MedtorMedtor

Política de Privacidade

Última atualização: 18/02/2026

1. Quem Somos

A Medtor é uma plataforma digital com sede em São Paulo/SP – Brasil, acessível pelo site https://medtor.app.

Para fins da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD), a Medtor pode atuar como Operadora de Dados, tratando informações pessoais em nome de médicos e clínicas que utilizam a plataforma.

Contato e DPO: hello@medtor.app

2. Como Atuamos no Tratamento de Dados

A Medtor atua em DOIS PAPÉIS DISTINTOS conforme a natureza dos dados:

2.1 Medtor como CONTROLADORA de Dados

Para os seguintes dados, a Medtor é a CONTROLADORA, tomando decisões sobre finalidades e meios de tratamento:

  • Dados cadastrais do médico usuário (nome, e-mail, CRM)
  • Dados de pagamento e faturamento
  • Dados de uso da plataforma (logs, analytics)
  • Cookies e dados de navegação

Nesses casos, a Medtor é diretamente responsável pelo tratamento e responde às solicitações dos titulares.

2.2 Medtor como OPERADORA de Dados

Para dados clínicos dos pacientes, a Medtor atua como OPERADORA de Dados, tratando informações sob instruções do médico ou clínica (CONTROLADOR):

  • Áudio de consultas
  • Transcrições clínicas
  • Dados de saúde inseridos pelo médico
  • Informações relacionadas ao atendimento médico

Nesses casos:

  • O médico é o Controlador e responsável pelas decisões sobre o tratamento
  • A Medtor apenas fornece infraestrutura tecnológica
  • O tratamento ocorre conforme contrato firmado (Termo de Processamento de Dados - DPA, disponível no Anexo I dos Termos de Uso)
  • Solicitações de titulares (pacientes) serão encaminhadas ao médico Controlador

3. Dados dos Pacientes e Consentimento Informado

3.1 Responsabilidade do Médico Usuário

O médico usuário da Medtor é o CONTROLADOR dos dados pessoais de seus pacientes e tem as seguintes obrigações:

  1. Obter consentimento prévio, livre, informado e inequívoco do paciente antes de utilizar a Medtor durante a consulta, especialmente para:

    • Gravação de áudio da consulta
    • Processamento e transcrição do áudio
    • Armazenamento de dados clínicos na plataforma

  2. Informar claramente ao paciente:

    • Que a consulta será gravada
    • Que os dados serão processados por plataforma de terceiro (Medtor)
    • Finalidades do tratamento
    • Direitos do paciente
    • Direito de recusa sem prejuízo ao atendimento

  3. Documentar o consentimento de forma adequada.

  4. Respeitar a recusa do paciente, oferecendo atendimento alternativo sem uso da plataforma.

3.2 Modelo de Consentimento

A Medtor disponibiliza modelo de Termo de Consentimento em conformidade com LGPD e Código de Ética Médica, acessível em Consentimento do Paciente.

3.3 Direito de Recusa

O paciente pode, a qualquer momento, recusar ou revogar o consentimento para gravação e processamento de dados pela plataforma. Nesse caso, o médico deve interromper o uso da Medtor naquele atendimento.

4. Dados que Coletamos

Dados Cadastrais

  • Nome completo
  • Endereço de e-mail
  • Número de registro profissional (CRM)
  • Informações necessárias para faturamento
  • Senha (armazenada de forma criptografada)

Finalidade: criação e administração da conta do usuário.
Base legal: execução de contrato.

Dados Clínicos (tratados em nome do médico)

  • Áudio de consultas
  • Transcrições clínicas
  • Dados de saúde inseridos na plataforma
  • Informações biomédicas eventualmente captadas por recursos de áudio

Finalidade: Apoiar a organização e documentação da consulta médica; assistência terapêutica.

Base legal: Art. 11, I, LGPD - Consentimento específico e destacado do titular (paciente), obtido pelo médico usuário (Controlador).

Importante: O médico é obrigado a obter este consentimento ANTES de utilizar a plataforma para gravar e processar dados do paciente. A Medtor não tem autorização legal para tratar dados de saúde sem que o médico tenha obtido previamente o consentimento do paciente.

Papel da Medtor: Operadora de Dados, atuando sob instruções do médico Controlador conforme Termo de Processamento de Dados (DPA).

Nota importante: O médico usuário é responsável por obter o consentimento do paciente antes de utilizar a plataforma. A Medtor não se responsabiliza por tratamento de dados realizado sem consentimento adequado do titular.

Dados Financeiros

  • Token de pagamento fornecido pela Stripe
  • Histórico de cobranças e plano contratado

Finalidade: processamento de pagamento e gestão da assinatura.
Base legal: execução de contrato e obrigação legal.

Dados de Uso

  • Registros de acesso
  • Eventos e logs de utilização
  • Páginas acessadas
  • Funcionalidades utilizadas
  • Informações técnicas do dispositivo e navegador

Finalidade: segurança, prevenção a fraudes, estabilidade da plataforma e melhoria contínua.
Base legal: legítimo interesse.

Dados de Marketing e Navegação

  • Endereço IP
  • Identificadores de navegação (_ga)
  • Informações de origem de tráfego

Finalidade: análise estatística de uso da plataforma.
Base legal: consentimento.

5. Bases Legais Utilizadas

Utilizamos as seguintes bases legais previstas na LGPD:

  • Execução de contrato – para fornecer a plataforma e seus recursos
  • Consentimento – para utilização de cookies analíticos e tratamento de dados de saúde dos pacientes (obtido pelo médico)
  • Legítimo interesse – para segurança, prevenção a fraudes e melhoria do serviço
  • Obrigação legal – para retenção fiscal e contábil

6. Compartilhamento com Terceiros

A Medtor compartilha dados apenas quando necessário para a prestação do serviço.

Utilizamos os seguintes parceiros:

  • Stripe – processamento de pagamentos
  • Google Analytics – análise de métricas de uso (apenas dados agregados do médico)
  • Amazon Web Services (AWS) – infraestrutura e armazenamento

Esses parceiros atuam como operadores de dados e seguem padrões adequados de segurança e proteção, estando vinculados contratualmente a obrigações de proteção de dados equivalentes.

7. Transferência Internacional

7.1 Localização dos Servidores

Os dados pessoais e dados pessoais sensíveis tratados pela Medtor são armazenados em servidores da Amazon Web Services (AWS) localizados na região us-east-1 (Estados Unidos).

A transferência internacional é realizada em conformidade com o Art. 33 da LGPD, que permite transferência internacional quando o controlador oferece "garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei".

7.3 Salvaguardas Adotadas

Para garantir proteção adequada aos dados transferidos, a Medtor adota as seguintes salvaguardas:

a) Contrato de Processamento de Dados (DPA) com AWS:

  • Firmado conforme requisitos da LGPD
  • Inclui cláusulas contratuais específicas de proteção de dados
  • Garante que a AWS aplicará padrões de segurança compatíveis com legislação brasileira
  • Disponível para consulta mediante solicitação para hello@medtor.app

b) Certificações de Segurança da AWS:

  • ISO/IEC 27001 (Gestão de Segurança da Informação)
  • ISO/IEC 27017 (Segurança da Informação em Computação em Nuvem)
  • ISO/IEC 27018 (Proteção de Dados Pessoais em Nuvem)
  • SOC 2 Type II (Controles de Segurança, Disponibilidade e Confidencialidade)

c) Medidas Técnicas:

  • Criptografia em trânsito (TLS 1.2 ou superior)
  • Criptografia em repouso (AES-256)
  • Controle de acesso restrito
  • Monitoramento contínuo de segurança

7.4 Informação sobre Adequação do País

Aviso: Informamos que os Estados Unidos não possuem decisão de adequação emitida pela Autoridade Nacional de Proteção de Dados (ANPD), o que significa que o país de destino não foi formalmente reconhecido como oferecendo nível de proteção equivalente ao brasileiro.

Portanto, a transferência se baseia exclusivamente nas salvaguardas contratuais e técnicas mencionadas acima.

7.5 Riscos Associados

Nota importante: Embora as salvaguardas adotadas sejam adequadas, há riscos inerentes à transferência de dados para os Estados Unidos, incluindo:

  • Possibilidade de acesso por autoridades governamentais estrangeiras em certas circunstâncias (ex: CLOUD Act)
  • Diferenças no regime jurídico de proteção de dados

Estes riscos são mitigados pelas salvaguardas contratuais e técnicas, mas não podem ser completamente eliminados.

7.6 Direito de Obter Informações

O titular (médico ou paciente) tem direito a:

  • Obter informações detalhadas sobre as garantias adotadas
  • Solicitar cópia do DPA firmado com a AWS
  • Questionar a transferência internacional

Como exercer: Enviar e-mail para hello@medtor.app

7.7 Oposição à Transferência

Nos termos do Art. 18, §2º, LGPD, o titular pode se opor ao tratamento de dados realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

Em caso de oposição à transferência internacional:

  • Para médicos (dados cadastrais): Infelizmente não será possível utilizar a plataforma, pois a transferência é necessária para prestação do serviço
  • Para pacientes (dados de saúde): O médico (Controlador) deve ser contactado para avaliar alternativas (ex: não usar a plataforma para aquele paciente)

8. Retenção de Dados

Os dados são mantidos apenas pelo tempo necessário para cumprir suas finalidades.

Em geral:

  • Dados da conta permanecem enquanto a assinatura estiver ativa.
  • Contas inativas podem ser mantidas por até 24 meses.
  • Logs técnicos são armazenados por até 180 dias.
  • Informações fiscais são mantidas por 5 anos, conforme obrigação legal.
  • Backups de segurança podem ser mantidos por até 90 dias após a eliminação dos dados da base ativa. Os backups são criptografados e acessíveis apenas para fins de recuperação de desastres.
  • Em caso de solicitação de eliminação de dados pelo titular (Art. 18, VI, LGPD), os dados serão eliminados da base ativa imediatamente e dos backups assim que tecnicamente viável, respeitando o ciclo de rotação de backups de até 90 dias.

9. Segurança da Informação

Adotamos medidas técnicas e organizacionais para proteger os dados, incluindo:

  • Criptografia em trânsito: TLS 1.2 ou superior
  • Criptografia em repouso: AES-256
  • Gestão de chaves: AWS Key Management Service (KMS) com controle de acesso restrito
  • Controle de acesso: Limitado a engenheiros autorizados mediante logs de auditoria; acesso a dados de saúde apenas em casos excepcionais de suporte técnico, com consentimento do médico
  • Monitoramento e logs de auditoria
  • Backups periódicos
  • Revisões regulares de segurança

9.5 Resposta a Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano aos titulares (médicos ou pacientes), a Medtor:

  1. Investigará o incidente em até 24 horas após detecção
  2. Notificará a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, quando o incidente apresentar risco relevante
  3. Comunicará os titulares afetados quando houver risco de dano.

Nota importante: O prazo de comunicação é de até 72 horas após confirmação do incidente, salvo se houver justificativa razoável para ampliação do prazo.

10. Direitos do Titular de Dados

Nos termos da Lei Geral de Proteção de Dados (LGPD, Art. 18), o titular de dados pessoais tem direito a obter da Medtor, a qualquer momento e mediante requisição:

10.1 Direitos Garantidos

I - Confirmação da existência de tratamento
Você pode confirmar se a Medtor está tratando dados pessoais seus.

II - Acesso aos dados
Você pode acessar todos os dados pessoais que a Medtor possui sobre você.

III - Correção de dados incompletos, inexatos ou desatualizados
Você pode solicitar a correção de informações incorretas.

IV - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
Você pode solicitar que dados inadequados sejam anonimizados, bloqueados ou eliminados.

V - Portabilidade dos dados
Você pode solicitar seus dados em formato estruturado e interoperável para transferi-los a outro fornecedor de serviço. A Medtor disponibiliza exportação em formatos JSON e CSV.

VI - Eliminação dos dados
Você pode solicitar a eliminação dos dados pessoais tratados com seu consentimento, observadas as hipóteses de retenção previstas em lei.

VII - Informação sobre compartilhamento
Você pode obter informação sobre com quais entidades públicas e privadas a Medtor compartilhou seus dados.

VIII - Informação sobre possibilidade de não fornecer consentimento
Você pode ser informado sobre as consequências de não fornecer consentimento.

IX - Revogação do consentimento
Você pode revogar consentimento fornecido anteriormente, mediante manifestação expressa.

10.2 Como Exercer Seus Direitos

Canais de Solicitação:

Informações necessárias na solicitação:

  • Nome completo
  • E-mail cadastrado ou CPF
  • Tipo de direito que deseja exercer
  • Descrição específica da solicitação

Prazos de Atendimento:

  • Confirmação de recebimento: até 24 horas
  • Resposta à solicitação: até 15 dias corridos
  • Prazo pode ser prorrogado por mais 10 dias mediante justificativa e comunicação ao titular

10.3 Solicitações Relacionadas a Dados Cadastrais do Médico (Medtor como Controladora)

Quando a solicitação se referir a dados cadastrais do médico usuário (nome, e-mail, CRM, dados de pagamento, dados de uso), a Medtor é a Controladora e responderá diretamente.

Procedimento:

  1. Titular envia solicitação para hello@medtor.app
  2. Medtor verifica identidade do solicitante
  3. Medtor atende solicitação dentro do prazo (15 dias)
  4. Titular é informado sobre ação tomada

10.4 Solicitações Relacionadas a Dados Clínicos do Paciente (Medtor como Operadora)

Quando a solicitação se referir a dados clínicos do paciente (áudios, transcrições, dados de saúde inseridos pelo médico), a Medtor atua como Operadora de dados e o médico é o Controlador.

Procedimento:

Passo 1 - Recebimento (Medtor)

  • Paciente envia solicitação para hello@medtor.app
  • Medtor confirma recebimento em até 24 horas

Passo 2 - Identificação e Encaminhamento (Medtor)

  • Medtor identifica o médico responsável (Controlador) pelos dados
  • Medtor encaminha a solicitação ao médico em até 2 dias úteis
  • Médico recebe notificação via e-mail e na plataforma

Passo 3 - Resposta (Médico)

  • Médico tem 13 dias corridos para responder ao paciente (total de 15 dias desde solicitação inicial)
  • Médico pode solicitar assistência técnica da Medtor (ex: como exportar dados, como eliminar)
  • Médico responde diretamente ao paciente, com cópia para a Medtor

Passo 4 - Acompanhamento (Medtor)

  • Medtor acompanha se médico respondeu no prazo
  • Se médico não responder em 13 dias, Medtor entra em contato com ele
  • Se médico permanecer inerte, Medtor pode:
    • Tomar ação técnica aplicável (ex: eliminar dados do paciente da plataforma, quando solicitada eliminação)
    • Informar o paciente que a solicitação foi encaminhada ao médico e que a Medtor tomou medidas subsidiárias

Importante: A Medtor, como Operadora, permanece corresponsável pelo atendimento adequado das solicitações de titulares e poderá ser contatada em caso de não atendimento pelo médico.

10.5 Responsabilidade da Medtor como Operadora

Embora o médico seja o Controlador dos dados clínicos, a Medtor, como Operadora, tem responsabilidades legais, incluindo:

  • Prestar assistência técnica ao médico para atendimento de solicitações
  • Garantir que a plataforma ofereça funcionalidades adequadas (exportação, eliminação)
  • Tomar medidas subsidiárias em caso de inércia do médico
  • Responder solidariamente em caso de descumprimento de obrigações da LGPD

Portanto, pacientes podem contactar a Medtor mesmo quando o médico é o Controlador, e a Medtor facilitará o atendimento.

10.6 Custos

O exercício dos direitos dos titulares é gratuito.

A Medtor pode cobrar valores razoáveis apenas quando:

  • Solicitações forem manifestamente infundadas ou excessivas (Art. 18, §6º, LGPD)
  • Houver necessidade de mobilização desproporcional de recursos

Nestes casos, a cobrança será justificada e informada previamente ao titular.

10.7 Recusa de Atendimento

A Medtor pode recusar solicitações manifestamente infundadas ou excessivas, ou quando:

  • Impossibilite o tratamento para cumprimento de obrigação legal ou regulatória (ex: retenção fiscal)
  • Impossibilite o tratamento para exercício regular de direitos (ex: dados necessários para defesa em processo judicial)
  • A solicitação não puder ser atendida por impossibilidade técnica devidamente justificada

Em caso de recusa, a Medtor informará o titular sobre os motivos e sobre o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).

10.8 Reclamação à ANPD

Você tem direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) se considerar que seus direitos não foram adequadamente atendidos.

Contato da ANPD:

  • Site: https://www.gov.br/anpd

11. Cookies

Utilizamos cookies para melhorar a experiência do usuário e analisar o uso da plataforma.

Tipos de cookies:

  • Essenciais: Necessários para funcionamento básico (login, segurança). Não requerem consentimento.
  • Analíticos: Google Analytics para estatísticas de uso. Requerem consentimento.

Ao acessar o site, você será solicitado a consentir com o uso de cookies não essenciais.

Você pode gerenciar suas preferências de cookies a qualquer momento através das configurações do seu navegador.

12. Menores de Idade

A plataforma é destinada exclusivamente a maiores de 18 anos (médicos habilitados).

Nota importante: Quanto aos dados de pacientes menores de idade: o médico (Controlador) deve obter consentimento do responsável legal do menor, conforme Código Civil e Estatuto da Criança e do Adolescente (ECA).

13. Alterações desta Política

Esta Política poderá ser atualizada periodicamente. A versão mais recente estará sempre disponível no site.

Alterações serão notificadas com 30 dias de antecedência via e-mail e publicação no site.

14. Contato

Para dúvidas, solicitações ou para exercer seus direitos como titular de dados pessoais, entre em contato com a Medtor:

E-mail: hello@medtor.app

Encarregado de Proteção de Dados (DPO): hello@medtor.app

Responderemos o mais breve possível e, quando aplicável, em até 15 (quinze) dias úteis, nos termos da Lei Geral de Proteção de Dados.

Caso entenda que seus direitos não foram atendidos, você poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).