Política de Privacidade
Última atualização: 19 de abril de 2026
1. Quem somos e legislação aplicável
O Sanoa é operado por Sanoa Tecnologia em Saúde, com sede no Brasil. Somos o controlador dos seus dados pessoais nos termos do art. 5º, VI da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).
Esta Política de Privacidade é regida por:
- Lei nº 13.709/2018 — LGPD
- Lei nº 12.965/2014 — Marco Civil da Internet, e Decreto nº 8.771/2016
- Lei nº 8.078/1990 — Código de Defesa do Consumidor (CDC)
- Lei nº 10.406/2002 — Código Civil
- Resoluções da Autoridade Nacional de Proteção de Dados (ANPD)
2. Encarregado de dados (DPO)
Em cumprimento ao art. 41 da LGPD, você pode contatar nosso Encarregado pelo Tratamento de Dados Pessoais pelo email abaixo, para quaisquer dúvidas, solicitações ou reclamações relativas ao tratamento dos seus dados.
paulo.reis@stepyo.com.br
3. Dados que coletamos
Coletamos e tratamos os seguintes dados:
3.1. Dados de cadastro
- Nome, email e foto de perfil (via cadastro ou Google Sign-in)
- CPF (quando informado para conexão com laboratório)
- Telefone (opcional, para futuras notificações)
3.2. Dados de saúde (dados sensíveis — art. 5º, II, LGPD)
- Resultados de exames laboratoriais (biomarcadores, valores, datas)
- Laudos em PDF
- Insights e resumos gerados por inteligência artificial
3.3. Credenciais de laboratório
- Login e senha dos portais de laboratórios (DASA, Fleury, Cura/Alliança), fornecidos voluntariamente por você
3.4. Dados de pagamento
- Email e identificador do cliente no Stripe. O Sanoa não armazena dados do seu cartão de crédito
3.5. Registros de acesso (Marco Civil, art. 15)
- Endereço IP, data e hora de acesso, informações sobre dispositivo e navegador
- Páginas e funcionalidades acessadas (para detecção de fraude e melhoria do serviço)
4. Bases legais para o tratamento (arts. 7º e 11 da LGPD)
Tratamos seus dados com base em:
- Consentimento específico e destacado (art. 11, I) — para dados de saúde, credenciais de laboratório e CPF
- Execução de contrato (art. 7º, V) — para dados de cadastro e pagamento
- Cumprimento de obrigação legal (art. 7º, II) — para retenção de registros de acesso (Marco Civil, art. 15) e obrigações fiscais
- Legítimo interesse (art. 7º, IX) — para segurança, prevenção a fraudes e melhoria do serviço
5. Não vendemos seus dados
O Sanoa nunca vende, compartilha ou comercializa seus dados de saúde para fins comerciais, publicitários ou de qualquer outra natureza. Isso está em conformidade com o art. 11, §4º da LGPD, que veda a comunicação ou uso compartilhado entre controladores de dados sensíveis referentes à saúde com o objetivo de obter vantagem econômica.
6. Com quem compartilhamos seus dados
Seus dados são compartilhados apenas com os seguintes operadores, estritamente para a operação do serviço, em conformidade com os arts. 5º, VII e 39 da LGPD:
| Operador | Dados | Finalidade |
|---|---|---|
| Anthropic (EUA) | Texto de laudos PDF | Extração e análise por IA |
| Supabase | Todos os dados | Banco de dados (infraestrutura) |
| Cloudflare R2 | Laudos PDF | Armazenamento de arquivos |
| Stripe | Email, dados de pagamento | Processamento de pagamentos |
| Email, nome | Autenticação (OAuth) |
7. Transferência internacional de dados (art. 33, LGPD)
Para gerar insights e extrair dados dos seus laudos, o conteúdo textual dos PDFs é enviado para a API do Claude (Anthropic), localizada nos Estados Unidos. Essa transferência está amparada no art. 33, VIII da LGPD (execução de políticas públicas ou obrigação legal) e no art. 33, IX (consentimento específico e destacado), obtido no cadastro.
A Anthropic não utiliza os dados enviados via API para treinar seus modelos de inteligência artificial.
8. Segurança dos dados (art. 46, LGPD)
Adotamos medidas técnicas e organizacionais para proteger seus dados:
- Credenciais de laboratório criptografadas com AES-256-GCM
- Comunicação exclusivamente via HTTPS (TLS 1.3)
- Controle de acesso por linhas no banco de dados (Row Level Security)
- Autenticação segura via OAuth 2.0 (Google)
- Secrets gerenciados via Doppler (nunca no código-fonte)
- Registro de consentimentos com data, hora e endereço IP
9. Retenção de dados (art. 15 e 16, LGPD; art. 15, Marco Civil)
| Dado | Retenção | Após exclusão da conta |
|---|---|---|
| Dados de saúde | Enquanto a conta estiver ativa | Excluídos em até 30 dias |
| Credenciais de lab | Até a desconexão do lab | Exclusão imediata |
| Registros de acesso | 6 meses (Marco Civil, art. 15) | Excluídos após o prazo legal |
| Logs de aplicação | 1 ano | Anonimizados |
| Dados de pagamento | Retidos pelo Stripe | Conforme regulação do Stripe |
| Obrigações legais | 5 anos (prazo prescricional CDC) | Mantidos de forma anonimizada |
10. Seus direitos (art. 18, LGPD)
Você tem os seguintes direitos em relação aos seus dados pessoais:
- Confirmação e acesso (incisos I e II) — saber se tratamos seus dados e consultá-los
- Correção (inciso III) — corrigir dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou exclusão (inciso IV) — de dados desnecessários, excessivos ou tratados em desconformidade
- Portabilidade (inciso V) — exportar seus dados em formato estruturado (JSON ou PDF)
- Eliminação (inciso VI) — solicitar a exclusão dos dados tratados com base em consentimento
- Informação sobre compartilhamento (inciso VII) — saber com quais entidades públicas e privadas seus dados são compartilhados
- Informação sobre consentimento (inciso VIII) — saber sobre a possibilidade de não fornecer consentimento e as consequências
- Revogação de consentimento (inciso IX) — a qualquer tempo, pelas configurações da sua conta
- Revisão de decisões automatizadas (art. 20) — solicitar revisão humana de insights gerados por IA que afetem seus interesses
- Petição à ANPD (art. 18, §1º) — apresentar reclamaçãoà Autoridade Nacional de Proteção de Dados
Para exercer qualquer desses direitos, entre em contato pelo email do Encarregado (cláusula 2). O prazo de resposta éde até 15 dias, nos termos do art. 19 da LGPD.
11. Dados de crianças e adolescentes (art. 14, LGPD)
O tratamento de dados pessoais de crianças e adolescentes será realizado apenas com o consentimento específico e em destaque dado por ao menos um dos pais ou pelo responsável legal, conforme o art. 14 da LGPD.
12. Incidentes de segurança (art. 48, LGPD)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Sanoa se compromete a:
- Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) em até 3 dias úteis, na forma do art. 48 da LGPD
- Notificar os usuários afetados por email, informando a natureza dos dados envolvidos, os riscos técnicos e de segurança e as medidas adotadas para reverter ou mitigar os efeitos
- Revogar credenciais potencialmente comprometidas
13. O Sanoa não é um serviço médico
Reiteramos: o Sanoa não é um dispositivo médico (RDC ANVISA nº 657/2022), não realiza diagnósticos e não substitui a orientação de profissionais de saúde. Os dados e insights apresentados têm finalidade exclusivamente informativa.
13.1. Cookies e tecnologias de rastreamento
O Sanoa utiliza cookies e tecnologias similares (localStorage) para prover o serviço e, com o seu consentimento, para entender como a plataforma é usada. Distinguimos três categorias:
| Categoria | Base legal | Finalidade |
|---|---|---|
| Essenciais | Execução de contrato (art. 7º, V) | Sessão de login, segurança e proteção contra fraude |
| Análise | Consentimento (art. 7º, I) | Entender como as pessoas usam o Sanoa para melhorar o produto |
| Marketing | Consentimento (art. 7º, I) | Mensurar campanhas de aquisição quando rodarmos |
Você pode alterar suas preferências a qualquer momento. Nenhum cookie de análise ou marketing é ativado antes do seu consentimento explícito. A opção “Só essenciais” mantém apenas os cookies necessários para manter sua sessão.
Ferramentas de análise planejadas
Planejamos usar Google Analytics 4 (GA4) com Consent Mode v2, que respeita a decisão registrada no banner. Enquanto isso não estiver configurado e publicado, nenhum script de análise é carregado — mesmo usuários que aceitaram continuam sem scripts externos até o rollout. Quando GA4 entrar em produção, esta seção será atualizada com a data e os detalhes do processamento pelo Google (operador).
Como gerenciar seu consentimento
- Ao visitar o Sanoa pela primeira vez, exibimos um banner com três opções: Aceitar todos, Só essenciais e Personalizar.
- A sua escolha é registrada em
localStoragedo navegador e, se você estiver autenticado, também no nosso banco como registro histórico de consentimento. - Você poderá revisitar e alterar suas preferências nas configurações da conta (em breve disponível em
/configuracoes) ou limpando o armazenamento local do navegador para que o banner reapareça. - Você também pode desativar ou excluir cookies diretamente nas configurações do seu navegador, embora isso possa afetar o funcionamento de partes autenticadas do serviço.
14. Alterações nesta Política
Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por email ou notificação no app com antecedência mínima de 30 dias. A versão mais recente estará sempre disponível nesta página.
15. Foro
Para a resolução de qualquer controvérsia relacionada a esta Política de Privacidade, fica eleito o foro da comarca do domicílio do consumidor, conforme o art. 101, I, do Código de Defesa do Consumidor (Lei 8.078/1990).
16. Contato
Para dúvidas, solicitações de exercício de direitos ou reclamações relacionadas a esta Política de Privacidade:
paulo.reis@stepyo.com.br