com a mesma proteção máxima dos demais dados de saúde.
- Hábitos de vida que você informa — dados que você declara, de forma opcional, nos cartões do app: tabagismo (e faixa de cigarros por semana), consumo de álcool (e faixa de doses por semana), nível de atividade física e percepção do seu sono. Quando você autoriza o Processamento por IA (Seção 6), esses hábitos integram o contexto enviado à IA.
Quando esses dados se referem a um menor sob sua guarda, aplicam-se as mesmas proteções (ver Seção 11).
3.3 Localidade e idioma (opcionais, em claro)
De forma opcional, para adaptar a experiência e preparar funcionalidades futuras (como recomendação de profissionais por cidade), podemos guardar país, estado/província, cidade e o idioma preferido. Não coletamos endereço completo, latitude/longitude nem localização precisa. Esses campos de localidade ficam em claro porque a granularidade "cidade" não é, por si, um dado sensível, e protegidos pelas mesmas regras de acesso da sua conta. Quando você autoriza o Processamento por IA (Seção 6), o país do seu perfil integra o contexto enviado à IA, apenas para regionalizar, de forma educativa, orientações de emergência e de calendário vacinal (estado/província e cidade não são enviados à IA).
3.4 Dados de conta, sessão e segurança
- Conta e autenticação: identificadores técnicos da conta e tokens de sessão, para manter você conectado com segurança; autenticação em duas etapas (MFA/2FA via TOTP), quando ativada por você.
- Notificações (push): quando você ativa as notificações, guardamos um token técnico que o seu aparelho gera, usado só para entregar avisos do app (ex.: quando a sua análise fica pronta). É um identificador de entrega — não é usado para rastreamento, não treina IA e não é compartilhado com terceiros (apenas trafega pelo serviço de push da Apple). Você controla isso na permissão de notificações do iOS e no botão Notificações dentro do app, e o conteúdo do aviso é genérico, sem dados de saúde.
- Registros de acesso e auditoria (
access_log): metadado de quem acessou o quê e quando (ação, tabela, origem, endereço IP de origem) — apenas metadado, nunca o conteúdo clínico. - Registros de consentimento (
consent_events): qual finalidade você autorizou, a base legal, a versão da Política e o momento — de forma imutável (ver Seção 5). - Uso e cobrança de IA: registramos metadados do uso das funções de IA (função, modelo, quantidade de tokens) e o seu saldo e o consumo de cota de uso (páginas e prompts) e de pacotes avulsos, para operar a cobrança e prevenir abusos. Esses registros não contêm o conteúdo de saúde analisado.
3.5 Dados de uso de-identificados
Coletamos dados mínimos de estabilidade e diagnóstico (telemetria) — falhas, erros, desempenho — de forma de-identificada e sem nenhum conteúdo de saúde, para manter o app seguro e funcionando (ver Seção 13). Trata-se de tratamento interno: não usamos SDK de analytics nem rastreamento de terceiros. Por autolimitação de minimização, retemos essa telemetria por até cerca de 12 meses (ver Seções 12 e 13).
3.6 O que NÃO coletamos / NÃO fazemos
- Não vendemos os seus dados.
- Não fazemos publicidade direcionada com base na sua saúde, nem usamos rastreadores de terceiros que vejam seus dados de saúde.
- Não coletamos localização precisa, contatos do telefone ou microfone. A câmera e a galeria só são acessadas no momento exato em que você decide enviar um documento (permissão just-in-time).
4. Finalidades e bases legais
Toda atividade de tratamento tem uma base legal. Como tratamos dados sensíveis de saúde, somos especialmente rigorosos: cada finalidade sensível é registrada no nosso registro de consentimento com a base legal e a versão da Política correspondentes.
| Finalidade | O que é | Base legal — LGPD | Base legal — GDPR |
|---|---|---|---|
Processamento clínico (clinical_processing) | Organizar os seus documentos, estruturar valores, montar a linha do tempo e as tendências do prontuário | Base primária: Art. 7, II e Art. 11, II, "a" (consentimento específico e destacado para dado sensível). Base subsidiária (apenas para segurança, integridade, cumprimento de obrigação legal e operação da exclusão): Art. 7, II e Art. 10. Não invocamos a tutela da saúde (Art. 11, II, "f") | Base primária: Art. 6(1)(a) + Art. 9(2)(a) (consentimento explícito para dado de saúde). Base subsidiária (segurança, integridade, obrigação legal e exclusão): Art. 6(1)(c) e (f). Não invocamos o Art. 9(2)(h): o Art. 9(3) exigiria um profissional de saúde sujeito a sigilo no fluxo, e não há médico no circuito |
Processamento por IA (ai_processing) | Enviar o conteúdo clínico pseudonimizado (sem identificadores diretos) para a IA (Anthropic) ler os documentos e fotos que você enviar e deles extrair e preencher registros (exames, medicações, vacinas, medidas, profissionais — que você confirma antes de salvar), estruturar o prontuário e gerar uma leitura educativa de apoio (assistente, nunca diagnóstica — ver Seção 6) | Art. 7, I e Art. 11, I (consentimento específico) | Art. 6(1)(a) + Art. 9(2)(a) |
Transferência internacional (intl_transfer) | Quando, e somente quando, necessário, processar dados sem identificação fora do Brasil (ver Seção 9) | Art. 7, I; Art. 11, I; Art. 33 (transferência internacional) | Art. 6(1)(a) + Art. 9(2)(a); Art. 44–49 |
Compartilhamento familiar (family_sharing) | Você autoriza um familiar a ler o seu prontuário, de forma revogável (ver Seção 7) | Art. 7, I e Art. 11, I (consentimento) | Art. 6(1)(a) + Art. 9(2)(a) |
| Dados de menores sob guarda | Organizar o prontuário de um dependente | Art. 14 (melhor interesse da criança/adolescente; consentimento de ao menos um dos pais ou do responsável legal) | Art. 8 + Art. 9(2)(a), exercido pelo responsável legal |
Atestação de idade (age_attestation) | Você declara ter 18+; o cadastro de menor de 18 é bloqueado e a atestação é registrada de forma imutável, com data/hora do servidor | Art. 14 + Lei 15.211/2025 (ECA Digital) | Art. 8 |
| Segurança, prevenção a fraude e auditoria | Logs de acesso, defesa contra ataques, cumprimento de obrigações legais de registro | Art. 7, II (cumprimento de obrigação legal) e Art. 10 (legítimo interesse, limitado) | Art. 6(1)(c) (obrigação legal) e Art. 6(1)(f) (legítimo interesse) |
| Notificações do app | Guardar um token técnico de entrega (push/APNs) e enviar avisos genéricos do app (ex.: "sua análise está pronta"), sem dados de saúde no conteúdo; consentimento operacional via a permissão de notificações do iOS | Art. 7, IX (legítimo interesse) | Art. 6(1)(f) (legítimo interesse) |
| Telemetria técnica / estabilidade | Diagnóstico de falhas, sem dado de saúde, em tratamento interno (sem SDK de analytics ou rastreamento de terceiros) | Art. 7, IX (legítimo interesse), com minimização autolimitada (Art. 6, III) | Art. 6(1)(f) (legítimo interesse) |
| Conta, assinatura e pacotes | Manter a conta e processar assinaturas e pacotes avulsos de uso de IA (medidos em páginas e prompts). O consumo de IA de um menor é cobrado do responsável | Art. 7, V | Art. 6(1)(b) |
| Pesquisa pseudonimizada (opt-in na exclusão) | Coorte de pesquisa pseudonimizada (apenas sexo, faixa etária e ano, em coortes aleatórias, sem profile_id, sem texto livre e sem data exata) que você pode autorizar no momento de apagar a conta (ver Seção 12) | Art. 7, II e Art. 11, II, "a" (consentimento específico); dado pseudonimizado, não dado anônimo irreversível | Art. 6(1)(a) + Art. 9(2)(a) (consentimento explícito); cf. Art. 9(2)(j) (fins de pesquisa) |
Base legal do núcleo clínico — esclarecimento. A base primária do tratamento do seu prontuário é o seu consentimento específico e destacado (LGPD Art. 11, II, "a" / GDPR Art. 9(2)(a)), coerente com o posicionamento de "prontuário soberano": você autoriza, e pode revogar. Reservamos uma base subsidiária apenas para o que o consentimento não cobre — segurança da informação, integridade dos dados, cumprimento de obrigação legal e a própria operação de exclusão da conta —, apoiada na LGPD Art. 7, II e Art. 10 e no GDPR Art. 6(1)(c) e (f). Não adotamos a hipótese de tutela da saúde (LGPD Art. 11, II, "f" / GDPR Art. 9(2)(h)): no GDPR, o Art. 9(3) condiciona essa hipótese à presença, no fluxo, de um profissional de saúde sujeito a dever de sigilo, e não há médico no circuito do MyHealth.
5. Consentimento e como revogar
Quando você autoriza uma finalidade sensível, esse consentimento é:
- Livre — o app funciona no essencial mesmo que você não autorize a IA;
- Informado — explicamos a finalidade na hora, em linguagem clara;
- Específico e destacado — cada finalidade sensível tem seu próprio pedido (não um "aceito tudo" genérico), como exige a LGPD para dado de saúde;
- Revogável a qualquer momento — você pode retirar uma autorização nas configurações, sem perder o acesso ao que já organizou.
O nosso sistema só executa uma operação se o consentimento correspondente estiver ativo. Por exemplo: se você não autorizar o "Processamento por IA", o app não envia nada para a IA — essa verificação acontece automaticamente, no servidor (função has_active_consent), a cada operação.
Como funciona o registro: cada autorização ou revogação é gravada como um evento imutável no nosso registro de consentimento (consent_events), com a finalidade, a base legal, o idioma e a versão da Política vigente. Revogar não apaga o histórico do consentimento — registra um novo evento que interrompe o tratamento futuro daquela finalidade.
A revogação não torna ilícito o tratamento já realizado licitamente, mas interrompe o uso futuro daquela finalidade. Você não perde o acesso ao prontuário que já havia organizado.
6. Como a Inteligência Artificial (IA) trata os seus dados
A IA é peça central do MyHealth (assistente e extração de dados de documentos), então explicamos isso com transparência total. O nosso fornecedor de IA é a Anthropic, que atua como subprocessador.
6.1 A IA recebe o conteúdo clínico do seu prontuário, sem os seus identificadores diretos
- O conteúdo enviado à IA é do próprio usuário e só é processado mediante o seu consentimento (
ai_processing). - O conteúdo clínico que enviamos à IA, sem que enviemos os seus identificadores diretos (nome, CPF, e-mail, telefone) — substituídos por sexo e idade e, quando disponível, pelo seu país (apenas para regionalizar, de forma educativa, orientações de emergência e de calendário vacinal — nunca cidade ou localização precisa) — pode incluir: marcadores e tendências de exames, medidas e bioimpedância, medicações, vacinas, alergias, sintomas, consultas e anotações, história familiar, atividade física, dados de sono e pontuações de vestíveis, eventos de dispositivo (classificação de ECG, ritmo irregular, queda), ciclo menstrual e dados reprodutivos (incluindo a fase de menopausa, quando você informa), hábitos de vida que você informa (tabagismo e tempo de uso, álcool, atividade e sono), o tipo sanguíneo e as observações do seu cartão de emergência, e o próprio documento (foto/PDF) quando você pede a extração por IA — antes do envio, o aplicativo procura cobrir (tarjar), direto no seu aparelho, o seu nome, CPF, e-mail e telefone impressos no documento, e você pode cobrir áreas manualmente; o arquivo original permanece intacto no seu prontuário e a versão enviada à IA é a tarjada, quando gerada. Essa redação automática é best-effort: pode falhar em fotos de baixa qualidade ou manuscritos e não é garantia de remoção completa. Não enviamos os contatos do seu cartão de emergência (nome, telefone, parentesco). Anotações livres feitas por você ou por profissionais podem, eventualmente, conter nomes — por isso recomendamos não inserir dados de identificação em campos de texto. No chat com o assistente, o contexto pode incluir adicionalmente o histórico da própria conversa e o local e o profissional registrados nas suas consultas — itens que não entram na análise longitudinal do prontuário.
- A busca na web existe apenas no chat assistente, para conhecimento clínico geral. Instruímos o modelo a usar somente termos clínicos genéricos, sem incluir os seus valores, datas, idade, nomes ou identificadores. Essa proteção é aplicada por instrução ao modelo e não por um filtro técnico infalível; a busca é executada pela infraestrutura da Anthropic. As funções de análise do prontuário e de extração de documentos não fazem busca na web.
6.2 NÃO usamos seus dados para treinar IA
- Pelos termos comerciais da Anthropic, os seus dados (entradas e saídas) não são usados para treinar ou aprimorar modelos e são retidos por período limitado e então excluídos (em regra, em até 30 dias), salvo retenção exigida por lei ou para prevenção de abuso. Essa relação é regida pelo Adendo de Tratamento de Dados (DPA) da Anthropic, que inclui as Cláusulas Contratuais-Padrão (SCC) da UE (Módulos 2 e 3), o UK IDTA e o adendo suíço, vigentes automaticamente com a aceitação dos Termos Comerciais da Anthropic (anthropic.com/legal/data-processing-addendum).
6.3 Salvaguardas técnicas
- O tráfego com a IA usa conexão criptografada (TLS).
- Aplicamos salvaguardas contra injeção de prompt e minimização do conteúdo enviado.
- A IA não toma decisões automatizadas sobre você no sentido do GDPR Art. 22 / LGPD Art. 20: ela organiza e descreve, não decide, não diagnostica e não prescreve. Você revisa e confirma as informações, e as leituras vêm marcadas como conteúdo a confirmar com o seu médico.
- A IA não detecta, não monitora e não diagnostica risco de suicídio, autolesão ou crise psiquiátrica, e não aciona ninguém por você. Se estiver em crise, procure ajuda imediata (no Brasil, CVV 188, 24h, gratuito; fora do Brasil, a linha nacional de prevenção). Veja a Seção 3.5 dos Termos de Uso.
6.5 Organização de medicamentos e suplementos (dado derivado, assistido por IA)
Para organizar o seu prontuário, a IA pode produzir, a partir dos medicamentos e suplementos que você registra, um dado derivado de organização: os princípios ativos decompostos (uma fórmula manipulada é separada nos ingredientes do rótulo) e uma categoria geral; a vacina canônica, a doença prevista e a dose na série (consolidando a mesma vacina sob nomes diferentes); e o alérgeno normalizado e a sua classe. Esse dado é gerado a partir do que você já forneceu (não coletamos nada novo de você) e serve para relacionar, por exemplo, um ativo com o marcador correspondente do seu exame. É educativo e assistido por IA — você pode revisar e corrigir, e ele não é uma classificação clínica, prescrição nem checagem de interações (ver o Aviso Médico, item 5.2). Detalhes do tratamento por IA seguem as Seções 6.1–6.3.
6.4 Padrões e vocabulários abertos (LOINC® / UCUM)
Para que o mesmo exame vindo de laboratórios diferentes (com nomes, siglas e idiomas diferentes) seja reconhecido como um único parâmetro e gere uma linha do tempo coerente, o MyHealth normaliza os marcadores usando o vocabulário aberto LOINC® (Logical Observation Identifiers Names and Codes) e padroniza unidades de medida com base no UCUM. Esses padrões são conteúdo de referência licenciado, embarcado no aplicativo — funcionam como um dicionário e não recebem nenhum dado pessoal seu (a Regenstrief Institute não é subprocessadora e nada do seu prontuário é enviado a ela).
This product includes content from LOINC® (loinc.org). LOINC is copyright © 1995–2024, Regenstrief Institute, Inc. and the LOINC Committee, and is available at no cost under the LOINC license (loinc.org/license). LOINC® is a registered trademark of Regenstrief Institute, Inc.
7. Compartilhamento familiar (opt-in, somente leitura, revogável)
O MyHealth permite que você compartilhe o seu prontuário com um familiar, de forma controlada:
- É opt-in: nada é compartilhado sem que você inicie e autorize (
family_sharing). - O acesso é somente leitura e do prontuário por inteiro (tudo ou nada — não é possível compartilhar apenas partes): o familiar pode ver, mas não pode editar nem apagar.
- O vínculo é criado por um código de convite de uso único, que expira em 7 dias se não for usado.
- Você pode revogar o vínculo a qualquer momento, encerrando o acesso.
O familiar também precisa ser usuário do app. Esse compartilhamento é entre você e a pessoa que você escolher — não é um compartilhamento com terceiros nem com fins comerciais.
8. Apple Health (HealthKit)
O MyHealth permite importar medidas do Apple Health (HealthKit) — peso, altura, composição corporal, glicemia, pressão, frequência cardíaca, saturação e temperatura — para o seu prontuário.
- A importação é opcional e ocorre somente com a sua autorização explícita, concedida nas permissões do iOS. O acesso é somente de leitura — o MyHealth não escreve dados no Apple Health.
- Os dados provenientes do Apple Health são usados exclusivamente para enriquecer o seu próprio prontuário dentro do app.
- Em conformidade com a Diretriz 5.1.3 da App Store da Apple, os dados do Apple Health NUNCA são usados para marketing/publicidade, NUNCA são compartilhados com terceiros para fins de propaganda ou data mining, e NUNCA são usados para treinar modelos de IA.
Conexão com pulseiras e anéis inteligentes (Oura e WHOOP)
Além do Apple Saúde, você pode, de forma opcional e revogável, conectar vestíveis de terceiros, com consentimento específico por provedor (wearable_sync_oura, wearable_sync_whoop):
- Oura Ring: sono e fases do sono, pontuações diárias (sono, prontidão, atividade, estresse, resiliência), desvio de temperatura, passos, calorias, distância, tempo sedentário, SpO2, VO2max, idade cardiovascular, treinos e sessões de meditação.
- WHOOP: pontuação de recuperação, frequência cardíaca de repouso, variabilidade da FC (HRV), SpO2, temperatura de pele, carga (strain), sono e treinos.
A autorização usa OAuth: os tokens de acesso ficam cifrados (AES-256-GCM) no nosso servidor e não são acessíveis pelo aplicativo. A Oura opera na Finlândia (Espaço Econômico Europeu) e a WHOOP nos Estados Unidos; conectar esses serviços implica transferência internacional de entrada, sob as salvaguardas da Seção 9.1. A Oura e a WHOOP atuam como fontes de dados (controladoras independentes das próprias plataformas), não como nossos subprocessadores, e não recebem dados do seu prontuário.
Ao desconectar um vestível:
- WHOOP: para cumprir as condições de uso da API da WHOOP e por padrão de privacidade que adotamos, solicitamos a revogação do acesso na WHOOP e apagamos definitivamente todos os dados originados da WHOOP já sincronizados (sono, pontuações, medidas, atividades e eventos). Recomendamos exportar antes, se quiser manter cópia.
- Oura / Apple Saúde: revogamos o acesso e apagamos os tokens cifrados que guardamos. Os dados já sincronizados permanecem no seu prontuário, salvo se você pedir a exclusão deles.
Os dados importados de vestíveis e do Apple Saúde são sempre gravados no seu próprio prontuário (titular da conta) e nunca no perfil de um dependente, ainda que você esteja visualizando o perfil de um menor.
9. Subprocessadores e transferências internacionais
Nós não vendemos os seus dados. Para operar o serviço, usamos um conjunto mínimo de fornecedores ("subprocessadores"/"operadores"), cada um sob contrato de tratamento de dados (DPA), confidencialidade e segurança, tratando dados apenas sob as nossas instruções. A relação com a Anthropic e a Resend já é regida por DPA/SCC em vigor; o DPA do Supabase está em vigor (assinado em 2026-06-18) — ver o status de cada um na coluna "Salvaguardas".
| Subprocessador | O que faz | Que dado trata | Onde | Salvaguardas |
|---|---|---|---|---|
| Supabase | Banco de dados (PostgreSQL), autenticação, armazenamento de documentos e funções de borda | Dados clínicos pseudonimizados; PII cifrada no cofre; documentos cifrados; metadados de conta | São Paulo, Brasil (sa-east-1) | DPA em vigor (assinado em 2026-06-18; Supabase Pte. Ltd) — inclui SCC da UE + salvaguardas de transferência (UK/Suíça); infraestrutura certificada SOC 2 Type 2 e ISO 27001 (certificações do provedor Supabase); backups diários (14 dias); retenção de log 28 dias; hospedagem regional; criptografia em trânsito (TLS) e em repouso; criptografia adicional de campo sob a nossa gestão de chaves; isolamento por RLS; SCC para eventuais transferências fora do EEE |
| Anthropic, PBC | Modelos de IA da Anthropic para análise do prontuário, extração de documentos e chat | Conteúdo clínico pseudonimizado (valores, datas, anotações, hábitos de vida, ciclo, agregados de vestível) e, na análise de documento, a própria imagem/PDF (com redação on-device best-effort dos identificadores impressos, quando localizados) — de forma transiente | Estados Unidos | DPA em vigor (Termos Comerciais Anthropic); SCC UE (Módulos 2/3) + UK IDTA + adendo suíço; não-treinamento contratual; retenção limitada (~30 dias); TLS |
| Resend | Envio de e-mails transacionais (código de acesso/OTP e avisos da conta) | Apenas o seu e-mail e o conteúdo do e-mail; sem conteúdo de saúde | EUA / global | DPA em vigor (aceite dos termos); certificação EU-US DPF + UK extension; SCC; TLS |
| Apple (App Store / In-App Purchase / HealthKit / push) | Distribuição, HealthKit, notificações e processamento de pagamentos de assinaturas e pacotes avulsos como merchant of record | Dados de compra/recibo; não recebemos dados do seu cartão; sem conteúdo de saúde no fluxo de pagamento | EUA / global | Termos da App Store; Diretriz 5.1.3 |
A Oura e a WHOOP não figuram nesta tabela: são fontes de dados que você conecta (Seção 8), atuando como controladoras independentes das próprias plataformas, e não como nossos subprocessadores. A relação com a Anthropic e a Resend já é regida por DPA/SCC em vigor; o DPA do Supabase está em vigor (assinado em 2026-06-18). Mantemos uma página pública de subprocessadores atualizada em https://www.bas-ai.com/myhealth/legal/subprocessadores. Avisaremos antes de adicionar um novo subprocessador relevante.
9.1 Transferências internacionais
O seu prontuário fica armazenado no Brasil (São Paulo) — essa é a regra. Transferências para fora do Brasil ocorrem de forma limitada e com a sua autorização (intl_transfer): no processamento por IA (Anthropic, Estados Unidos — Seção 6), no qual enviamos o conteúdo clínico sem os seus identificadores diretos (na extração de documento, o próprio arquivo — após redação automática on-device best-effort que procura tarjar nome, CPF, e-mail e telefone impressos; identificadores não localizados podem seguir no arquivo); na conexão de vestíveis (Oura, na Finlândia/EEE; WHOOP, nos Estados Unidos — Seção 8); e na distribuição pela Apple (Estados Unidos). Quando houver transferência internacional, adotamos as salvaguardas exigidas:
- LGPD (Art. 33): transferência baseada em consentimento específico e/ou em garantias contratuais adequadas (cláusulas-padrão), conforme regulamentação da ANPD.
- GDPR (Art. 44–49): Cláusulas Contratuais-Padrão (SCC) e/ou outras garantias adequadas para transferências fora do EEE, com avaliação de impacto da transferência quando aplicável.
Também podemos divulgar dados quando exigido por lei (ordem judicial ou autoridade competente), sempre limitado ao estritamente necessário e, quando legalmente permitido, notificando você.
10. Segurança da informação
A confidencialidade dos seus dados de saúde é o nosso controle número um. As principais medidas:
- Separação entre identidade e dados clínicos: quem você é (nome, e-mail, telefone, documento) fica em um cofre cifrado (
identity_vault, XChaCha20-Poly1305), apartado das tabelas clínicas, que se referem a você apenas por um código. - Decifragem controlada: a PII só é decifrada por uma função segura, sob a sua própria identidade, com registro de auditoria.
- Criptografia em repouso e em trânsito: banco e armazenamento criptografados; comunicações por TLS.
- Controle de acesso por linha (RLS) por verbo: o banco garante que só você (ou um responsável/familiar autorizado) acessa os seus dados — e as permissões de ler e escrever são separadas.
- Autenticação em duas etapas (MFA/2FA via TOTP): disponível para reforçar o acesso à sua conta.
- Consentimentos versionados e registro de auditoria imutável (apenas metadado de acesso, nunca o conteúdo clínico).
- Salvaguardas de IA: remoção dos identificadores diretos (nome, CPF, e-mail, telefone) do contexto enviado, não envio dos contatos do cartão de emergência, minimização do conteúdo e proteção contra injeção de prompt.
Buscamos alinhamento às melhores práticas internacionais de segurança da informação em saúde. Nenhum sistema é 100% imune; por isso mantemos planos de resposta a incidentes (ver Seção 14).
11. Dados de crianças e adolescentes (menores)
A proteção de crianças e adolescentes observa o Estatuto da Criança e do Adolescente (Lei 8.069/1990), a Lei 15.211/2025 (ECA Digital), o Art. 14 da LGPD e o Art. 8 do GDPR (EEE).
- O cadastro próprio é destinado a maiores de 18 anos (ou à maioridade civil do país, se superior).
- O menor não possui conta nem e-mail próprios: existe apenas como perfil gerenciado dentro da conta de um responsável adulto (campo
managed_by), que declara essa condição. - O perfil pode ter mais de um responsável: o responsável principal convida outro adulto por código de convite com prazo de validade. Cada convidado recebe um papel: responsável (vê e edita) ou acompanhante (somente leitura). Toda autorização é verificada no servidor, a cada operação.
- O consentimento relativo ao menor é registrado identificando qual adulto o concedeu, observando o melhor interesse da criança e do adolescente (LGPD Art. 14).
- Recursos pagos de IA exigem papel de responsável e são cobrados do responsável principal (titular pagante do perfil), independentemente de qual responsável os tenha acionado; o registro de uso permanece vinculado ao perfil do menor para auditoria.
- Aplicamos a esses dados a mesma proteção máxima (cofre de identidade, RLS, não-treinamento de IA). Não direcionamos publicidade a menores. Os dados de vestíveis nunca seguem o perfil de um menor.
- O responsável pode, a qualquer momento, exportar os dados do dependente e, na condição de responsável principal, excluir definitivamente o perfil do dependente e todos os dados associados (exames, documentos e registros) — a exclusão é permanente.
Adotamos, em qualquer país, o limite único de 18 anos para conta própria. Esse requisito refere-se à titularidade da conta e não se confunde com a idade de consentimento digital autônomo do GDPR (Art. 8, entre 13 e 16 anos conforme o país). Abaixo de 18, o tratamento de dados só ocorre por meio de um perfil gerenciado por um responsável adulto.
Usuários nos Estados Unidos (COPPA): o MyHealth não oferece contas a menores nem coleta dados diretamente de crianças. Qualquer dado de menor é inserido e controlado por um adulto responsável, que exerce o consentimento parental verificável.
12. Retenção e descarte
Adotamos o princípio da minimização: guardamos cada categoria de dado apenas pelo tempo necessário à sua finalidade ou exigido por lei. Como o MyHealth é distribuído mundialmente, aplicamos o critério mais protetivo entre as leis aplicáveis: por padrão, a exclusão apaga a identidade, e a retenção é a exceção, acionada apenas quando uma lei concreta a exige.
12.1 Prazos de retenção
| Categoria | Prazo | Por quê |
|---|---|---|
| Prontuário e cofre de identidade (dados clínicos + PII) | Enquanto a sua conta existir; removidos na exclusão da conta (ver 12.2) | Você mantém o prontuário organizado enquanto quiser |
Registros de acesso / auditoria (access_log — data/hora, IP de origem, ação; nunca conteúdo clínico) | 6 meses | Segurança e detecção de fraude/abuso (medida proporcional — legítimo interesse, GDPR Art. 6(1)(f); LGPD Art. 7, IX). No Brasil, atende também ao piso do Marco Civil (Lei 12.965/2014, Art. 15) para provedor de aplicação. O log (data/hora + IP) não é dado de saúde e o IP nunca é usado para inferir condição de saúde |
| Identidade mínima retida na exclusão (nome cifrado + e-mail cifrado + data de criação + data do último acesso) | Apenas quando houve transação (assinatura ou pacotes comprados); pelo prazo fiscal da sua jurisdição (Brasil: 5 anos; demais países: o prazo da lei local, tipicamente 5–6 anos), com expurgo automático ao fim. Quem nunca transacionou: nada disso é retido — a identidade é apagada na exclusão | Cumprir obrigação fiscal/contábil que só nasce de uma transação real (Brasil: CTN, Arts. 173 e 174; União Europeia: prazo do Estado-Membro; Reino Unido: Limitation Act 1980 / HMRC; Canadá: Income Tax Act s. 230). Sem transação, não há obrigação legal que justifique guardar a identidade |
| Dados de faturamento e fiscais (recibos, movimentação de assinatura e pacotes) | Prazo fiscal da jurisdição (Brasil: 5 anos) — apenas para quem transacionou | Prazos tributários (Brasil: CTN, Arts. 173 e 174; ou a lei fiscal local aplicável) |
| Telemetria técnica de-identificada | Até cerca de 12 meses | Política interna de minimização (LGPD Art. 6, III) — não é prazo legal |
Registros de consentimento (consent_events, de-vinculados do seu perfil na exclusão) | Mantidos como prova de licitude pelo prazo prescricional aplicável | Comprovar a licitude e as autorizações concedidas/revogadas (accountability — GDPR Art. 5(2)/7(1); LGPD Art. 8/6, X) |
Como a identidade é protegida quando retida: quando há transação e a lei fiscal exige guarda, mantemos o nome e o e-mail cifrados (mesma proteção do cofre de identidade), numa tabela isolada, acessível somente pelo serviço interno (RLS, sem acesso de usuário), e a apagamos automaticamente ao fim do prazo. Não guardamos o seu e-mail em texto legível.
Lacuna que assumimos com transparência: ainda não há expurgo automático por inatividade (uma conta sem uso por longo período não é apagada sozinha). Isso é uma lacuna a definir — quando formos adotar uma política de inatividade, atualizaremos esta Seção e a versão da Política. Não descrevemos aqui, como rotina vigente, algo que o app ainda não faz.
12.2 Exclusão definitiva da conta (direito ao apagamento — LGPD Art. 18, VI / GDPR Art. 17 / equivalentes locais)
A exclusão está disponível diretamente no app, em Perfil › Privacidade › Apagar minha conta (exigência da Apple). Ao confirmar, executamos a remoção permanente em cascata — uma operação imediata — de todo o seu prontuário clínico (exames, condições, medicações, vacinas, documentos, medidas, histórico, consultas, conversas com a IA, dados de vestíveis) e dos arquivos no armazenamento, revogamos as conexões de vestíveis e encerramos a sua conta de acesso.
As cópias de segurança (backups) podem, por um curto período, ainda conter dados já excluídos: são sobrescritas no ciclo normal do nosso operador (Supabase, em torno de 14 dias — bem dentro dos 6 meses), e os contratos de tratamento de dados (DPA) com Supabase e Anthropic regem o descarte de quaisquer cópias residuais. (Não alegamos "destruição de chaves" nem expurgo instantâneo do backup.)
A exclusão da sua identidade depende de você ter, ou não, feito uma compra:
- Se você nunca fez nenhuma compra (assinatura ou pacotes): apagamos também o seu nome e o seu e-mail na exclusão. Não criamos nenhum registro de identidade que sobreviva. A exclusão é, para você, a cessação real do tratamento da sua identidade.
- Se você fez ao menos uma compra: a lei fiscal/contábil do seu país nos obriga a guardar o registro da transação por um prazo (no Brasil, 5 anos). Para isso mantemos um registro contábil mínimo e, quando indispensável vincular a você, o seu nome e e-mail cifrados — isolados, acessíveis somente mediante solicitação judicial ou de autoridade competente, e apagados automaticamente ao fim do prazo legal.
Recibo de exclusão (accountability — LGPD Art. 6º, X): podemos confirmar a conclusão da exclusão mediante solicitação ao DPO. A exclusão não é total — permanecem os registros mínimos abaixo, por imposição legal.
O que sempre permanece após a exclusão, para qualquer usuário:
- Registro mínimo da exclusão, sem qualquer dado pessoal e com a sua identidade substituída por um código irreversível (não permite reidentificá-lo), apenas para comprovar que a exclusão ocorreu.
- Registros de acesso pelo período de guarda de 6 meses (12.1), fornecidos somente mediante solicitação judicial ou de autoridade competente.
- Registros de consentimento de-vinculados do seu perfil (substituímos o identificador por um código pseudônimo, separado por uma chave que não fica no banco de dados), mantidos apenas como prova de licitude pelo prazo prescricional. Tratamos isso como dado pseudonimizado, não como dado anônimo irreversível.
- Opcional — pesquisa: se, e somente se, você autorizar no momento da exclusão, mantemos os seus marcadores de forma pseudonimizada — sem nome, sem identificador de perfil (
profile_id), sem texto livre e sem data exata, guardando apenas sexo, faixa etária e o ano, em coortes aleatórias. Tratamos isso como dado pseudonimizado, e não como dado anônimo irreversível: a reidentificação é improvável, mas não a declaramos impossível. Você pode recusar e ainda assim apagar a conta.
Perfis de dependentes (menores): ao excluir o perfil de um menor, nunca retemos o nome ou o e-mail do menor por motivo fiscal — a obrigação fiscal, se houver, pertence ao responsável pagante, e não ao perfil do menor. Para o menor, o apagamento da identidade é a regra; sobra apenas o registro mínimo de exclusão por código irreversível.
Usuários em jurisdições com direito de exclusão reforçado (ex.: Washington — My Health My Data Act): tratamos o pedido como exclusão de dado de saúde do consumidor — apagamos a identidade (sem invocar prazo fiscal contra quem não transacionou) e o descarte das cópias residuais nos operadores ocorre dentro de 6 meses, conforme os respectivos contratos de tratamento (DPA).
12.3 Falecimento do titular
A LGPD e o GDPR protegem pessoas vivas e, em regra, não alcançam o falecido (ANPD, Nota Técnica nº 3/2023; GDPR, Considerando 27). Ainda assim, o prontuário de uma pessoa falecida envolve direitos da personalidade que sobrevivem à morte (Código Civil, Art. 12, parágrafo único) e questões de sucessão.
- O herdeiro não herda o acesso ao conteúdo do prontuário. O Superior Tribunal de Justiça (REsp 2.124.424/SP) tratou registros de saúde como bem existencial não transmissível — ligado à intimidade da pessoa, e não ao seu patrimônio.
- Por isso, não realizamos a exclusão total a pedido de terceiros (permanecem, ainda assim, os registros de acesso por 6 meses e os fiscais por 5 anos — 12.1), nem entregamos o conteúdo clínico a herdeiros como se fosse herança.
- Pedidos relacionados ao falecimento de um titular (por exemplo, cessar o tratamento, ou medidas previstas no Art. 12, parágrafo único, do Código Civil por quem tenha legitimidade) devem ser dirigidos ao nosso DPO (Seção 1), mediante prova do óbito e da legitimidade de quem solicita. Avaliamos cada pedido à luz da lei aplicável.
12-A. Notificações e lembretes (opt-in)
O MyHealth pode enviar lembretes no seu iPhone — sobre medicação, um check-in de bem-estar, compromissos da sua agenda (consultas/exames/retornos/vacinas) e alguns avisos do servidor (quando uma análise fica pronta, quando um exame seu é atualizado e quando um retorno de consulta se aproxima). Pontos importantes:
- Notificações LOCAIS vs. push remoto. Muitas notificações são LOCAIS, agendadas no seu próprio aparelho (medicação, check-in e compromissos da agenda) — para essas não usamos servidor de envio. Outras são entregues por push remoto (APNs, da Apple) porque o evento acontece no servidor, em três casos: (a) uma análise ficou pronta; (b) um exame seu foi atualizado (um marcador que estava fora da faixa recebeu um resultado novo); e (c) um retorno de consulta está chegando. Para o push remoto guardamos um token técnico de entrega do seu aparelho (ver Seção 3.4) e o conteúdo do aviso é genérico, de texto fixo, sem dados de saúde ("Um exame seu foi atualizado", "Você tem um retorno de consulta") — nunca o nome do exame, marcador, valor ou médico. O token é um identificador de entrega — não é rastreamento, não treina IA e não é compartilhado com terceiros além do serviço de push da Apple. Para não incomodar, limitamos a um aviso interruptivo por dia e respeitamos a sua janela de silêncio; cada categoria pode ser desligada separadamente em Perfil › Notificações.
- Opt-in granular e revogável. Cada tipo é desligado por padrão (medicação e check-in) ou controlado por você em Perfil › Notificações, onde você escolhe o que receber, os horários e a janela de silêncio. Você pode desativar tudo a qualquer momento (no app ou nos Ajustes do iPhone). A base legal é o consentimento (LGPD Art. 7º, I e Art. 11, I; GDPR Art. 6(1)(a) e Art. 9(2)(a)).
- Conteúdo minimizado na tela de bloqueio. A notificação nunca mostra valores de exame, diagnóstico, nome de doença, nome de medicamento, especialidade ou o resumo da IA. Ela diz apenas que existe algo e onde ("Tomou seus remédios de hoje?", "Sua análise está pronta. Toque para ver no app.", "Amanhã: Consulta"). O conteúdo clínico fica só dentro do app. Lembre-se de que a tela de bloqueio pode ser vista por terceiros e lida em voz alta pela Siri — por isso o iOS permite ocultar prévias (Ajustes › Notificações › Mostrar prévias: Quando desbloqueado).
- Resposta direta no aviso. Você pode responder certos lembretes na própria notificação (ex.: "Tomei todas" / "Mais ou menos"). Essas respostas são dado de saúde (adesão a medicação, bem-estar) e ficam guardadas no seu prontuário com a mesma proteção dos demais dados de saúde; nada disso aparece na tela de bloqueio.
- Menores: quando o lembrete é de um perfil de dependente, o aviso no aparelho do responsável é genérico ("Lembrete de um dependente") e nunca expõe o nome ou qualquer dado de saúde do menor.
- Lembretes de reexame e de atualização são educativos e universais. Alguns lembretes apontam que pode ser hora de refazer um exame de rotina, atualizar um registro (ex.: peso) ou conferir um retorno/dispositivo. Eles partem só de intervalos genéricos de referência (ex.: exames de rotina costumam ser refeitos periodicamente) e de datas dos seus próprios registros — não coletamos nada novo e o app não calcula um prazo individual a partir do seu resultado. Não são uma recomendação clínica individual: o intervalo certo deve ser confirmado com o seu médico.
13. Cookies, telemetria e rastreamento
O MyHealth é um aplicativo nativo de iPhone (não um site), então não usa cookies de navegação no sentido tradicional.
- Telemetria técnica de-identificada: coletamos dados mínimos de estabilidade e diagnóstico (falhas, erros, desempenho), sem conteúdo de saúde, para manter o app seguro e funcionando. Esse é um tratamento interno: não embarcamos SDK de analytics nem qualquer rastreador de terceiros. Por autolimitação de minimização, mantemos essa telemetria por até cerca de 12 meses (ver Seção 12).
- Sem rastreadores de terceiros com acesso a dados de saúde e sem venda de dados. Não fazemos rastreamento entre apps/sites para fins de publicidade.
- Rótulos de privacidade da App Store: as nossas declarações na App Store refletem o que está descrito aqui.
Hoje não usamos nenhuma ferramenta de analytics ou rastreamento de terceiros; se isso mudar, atualizaremos esta Política e a página de subprocessadores antes da ativação, com novo aviso — revisando também os rótulos de privacidade da App Store e a necessidade (ou não) de App Tracking Transparency (ATT).
14. Incidentes de segurança e notificação
Mantemos planos de resposta a incidentes. Em caso de incidente de segurança que possa gerar risco relevante a você:
- LGPD (Art. 48): comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e você, em prazo razoável, indicando a natureza do incidente, os dados afetados, as medidas adotadas e as recomendações para você se proteger.
- GDPR (Art. 33–34): notificaremos a autoridade de controle competente, em regra em até 72 horas, e comunicaremos você quando houver alto risco aos seus direitos e liberdades.
15. Os seus direitos
Você é o titular dos seus dados e tem direitos garantidos pela LGPD (Art. 18) e pelo GDPR (Capítulo III):
| Direito | O que significa | Como exercer no MyHealth |
|---|---|---|
| Acesso / confirmação | Saber quais dados temos e obter uma cópia (LGPD Art. 18, I–II; GDPR Art. 15) | Ver o prontuário completo no app; exportar |
| Correção | Corrigir dados incompletos ou errados (LGPD Art. 18, III; GDPR Art. 16) | Você revisa e edita os dados diretamente |
| Exclusão / esquecimento | Apagar os seus dados e a conta (LGPD Art. 18, VI; GDPR Art. 17) | Excluir conta / dados no app (ver Seção 12) |
| Portabilidade | Levar os seus dados em formato estruturado e interoperável (LGPD Art. 18, V; GDPR Art. 20) | Exportação em FHIR R4 e em PDF |
| Revogação do consentimento | Retirar uma autorização (LGPD Art. 8, §5; GDPR Art. 7(3)) | Desligar uma finalidade (ex.: "Processamento por IA") nas configurações (ver Seção 5) |
| Informação sobre compartilhamento | Saber com quem compartilhamos (LGPD Art. 18, VII) | Esta Política (Seção 9) e a página de subprocessadores |
| Oposição / limitação | Opor-se a um tratamento ou pedir sua limitação (LGPD Art. 18, §2; GDPR Art. 18 e 21) | Contate o DPO |
| Não submissão a decisão automatizada / revisão | A IA não decide nada sozinha (LGPD Art. 20; GDPR Art. 22) | Você sempre revisa e confirma (ver Seção 6.3) |
| Ver o histórico de acessos | Transparência sobre quem acessou o quê | O seu log de acessos fica disponível |
| Petição à autoridade (ANPD) | Peticionar contra o controlador junto à autoridade nacional (LGPD Art. 18, §1) | Contate-nos (Seção 1) e/ou a ANPD — ver "Reclamações" abaixo |
Como exercer: muitos direitos são exercidos diretamente no app (revisar, exportar, excluir, revogar consentimento). Para os demais, ou se algo não funcionar, escreva ao nosso DPO (Seção 1). Respondemos no prazo legal (em regra, até 15 dias para confirmação de existência ou acesso, conforme a LGPD; até 30 dias sob o GDPR, prorrogáveis quando a lei permitir).
Reclamações: se você entender que tratamos os seus dados de forma inadequada, pode reclamar à autoridade competente — no Brasil, a ANPD (https://www.gov.br/anpd); na Europa, a autoridade de proteção de dados do seu país. Pedimos, porém, que fale antes com o nosso DPO — queremos resolver diretamente com você.
16. O MyHealth NÃO é um serviço médico
- O MyHealth é uma ferramenta de organização e educação sobre a sua própria saúde, que prepara você para a consulta com profissionais de saúde e oferece uma leitura educativa de apoio por IA.
- Ele NÃO faz diagnóstico, NÃO prescreve tratamento e NÃO substitui a avaliação de um médico ou profissional de saúde habilitado.
- As leituras e as respostas do assistente de IA servem para levar perguntas e informações ao seu médico — você deve sempre confirmar com o seu médico antes de qualquer decisão.
- O MyHealth não é um dispositivo médico (não é "SaMD") e não deve ser usado como tal.
- Em emergência, procure atendimento médico imediatamente — não use o app para isso.
17. Alterações nesta Política e versionamento
Podemos atualizar esta Política para refletir mudanças no app, em fornecedores ou na lei. A Política tem versão (policy_version):
- O app coleta o seu aceite no cadastro, vinculado à versão vigente;
- Atualizamos a versão e a data no topo quando há mudança;
- Avisamos você no app e/ou por e-mail; e, quando a mudança exigir, pediremos um NOVO aceite — o app exige novo aceite quando a versão muda — registrando-o de forma imutável no nosso registro de consentimento.
O histórico de versões fica publicado em https://www.bas-ai.com/myhealth/legal/versoes; cada versão aceita permanece arquivada.
18. Fale conosco
Dúvidas, pedidos ou reclamações sobre os seus dados:
- Encarregado/DPO: privacy@bas-ai.com
- Controlador: BAS ARTIFICIAL INTELLIGENCE LTDA — CNPJ 64.106.409/0001-70 — www.bas-ai.com — Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil
- Página de subprocessadores: https://www.bas-ai.com/myhealth/legal/subprocessadores
MyHealth — o seu prontuário, soberano e privado. Esta Política foi redigida em português como base para tradução aos demais idiomas do app (no mínimo PT/EN/ES). Em caso de divergência entre versões, prevalece o português.