Política de Privacidade — Gladium Saúde

1Contexto de Dados Sensíveis de Saúde

Os dados de saúde são classificados pela LGPD como dados pessoais sensíveis, exigindo:

• Bases legais específicas para tratamento (Art. 11 da LGPD);
• Medidas de segurança técnicas e organizacionais reforçadas;
• Compartilhamento estritamente necessário e sempre com finalidade justificada;
• Transparência reforçada com os titulares sobre o tratamento;
• Consentimento específico e destacado, quando aplicável.

O Gladium Saúde foi desenvolvido com privacidade por design (privacy by design), incorporando proteções de privacidade desde a arquitetura do sistema.

2Dados Coletados e Tratados

2.1 Dados do Paciente / Titular

• Nome completo, CPF, data de nascimento;
• Dados de contato (endereço, telefone, e-mail);
• Dados de plano de saúde ou convênio;
• Responsável legal (para menores ou incapazes).

2.2 Dados Clínicos Sensíveis

• Histórico médico, diagnósticos e condições de saúde (CID);
• Resultados de exames laboratoriais e de imagem;
• Laudos, pareceres e relatórios médicos;
• Prescrições, medicamentos e dosagens;
• Histórico de consultas, procedimentos e internações;
• Alergias e restrições medicamentosas;
• Dados de saúde mental, quando registrados pelos profissionais.

2.3 Dados dos Profissionais de Saúde

• Nome, registro profissional (CRM, CRO, COREN etc.), especialidade;
• Dados de acesso e logs de atividade no sistema.

2.4 Dados Administrativos

• Dados de agendamento e agenda dos profissionais;
• Dados de faturamento e cobrança de procedimentos;
• Dados de convênios e contratos com operadoras de saúde.

3Finalidades do Tratamento

Os dados de saúde são tratados exclusivamente para as seguintes finalidades:

• Prestação de cuidados de saúde: suporte ao atendimento, diagnóstico e tratamento do paciente;
• Gestão clínica e administrativa: agendamento, faturamento e operação do estabelecimento;
• Prontuário eletrônico: registro e histórico do acompanhamento do paciente;
• Continuidade do cuidado: compartilhamento necessário entre profissionais da equipe assistencial;
• Faturamento: processamento de cobranças junto a convênios e pacientes particulares;
• Auditoria e conformidade: cumprimento de obrigações regulatórias do setor de saúde;
• Segurança do sistema: logs e monitoramento de acesso para proteção dos dados.

É vedado o uso de dados de saúde para fins comerciais, marketing, pesquisa não autorizada ou qualquer finalidade não listada acima.

4Bases Legais para Dados Sensíveis

O tratamento de dados de saúde é fundamentado nas seguintes bases legais do Art. 11 da LGPD:

• Consentimento do titular (Art. 11, I): para finalidades específicas além das necessárias para o atendimento;
• Exercício regular de direitos (Art. 11, II, "d"): para fins de prontuário e documentação do atendimento;
• Proteção da vida (Art. 11, II, "e"): em situações de urgência e emergência;
• Tutela da saúde (Art. 11, II, "f"): tratamento por profissionais de saúde no exercício de suas funções;
• Cumprimento de obrigação legal (Art. 11, II, "a"): atendimento a exigências regulatórias do setor.

5Controlador e Operador de Dados

• Cliente contratante (controlador): é o estabelecimento de saúde que contrata o Gladium Saúde. É o controlador de todos os dados de seus pacientes e profissionais inseridos no sistema. Deve garantir o consentimento ou base legal adequada para o tratamento;
• Gladium (operadora): trata os dados de saúde conforme instruções do cliente contratante, para as finalidades do sistema, sem utilizá-los para fins próprios.

6Compartilhamento Estritamente Necessário

Dados de saúde são compartilhados apenas quando estritamente necessário:

• Entre profissionais da equipe assistencial: apenas os diretamente envolvidos no cuidado do paciente;
• Convênios e operadoras de saúde: para faturamento e auditorias, nos limites do contrato do paciente;
• Outros estabelecimentos de saúde: apenas com consentimento explícito do paciente ou em situações de urgência;
• Autoridades de saúde (ANVISA, vigilância epidemiológica): quando obrigatório por lei (ex.: doenças de notificação compulsória);
• Parceiros de infraestrutura: provedores de cloud que hospedam o sistema, com garantias contratuais de confidencialidade.

A Gladium não compartilha dados de saúde com terceiros para fins comerciais, de pesquisa ou de marketing.

7Segurança Reforçada

O Gladium Saúde aplica camadas adicionais de segurança para dados sensíveis de saúde:

• Criptografia de dados em repouso com chaves individuais por cliente;
• Criptografia de ponta a ponta para transmissão de dados clínicos;
• Acesso restrito a dados clínicos apenas para usuários autenticados e autorizados;
• Logs imutáveis de acesso a prontuários (quem, quando, qual dado);
• Bloqueio automático de sessão após inatividade;
• Autenticação multifator obrigatória para profissionais de saúde;
• Isolamento de dados por cliente em ambiente multi-tenant seguro;
• Avaliação de Impacto à Proteção de Dados (AIPD) realizada para o produto.

8Retenção e Prontuários Eletrônicos

A retenção de dados no Gladium Saúde segue os prazos mínimos legais e setoriais:

• Prontuário médico: mínimo de 20 anos após a data do último registro (Resolução CFM nº 1.821/2007);
• Documentos de imagem: conforme regulamentação específica de cada especialidade;
• Dados administrativos: conforme prazos fiscais e trabalhistas aplicáveis;
• Logs de auditoria: mínimo conforme exigência regulatória do setor.

Após encerramento do contrato, o cliente pode exportar todos os dados em formato aberto. Os dados serão mantidos pela Gladium pelo prazo legal mínimo, após o qual serão definitivamente eliminados ou anonimizados.

9Direitos do Paciente como Titular

O paciente, como titular dos dados de saúde, possui todos os direitos previstos na LGPD, com algumas particularidades no contexto de saúde:

• Acesso ao prontuário: o paciente tem direito de acessar seu prontuário, conforme legislação médica e LGPD;
• Correção: o paciente pode solicitar correção de dados cadastrais; dados clínicos são de responsabilidade do profissional de saúde;
• Portabilidade: o paciente pode solicitar cópia do prontuário em formato digital;
• Eliminação: sujeito a prazos mínimos legais de retenção de prontuários;
• Revogação do consentimento: para tratamentos baseados em consentimento, observados os limites legais.

Para exercer seus direitos, o paciente deve contatar diretamente o estabelecimento de saúde (cliente contratante), que é o controlador responsável. Para questões sobre o sistema em si, acesse nosso canal ou contate privacidade@gladium.com.br.

10Contato