Política de privacidade

Como tratamos seus dados na Engloba Brasil

Última atualização: 21 de maio de 2026. Esta política descreve como a Engloba Brasil (“Engloba”, “nós”) coleta, usa, armazena e compartilha dados pessoais e dados pessoais sensíveis (incluindo dados de saúde) em nossas plataformas web e mobile.

1. Quem é o controlador

O controlador dos dados pessoais tratados pela plataforma é a Engloba Brasil, conforme definição do art. 5º, VI, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD).

Encarregado pelo Tratamento de Dados (DPO): contato disponível pelo e-mail privacidade@englobabrasil.com.br.

2. Quais dados tratamos

  • Dados de identificação: nome, CPF, e-mail, telefone, data de nascimento.
  • Dados de credenciamento profissional: CRM e UF (no caso de médicos), validados junto ao CFM no momento do cadastro e dos logins subsequentes.
  • Dados pessoais sensíveis (saúde): resultados de exames laboratoriais, marcadores clínicos extraídos via OCR, datas e laboratórios emissores.
  • Dados de uso: registros de acesso, audit logs de compartilhamento e revogação, IP de origem (quando aplicável).
  • Dados de navegação (analytics, opcional): coletados apenas após consentimento explícito por meio do banner de cookies.

3. Para que usamos seus dados (finalidades e bases legais)

  • Prestação do serviço: armazenar e organizar seus exames, gerar QR Codes de compartilhamento, autenticar médicos via CRM. Base legal: execução de contrato (art. 7º, V, LGPD) e tutela da saúde (art. 11, II, ‘f’, LGPD).
  • Cumprimento de obrigações legais e regulatórias: manutenção de audit logs de acessos e revogações, atendimento a requisições de titulares. Base legal: art. 7º, II, LGPD.
  • Segurança e prevenção a fraudes: proteção da conta, detecção de uso indevido. Base legal: legítimo interesse (art. 7º, IX, LGPD), com salvaguardas.
  • Melhoria do produto (analytics): entender padrões de uso agregados. Base legal: consentimento (art. 7º, I e art. 11, I, LGPD), opt-in pelo banner de cookies.

4. Com quem compartilhamos

Seus dados de saúde são compartilhados somente quando você autoriza ativamente, por meio de QR Code dentro do aplicativo Engloba, com um médico portador de CRM válido. Você define o escopo (todos os exames ou subconjunto) e a duração (4 horas, 1 ano ou 10 anos) e pode revogar a qualquer momento. Cada revogação é registrada em audit log imutável.

Atuam como operadores (art. 5º, VII, LGPD), sob nossa instrução e com cláusulas contratuais de proteção de dados:

  • Infraestrutura de hospedagem: Hetzner Online GmbH (servidores localizados na União Europeia) e Vercel Inc. (CDN/edge para a aplicação web).
  • Armazenamento de arquivos de exame: MinIO (S3-compatível) na infraestrutura Hetzner.
  • Validação de credenciamento médico: consultas ao Conselho Federal de Medicina (CFM).

Não vendemos nem cedemos seus dados para finalidades de marketing de terceiros.

5. Onde seus dados ficam

Os dados de saúde são armazenados em servidores europeus (Hetzner) com criptografia em repouso. Transferências internacionais ocorrem com base em garantias adequadas previstas no art. 33 da LGPD, incluindo cláusulas contratuais padrão.

6. Por quanto tempo guardamos

  • Conta ativa: enquanto você utilizar o serviço.
  • Audit logs de acesso e compartilhamento: 5 anos a contar do registro, para fins de prestação de contas (art. 6º, X, LGPD).
  • Após exclusão da conta: dados pessoais são apagados ou anonimizados em até 30 dias, salvo obrigação legal de retenção.

7. Seus direitos como titular (art. 18, LGPD)

  • Confirmação da existência de tratamento.
  • Acesso e portabilidade dos dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários.
  • Eliminação dos dados tratados com consentimento.
  • Informação sobre as entidades com as quais compartilhamos dados.
  • Revogação do consentimento, a qualquer momento.
  • Oposição ao tratamento realizado com base em hipótese diversa do consentimento, em caso de descumprimento da LGPD.

Para exercer qualquer destes direitos, escreva para privacidade@englobabrasil.com.br. Responderemos em até 15 dias.

8. Segurança

Aplicamos medidas técnicas e organizacionais compatíveis com o estado da arte para proteger seus dados: criptografia em trânsito (TLS 1.2+), criptografia em repouso, hashing de CPF (apenas hash + 4 últimos dígitos armazenados), controle de acesso por tokens JWT de curta duração e segregação de ambientes.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados nos prazos definidos pelo art. 48 da LGPD.

9. Cookies e tecnologias similares

Utilizamos duas categorias:

  • Estritamente necessários: mantêm sua sessão autenticada e protegem o acesso. Sempre ativos — sem eles o serviço não funciona.
  • Analytics (opcional): medem uso agregado do produto para nos ajudar a melhorá-lo. Só são ativados após você aceitar no banner de cookies. Você pode rejeitar e continuar usando todo o serviço normalmente.

Sua escolha é guardada por 12 meses; após esse período, perguntaremos novamente.

10. Atualizações desta política

Podemos atualizar esta política para refletir mudanças no serviço ou na legislação. Mudanças materiais serão comunicadas por e-mail e por aviso destacado na plataforma antes de entrarem em vigor.

11. Como falar conosco

Encarregado pelo Tratamento de Dados (DPO): privacidade@englobabrasil.com.br

Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd

Usamos cookies estritamente necessários para manter sua sessão e proteger seu acesso — eles funcionam sempre. Com sua autorização, ativamos também medições de uso (analytics) para entender como melhorar o produto. Você pode mudar sua escolha a qualquer momento. Política de privacidade.