Protocolares
Protocolares

Política de Privacidade

Versão 2.1 · Vigente desde 29/05/2026

Esta Política de Privacidade rege o tratamento de dados pessoais realizado por meio da plataforma Protocolares, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018). Aplica-se a todos os usuários do sistema e aos titulares dos dados tratados.

1 Identificação das Partes

Controlador

A Secretaria Municipal de Saúde do município contratante da plataforma, representada pelos seus gestores públicos, é a Controladora dos dados pessoais nos termos do art. 5º, VI da LGPD. Ela determina as finalidades e os meios do tratamento e é a responsável perante os titulares e os órgãos de controle.

Operador

A Aplicares (42.528.576/0001-76) é a Operadora de Dados nos termos do art. 5º, VII da LGPD. Ela realiza o tratamento de dados em nome e por conta do Controlador, incluindo hospedagem da plataforma, manutenção da infraestrutura, suporte técnico, monitoramento operacional e manutenção corretiva e evolutiva do sistema. A Aplicares trata dados pessoais exclusivamente segundo as instruções do Controlador e nas hipóteses previstas nesta política e no Contrato de Prestação de Serviços firmado entre as partes.

Agentes Autorizados do Controlador

Os servidores, agentes comunitários, controladores, reguladores e demais colaboradores credenciados pela Secretaria Municipal de Saúde que utilizam a plataforma no exercício de suas funções são operadores internos sob responsabilidade direta do Controlador. Estão sujeitos às obrigações de sigilo e proteção de dados previstas na LGPD, na legislação do serviço público e nos Termos de Uso da plataforma.

2 Dados Pessoais Tratados

A plataforma trata as seguintes categorias de dados pessoais dos pacientes e usuários:

Pacientes (Titulares)

  • Nome completo, CPF, Nº SUS, nome do pai, nome da mãe, data de nascimento e sexo;
  • Telefone e endereço residencial;
  • Dados de saúde: especialidade, unidade, histórico de solicitações, exames, prioridade clínica e situação de atendimento;
  • Informações de vínculo com Programa de Saúde da Família (PSF).

Usuários do Sistema

  • Nome, e-mail funcional e telefone;
  • Cargo, setor e perfil de acesso;
  • Logs de acesso e ações realizadas no sistema;
  • Dados de autenticação (hash de senha, método de 2FA, timestamps de sessão).

3 Dados Pessoais Sensíveis de Saúde

Os dados de saúde dos pacientes constituem dados pessoais sensíveis na forma do art. 5º, II da LGPD e recebem proteção reforçada. Seu tratamento é realizado com base no art. 11, II, b da LGPD - tutela da saúde em procedimento realizado por profissionais de saúde ou entidades sanitárias - e observa o princípio da necessidade, sendo limitado ao mínimo indispensável para a finalidade de gestão das filas de regulação.

4 Finalidade e Base Legal

O tratamento de dados tem como finalidade exclusiva a gestão das filas de marcação, regulação de consultas e exames e monitoramento dos serviços de saúde do município, no âmbito do Sistema Único de Saúde (SUS).

Tratamento Base Legal (LGPD)
Gestão de filas e regulação de consultas e exames Art. 7º, III e VI; Art. 11, II, b
Autenticação e controle de acesso de usuários Art. 7º, II (obrigação legal); Art. 46
Registro de logs e auditoria de ações Art. 7º, II; Art. 37 (registros de operações)
Suporte técnico e manutenção pelo Operador Art. 7º, II; Art. 39 (instruções do Controlador)
Geração de relatórios e indicadores de saúde Art. 7º, III e VI; Art. 11, II, b

5 Acesso Técnico pelo Operador (Aplicares)

Na qualidade de Operadora, a Aplicares pode ter acesso a dados pessoais armazenados na plataforma nas seguintes situações, sempre de forma fundamentada e rastreável:

  • Hospedagem e infraestrutura: os dados são armazenados em servidores gerenciados ou contratados pela Aplicares em nome do Controlador;
  • Suporte técnico e manutenção: para diagnóstico de falhas, restauração de backups ou correção de inconsistências, mediante solicitação ou autorização do Controlador;
  • Monitoramento operacional: análise de logs de desempenho, disponibilidade e segurança do sistema para garantia dos níveis de serviço (SLA);
  • Manutenção corretiva e evolutiva: atualização de versões, correção de bugs e melhorias que eventualmente envolvam acesso ao ambiente de produção.

Todo acesso técnico da Aplicares é regido pelo princípio da minimização: limita-se ao estritamente necessário, é registrado em logs internos e não pode ser utilizado para finalidades alheias às instruções do Controlador. A Aplicares mantém seus colaboradores com acesso a dados pessoais vinculados a obrigações contratuais e legais de sigilo e confidencialidade.

6 Minimização e Controle de Acesso

O sistema implementa o princípio da minimização de acesso por meio de controles técnicos:

  • Perfis de acesso granulares: cada usuário acessa apenas as funcionalidades e dados compatíveis com seu perfil (Super Usuário, Administrador, Controlador, Gestor e PSF);
  • Segregação por setor e município: as consultas são automaticamente limitadas ao setor e ao município do usuário autenticado;
  • Segregação por programa PSF: usuários com perfil PSF visualizam apenas pacientes vinculados ao seu programa de saúde da família.

7 Rastreabilidade e Registros de Operações

Em atendimento ao art. 37 da LGPD, a plataforma mantém registros das operações de tratamento realizadas, incluindo:

  • Log de todas as ações realizadas por usuários (criação, alteração, consulta e exclusão de registros), com identificação do usuário, timestamp e endereço IP;
  • Registro de acessos ao sistema (login, logout, tentativas falhas e autenticações via 2FA);
  • Histórico de alterações em dados de pacientes e solicitações médicas.

Os logs são protegidos por mecanismos de controle de acesso e integridade e ficam disponíveis para o Controlador mediante solicitação, inclusive para fins de auditoria, sindicância ou investigação de incidentes.

8 Medidas Técnicas e Organizacionais de Segurança

Em cumprimento ao art. 46 da LGPD, são adotadas as seguintes medidas de segurança:

Técnicas

  • Comunicação criptografada via HTTPS/TLS;
  • Autenticação de dois fatores (OTP por e-mail, SMS ou aplicativo TOTP);
  • Hashing seguro de senhas (bcrypt);
  • Bloqueio automático de contas após tentativas suspeitas;
  • Backups periódicos com retenção definida;
  • Controle de acesso baseado em perfis com menor privilégio.

Organizacionais

  • Política de privacidade e termos de uso formalizados;
  • Treinamento e ciência obrigatórios para usuários (aceite digital registrado);
  • Acordos de confidencialidade com colaboradores da Aplicares com acesso a dados;
  • Processo documentado para gestão de incidentes e comunicação à ANPD;
  • Revisões periódicas de controles de acesso e configurações de segurança.

9 Incidentes de Segurança e Notificação

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, as partes observarão o seguinte fluxo, em conformidade com o art. 48 da LGPD:

1

Detecção e contenção (Aplicares)

A Aplicares identifica e contém o incidente, preservando evidências e impedindo propagação.

2

Comunicação ao Controlador (prazo: 24 h)

A Aplicares notifica a Secretaria Municipal de Saúde em até 24 horas, com descrição do incidente, dados afetados, medidas adotadas e recomendações.

3

Comunicação à ANPD e titulares (Controlador)

O Controlador é responsável por comunicar o incidente à ANPD e, se necessário, aos titulares afetados, no prazo legal.

10 Retenção e Eliminação de Dados

Categoria de Dado Prazo de Retenção
Dados de saúde e histórico de solicitações Conforme legislação arquivística municipal e estadual (mínimo 20 anos para prontuários)
Logs de acesso e auditoria Mínimo 5 anos ou conforme determinação legal
Dados de aceite dos Termos (LGPD) Pelo período de vigência do contrato + 5 anos
Dados de usuários do sistema após desligamento Conforme instrução do Controlador, respeitado o prazo mínimo para fins de auditoria

Após o encerramento do contrato, a Aplicares manterá os dados pelo prazo necessário para cumprimento de obrigações legais e, ao final, procederá à eliminação segura ou devolução ao Controlador, conforme acordado.

11 Direitos dos Titulares

Nos termos do art. 18 da LGPD, os pacientes (titulares) têm direito a: confirmação da existência de tratamento, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento, revogação do consentimento (quando aplicável) e oposição ao tratamento.

Como exercer seus direitos

O canal exclusivo para solicitações dos titulares é a Central de Marcação do município, presencialmente ou pelo canal oficial da Secretaria Municipal de Saúde. As solicitações são de responsabilidade do Controlador (Secretaria), que contará com suporte técnico da Aplicares para sua execução quando necessário.

A Aplicares não responde diretamente a solicitações de titulares, devendo estas ser encaminhadas ao Controlador, que é o único com competência legal e administrativa para atendê-las.

12 Compartilhamento e Transferência de Dados

Os dados pessoais tratados na plataforma não são comercializados, cedidos ou transferidos a terceiros para finalidades diversas daquelas previstas nesta política. O compartilhamento ocorre apenas nos seguintes casos:

  • Com suboperadores contratados pela Aplicares (ex.: provedores de infraestrutura em nuvem), mediante cláusulas contratuais equivalentes às desta política;
  • Por determinação judicial, requisição de autoridade competente ou cumprimento de obrigação legal;
  • Entre setores do mesmo município, conforme configuração autorizada pelo Controlador.

13 Confidencialidade

Todos os colaboradores da Aplicares com acesso a dados pessoais estão sujeitos a obrigações contratuais de confidencialidade, vigentes durante e após o período de vínculo. Os usuários internos da Secretaria estão igualmente vinculados ao sigilo funcional previsto no estatuto do servidor público e nos Termos de Uso da plataforma. O descumprimento pode caracterizar responsabilidade civil, administrativa e penal, nos termos da LGPD e da legislação aplicável.

14 Auditoria e Prestação de Contas

O Controlador pode, a qualquer tempo e com aviso prévio razoável, realizar ou contratar auditorias sobre as práticas de segurança e proteção de dados da Aplicares relacionadas à plataforma. A Aplicares compromete-se a:

  • Fornecer documentação técnica e organizacional relevante para a auditoria;
  • Disponibilizar registros de logs de acesso técnico mediante solicitação formal;
  • Cooperar com investigações conduzidas pela ANPD ou órgãos de controle.

15 Encarregado de Proteção de Dados (DPO)

Controlador

A indicação do Encarregado do Controlador é responsabilidade da Secretaria Municipal de Saúde, nos termos do art. 41 da LGPD. O contato deve ser disponibilizado no portal da Prefeitura.

Operador (Aplicares)

A Aplicares mantém responsável interno pela proteção de dados. Contato para assuntos relacionados ao tratamento de dados como Operadora: privacidade@aplicares.com.br

16 Atualizações desta Política

Esta política pode ser atualizada para refletir mudanças legais, regulatórias ou operacionais. Alterações relevantes serão comunicadas aos usuários do sistema por meio de notificação na plataforma, exigindo novo aceite formal antes da continuidade do uso.

Versão 2.1 · Vigente desde 29/05/2026

Ver Termos de Uso