Política de Privacidade

Agradecemos por escolher a Cirurgicred!

Para garantir uma experiência segura, eficiente e transparente, apresentamos os Termos e Condições Gerais de Uso e a Política de Privacidade, que regulam os serviços oferecidos pela plataforma Cirurgicred (“nós” ou “Cirurgicred”), desenvolvida e mantida por CIRURGICRED LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob nº 48.834.421/0001-44, com sede em Chapecó-SC, R. Barão do Rio Branco, 841-D, Sala 7 fundos – Centro, CEP 89801-405.

Os Termos de Uso estabelecem as regras e condições aplicáveis à utilização da Cirurgicred e de suas funcionalidades. Já a Política de Privacidade detalha como são coletados, utilizados, armazenados e protegidos os dados pessoais dos usuários, reafirmando nosso compromisso com a segurança da informação e com as disposições da Lei Geral de Proteção de Dados Pessoais (LGPD).

Qualquer pessoa (doravante denominada “usuário”) que pretenda utilizar os serviços oferecidos pela plataforma Cirurgicred deverá aceitar integralmente estes Termos e Condições Gerais de Uso, bem como a Política de Privacidade, eventuais políticas complementares e a legislação vigente.

Ao utilizar a Cirurgicred, você declara estar ciente e de acordo com todas as disposições contratuais e legais aplicáveis, assumindo integral responsabilidade pelos atos praticados dentro da plataforma. Caso não concorde com estes termos, recomendamos que interrompa imediatamente o uso dos serviços.

Seja bem-vindo(a) à Cirurgicred: cirurgia com credibilidade do início ao fim! 

TERMOS DE PRIVACIDADE – PLATAFORMA CIRURGICRED

 

CIRURGICRED LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob nº 48.834.421/0001-44, com sede em Chapecó-SC, R. Barão do Rio Branco, 841-D, Sala 7 fundos – Centro, CEP 89801-405, proprietária da plataforma Cirurgicred, valoriza os limites morais e éticos trazidos pela tecnologia e se preocupa com a privacidade de seus usuários, zelando pela segurança e proteção dos dados pessoais de todos que utilizam a utilizam, sejam usuários, clientes ou parceiros.

Esta Política de Privacidade tem como objetivo demonstrar nosso compromisso com o tratamento adequado, a segurança e a proteção de seus dados pessoais, em um esforço contínuo para equilibrar o respeito à sua privacidade e à oferta dos nossos serviços. Também buscamos, com esta Política, esclarecer os seus direitos em relação aos dados pessoais tratados, assegurados pelas legislações de proteção de dados pessoais, como a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

Para funcionalidades estritamente necessárias, tratamos dados com bases legais adequadas. Para finalidades opcionais, pediremos consentimento específico, que você pode revogar a qualquer momento, sem afetar a licitude do tratamento já realizado.

Caso não entenda nossa Política, podemos ajudá-lo através do e-mail de contato cto@cirurgicred.com.br. Porém, se você não concordar com os Termos de Uso, com a Política de Privacidade e outros documentos ou orientações da plataforma, recomendamos que cesse imediatamente o uso de nossos serviços. Caso opte por essa alternativa, respeitaremos sua decisão e, se for de seu interesse, excluiremos ou anonimizaremos todas as suas informações pessoais de nossa base, exceto se tivermos obrigação legal de mantê-las.

Estamos comprometidos com a proteção dos seus dados pessoais e a sua privacidade, observando nossas obrigações de acordo com a legislação vigente. Recomendamos que leia atentamente esta Política para entender como tratamos seus dados pessoais e como garantimos a segurança de suas informações.

01. CONCEITOS IMPORTANTES EM PRIVACIDADE DA INFORMAÇÃO 

É importante que você saiba do que estamos falando. As definições dos termos que utilizamos nesta Política de Privacidade seguem conforme já definido em nossos Termos de Uso, bem como, complementarmente, através dos conceitos abaixo: 

a) ANPD - AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS: autarquia de natureza especial, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

b) Base Legal: justificativa que autoriza o tratamento do dado pessoal mesmo sem o consentimento do Titular dos dados, Usuário de nosso aplicativo e serviços. Na LGPD – Lei 13.709/2018, você encontra nos artigos 7º e 11º essas justificativas. Você encontra o texto da lei no endereço http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

c) Consentimento: É uma das bases legais que autorizam o tratamento de seus dados. Está definida na Lei Geral de Proteção de Dados como uma “manifestação livre, informada e inequívoca pela qual o acordo titular com o tratamento de seus dados pessoais para uma finalidade específica”. Nem sempre é necessário o consentimento para tratar seus dados, mas respeitaremos sua opção ou oposição ao tratamento de seus dados, se isso não implicar em alguma medida que impeça a continuidade do fornecimento dos serviços. 

d) Dados cadastrais: dados coletados com fins de cadastro (nome, CPF, telefone e e-mail).

e) Dados e informações contábeis e fiscais: dados vinculados à fatura e ao pagamento dos serviços/licenças contratadas para uso dos serviços pelo cliente/usuário.

f) Dados e informações pessoais sobre as atividades dos navegadores dos usuários: geolocalização, endereço IP, cookies, ou outras sequências de caracteres identificáveis ​​e outras informações das transações feitas através do site/aplicativo que direcionam para o usuário ou contratante dos serviços.

g) Dados pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável. A Pessoa Natural é o Titular dos Dados, é a ele/ela a quem se refere os dados pessoais que são objeto de tratamento.

h) Dados pessoais sensíveis: quaisquer dados de pessoas naturais que se refiram a sua origem racial ou étnica, revelam religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, que se refiram à saúde ou à vida sexual, os chamados dados genéticos ou biométricos.

i) Privacidade: conjunto de informações do indivíduo que formam sua personalidade e que só a ele compete decidir se o expõe ou não, a quem ou como divulgar e se pode ou não ser utilizado com finalidade econômica. Devido a nossa função de intermediar o contato entre você/paciente, profissionais médicos e hospitais, coletamos informações que podem comprometer sua privacidade, mas fique tranquilo que garantimos medidas de segurança para proteger essas informações e sua privacidade. 

j) Tratamento de dados pessoais: todas as operações realizadas com dados pessoais, como as relacionadas a coleta, produção, recepção, classificação, uso, acesso, reprodução, transmissão, distribuição, processamento, armazenamento, exclusão, avaliação ou controle de informações, modificação, comunicação , transferência, difusão ou absorção.

k) Cookies: Pequenos arquivos que transferimos para o seu navegador ou dispositivo (como celular ou tablet) para entender melhor como você interage com a Cirurgicred. Eles ajudam, por exemplo, a adaptar o site ao tamanho da sua tela ou a registrar preferências de acesso, proporcionando um serviço mais eficiente.

02. QUEM SOMOS E PAPÉIS NO TRATAMENTO  

2.1 A CIRURGICRED LTDA (CNPJ 48.834.421/0001-44 – R. Barão do Rio Branco, 841-D, sala 07 – fundos, Centro, Chapecó/SC, CEP 89801-405) atua como controladora dos dados pessoais necessários para: (i) operar a plataforma e seus canais (site, e-mail, WhatsApp, CRM), (ii) intermediar a jornada de procedimentos eletivos (pré-orçamento, orçamento final, contratação, pagamentos e repasses) e (iii) cumprir obrigações legais.

Encarregado (DPO): Marcos Kuhn Mazzardo – cto@cirurgicred.com.br – (49) 9 9949-4000.

2.2 Quando o usuário optar por financiamento, a Cirurgicred poderá atuar, antecedendo o envio ao banco, como correspondente bancário/preposto da instituição financeira parceira, sem realizar análise nem decisão de crédito. Nessa frente, a Cirurgicred: coleta e valida documentos estritamente necessários ao encaminhamento da proposta;  atua como operadora (art. 5º, VII, LGPD) em nome da instituição financeira para essas etapas preparatórias; compartilha com a instituição apenas o necessário à análise e formalização do crédito e mantém registros de consentimento quando exigidos.

A instituição financeira é a controladora dos dados de crédito e responsável pelas regras de análise, decisão e gestão do contrato de financiamento. A Cirurgicred não decide sobre aprovação/recusa, limites, taxas ou condições.

2.3 Para cartão, boleto e PIX, gateways/bancos podem atuar como operadores (tratando dados sob nossas instruções) ou como controladores independentes para cumprir obrigações próprias (p.ex., prevenção a fraudes, liquidação e reporte regulatório), conforme suas políticas.

2.4 Médicos e hospitais parceiros são controladores quanto aos dados assistenciais e ao prontuário, no contexto do atendimento clínico. A Cirurgicred não executa ato médico nem guarda prontuário; trata apenas o mínimo necessário para orçamentação, logística e repasses.

2.5 Podemos contratar provedores de infraestrutura, e-mail, CRM, assinatura eletrônica, analytics e verificação de identidade (selfie/liveness), que atuam como operadores vinculados contratualmente a finalidade, confidencialidade e segurança.

03. DADOS TRATADOS 

O conjunto de dados tratados varia conforme perfil do titular (paciente/contratante, médico credenciado, hospital/clínica parceira) e etapa da jornada (pré-orçamento, consulta, orçamento final, contratação, pagamento, repasses e suporte). Tratamos apenas o necessário, observando finalidade, necessidade, transparência e segurança. Salvo indicação em contrário, os dados listados abaixo são fornecidos pelo próprio titular; quando vierem de terceiros legítimos (p.ex., médicos, hospitais, bureaus de crédito e meios de pagamento), isso é indicado.

3.1 Pacientes/contratantes 

(a) Identificação e contato - Nome completo, CPF, RG (ou outro documento oficial), data de nascimento, sexo (quando necessário ao procedimento), estado civil (quando relevante a documentos), filiação (quando exigida por instituições financeiras), e-mail, telefones, endereço completo e cidade/UF. Origem: fornecidos pelo titular; podem ser validados com bases públicas ou comprovantes. (b) Documentos e verificação - Imagens/cópias de RG/CPF/CNH/RNE, selfie/liveness (biometria facial para verificação de identidade), comprovante de endereço, comprovantes de titularidade de conta/cartões. Origem: fornecidos pelo titular e/ou capturados via ferramentas de verificação; retornos de bureaus/consultas a listas públicas (PEP, sanções) quando aplicável. (c) Dados de saúde (dados pessoais sensíveis)- Informações estritamente necessárias à jornada: queixa, procedimento desejado/indicado, histórico clínico relevante, alergias e restrições alimentares, anexos/laudos encaminhados pelo paciente ou pelo médico. Observação: a Cirurgicred não realiza atos médicos nem mantém prontuário; médicos/hospitais são controladores dos dados assistenciais no atendimento clínico. (d) Preferências e parâmetros da jornada- Preferências de contato (e-mail/WhatsApp), opt-in/opt-out de marketing, canais preferidos, janelas de atendimento, município/raio de deslocamento, faixas de custo/parcelamento de interesse. (e) Dados financeiros e de cobrança - Meio de pagamento (cartão/PIX/boleto), dados necessários à liquidação (tokenização de cartão quando houver), status de pagamento, conciliações, estornos/chargeback, histórico de cobranças e comprovantes de pagamento. Quando houver financiamento: rendimento aproximado, profissão/ocupação, comprovantes (contracheque, extrato, IR), score/retornos de análise de crédito informados pela instituição parceira.

Origem: fornecidos pelo titular; transacionais gerados por gateways/bancos; dados de crédito fornecidos pela instituição financeira (controladora do crédito). (f) Conteúdo e documentos enviados- Arquivos anexados (p.ex., documentos, imagens de exames, autorizações), mensagens e informações trocadas com a equipe de atendimento/suporte. (g) Logs de consentimento e aceite- Registros de aceite eletrônicos (data/hora, IP, user-agent, hash/versão do documento), preferências de cookies, registros de double opt-in quando aplicável.

3.2 Médicos credenciados

(a) Identificação e contato profissional- Nome completo, CPF, e-mail, telefones, endereço profissional, especialidade(s), CRM e RQE (quando aplicável), website/perfis profissionais. (b) Credenciamento e compliance- Documentos de habilitação (CRM, RQE, diplomas/certificados), comprovante de endereço, certidões/regularidade quando exigidas, referências profissionais e formulário de credenciamento. (c) Dados bancários e fiscais- Banco, agência, conta/PIX, titularidade, instruções de repasse e conciliação; dados fiscais para NFS-e/NF-e/recibos. (d) Operacional e agenda- Disponibilidade para atendimento, preferências de agenda, especialidades executadas, materiais e requisitos operacionais relevantes à execução do procedimento. Observação: dados assistenciais e prontuário não são tratados pela Cirurgicred; permanecem sob responsabilidade do médico/hospital no âmbito do atendimento clínico.

3.3 Hospitais/Clínicas parceiras

(a) Dados cadastrais da pessoa jurídica- Razão social, CNPJ, nome fantasia, endereço completo, e-mails e telefones institucionais, site e áreas de contato. (b) Representantes e responsáveis-Nome, cargo/função, e-mail e telefone de responsáveis por credenciamento, faturamento, financeiro, operacional e assinaturas contratuais. (c) Contratuais, licenças e compliance- Contratos/termos, alvarás/licenças aplicáveis, CNES (quando cabível), certidões e políticas requeridas por lei/contrato, documentos para auditorias de qualidade/compliance. (d) Financeiro/faturamento e repasses- Dados bancários (banco, agência, conta/PIX, titularidade), parâmetros de faturamento (tabelas/itens), NFS-e/NF-e, notas de débito, memórias de cálculo, comprovantes de repasse e conciliação. (e) Operação do procedimento- Disponibilidade/agenda, reserva de sala, materiais/insumos, rotinas administrativas (check-in/out), contatos de plantão. Quando o parceiro utiliza áreas logadas, portais ou integrações, aplicam-se também os dados técnicos de acesso descritos no item 3.4.

3.4 Dados técnicos de acesso e segurança (aplicável a todos os perfis)

Durante o uso do site, portais/áreas logadas, integrações e comunicações eletrônicas, registramos automaticamente: (a) Telemetria e logs de acesso- Endereço IP, identificador de dispositivo, sistema operacional e navegador (user-agent), idioma, data/hora de acesso, URL de referência, páginas/recursos acessados, eventos de clique/scroll (“clickstream”), desempenho/carregamento, códigos de erro, tokens/session IDs, dados de autenticação e autorização. (b) Cookies/SDKs e tecnologias similares- Necessários (sessão, autenticação, preferências); Desempenho/analytics (métricas de uso – p.ex., Google Analytics); Publicidade (mensuração e remarketing – p.ex., Meta Pixel), somente com consentimento. Preferências e consents são armazenados (p.ex., cookie_consent). (c) Mensageria e e-mail- Metadados técnicos (data/hora de envio/abertura, status de entrega, interação com links) para comunicações transacionais; para promocionais, apenas com consentimento e respeitando opt-out. (d) Segurança, antifraude e PLD-FT- Sinais de risco (mismatch de dados, device fingerprint), tentativas de login, múltiplos acessos, lista de bloqueios, registros de auditoria e incidentes.

3.5 Dados gerados por terceiros e fontes públicas: (a) Financeiras e meios de pagamento Retornos de análise de crédito, status de transações, chargebacks, conciliações e relatórios operacionais fornecidos por instituições financeiras, gateways e bancos (nesses casos, a financeira atua como controladora do crédito). (b) Bureaus/validações e listas públicas-  Validações cadastrais, listas de sanções/PEP, indícios de fraude, dados necessários ao PLD-FT conforme a lei. (c) Médicos e hospitais- Informações estritamente necessárias à orçamentação, logística e repasses (p.ex., indicação do procedimento, disponibilidade/agenda, faturamento), além de documentos fiscais para conciliação. Prontuário e informações assistenciais permanecem com o controlador assistencial (médico/hospital).

3.6 Dados opcionais e minimização: Alguns dados são opcionais (p.ex., preferências de marketing, cookies não necessários) e dependem de consentimento, que pode ser revogado a qualquer tempo. Para dados necessários à execução da jornada (cadastro, orçamentação, contratação, pagamentos, repasses e segurança), a ausência pode inviabilizar a prestação do serviço.

04. FINALIDADE DO TRATAMENTO 

Esta cláusula explica por que tratamos dados pessoais na Cirurgicred e com qual objetivo cada operação é realizada. A LGPD exige que o tratamento tenha finalidades determinadas, explícitas e informadas ao titular (art. 6º, I – finalidade; art. 6º, X – responsabilização e prestação de contas), além de observar necessidade e adequação (art. 6º, II e III).

Assim, descrevemos abaixo o que fazemos com os dados, em quais etapas da jornada e com quais bases legais. Sempre aplicamos minimização, segurança e transparência: somente tratamos o estritamente necessário para viabilizar o serviço, cumprir obrigações legais e proteger titulares e a própria operação.

4.1 Etapas pré-contratuais e de operação da jornada: Receber pré-orçamento, organizar triagem e encaminhar a profissionais/estabelecimentos adequados; Marcar consulta, receber solicitação técnica do médico e confeccionar orçamento final; Registrar histórico de interações e evidências de aceite.

(Bases: execução de contrato/procedimentos preliminares; tutela da saúde; legítimo interesse proporcional).

4.2 Contratação e execução do serviço: Formalização contratual (termos, aceite eletrônico, versão/hash/IP); Coordenação logística com hospital e médico (reserva, insumos, agenda) e orientação administrativa ao paciente. (Bases: execução de contrato; obrigação legal).

4.3 Pagamentos, liquidação e repasses: Processar cartão/PIX/boleto, conciliar, tratar estornos/chargeback; Repasses a médicos/hospitais, memórias de cálculo e documentos fiscais.

(Bases: execução de contrato; obrigação legal/fiscal; proteção do crédito, quando aplicável).

4.4 Financiamento por parceiros: Encaminhar dados para análise/concessão de crédito e receber retornos; Atender exigências de PLD-FT do parceiro financeiro. (Bases: execução de contrato; proteção do crédito; obrigação legal; legítimo interesse antifraude). A instituição financeira é controladora dos dados de crédito conforme sua própria política.

4.5 Atendimento, suporte e reengajamento: Tratar solicitações, dúvidas e tickets; Lembrar etapas pendentes (ex.: envio de documentos, confirmação de agendamento). (Bases: execução de contrato; legítimo interesse).

4.6 Comunicações transacionais (não dependem de consentimento): Confirmações, reagendamentos, status operacionais e cobranças por e-mail/WhatsApp/telefone; Registro de logs técnicos (envio/abertura/click) para auditoria. (Bases: execução de contrato; legítimo interesse para segurança e prova).

4.7 Comunicações promocionais: Conteúdos e ofertas da Cirurgicred; mensuração de campanhas respeitando o banner/centro de preferências. (Base: consentimento, revogável a qualquer tempo).

4.8 Segurança da informação, antifraude e PLD/FT- Verificação de identidade (documentos, selfie/liveness), titularidade de meios de pagamento, consultas a bureaus e listas públicas (PEP/sanções); Monitoramento de risco, device fingerprint, logs de auditoria e resposta a incidentes.

(Bases: legítimo interesse; obrigação legal; proteção da vida/incolumidade quando pertinente).

4.9 Cumprimento de obrigações legais e regulatórias - Fiscais/contábeis; Respostas a autoridades; Exigências de PLD/FT, saúde e consumo. (Base: obrigação legal/regulatória).

4.10 Melhoria contínua, usabilidade e qualidade- Métricas de uso (analytics), testes A/B, pesquisas e análise agregada/anonimizada; Aprimoramento de interface, desempenho e estabilidade.

(Bases: legítimo interesse com salvaguardas; consentimento para cookies/SDKs não necessários).

4.11 Exercício regular de direitos e prevenção de litígios- Constituir, exercer ou defender direitos; Manter evidências (aceites, logs, comunicações). (Bases: exercício regular de direitos; legítimo interesse).

4.12 Gestão de consentimentos e preferências: Registrar opt-in/opt-out, double opt-in, versões e timestamp; Atender pedidos de acesso, correção, exclusão, portabilidade, oposição e revogação. (Bases: obrigação legal; execução de contrato para a resposta).

4.13 Auditorias, compliance contratual e qualificação de rede: Credenciamento e verificação de requisitos de médicos/hospitais (licenças, CNES, certidões), inclusive due diligence; Manutenção de lista de prestadores qualificados. (Bases: execução de contrato; obrigação legal; legítimo interesse – segurança da rede).

4.14 Testes e garantia de qualidade em ambientes controlados- Uso de dados minimizados/anonimizados/mascarados em testes e homologações, com controles de acesso e proibição de reidentificação. (Bases: legítimo interesse; quando houver dados identificáveis, execução de contrato e segurança, com minimização).

4.15 Transferências internacionais e uso de fornecedores: Operar com cloud/infra/analytics fora do Brasil com cláusulas contratuais, avaliações de risco e criptografia; Engajar operadores/subprocessadores (infra, e-mail, CRM, assinatura eletrônica, pagamentos/antifraude) estritamente para estas finalidades. (Bases: execução de contrato; legítimo interesse; obrigação legal quando aplicável).

4.16 Conservação e descarte- Reter dados pelo tempo necessário e pelos prazos legais (ex.: fiscais/contábeis, em regra 5 anos); Anonimizar ou eliminar ao término das bases de retenção; Manter registros essenciais para prova e auditoria em prazos razoáveis. (Bases: obrigação legal; exercício regular de direitos; legítimo interesse – segurança/prova).

4.17 A Cirurgicred não adota decisões exclusivamente automatizadas — inclusive baseadas em perfilamento — que produzam efeitos jurídicos ou que afetem de forma significativa o titular. Os mecanismos automatizados que utilizamos servem apenas como apoio à operação (p.ex. geração de pré-orçamento), com supervisão humana e salvaguardas técnicas e organizacionais.

4.18 Quando terceiros/parceiros (p.ex., instituições financeiras, gateways/antifraude, plataformas de anúncios) realizarem avaliações ou decisões automatizadas em seus próprios processos, eles atuam como controladores dessas decisões e aplicam suas políticas específicas; informaremos, quando aplicável, quem decidiu, para qual finalidade e como contatá-los.

4.19 Direitos do titular (arts. 18 e 20, LGPD): você pode solicitar revisão por pessoa natural de decisões potencialmente automatizadas, obter informações claras sobre os critérios e procedimentos utilizados, contestar a decisão e manifestar oposição, quando cabível. Para exercer seus direitos, entre em contato com o DPO: cto@cirurgicred.com.br. 

 

05. BASES LEGAIS (LGPD) 

A LGPD exige fundamento jurídico válido e finalidades determinadas para cada tratamento. A seguir indicamos as bases legais que amparam as operações descritas nesta Política; a base aplicável pode variar conforme etapa, tipo de dado (comum/sensível) e contexto.

5.1 Execução de contrato e procedimentos preliminares (art. 7º, V)- Cadastro, pré-orçamento/triagem, marcação de consulta, orçamento final, formalização com aceite eletrônico, emissão de cobranças, processamento de pagamentos, repasses e suporte.

5.2 Cumprimento de obrigação legal ou regulatória (art. 7º, II)- Emissão/guarda de documentos fiscais/contábeis, prazos legais de retenção, atendimento a autoridades, registros mínimos exigidos por PLD/FT, saúde e consumo.

5.3 Legítimo interesse (art. 7º, IX)-  Usado com proporcionalidade e avaliação/mitigação de impacto para: segurança da aplicação (logs, auditoria, resposta a incidentes), melhoria de usabilidade/qualidade (analytics essenciais, testes A/B com dados minimizados), reengajamento operacional (não marketing) e credenciamento/qualificação de médicos e hospitais.

5.4 Proteção do crédito (art. 7º, X)-  Quando o titular opta por financiamento, para encaminhar dados à análise/concessão/gestão do crédito e receber retornos da instituição financeira controladora do crédito.

5.5 Prevenção à fraude e segurança- Dados comuns: art. 7º, IX (legítimo interesse) para validações antifraude, checagem de titularidade, device fingerprint, controle de acesso e auditoria. Biometria (selfie/liveness) e sensíveis usados só para identificação/autenticação: art. 11, II, “g”, apenas quando estritamente necessário, com salvaguardas técnicas.

5.6 Dados pessoais sensíveis – (i) Tutela da saúde (art. 11, II, “f”) por profissionais/serviços de saúde — infos indispensáveis à indicação do procedimento, logística assistencial e orçamentação; (ii) obrigação legal e execução de contrato quando o dado sensível for requisito indispensável; (iii) proteção da vida/incolumidade (art. 11, II, “c”) em situações excepcionais. Prontuário e dados assistenciais ficam com médicos/hospitais (controladores assistenciais).

 

5.7 Consentimento (art. 7º, I e art. 11, I)- Marketing (opt-in e, quando aplicável, double opt-in) e cookies/SDKs não necessários (publicidade/remarketing e certas métricas) via banner/centro de preferências. Revogável a qualquer tempo, sem afetar a licitude prévia.

5.8 Exercício regular de direitos (art. 7º, VI; art. 11, II, “d”)- Constituir, exercer ou defender direitos, mantendo provas (aceites eletrônicos, logs, comunicações).

06. COMPARTILHAMENTO DE DADOS  

6.1 Compartilhamos apenas o necessário e para finalidades determinadas:

a) Médicos credenciados e hospitais/clínicas parceiras – dados estritamente operacionais para orçamentação, agendamento, logística e faturamento (não inclui prontuário). b) Instituições financeiras (financiamento) – dados para análise/concessão/gestão de crédito; a IF é controladora do crédito. c) Gateways/bancos e meios de pagamento – processamento de cartão/PIX/boleto, conciliação, antifraude e reporte regulatório (como operadores e/ou controladores, conforme o caso). d) Operadores/subprocessadores – infra em nuvem, e-mail, CRM/WhatsApp Business/Kommo, assinatura eletrônica (p.ex., Clicksign), analytics (p.ex., Google Analytics), pixels de publicidade (p.ex., Meta), verificação de identidade (selfie/liveness), suporte e antifraude.

e) Autoridades públicas – quando houver obrigação legal/ordem.

6.2 Garantias contratuais. Todos os operadores/subprocessadores são vinculados por contratos de proteção de dados, com finalidade, confidencialidade, segurança e auditoria.

07. PRAZOS DE RETENÇÃO E DESCARTE   

7.1 Guardamos dados pessoais apenas pelo tempo necessário para: (i) prestar o serviço e dar suporte à jornada; (ii) cumprir obrigações legais/regulatórias; (iii) exercer direitos em processos administrativos/judiciais; (iv) prevenir fraudes e incidentes de segurança. Encerradas essas finalidades/bases, adotamos exclusão segura ou anonimização.

7.2 Os prazos abaixo refletem critérios operacionais e legais usuais. Podem variar por exigência legal, contratual ou de auditoria. Quando houver conflito, prevalece o maior prazo aplicável.

Contratuais e de jornada (cadastro, orçamentos, contratos/aceites, chamados, comprovantes de prestação)

Até o término da relação + prazos legais para defesa de direitos e auditoria.

 

Financeiros/fiscais (pagamentos, repasses, NFS-e/NF-e, conciliações, memoriais de cálculo)

Prazos legais de guarda fiscal/contábil.

 

Crédito/financiamento (encaminhamentos, retornos da IF, validações exigidas pelo parceiro)

Pelo tempo necessário à análise/contratação/gestão do crédito e prazos legais aplicáveis ao setor financeiro; a instituição financeira mantém seus próprios prazos como controladora.

Antifraude/PLD-FT

Documentos de verificação, selfie/liveness quando usada, logs e evidências): pelo tempo necessário à prevenção/combate à fraude e para comprovação de controles, respeitando exigências legais/contratuais.

 

Saúde (sensíveis) estritamente necessários à jornada administrativa (ex.: indicação de procedimento encaminhada pelo médico, informações indispensáveis para orçamentação/logística)

Pelo tempo mínimo necessário à execução e à defesa de direitos. Prontuário permanece com médicos/hospitais (controladores assistenciais).

 

 

Logs técnicos e de segurança (autenticação, acesso, eventos e auditoria)

Pelo tempo necessário à segurança, investigação de incidentes e conformidade, observadas exigências legais.

Marketing e preferências (opt-in/opt-out, métricas consentidas)

Até a revogação do consentimento ou término da campanha/análise, mantendo-se prova do consentimento por prazo razoável para prestação de contas.

 

Cookies/SDKs não necessários

Conforme configuração do banner/centro de preferências e ciclos técnicos dos provedores; ao revogar, cessamos o uso e ajustamos a coleta.

 

 

Regra prática: Na ausência de prazo específico em lei, contrato ou política setorial, adotamos períodos razoáveis e proporcionais, sempre guiados pelos princípios de necessidade, minimização e finalidade.

7.3 Marco Inicial da contagem: O prazo de retenção inicia no término da relação (p.ex., conclusão do procedimento/repasses, cancelamento do pedido, encerramento do suporte) ou no último evento relevante (p.ex., pagamento, emissão de documento fiscal, resposta a autoridade), conforme o caso.

7.4 Suspensão de prazos (legal hold): Em caso de ordem de autoridade, litígio, auditoria ou investigação de segurança, os prazos de descarte poderão ser temporariamente suspensos até a conclusão do procedimento, preservando-se as evidências necessárias.

7.5 Cópias de segurança (backups): Após a exclusão nos sistemas ativos, registros residuais podem permanecer temporariamente em backups por ciclos limitados, exclusivamente para continuidade de negócios e recuperação de desastres, com acesso restrito e expurgo automático ao final do ciclo.

7.6 Descarte seguro ou anonimização: Encerrada a retenção, aplicamos técnicas adequadas de descarte conforme a mídia/sistema. Quando útil a estatística, melhoria e controle de qualidade, podemos anonimizar dados de forma irreversível (sempre que tecnicamente viável), removendo identificadores diretos e indiretos, com salvaguardas contra reidentificação e separação de chaves/lookup tables.

7.7 Efeitos da revogação de consentimento: A revogação encerra os tratamentos baseados em consentimento para o futuro. Podemos reter provas do consentimento e registros mínimos pelo tempo necessário à prestação de contas, defesa de direitos e cumprimento legal.

7.8 Dados mantidos por terceiros: Parceiros controladores (p.ex., instituições financeiras no crédito; médicos/hospitais no atendimento assistencial) possuem políticas próprias de retenção, que podem exceder os prazos da Cirurgicred. Nesses casos, pedidos de eliminação também devem ser enviados ao respectivo controlador.

7.9 Você pode solicitar exclusão ou anonimização dos seus dados quando cabível (art. 18, VI, LGPD) pelo canal do DPO (cto@cirurgicred.com.br).

08. DIREITOS DO TITULAR E COMO EXERCÊ-LOS    

Nos termos do art. 18 da LGPD, você tem direitos sobre seus dados pessoais tratados pela Cirurgicred. O exercício é gratuito, salvo solicitações manifestamente infundadas ou excessivas (caso em que poderemos cobrar custo administrativo razoável ou recusar, com justificativa).

8.1 Direitos que você possui enquanto titular de um dado: a) Confirmação de tratamento – informar se tratamos ou não seus dados. b) Acesso – fornecer cópia e/ou resumo dos dados que tratamos, em formato claro e acessível. c) Correção – atualizar dados incompletos, inexatos ou desatualizados. d) Anonimização, bloqueio ou eliminação – quando os dados forem desnecessários, excessivos ou tratados em desconformidade com a LGPD. e) Portabilidade – transferir dados a outro fornecedor de serviço/produto, em formato estruturado e interoperável, quando tecnicamente possível e sem afetar segredos comerciais. f) Informação sobre compartilhamentos – as entidades públicas e privadas com as quais realizamos uso compartilhado de dados. g) Informação sobre a possibilidade de não consentir e sobre as consequências da negativa quando o tratamento depender de consentimento. h) Revogação do consentimento – a qualquer tempo, com efeitos ex nunc (para o futuro). i) Oposição – contestar tratamento realizado com fundamento em legítimo interesse quando houver descumprimento da LGPD.

j) Revisão de decisões potencialmente automatizadas e explicações (art. 20), quando aplicável.

 

 

 

8.2 Para exercer qualquer um dos direitos acima elencados envie seu pedido ao Encarregado (DPO) pelo e-mail cto@cirurgicred.com.br. Para agilizar, inclua: nome completo, CPF, meios de contato, direito que deseja exercer e, quando relevante, detalhes do contexto (ex.: número de orçamento, data aproximada, canal utilizado).

8.3 Verificação de identidade e representação: Para proteger você, poderemos verificar sua identidade (p.ex., confirmação por e-mail/telefone ou solicitação de documento). Menores de 18 anos: o pedido deve ser feito pelo responsável legal. Representantes/procuradores: anexar prova de representação válida (p.ex., procuração).

8.4 Confirmamos o recebimento imediatamente e enviamos resposta em até 15 dias. Em casos complexos (ex.: portabilidade que dependa de terceiros), informaremos o andamento e a justificativa para eventual dilação.

8.5 Podemos limitar ou recusar pedidos quando: (i) o atendimento violar segredos comerciais/intelectuais ou direitos/liberdades de terceiros; (ii) houver obrigação legal/regulatória de manter dados; (iii) o pedido for manifestamente infundado ou excessivo; (iv) a identificação do solicitante não puder ser confirmada. Em qualquer hipótese, justificaremos o motivo.

8.6 Quando você pedir eliminação, analisaremos restrições legais/contratuais (Seção de Retenção). Manteremos registros mínimos necessários à prestação de contas, defesa de direitos e cumprimento de obrigações.

8.7 Se considerar necessário, você pode reclamar junto à Autoridade Nacional de Proteção de Dados – ANPD, sem prejuízo de outras vias administrativas ou judiciais.

09. ATUALIZAÇÕES, VIGÊNCIA E CONTATOS 

9.1 A Cirurgicred poderá atualizar esta Política a qualquer tempo para refletir mudanças legais, regulatórias, tecnológicas ou operacionais, bem como ajustes em processos internos e fornecedores. A nova versão trará data de atualização e controle de versão no rodapé; Publicaremos a versão vigente em nossos canais oficiais (site e, quando aplicável, app/portal); Havendo alterações materiais (p.ex., novas finalidades, novos compartilhamentos relevantes, mudança de base legal ou impacto nos seus direitos), exibiremos aviso destacado e, quando a LGPD exigir, renovaremos consentimentos; Manteremos, quando cabível, registro das versões anteriores para fins de transparência e prestação de contas.

9.2 A Política entra em vigor na data indicada na própria página/rodapé; Alterações que exijam consentimento só produzirão efeitos após o seu opt-in.

9.3 Esta Política complementa os Termos de Uso e demais documentos aplicáveis. Em caso de conflito, prevalece a regra mais específica (p.ex., contrato com a instituição financeira para crédito; normativos médicos para prontuário). Referências a leis (como LGPD) consideram suas atualizações e regulamentações da ANPD.

9.4  Para exercer direitos (acesso, correção, eliminação, oposição, portabilidade, revogação de consentimento, revisão de decisões), escreva para o DPO no e-mail acima; Informe nome completo, CPF e detalhes do pedido (ex.: número de orçamento, data aproximada, canal). Poderemos solicitar verificação de identidade para sua proteção; Confirmamos o recebimento imediatamente e respondemos em até 15 dias, salvo complexidade justificada.

Atenção: A segurança também depende do uso adequado pelos usuários (manter dispositivos atualizados, não compartilhar senhas, verificar remetentes, usar apenas canais oficiais). Em caso de suspeita de fraude, perda de credenciais ou atividade incomum, contate-nos.

 

Controladora: CIRURGICRED LTDA – CNPJ 48.834.421/0001-44 – R. Barão do Rio Branco, 841-D, sala 07 (fundos), Centro, Chapecó/SC, CEP 89801-405.

Encarregado (DPO): Marcos Kuhn Mazzardo – cto@cirurgicred.com.br – (49) 9 9949-4000.

 

Autoridade Nacional (ANPD): Esplanada dos Ministérios, Bloco C, 2º andar, Brasília/DF, CEP 70.046-900.

 

v. 01 – 18/setembro/2025 – Termos de Privacidade CIRURGICRED