Política de Privacidade

Última atualização: 27 de outubro de 2025

1. Introdução e Identificação do Controlador

Bem-vindo à Medlupi. A Medlupi Sociedade LTDA., pessoa jurídica de direito privado, inscrita no CNPJ sob nº 62.350.669/0001-60, estabelecida em Minas Gerais, Brasil, doravante denominada simplesmente "Medlupi", titular da plataforma de gestão médica disponível em medlupi.com, demonstra seu compromisso com a privacidade e a proteção dos dados pessoais de seus usuários.
Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos suas informações pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD) e demais legislações aplicáveis.
Como condição para acesso e uso das funcionalidades da Medlupi, você declara que fez a leitura completa e atenta desta Política de Privacidade, estando ciente e de acordo com os termos aqui estipulados.

2. Definições

Para os fins deste documento, consideram-se as seguintes definições:
  • Usuário: Qualquer pessoa física ou jurídica que acessa e/ou utiliza as funcionalidades e/ou serviços da Medlupi
  • Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável
  • Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
  • Controlador: Medlupi, pessoa a quem competem as decisões referentes ao tratamento de dados pessoais
  • Operador: Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador
  • Cookies: Pequenos arquivos de computador ou pacotes de dados enviados por um site para o navegador do usuário
  • IP: Abreviatura de Internet Protocol. Conjunto alfanumérico que identifica os dispositivos dos usuários na Internet
  • DPO: Data Protection Officer ou Encarregado de Proteção de Dados

3. Informações que Coletamos

3.1 Dados Fornecidos Diretamente pelo Usuário

3.1.1 Usuário Profissional de Saúde (Médico, Dentista, Nutricionista, Psicólogo etc.)

Dados Cadastrais Obrigatórios:
  • Nome completo, username, e-mail, telefone
  • CRM/CRO/CRN/CRP (registro profissional)
  • Especialidade e função
Finalidade: Identificação e autenticação na plataforma, prestação de serviços de saúde, emissão de prescrições e documentos médicos, receber comunicados ou atualizações sobre a Medlupi.
Dados Cadastrais Facultativos:
  • CPF, RG
  • Endereço completo (CEP, estado, cidade, bairro, rua, número)
  • Foto de perfil, telefone adicional
Finalidade: Identificação completa, personalização do perfil, emissão de documentos, facilitar comunicação.
Dados Profissionais:
  • Número de registro profissional, especialidades, horários de atendimento
Finalidade: Gestão de agenda, validação profissional.
Dados Financeiros:
  • Dados bancários, dados do cartão de crédito
Finalidade: Processar pagamentos de assinaturas da plataforma, gestão financeira da clínica.
Dados de Uso:
  • Logs de acesso, endereço IP, cookies
Finalidade: Segurança da plataforma, analytics no site Medlupi, cumprimento de obrigação legal (registro de acesso por no mínimo 6 meses).

3.1.2 Usuário Paciente

Dados Cadastrais Obrigatórios:
  • Nome completo, username, e-mail e/ou telefone, número de celular e demais itens obrigatórios por lei
Finalidade: Autenticação e identificação, agendamento de consultas, emissão de receitas digitais, receber lembretes via WhatsApp.
Dados Cadastrais Facultativos:
  • CPF, RG
  • Endereço completo (CEP, estado, cidade, bairro, rua, número)
  • Gênero, data de nascimento, foto, tipo sanguíneo
Finalidade: Identificação completa, emissão de documentos médicos, prescrição de medicamentos.
Dados de Saúde:
  • Prontuários médicos, prescrições de medicamentos, solicitações de exames, vacinas
  • Diagnósticos, alergias, doenças, histórico médico
  • Condições de saúde relacionadas, tratamentos em andamento, orçamentos de tratamento
  • Imagem e voz (teleconsultas)
Finalidade: Tratamento de saúde, consultas presenciais ou à distância (teleconsulta), emissão de receitas médicas e atestados, continuidade do cuidado, gestão de tratamentos odontológicos e médicos.

3.1.3 Usuário Recepcionista/Secretária

Dados Cadastrais Obrigatórios:
  • Nome completo, username, e-mail, telefone
Finalidade: Identificação e autenticação na plataforma, gestão de agenda e pacientes, receber comunicados ou atualizações sobre a Medlupi.
Dados Cadastrais Facultativos:
  • Foto de perfil
Finalidade: Personalização do perfil.

3.2 Informações Coletadas Automaticamente

  • Endereço IP e localização geográfica aproximada
  • Tipo de navegador e sistema operacional
  • Páginas visitadas e tempo de acesso
  • Dispositivo utilizado para acesso
  • Cookies e tecnologias similares
  • Logs de acesso para fins de segurança e auditoria

3.3 Responsabilidade pela Veracidade dos Dados

A Medlupi não é responsável pela precisão, veracidade ou falta delas nas informações prestadas pelo Usuário ou pela sua desatualização, sendo de responsabilidade exclusiva do Usuário prestá-las com exatidão e atualizá-las sempre que necessário.
O Usuário é corresponsável pelo sigilo de seus dados pessoais. O compartilhamento de senhas e dados de acesso viola esta Política de Privacidade e os Termos de Uso da Medlupi.

4. Base Legal e Finalidades do Tratamento

O tratamento de dados pessoais pela Medlupi é realizado com base nas seguintes hipóteses legais previstas na LGPD:
  • Consentimento do titular: Para finalidades específicas informadas no momento da coleta
  • Cumprimento de obrigação legal ou regulatória: Conselho Federal de Medicina, Receita Federal etc.
  • Execução de contrato: Prestação dos serviços da plataforma
  • Exercício regular de direitos: Em processos judiciais, administrativos ou arbitrais
  • Proteção da vida ou integridade física: Do titular ou de terceiros
  • Legítimo interesse: Quando necessário para atividades legítimas da Medlupi

5. Como Usamos Suas Informações

Utilizamos suas informações para:
  1. Fornecer e melhorar nossos serviços: Gestão de consultas, prontuários, prescrições
  2. Processar transações e pagamentos: Cobranças de assinaturas e serviços
  3. Enviar comunicações importantes: Notificações de sistema, lembretes de consultas
  4. Garantir a segurança da plataforma: Prevenção de fraudes, monitoramento
  5. Cumprir obrigações legais: Atender requisições de autoridades competentes
  6. Realizar análises e pesquisas: Melhorar funcionalidades (dados anonimizados)
  7. Marketing e comunicações comerciais: Apenas com seu consentimento prévio

6. Compartilhamento de Informações

6.1 Princípio de Não Venda

A Medlupi não comercializa dados pessoais.

6.2 Compartilhamento Autorizado

Podemos compartilhar dados pessoais nas seguintes situações:

6.2.1 Prestadores de Serviço Essenciais

  • Processadores de pagamento: Para processamento de pagamentos via cartão de crédito
  • Serviços de hospedagem em nuvem: Principalmente Amazon Web Services (AWS), com armazenamento no Brasil e nos Estados Unidos
  • Serviços de comunicação: Provedores de e-mail, SMS, e WhatsApp para lembretes e confirmações de consultas
  • Ferramentas de analytics: Para melhorar a plataforma (dados anonimizados quando possível)
  • Serviços de infraestrutura e tecnologia: Necessários ao desempenho operacional da plataforma
Todos os prestadores de serviços são contratualmente obrigados a proteger seus dados e usá-los apenas para as finalidades contratadas, assegurando o cumprimento legal em matéria de privacidade e proteção de dados.

6.2.2 Profissionais de Saúde da Mesma Clínica

Poderá haver compartilhamento de prontuários médicos entre profissionais de saúde de uma mesma clínica ou consultório, a depender das regras estabelecidas pela clínica para acesso aos dados e prestação dos serviços de cuidado em saúde, em conformidade com a legislação vigente. O Usuário Profissional de Saúde e o Usuário Administrador da conta são considerados corresponsáveis (cocontroladores) pelos dados pessoais dos pacientes cadastrados na Plataforma.

6.2.3 Autoridades Legais

Quando exigido por lei, ordem judicial, requisição administrativa ou para proteger direitos, propriedade ou segurança da Medlupi, usuários ou terceiros.

6.2.4 Movimentações Societárias

Em caso de fusão, aquisição, incorporação ou venda de ativos, seus dados poderão ser transferidos, mantendo-se os mesmos níveis de proteção.

6.3 Transferência Internacional de Dados

Os dados coletados são armazenados predominantemente em infraestrutura na AWS no Brasil e nos Estados Unidos. A transferência internacional é realizada em conformidade com o art. 33 da LGPD, garantindo grau adequado de proteção através de:
  • Certificações internacionais de segurança (ISO 27018)
  • Cláusulas contratuais padrão
  • Garantias de que o destinatário aplica as melhores práticas de proteção

7. Armazenamento e Segurança dos Dados

7.1 Medidas de Segurança Implementadas

A Medlupi trata os dados pessoais de acordo com boas práticas de segurança da informação disponíveis no mercado, implementando medidas técnicas e administrativas para proteger dados pessoais de acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão:
  • Criptografia: Dados em trânsito (SSL/TLS) e em repouso
  • Controles de acesso: Suporte a autenticação multifator (MFA) e permissões baseadas em funções (RBAC)
  • Codificação de senhas: Técnicas de SALT e hashing
  • Backup e recuperação: Sistema distribuído de backup automático
  • Monitoramento contínuo: Detecção de ameaças e atividades suspeitas
  • Segregação de dados: Isolamento por organização/clínica
  • Auditorias regulares: Revisões de segurança e conformidade
  • Treinamento: Equipe capacitada em proteção de dados

7.2 Armazenamento em Nuvem

Os dados são armazenados em servidores da Amazon Web Services (AWS), provedor que adota controles de segurança amplamente reconhecidos e possui certificações como ISO 27018 (código internacional de melhores práticas para proteção de dados pessoais na nuvem).

7.3 Acesso Interno aos Dados

Internamente, os dados dos usuários serão acessados somente por profissionais devidamente autorizados pela Medlupi, respeitando os princípios de proporcionalidade, necessidade e relevância, além do compromisso de confidencialidade e preservação da privacidade.

7.4 Compartilhamento de Responsabilidades

A Medlupi, em sua condição de prestador de Software como Serviço (SaaS), não contempla em suas atribuições o controle das estações (computadores e dispositivos) que acessam o software. O usuário/cliente, na condição de controlador de dados pessoais de seus pacientes, é responsável por:
  • Manter seus equipamentos protegidos com antivírus atualizado
  • Não compartilhar credenciais de acesso
  • Manter sistemas operacionais e navegadores atualizados
  • Seguir as boas práticas de segurança recomendadas pela Medlupi
A Medlupi não se responsabiliza por danos decorrentes de acesso indevido causado por negligência do usuário no cumprimento dessas práticas de segurança.

8. Retenção e Eliminação de Dados

8.1 Prazo de Retenção

Mantemos seus dados pelo tempo necessário para:
  • Fornecer nossos serviços durante a vigência do contrato
  • Cumprir obrigações legais e regulatórias:
    • Logs de acesso: mínimo de 6 (seis) meses (Marco Civil da Internet)
    • Prontuários médicos: conforme legislação específica do setor e responsabilidade da clínica
    • Dados fiscais e contábeis: 5 anos (Código Tributário Nacional)
  • Resolver disputas e exercer direitos em processos judiciais
  • Prazos prescricionais aplicáveis conforme legislação civil

8.2 Término do Contrato

Ao término do contrato entre usuário e Medlupi, o usuário administrador da conta é integralmente responsável por realizar a exportação de todos os dados inseridos na plataforma.
A Medlupi disponibilizará funcionalidade de exportação de dados durante o período de vigência do contrato e por até 6 (seis) meses após o término da assinatura. Após este período, os dados e informações poderão ser eliminados pela Medlupi com uso de métodos de descarte seguro, exceto aqueles cuja retenção seja obrigatória por lei.
Recomendamos realizar backups regulares de seus dados durante todo o período de uso da plataforma.

8.3 Eliminação mediante Solicitação

Caso haja solicitação de eliminação dos dados pelo usuário, essa eliminação somente poderá ocorrer se:
  • Não houver mais finalidade de uso dos dados
  • Não houver obrigação legal, regulatória ou judicial que justifique sua retenção
  • Tenha decorrido o prazo legal mínimo relacionado à retenção
Dados poderão ser utilizados de forma anonimizada para fins estatísticos após a eliminação das informações identificadoras.

9. Seus Direitos como Titular de Dados

De acordo com a LGPD (arts. 17 a 22), você tem os seguintes direitos em relação aos seus dados pessoais:

9.1 Direito de Confirmação e Acesso

  • Confirmar a existência de tratamento de dados
  • Acessar seus dados pessoais armazenados

9.2 Direito de Correção

  • Corrigir dados incompletos, inexatos ou desatualizados

9.3 Direito à Anonimização, Bloqueio ou Eliminação

  • Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade

9.4 Direito à Portabilidade

  • Solicitar a portabilidade dos dados a outro fornecedor de serviço ou produto (mediante requisição expressa)
  • Para prontuários médicos: portabilidade deve ser solicitada pelo paciente ao profissional de saúde ou à clínica

9.5 Direito de Eliminação

  • Solicitar a eliminação dos dados tratados com base no consentimento (ressalvadas as hipóteses de retenção previstas em lei)

9.6 Direito de Informação

  • Obter informações sobre as entidades públicas e privadas com as quais compartilhamos dados
  • Conhecer a possibilidade de não fornecer consentimento e as consequências da negativa

9.7 Direito de Revogação do Consentimento

  • Revogar o consentimento fornecido, mediante manifestação expressa
  • A revogação não afeta a legalidade do tratamento realizado antes da revogação

9.8 Direito de Oposição

  • Opor-se ao tratamento realizado com base em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD

9.9 Revisão de Decisões Automatizadas

  • Solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais

9.10 Como Exercer Seus Direitos

Para exercer qualquer destes direitos, entre em contato através dos seguintes canais:
  • E-mail: contato@medlupi.com
  • Telefone: (35) 9 9959-9758
  • Formulário online: Quando disponível, indicado no site medlupi.com
Responderemos às solicitações preferencialmente em até 15 (quinze) dias, conforme a LGPD, podendo ser solicitado prazo adicional, quando permitido por lei, mediante justificativa.

10. Cookies e Tecnologias Similares

10.1 O que são Cookies

Utilizamos cookies (pequenos arquivos de texto) e tecnologias similares para melhorar sua experiência na plataforma, analisar o uso e personalizar conteúdo.

10.2 Tipos de Cookies Utilizados

  • Cookies essenciais: Necessários para o funcionamento da plataforma (autenticação, segurança)
  • Cookies de desempenho: Coletam informações sobre como você usa a plataforma (analytics)
  • Cookies de funcionalidade: Permitem lembrar suas preferências
  • Cookies de publicidade: Utilizados apenas com seu consentimento

10.3 Gerenciamento de Cookies

Você pode gerenciar e desabilitar cookies através das configurações do seu navegador. Note que a desabilitação de cookies essenciais pode limitar o funcionamento da plataforma.
Cabe ao usuário configurar seu dispositivo móvel caso deseje bloquear a coleta de cookies ou outros dados. Nesta hipótese, algumas funcionalidades da Medlupi poderão ser limitadas.

11. Dados Sensíveis e Prontuários Médicos

11.1 Tratamento de Dados de Saúde

Dados de saúde são considerados dados pessoais sensíveis pela LGPD e recebem proteção especial. A Medlupi trata esses dados com o mais alto nível de segurança e confidencialidade.

11.2 Base Legal para Tratamento de Dados de Saúde

O tratamento de dados de saúde é realizado com base em:
  • Fornecimento de consentimento específico pelo titular
  • Tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde
  • Proteção da vida ou da incolumidade física do titular

11.3 Papel da Medlupi em Relação a Prontuários

Para os fins da LGPD, em relação aos dados de pacientes cadastrados na plataforma:
  • O profissional de saúde/clínica atua como controlador dos dados
  • A Medlupi atua como operadora dos dados
A guarda e responsabilidade pelos prontuários médicos é integral da clínica, conforme legislação específica do setor.

12. Menores de Idade

12.1 Restrição de Idade

A plataforma Medlupi é destinada a maiores de 18 anos. Para cadastros de pessoas físicas, quando verificado que o usuário não é maior de 18 anos, a Medlupi terá o direito de excluir o acesso e o cadastro unilateralmente.

12.2 Dados de Pacientes Menores

Dados de pacientes menores de idade somente poderão ser tratados na plataforma quando cadastrados por profissional de saúde ou responsável legal devidamente autorizado, em contexto de prestação de cuidados de saúde.

13. Alterações nesta Política

13.1 Direito de Modificação

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, legislação aplicável ou melhorias nos serviços.

13.2 Notificação de Mudanças

Notificaremos sobre mudanças significativas através de:
  • Aviso destacado na plataforma
  • E-mail para o endereço cadastrado
  • Notificação in-app
Caso as mudanças necessariamente demandem nova coleta de consentimento, a Medlupi solicitará expressamente seu consentimento.

13.3 Aceite das Alterações

O uso continuado da plataforma após a publicação das modificações implicará na aceitação tácita dos termos alterados. Caso não concorde, você poderá solicitar o encerramento de sua conta dentro de 48 (quarenta e oito) horas da publicação.

14. Encarregado de Proteção de Dados (DPO)

14.1 Identificação

A Medlupi designou um Encarregado de Proteção de Dados (Data Protection Officer - DPO) para atuar como canal de comunicação entre a empresa, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

14.2 Contato com o DPO

Para questões específicas sobre privacidade e proteção de dados:
  • E-mail: contato@medlupi.com
  • Telefone: (35) 9 9959-9758
As respostas ao contato serão enviadas de segunda a sexta-feira, no horário comercial (exceto feriados), preferencialmente em até 15 dias, podendo ser solicitado prazo adicional, quando permitido por lei, mediante justificativa.

15. Disposições Gerais

15.1 Decisões Automatizadas

A Medlupi atualmente não utiliza decisões tomadas unicamente com base em tratamento automatizado que impactem significativamente o usuário sem intervenção humana. Caso venha a utilizar, informaremos os titulares e garantiremos os direitos aplicáveis, inclusive revisão por pessoa.

15.2 Validade das Comunicações Eletrônicas

O usuário reconhece que toda comunicação realizada por qualquer forma eletrônica (e-mail, WhatsApp, notificações in-app) é válida como prova documental, sendo eficaz e suficiente para divulgação de assuntos relacionados aos serviços prestados.

15.3 Empresas Terceirizadas

Caso empresas terceirizadas realizem o tratamento de quaisquer dados coletados pela Medlupi, deverão obrigatoriamente respeitar as condições aqui estipuladas e as melhores práticas de segurança da informação.

15.4 Independência das Cláusulas

Caso alguma disposição desta Política de Privacidade seja considerada ilegal ou ilegítima por autoridade competente, as demais condições permanecerão em pleno vigor e efeito.

15.5 Utilização em Defesa de Direitos

Todos os dados pessoais poderão ser utilizados como meio probatório em casos de atos ilícitos ou contrários a esta Política de Privacidade, bem como para cumprimento de ordem judicial ou requisição administrativa.

15.6 Propriedade dos Dados

A base de dados formada por meio da coleta de dados na Medlupi é de propriedade e responsabilidade da Medlupi. No entanto:
  • Dados cadastrais do usuário: Propriedade do próprio usuário
  • Dados de prontuários/pacientes: Propriedade compartilhada entre profissional de saúde e paciente, sob responsabilidade da clínica

16. Lei Aplicável e Jurisdição

16.1 Lei Aplicável

Esta Política de Privacidade será regida e interpretada segundo a legislação brasileira, especialmente:
  • Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
  • Marco Civil da Internet (Lei nº 12.965/2014)
  • Código de Defesa do Consumidor (Lei nº 8.078/1990)
  • Código Civil Brasileiro

16.2 Jurisdição

Fica eleito o foro do domicílio do usuário para dirimir qualquer litígio ou controvérsia envolvendo esta Política de Privacidade, salvo ressalva específica de competência pessoal, territorial ou funcional pela legislação aplicável.

17. Contato

Para questões sobre esta Política de Privacidade, proteção de dados ou exercício de direitos:

Canal de Atendimento ao Titular

  • E-mail: contato@medlupi.com
  • Telefone: (35) 9 9959-9758
  • Endereço: Minas Gerais, Brasil
  • CNPJ: 62.350.669/0001-60
Horário de atendimento: Segunda a sexta-feira, das 08:00 às 18:00 (exceto feriados) Prazo de resposta: Preferencialmente em até 15 dias, podendo ser solicitado prazo adicional, quando permitido por lei, mediante justificativa
Esta Política de Privacidade está em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e demais legislações aplicáveis à proteção de dados pessoais no Brasil.