MyHealth — Lista de Subprocessadores e Registro das Operações de Tratamento (ROPA)
Controlador (LGPD Art. 5º, VI / GDPR "controller"): BAS AI — BAS ARTIFICIAL INTELLIGENCE LTDA CNPJ: 64.106.409/0001-70 Site: www.bas-ai.com Encarregado / DPO (LGPD Art. 5º, VIII): Guilherme Bastian — dpo@bas-ai.com Produto: MyHealth — aplicativo iOS de prontuário pessoal de saúde e leitura educativa por IA (pt/en/es). Versão deste documento: 2.1 — 2026-06-23
Natureza do produto. O MyHealth organiza o seu histórico de saúde e oferece uma leitura educativa e prudente. Não é dispositivo médico, não faz diagnóstico e não prescreve. Toda observação da IA é marcada como "(a confirmar)" e deve ser validada com o seu médico. A IA não verifica interações medicamentosas, não verifica contraindicações e não cruza alergia com medicamento.
Distribuição. O MyHealth é distribuído na App Store em escala mundial, exceto na União Europeia/EEE e no Reino Unido no lançamento. Ainda assim, as proteções de padrão GDPR/UK são adotadas como base global aplicada a todos os titulares (denominador mais estrito).
Vigência. Este registro está em vigor a partir de 2026-06-23. Os contratos de tratamento (DPA/SCC) referidos adiante estão assinados e vigentes (ver Seção 3). A versão pública desta lista fica em https://www.bas-ai.com/myhealth/legal/subprocessadores; o histórico de versões fica publicado em https://www.bas-ai.com/myhealth/legal/versoes, e cada versão aceita permanece arquivada.
1. Como ler este documento
Este documento tem duas partes complementares:
- Parte A — Lista de Subprocessadores (Seção 3): todos os terceiros que tratam dados pessoais em nome da BAS AI, com papel, dados tratados, finalidade, localização/transferência internacional e salvaguardas.
- Parte B — Registro das Operações de Tratamento (ROPA, Seções 4 a 7): o inventário das atividades de tratamento (estilo GDPR Art. 30 / LGPD Art. 37), a matriz finalidade → base legal → retenção, a política de retenção e eliminação, e o procedimento de exclusão de conta/dados.
A BAS AI atua como controlador dos dados pessoais tratados no MyHealth. Os terceiros listados na Parte A atuam como operadores/suboperadores (LGPD Art. 5º, VII) / processors/sub-processors (GDPR Art. 28), tratando dados exclusivamente sob as instruções da BAS AI. São apenas três: Supabase, Anthropic e Resend. Plataformas e fontes que atuam como controladores independentes (Apple, Oura, WHOOP) não são subprocessadores e estão descritas na Seção 3.5.
1.1 Princípios que governam a cadeia de subprocessadores
- Minimização. Cada subprocessador recebe apenas o mínimo de dados necessário à sua função.
- Separação entre identidade e dados clínicos. Os identificadores diretos (PII) ficam cifrados em um cofre (
identity_vault), apartados das tabelas clínicas, que referenciam o titular apenas por um identificador pseudônimo (profile_id). A cifra é criptografia de campo autenticada (AEAD) determinística via pgsodium (AES-256), aplicada a nome, e-mail de contato, telefone e documento nacional. - Tarja on-device antes da IA (best-effort, não de-identificação). Antes de enviar um documento à IA, o app aplica no próprio aparelho uma tarja dirigida aos quatro identificadores diretos do titular (nome, CPF/documento, e-mail e telefone), e é a cópia tarjada que segue para a IA. Essa tarja é best-effort e não é uma de-identificação: quando a tarja roda e nenhum identificador casa, ou quando o cofre de identidade está vazio, o documento original pode seguir; além disso, um laudo pode conter outros identificadores impressos que a tarja não cobre. Por isso recomenda-se não inserir identificação em campos de texto livre.
- Não-treinamento. O fornecedor de IA está contratualmente proibido de usar os dados para treinar ou aprimorar modelos.
- Sem venda de dados. Nenhum dado pessoal é vendido a terceiros.
- Cadeia controlada. Nenhum subprocessador pode contratar novo subprocessador para tratar seus dados sem obrigação contratual equivalente e sem o nosso direito de objeção.
2. Categorias de dados tratados (glossário)
Para uso nas tabelas a seguir:
| Sigla | Categoria | Exemplos |
|---|---|---|
| PII | Identificação direta (cifrada AEAD/AES-256 no identity_vault) | Nome/apelido, e-mail de contato, telefone, documento nacional/CPF |
| PHI | Dados de saúde / sensíveis | Exames e marcadores; condições/sistemas; medicações; alergias; vacinas; consultas; sinais vitais e bioimpedância (peso, gordura, glicemia, pressão, FC); sintomas e queixas; atividade física (incl. treinos de wearable); sono (sessões e fases — sleep_sessions); métricas contínuas de wearable (FC de repouso, HRV, VO2max, passos, energia, temperatura de pele); scores proprietários de provedores de wearable (Oura readiness/sleep/stress/resilience; WHOOP recovery/strain — daily_scores); eventos de dispositivo (ECG — apenas classificação e metadados, nunca o traçado/forma de onda bruta; ritmo irregular; FC alta/baixa; carga de fibrilação atrial; queda detectada — health_events); registro de tomada de medicação (med_intakes); check-in diário de bem-estar; ciclo menstrual e saúde reprodutiva (fluxo, sangramento intermenstrual, teste de ovulação, muco cervical, teste de gravidez — importados do HealthKit para cycle_entries; atividade sexual não é importada); hábitos de vida autodeclarados (tabagismo — incl. anos de tabagismo —, álcool, atividade, percepção de sono e status de menopausa — autodeclarado opt-in, não importado do HealthKit — lifestyle_facts); conversas com o assistente de IA (perguntas e respostas persistidas — chat_messages/conversations); documentos/laudos; história familiar; equipe de cuidados |
| DEMO | Perfil clínico-demográfico pseudônimo | Sexo biológico; idade; ano de nascimento (sem dia/mês) (em profiles, sem PII) |
| LOC | Localidade opcional e idioma | País (country_code — enviado à IA, ver 3.2, para regionalizar a orientação educativa)/estado/cidade; idioma (locale) |
| CONTA | Conta, autenticação e consentimento | Identificador de conta, e-mail/identificador Sign in with Apple, tokens de sessão, fator MFA (TOTP), eventos de consentimento versionados |
| TÉC | Metadados técnicos e de uso | Logs de acesso (metadado, sem conteúdo clínico), dados de uso de-identificados, telemetria de falhas/desempenho |
| PAG | Faturamento de assinatura | Estado da assinatura, recibo/transação (processamento do pagamento é feito pela Apple; a BAS AI não recebe dados de cartão) |
| CONEX | Dados de conexão de wearables | Conexões OAuth (wearable_connections: status, escopos, tokens de acesso/refresh cifrados AES-256-GCM server-side, cursores de sincronização) e estados anti-CSRF (oauth_states). Não são dados de saúde — são dados de conexão, eliminados na desconexão da fonte |
3. Parte A — Lista de Subprocessadores
3.1 Supabase — infraestrutura, banco de dados, armazenamento e autenticação
| Campo | Detalhe |
|---|---|
| Subprocessador | Supabase, Inc. |
| Papel | Operador/suboperador (hosting de backend) |
| Finalidade | Hospedar a infraestrutura do MyHealth: banco de dados (PostgreSQL), armazenamento de documentos/laudos, autenticação de conta e funções de borda. Dá suporte às finalidades clinical_processing e, no roteamento da IA, ai_processing. |
| Dados tratados | PHI estruturado e documentos/laudos (referenciados por profile_id pseudônimo); PII cifrada campo a campo (AEAD determinística via pgsodium, AES-256) no identity_vault; DEMO; LOC; CONTA (incl. fator MFA/TOTP e consent_events); TÉC (logs de acesso access_log). O Supabase opera a infraestrutura, mas não acessa em claro a PII do identity_vault no curso normal de operação (decifragem só via função segura, sob a identidade do próprio usuário). |
| Localização / transferência internacional | Região sa-east-1 (São Paulo, Brasil) — residência de dados no Brasil. Tratamentos administrativos auxiliares (ex.: suporte) podem envolver acesso a partir de outras jurisdições pelo pessoal do subprocessador, sob as salvaguardas abaixo. Por segurança, não se expõem publicamente o ref do projeto nem a chave anon/JWT desta página ou de materiais externos. |
| Salvaguardas | DPA assinado em 2026-06-18, com cláusulas contratuais-padrão (SCC) da UE e salvaguardas equivalentes para eventuais transferências, e mecanismo equivalente sob a LGPD; cifra em trânsito (TLS 1.3, com certificate pinning no app) e em repouso; cifra adicional de campo (pgsodium AEAD/AES-256) sob nossa gestão de chaves; isolamento por Row-Level Security (RLS) por verbo; trilha de auditoria (access_log append-only / pgaudit best-effort); cláusula de NÃO-TREINAMENTO. |
3.2 Anthropic — modelo de linguagem (Claude) para leitura educativa e extração de exames
| Campo | Detalhe |
|---|---|
| Subprocessador | Anthropic, PBC |
| Papel | Operador/suboperador (processamento por IA) |
| Finalidade | Processar, via API Claude, o conteúdo do próprio usuário para: (a) extrair/estruturar documentos e exames; (b) gerar leitura educativa, NÃO-diagnóstica (análise longitudinal do prontuário); e (c) responder ao chat assistente educativo. Mapeia às finalidades ai_processing e, na saída do Brasil para os EUA, intl_transfer. A busca na web existe apenas no chat assistente: o modelo é instruído a usar somente termos clínicos genéricos, sem valores, datas, idade, nomes ou identificadores do usuário — proteção por instrução ao modelo, não por filtro técnico infalível; a busca é executada pela infraestrutura da Anthropic. As funções de análise do prontuário e de extração de documentos não fazem busca na web. |
| Dados tratados | Conteúdo clínico (PHI) do próprio usuário, enviado mediante consentimento de processamento por IA. A Anthropic recebe: a cópia TARJADA da imagem/PDF do documento (não a PII direta — ver 1.1); sexo + idade + país (country_code) e o ano de nascimento (sem dia/mês); e o conteúdo clínico do prontuário na análise longitudinal (marcadores e tendências de exames, medidas e bioimpedância, medicações, vacinas, alergias, sintomas, consultas e anotações, história familiar, atividade física, sono e scores de wearable, eventos de dispositivo — classificação de ECG, ritmo irregular, queda, nunca o traçado bruto —, ciclo menstrual e dados reprodutivos, hábitos de vida autodeclarados — tabagismo (incl. anos de tabagismo)/álcool/atividade/sono/status de menopausa — e tipo sanguíneo). As conversas do chat (perguntas e respostas) também trafegam. A Anthropic NÃO recebe: os identificadores diretos (nome, CPF, e-mail, telefone — cifrados no identity_vault), os contatos do cartão de emergência, dados de conta nem tokens de conexão (CONEX). Ressalva da tarja: a tarja é best-effort; quando ela roda e nada casa, ou o cofre está vazio, o documento original pode seguir, e um laudo pode conter outros identificadores impressos. Quando há fonte de wearable conectada (Seção 3.5), os dados entram como agregados no contexto da análise longitudinal (tendências de sono, FC de repouso, HRV sempre com o método SDNN/rMSSD, passos, energia e scores do provedor rotulados por marca, sem recálculo); não são enviadas séries brutas contínuas (agregação server-side, limite de 90 pontos por métrica). Tratamento transiente; retenção limitada pelo subprocessador (ver Salvaguardas). |
| Localização / transferência internacional | Processamento via API da Anthropic, com infraestrutura nos Estados Unidos. Transferência internacional de dados pessoais sensíveis a partir do Brasil, realizada somente com o consentimento específico do titular, sob as salvaguardas contratuais abaixo. |
| Salvaguardas | Tratamento regido pelos Commercial Terms da Anthropic (em vigor desde 2026-06-17), com cláusulas contratuais-padrão (SCC) para a transferência internacional e mecanismo equivalente sob a LGPD; cláusula de NÃO-TREINAMENTO (entradas e saídas não são usadas para treinar ou aprimorar modelos — compromisso contratual); retenção limitada pelo subprocessador (em regra, exclusão em até ~30 dias, salvo retenção exigida por lei ou para prevenção de abuso); transmissão sob TLS 1.3 com certificate pinning de api.anthropic.com; validação estrita do payload; salvaguardas anti-injeção (cerca de instrução); sem corpo clínico nos logs das nossas Edge Functions. |
3.3 Resend — envio de e-mails transacionais
| Campo | Detalhe |
|---|---|
| Subprocessador | Resend |
| Papel | Operador/suboperador (provedor de e-mail transacional) |
| Finalidade | Entregar e-mails transacionais da conta: código de acesso/OTP de autenticação e avisos operacionais da conta. Não participa de qualquer fluxo clínico ou de IA. |
| Dados tratados | Apenas o e-mail do destinatário e o conteúdo do e-mail (código/aviso). Sem conteúdo de saúde (PHI), sem dados de conta sensíveis além do necessário ao envio, sem PII clínica. |
| Localização / transferência internacional | EUA / global. Transferência internacional. |
| Salvaguardas | DPA em vigor (2026-06-17), com base de transferência por EU-US Data Privacy Framework (DPF) + cláusulas contratuais-padrão (SCC) e mecanismo equivalente sob a LGPD; cláusula de não-treinamento/não-uso secundário; minimização (nenhum dado de saúde é compartilhado); TLS em trânsito. |
RevenueCat NÃO é utilizado. A monetização do MyHealth roda por In-App Purchase nativo (StoreKit) — assinatura e pacotes avulsos (páginas/prompts) —, com a Apple como fornecedor responsável pela transação (merchant of record; ver 3.5). Não há intermediário de assinaturas de terceiros.
3.4 O que NÃO é subprocessador
- O que ocorre no iPhone. A leitura do HealthKit e o cache no aparelho não envolvem terceiros. A tarja dos identificadores do titular ocorre localmente, antes do envio à IA (best-effort — ver 1.1 e 3.2). Não há OCR local nem de-identificação no aparelho.
- Plataforma e fontes que são controladores independentes. Apple (plataforma/IAP/Sign in with Apple/HealthKit) e os provedores de wearable Oura e WHOOP atuam como controladores independentes das suas próprias plataformas — não como operadores da BAS AI (ver Seção 3.5).
- Sem SDK de tracking de terceiros. O app não embarca SDK de publicidade/rastreamento que veja dados de saúde. Hoje não usamos nenhuma ferramenta de analytics ou rastreamento de terceiros; se isso mudar, atualizaremos esta página e a Política de Privacidade antes da ativação, com novo aviso (ver Seção 9).
- Vocabulários/padrões abertos licenciados (LOINC® / UCUM). Para reconhecer o mesmo exame sob nomes/siglas/idiomas diferentes como um único parâmetro (catálogo canônico de marcadores) e padronizar unidades, o app embarca um dicionário de referência derivado do LOINC® (Regenstrief Institute, Inc.) e do UCUM. É conteúdo licenciado embarcado — funciona localmente como uma tabela de consulta. A Regenstrief Institute não recebe qualquer dado pessoal/clínico do titular, não trata dados em nome da BAS AI e não é subprocessadora; trata-se de obrigação de atribuição/licença de propriedade intelectual (cumprida na Política de Privacidade §6.4 e na tela de avisos do app), não de cadeia de tratamento de dados. A LOINC License é gratuita inclusive para uso comercial e exige atribuição visível e acompanhamento das atualizações (~2x/ano).
3.5 Plataforma e fontes de dados — Apple, Oura e WHOOP (controladores independentes; NÃO são subprocessadores)
Estas entidades não tratam dados em nome da BAS AI: cada uma é controladora independente da sua própria plataforma. A Apple é a plataforma de distribuição, autenticação opcional, push e pagamento; Oura e WHOOP são fontes de dados/originadores conectadas pelo próprio titular. O fluxo de wearable é apenas de entrada (do provedor para o prontuário do usuário), mediante conexão OAuth autorizada pelo titular e consentimento específico por fonte (wearable_sync_oura / wearable_sync_whoop, base dupla LGPD Art. 11, I + GDPR Art. 9(2)(a), revogável). O provedor não recebe dados do prontuário.
Apple Inc. — plataforma de distribuição e serviços de SO, fornecedor responsável pela transação (merchant of record) das compras de assinatura e pacotes avulsos via In-App Purchase nativo (StoreKit), provedor de Sign in with Apple (quando escolhido) e de notificações push. O acesso de leitura ao Apple Health (HealthKit) é opcional e ocorre localmente, no dispositivo (consentimento wearable_sync_apple_health) — a Apple não participa do tráfego desses dados ao nosso backend e não recebe a base clínica do MyHealth. No pagamento, a BAS AI não recebe nem armazena dados de cartão. Conformidade com a Apple Guideline 5.1.3 (dados de saúde nunca usados para marketing, compartilhamento com terceiros ou treino de IA) e com as Diretrizes 3.1.1/3.1.2 (compras digitais). Localização: EUA / infraestrutura global da Apple, sob os termos do Apple Developer Program License Agreement.
| Campo | Oura | WHOOP |
|---|---|---|
| Entidade | Oura Health Oy (Finlândia / EEE) — controlador independente; integração sob os termos de API da Oura | WHOOP, Inc. (EUA) — controlador independente; integração sob os Developer Terms do WHOOP |
| Papel | Fonte de dados conectada pelo titular | Fonte de dados conectada pelo titular |
| Dados coletados (conforme escopos autorizados) | Sono (sessões/fases), scores diários (readiness, sleep, activity, stress, resilience), métricas (FC de repouso, HRV rMSSD, temperatura, SpO2, VO2max), atividade diária, treinos | Sono (sessões/fases), scores diários (recovery, strain), métricas (FC de repouso, HRV rMSSD, SpO2, temperatura de pele), treinos |
| Dados de conexão (CONEX) | Tokens OAuth cifrados (AES-256-GCM) só no servidor; o app nunca vê tokens; eliminados na desconexão | Idem |
| Localização / transferência internacional | Coleta a partir da API da Oura (Finlândia/EEE) → armazenamento no Brasil (sa-east-1) | Coleta a partir da API do WHOOP (EUA) → armazenamento no Brasil (sa-east-1) |
| Desconexão / purge | Revogação do token no provedor + consent_events granted=false; o titular escolhe manter ou apagar os dados já importados | Revogação (DELETE /v2/user/access) + consent_events granted=false + purge obrigatório de todos os dados originados do WHOOP (exigência contratual do provedor — sem opção de manter) |
| Salvaguardas / contratos | Termos de API da Oura (cache de 60 dias e base de transferência avaliados); atribuição de marca obrigatória; scores nunca recalculados/combinados | WHOOP Developer Terms (exige Privacy Policy URL e conformidade com brand guidelines); atribuição de marca; proibição de derivação de scores |
O Apple Health (HealthKit) não consta da tabela de wearables com tráfego de rede porque a leitura é local, no dispositivo — não há tráfego de dados entre a Apple e o backend da BAS AI.
4. Parte B — Registro das Operações de Tratamento (ROPA)
Inventário das atividades de tratamento (GDPR Art. 30 / LGPD Art. 37). Os consentimentos por finalidade ficam em registro append-only (consent_events), versionados por policy_version, e as Edge Functions verificam o consentimento em tempo de execução (gate has_active_consent).
| # | Atividade | Categorias de dados | Categorias de titulares | Destinatários / subprocessadores | Transferência internacional |
|---|---|---|---|---|---|
| 1 | Cadastro, autenticação e segurança da conta (MFA TOTP) | CONTA, PII (cifrada) | Usuários adultos; responsáveis legais | Supabase; Resend (e-mail/OTP); Apple (Sign in with Apple — controlador independente) | Não (BR), salvo Resend e Sign in with Apple (EUA/global) |
| 2 | Organização do prontuário (extração, linha do tempo, tendências; rotina diária — tomada de medicação med_intakes e check-in de bem-estar; hábitos de vida lifestyle_facts) | PHI, DEMO, documentos/laudos | Titulares e dependentes (menores) | Supabase | Não (BR) |
| 3 | Leitura educativa e extração de documentos por IA (incl. agregados de wearable, ciclo, hábitos e eventos de dispositivo no contexto da análise longitudinal — ver 3.2) | PHI (conteúdo do próprio usuário, com sexo+idade+país+ano de nascimento); cópia tarjada do documento/imagem na extração | Titulares e dependentes | Anthropic (Claude) | Sim — EUA |
| 4 | Chat assistente educativo por IA (perguntas/respostas persistidas em chat_messages/conversations; busca na web só com termos genéricos — ver 3.2) | PHI (conteúdo do próprio usuário); conversas | Titulares e dependentes | Anthropic (Claude); Supabase (persistência) | Sim — EUA (Anthropic); persistência BR |
| 5 | Compartilhamento familiar (opt-in, somente leitura) | PHI, DEMO | Titular e familiar vinculado | Supabase | Não (BR) |
| 6 | Sincronização Apple Health (HealthKit) — opcional, leitura local no dispositivo, contínua (background delivery) | PHI (medidas, métricas contínuas, sono, treinos, eventos de dispositivo, ciclo/reprodutivo) | Titulares | Leitura local (iPhone); armazenamento Supabase | Não (leitura local; armazenamento BR) |
| 7 | Portabilidade / exportação (FHIR R4, PDF) — inclui dados de wearables, hábitos, conversas de IA e registros de rotina | PHI, DEMO, PII | Titulares e dependentes | Gerado no app/backend; entregue ao titular | Não |
| 8 | Conta, assinatura e pacotes avulsos (In-App Purchase nativo / StoreKit); telemetria de uso e cobrança de IA (ai_usage, credit_ledger) | CONTA, PAG, TÉC (sem PHI no fluxo de pagamento) | Assinantes; responsáveis (cobrança de menor) | Apple (merchant of record — controlador independente); Supabase | Sim — Apple (EUA/global); persistência BR |
| 9 | Aguardando cota/uso disponível — guarda de documento já tarjado sem análise até haver cota ou pacote disponível, com análise automática quando o uso disponível permitir | PHI (cópia tarjada do documento, em repouso) | Titulares e dependentes | Supabase | Não (BR) — a análise por IA (atividade 3) só ocorre quando disparada |
| 10 | Segurança, auditoria e prevenção a abuso | TÉC (metadado de acesso, sem PHI) | Todos os usuários | Supabase | Não (BR) |
| 11 | Telemetria de estabilidade / diagnóstico | TÉC (sem PHI) | Todos os usuários | BAS AI — hoje sem terceiro de observabilidade; se adotado, será listado nesta página antes da ativação | Não (BR) — hoje sem terceiro |
| 12 | Gestão de consentimentos versionados (registro de-vinculado/pseudonimizado — ver 6.7) | CONTA (consent_events) | Todos os usuários | Supabase | Não (BR) |
| 13 | Atestação de idade (age_attestation) — declaração de 18+; bloqueio de cadastro de menor; registro imutável com data/hora do servidor | CONTA | Todos os usuários | Supabase | Não (BR) |
| 14 | Sincronização Oura — conexão OAuth, coleta via API e webhook (sono sleep_sessions, scores daily_scores, métricas, treinos) | PHI (wearable), CONEX | Titulares | Oura Health Oy (fonte/controlador independente — ver 3.5); Supabase | Sim — coleta da Finlândia/EEE → BR |
| 15 | Sincronização WHOOP — conexão OAuth, coleta via API e webhook (sono, recovery/strain, métricas, treinos) | PHI (wearable), CONEX | Titulares | WHOOP, Inc. (fonte/controlador independente — ver 3.5); Supabase | Sim — coleta dos EUA → BR |
| 16 | Gestão de conexões de wearables (tokens cifrados, estado OAuth, revogação e purge na desconexão) | CONEX | Titulares | Supabase (acesso restrito a service_role; o app nunca lê tokens) | Não (BR) |
5. Matriz Finalidade → Base Legal → Retenção
| Finalidade | Base legal LGPD | Base legal GDPR | Retenção |
|---|---|---|---|
Processamento clínico (clinical_processing) — organizar o prontuário | Art. 7, I e Art. 11, I (consentimento específico e destacado para dado sensível) | Art. 6(1)(a) + Art. 9(2)(a) (consentimento explícito) | Enquanto a conta existir; eliminado a pedido (Seção 7) |
Processamento por IA (ai_processing) — extração de documentos, leitura educativa e chat assistente | Art. 7, I e Art. 11, I (consentimento específico) | Art. 6(1)(a) + Art. 9(2)(a) | Processamento transiente na Anthropic, com retenção limitada pelo subprocessador (em regra, exclusão em até ~30 dias); resultado guardado no prontuário enquanto a conta existir; conversas do chat persistidas até exclusão pelo titular |
Transferência internacional (intl_transfer) — saída para a Anthropic/EUA no processamento por IA | Art. 7, I; Art. 11, I; Art. 33 | Art. 6(1)(a) + Art. 9(2)(a); Arts. 44–49 | Transiente; retenção limitada no destino (~30 dias), conforme termos da Anthropic; transferência sob SCC |
Compartilhamento familiar (family_sharing) — opt-in, somente leitura | Art. 7, I e Art. 11, I (consentimento) | Art. 6(1)(a) + Art. 9(2)(a) | Vínculo ativo até revogação; convite expira em 7 dias |
Sincronização de wearables (wearable_sync_apple_health / wearable_sync_oura / wearable_sync_whoop) — consentimento específico por fonte, gravado antes de qualquer leitura/pull | Art. 7, I e Art. 11, I (consentimento específico e destacado; revogável) | Art. 6(1)(a) + Art. 9(2)(a) (consentimento explícito; revogável) | Dados importados: regra geral (enquanto a conta existir). Na desconexão: tokens/conexão (CONEX) sempre eliminados; WHOOP — purge obrigatório dos dados importados (exigência contratual do provedor); Oura/HealthKit — o titular escolhe manter (sob consentimento ativo) ou apagar |
| Dados de menores sob guarda | Art. 14 (melhor interesse; consentimento do responsável) | Art. 6(1)(a)/Art. 8 + Art. 9(2)(a), exercido pelo responsável | Enquanto a conta do responsável existir; eliminado a pedido. A identidade do menor é APAGADA no ato da exclusão (não há trilho fiscal de identidade para menor) |
Atestação de idade (age_attestation) — declaração de 18+ no cadastro | Art. 14 + Lei 15.211/2025 (ECA Digital) | Art. 8 | Registro imutável enquanto a conta existir (prova de conformidade) |
| Conta, assinatura e pacotes avulsos (In-App Purchase) — manter a conta e processar a assinatura e os pacotes avulsos de uso de IA (em regra, 1 página de cota por página de documento); o consumo de IA de um menor é cobrado do responsável | Art. 7, V (execução de contrato); Art. 7, II e Art. 16, I (guarda fiscal obrigatória dos comprovantes) | Art. 6(1)(b); Art. 6(1)(c) (guarda fiscal) | Conta: enquanto existir. Comprovantes fiscais/de faturamento e a identidade mínima de quem transacionou são retidos pelo prazo fiscal da jurisdição mesmo após a exclusão da conta — 5 anos (Brasil, EUA e demais), 6 anos (Reino Unido, Canadá), 10 anos (UE) — ver Seção 6 (duplo-trilho) |
| Segurança, auditoria e prevenção a abuso | Art. 7, II (obrigação legal) e Art. 10 (legítimo interesse) — não Art. 11, II "f" (tutela da saúde) | Art. 6(1)(c) (obrigação legal) e Art. 6(1)(f) (legítimo interesse) — não Art. 9(2)(h) | Logs de acesso (data/hora + IP, metadado sem conteúdo clínico): 6 meses (Marco Civil da Internet, Lei 12.965/2014, art. 15 — piso legal de guarda). Esse piso refere-se a log de acesso, que não é dado de saúde e não justifica reter conteúdo de prontuário |
| Telemetria técnica / estabilidade | Art. 7, IX (legítimo interesse) | Art. 6(1)(f) | Até ~12 meses, por autolimitação de minimização (LGPD art. 6º, III) — política interna do Controlador, não prazo imposto por lei; sem PHI |
Base legal do núcleo clínico (decidida). A base primária de todo o núcleo clínico (organização do prontuário, leitura/extração por IA, chat assistente, transferência internacional, compartilhamento familiar e sincronização de wearables) é o consentimento específico e destacado para dado sensível — LGPD Art. 11, I/II "a" / GDPR Art. 9(2)(a) — coerente com o posicionamento de "prontuário soberano" e revogável a qualquer tempo. Como base subsidiária — restrita à segurança e integridade do tratamento, ao cumprimento de obrigação legal e à execução da própria exclusão de dados — aplicam-se LGPD Art. 7, II e Art. 10 / GDPR Art. 6(1)(c) e (f). NÃO se invoca a hipótese de tutela da saúde (LGPD Art. 11, II "f" / GDPR Art. 9(2)(h)): o GDPR Art. 9(3) condiciona essa base a tratamento por profissional sujeito a sigilo no fluxo, e não há médico no loop do MyHealth — o assistente nunca comunica diagnóstico, prognóstico nem decisão terapêutica.
HIPAA não se aplica. O MyHealth é um produto B2C sob controle do próprio titular; a BAS AI não é covered entity nem business associate da HIPAA. Por isso não publicamos "BAA" nem "HIPAA compliant".
6. Política de Retenção e Eliminação (duplo-trilho)
- Regra geral (trilho clínico). Os dados do prontuário (PHI/DEMO, documentos, conversas de IA, wearables, rotina) são mantidos enquanto a conta existir e o titular quiser manter o prontuário organizado; são eliminados na exclusão da conta (Seção 7).
- Duplo-trilho de identidade. A identidade direta (nome/e-mail, cifrada no
identity_vault) é retida apenas para quem TRANSACIONOU (assinou ou comprou pacotes avulsos), pelo prazo fiscal da jurisdição: 5 anos (Brasil, EUA e demais), 6 anos (Reino Unido, Canadá), 10 anos (UE). Para menores e para não-pagantes, a identidade é APAGADA no ato da exclusão — não há trilho fiscal de identidade. - Comprovantes fiscais. Os comprovantes de faturamento/fiscais (compra de assinatura e pacotes avulsos) seguem o mesmo prazo fiscal da jurisdição acima (Brasil: CTN, arts. 173 e 174), ainda que a conta seja excluída antes.
- Logs de acesso. O
access_log(metadado de auditoria/segurança — quem, quando, qual tabela, ação, IP de origem) é guardado por 6 meses (Marco Civil da Internet, art. 15). É metadado sem conteúdo clínico; esse prazo não justifica reter prontuário. - Processamento por IA. O conteúdo enviado à Anthropic é transiente; o subprocessador o retém por período limitado e então o exclui (em regra, em até ~30 dias), salvo retenção exigida por lei ou para prevenção de abuso. O resultado incorporado ao prontuário segue a regra geral; as conversas do chat assistente ficam guardadas até o titular apagá-las.
- Telemetria técnica. A telemetria de estabilidade/diagnóstico (sem PHI) é mantida por até ~12 meses, por autolimitação de minimização (LGPD art. 6º, III) — política interna do Controlador, não prazo imposto por lei.
- Imutabilidade e de-vinculação dos registros. O
access_logé append-only (UPDATE/DELETE bloqueados por trigger). Osconsent_eventssão de-vinculados/pseudonimizados (chave HMAC mantida fora do banco) — não "anônimos": preservam a prova de quando o consentimento foi concedido/revogado sem reidentificar diretamente o titular. Revogar consentimento é inserir um novo eventogranted=false; a revogação não apaga retroativamente o tratamento já realizado licitamente, mas interrompe o tratamento futuro daquela finalidade. - Eliminação a pedido. A eliminação é executada a pedido do titular (ou do responsável legal, no caso de menores), conforme o procedimento da Seção 7, em até 30 dias.
7. Procedimento de Exclusão de Conta e de Dados
A exclusão de conta está disponível no próprio app (exigência da Apple) e pode também ser solicitada ao Encarregado (dpo@bas-ai.com).
- Solicitação. O titular (ou responsável legal, no caso de dependente menor) inicia a exclusão no app ou por contato com o Encarregado.
- Escopo. A exclusão apaga toda a PHI, os documentos/laudos no Storage, os vínculos de compartilhamento familiar, os dados de wearables e rotina (
sleep_sessions,daily_scores,health_events,med_intakes, medidas comprovider/external_id), os hábitos de vida (lifestyle_facts), as conversas com o assistente de IA (chat_messages/conversations), os registros de uso do Serviço de IA (ai_usage,credit_ledgere correlatos, ressalvada a retenção fiscal de comprovantes de compra), os dados de conexão de wearables (wearable_connections,oauth_states— tokens cifrados) e os dados de conta. As tabelas clínicas têm exclusão em cascata a partir doprofile_id(chaves estrangeirason delete cascade). - Dependentes geridos. A exclusão da conta também apaga os dados dos dependentes geridos (perfis de menores) sob aquela conta. Antes de apagar um menor, o app oferece MIGRAR a guarda do menor a um co-responsável existente — nesse caso, o perfil do menor sobrevive sob o novo responsável, em vez de ser apagado.
- Identidade (duplo-trilho). Se o titular transacionou, sua identidade mínima (nome/e-mail) é retida cifrada apenas pelo prazo fiscal da jurisdição (Seção 6). Se não transacionou — e sempre para menores — a identidade é APAGADA no ato da exclusão.
- Eliminação efetiva. Remoção permanente, em cascata, dos registros e dos documentos; limpeza dos dados em cache no dispositivo no logout/exclusão. A eliminação é permanente, mas não se alega destruição de chaves de cifra (crypto-shredding) nem irreversibilidade absoluta em backups — eventuais cópias de segurança expiram conforme os ciclos de retenção da infraestrutura.
- Retenção mínima legal. Mesmo após a exclusão, mantêm-se: (a) o mínimo de metadado que a lei exige (registro de que a exclusão ocorreu); (b) os logs de acesso pelo piso de 6 meses (Marco Civil, art. 15) — metadado, sem conteúdo clínico; e (c) o trilho fiscal (comprovantes + identidade mínima de quem transacionou) pelo prazo fiscal da jurisdição (Seção 6). Nada disso recompõe o prontuário, que é eliminado.
- Prazo e confirmação. A exclusão é uma operação imediata na base de dados. Não há emissão de recibo automático; o titular pode solicitar a confirmação da conclusão ao Encarregado (DPO) — dpo@bas-ai.com — que responde com base no registro mínimo de exclusão (LGPD art. 6º, X).
- Subprocessadores. A exclusão é propagada à infraestrutura (Supabase). O conteúdo enviado à Anthropic é transiente e retido por período limitado (~30 dias) e então excluído pelo subprocessador, conforme seus termos. Para a Apple (incl. dados de compra/assinatura via In-App Purchase, como controladora independente) e a Resend (e-mail), aplicam-se os mecanismos de exclusão da respectiva plataforma quanto aos dados que cada uma trata. RevenueCat não é utilizado.
- Desconexão de wearable (purge seletivo por provedor, sem excluir a conta). Disponível na tela de Integrações. A desconexão: (a) revoga os tokens junto ao provedor (Oura:
oauth/revoke; WHOOP:DELETE /v2/user/access); (b) elimina os dados de conexão (CONEX); (c) gravaconsent_events granted=falsepara a finalidade da fonte; (d) aplica a política de dados importados — WHOOP: purge obrigatório de todos os dados comsource='whoop'(exigência contratual, verificável por contagem zero); Oura/HealthKit: o titular escolhe manter ou apagar. Eventos de connect/disconnect/purge são registrados em auditoria.
8. Idade mínima e dados de menores
A proteção de crianças e adolescentes observa o Estatuto da Criança e do Adolescente (Lei 8.069/1990), a Lei 15.211/2025 (ECA Digital), o Art. 14 da LGPD, o Art. 8 do GDPR (padrão de referência) e a COPPA (EUA).
- Idade única de 18 anos para conta própria, em qualquer país (ou a maioridade civil do país, se superior). Esse requisito refere-se à titularidade da conta e não se confunde com a idade de consentimento digital autônomo do GDPR (Art. 8, entre 13 e 16 anos conforme o país). A atestação de idade (
age_attestation) é registrada de forma imutável, com data/hora do servidor; o cadastro de menor de 18 com conta própria é bloqueado. - O menor não possui conta nem e-mail próprios: existe apenas como perfil gerenciado (
profiles.kind='minor',profiles.managed_by) dentro da conta de um responsável adulto, que exerce os direitos em nome do menor (LGPD Art. 14). - Multi-guardião. O perfil pode ter mais de um responsável: o principal convida outro adulto por código de convite com prazo de validade. Cada convidado recebe um papel — responsável (vê e edita) ou acompanhante (somente leitura). Toda autorização é verificada no servidor a cada operação (proteção contra acesso indevido a objeto / IDOR). O consentimento relativo ao menor é registrado identificando qual adulto o concedeu. Na exclusão da conta do responsável principal, o app oferece migrar a guarda do menor a um co-responsável existente (ver Seção 7).
- Cobrança. Recursos pagos de IA exigem papel de responsável e são cobrados do adulto responsável que executa a ação; o dependente não tem cota, pacote nem meio de pagamento próprios. O registro de uso permanece vinculado ao perfil do menor para auditoria.
- Os dados de vestíveis e do Apple Saúde nunca seguem o perfil de um menor — são sempre gravados no perfil do titular adulto da conta.
- Aos dados de menores aplicam-se as mesmas proteções (cifra de PII, separação de identidade, não-treinamento da IA) e o melhor interesse da criança/adolescente. A identidade do menor é APAGADA no ato da exclusão (Seção 6).
- EUA (COPPA): o MyHealth não oferece contas a menores nem coleta dados diretamente de crianças; qualquer dado de menor é inserido e controlado por um adulto responsável, que exerce o consentimento parental verificável.
Verificação etária (Lei 15.211/2025 — ECA Digital, em vigor desde 17/03/2026). A verificação de idade é feita por autodeclaração no cadastro, com a atestação registrada no aceite (age_attestation, imutável, com data/hora do servidor).
9. Notificação de novos subprocessadores e direito de objeção
- Due diligence prévia e DPA com obrigações equivalentes (mínimo: não-treinamento; salvaguardas de transferência internacional — cláusulas contratuais-padrão / SCC e mecanismo equivalente sob a LGPD; limites contratuais de retenção quando aplicável).
- Aviso prévio com janela de objeção de 30 dias antes de o novo subprocessador tratar dados, salvo urgência de segurança/continuidade.
- Direito de objeção ao Encarregado (dpo@bas-ai.com); onde a finalidade depende de consentimento (
ai_processing,intl_transfer,family_sharing,wearable_sync_*), o novo tratamento não ocorre sem o consentimento registrado.
10. Direitos do titular (multi-jurisdição)
Independentemente da jurisdição, o titular pode, pelo app ou pelo Encarregado (dpo@bas-ai.com): acessar e exportar seus dados (portabilidade FHIR R4/PDF), corrigir, eliminar (Seção 7), revogar consentimento a qualquer tempo e opor-se a tratamentos baseados em legítimo interesse.
- LGPD (Brasil): direitos do Art. 18 (confirmação, acesso, correção, anonimização/eliminação, portabilidade, informação sobre compartilhamento, revogação).
- GDPR (padrão de referência global): direitos de acesso, retificação, apagamento, limitação, portabilidade e oposição (Arts. 15–21).
- EUA — CCPA/CPRA (Califórnia): direito de saber, excluir, corrigir e de opt-out de "venda"/"compartilhamento" — a BAS AI não vende nem compartilha dados pessoais para publicidade comportamental; não há sinais de rastreamento de terceiros.
- EUA — Washington My Health My Data (MHMDA): os "dados de saúde do consumidor" são tratados mediante consentimento; o titular pode retirar o consentimento e solicitar exclusão; a BAS AI não vende dados de saúde.
- Canadá (PIPEDA + leis provinciais): acesso, correção e retirada de consentimento, com retenção fiscal de 6 anos quando aplicável.
11. Histórico de versões
| Versão | Data | Mudança |
|---|---|---|
| 2.1 | 2026-06-23 | Alinhamento código×política (levantamento autoritativo). (a) Lista de subprocessadores corrigida para três — Supabase, Anthropic e Resend; Apple, Oura e WHOOP reclassificados como controladores independentes/fontes (Seção 3.5), não subprocessadores. (b) DPAs declarados como VIGENTES: Supabase (assinado 2026-06-18, SCC UE + salvaguardas; sa-east-1/Brasil), Anthropic (Commercial Terms 2026-06-17 + SCC; NÃO-TREINO; ~30 dias), Resend (EU-US DPF + SCC, 2026-06-17). (c) Anthropic recebe a CÓPIA TARJADA da imagem/PDF (não a bruta), + sexo+idade+país+ano de nascimento (sem dia/mês), sem identificadores diretos e sem contatos de emergência; tarja on-device best-effort, não de-identificação. (d) Cifra corrigida para AEAD determinística via pgsodium (AES-256). (e) Retenção em duplo-trilho: identidade retida só para quem transacionou (prazo fiscal por jurisdição — 5/6/10 anos); menores e não-pagantes têm identidade apagada na exclusão; consent_events de-vinculado/pseudonimizado (HMAC fora do banco); access_log 6 meses. (f) Exclusão de conta apaga PHI + arquivos + dados de dependentes geridos, com opção de migrar guarda de menor a co-responsável. (g) Nova atividade ROPA Aguardando cota/uso disponível (documento tarjado guardado até haver cota/uso disponível, analisado automaticamente). (h) SaMD/HIPAA explicitados: não é dispositivo médico, IA não verifica interação/contraindicação/alergia×medicamento, HIPAA não se aplica. (i) DPO atualizado para dpo@bas-ai.com; distribuição mundial exceto UE/EEE+Reino Unido; proteções GDPR/UK como base global. policy_version 2.1. |
| 2.0 | 2026-06-22 | Go-live: preços finais, roteamento de modelo de IA atualizado, Legal 2.0. |
| 1.6 | 2026-06-14 | Alinhamento de fato (saúde reprodutiva e contexto da IA). |
| 1.5 | 2026-06-12 | Catálogo canônico de marcadores (LOINC®/UCUM) embarcado — conteúdo licenciado, não subprocessador. |
| 1.4 | 2026-06-11 | Prazos de retenção concretos na ROPA; base legal do núcleo clínico decidida (consentimento primário). |
| 1.3 | 2026-06-11 | Correção de fato: Anthropic = infraestrutura nos EUA; retenção ~30 dias; RevenueCat removido (IAP nativo); Resend adicionado. |
| 1.1 | 2026-06-10 | Integrações de wearables: novas categorias de PHI e CONEX; Oura/WHOOP como fontes; finalidades wearable_sync_*. |
| 1.0 | — | Publicação inicial. Subprocessadores: Supabase (BR) e Anthropic (IA); Apple como plataforma. |
O histórico de versões fica publicado em https://www.bas-ai.com/myhealth/legal/versoes; cada versão aceita permanece arquivada.
Nota de não-diagnóstico. O MyHealth organiza seu histórico de saúde e oferece uma leitura educativa e prudente. Não é dispositivo médico, não faz diagnóstico e não substitui a avaliação de um profissional de saúde. A IA não verifica interações medicamentosas, contraindicações nem cruza alergia com medicamento. Em emergência, procure atendimento médico imediatamente.