Política de Privacidade

Última atualização: 27 de abril de 2026 · Versão 1.0

Esta Política de Privacidade descreve como o portal drpetrus.top coleta, utiliza, armazena e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD). Ao utilizar o portal, você reconhece que leu e compreendeu esta Política.

Sumário

Quem é o controlador dos dados
Quais dados pessoais coletamos
Para que utilizamos seus dados (finalidades)
Bases legais do tratamento
Com quem compartilhamos seus dados
Por quanto tempo armazenamos seus dados
Como protegemos seus dados
Seus direitos como titular
Cookies e tecnologias semelhantes
Alterações nesta Política
Contato e Encarregado de Dados (DPO)

1. Quem é o controlador dos dados

O controlador dos dados pessoais tratados neste portal é:

Dr. Petrus Silva Costa · CRM-PE 16844
Médico em consultório privado em Recife-PE desde 2016
Locais de atendimento: Tryad Consultórios (Graças) e Recife Day Clinic (Boa Viagem)
Contato: contato@drpetrus.top
WhatsApp: +55 81 3314-0465

2. Quais dados pessoais coletamos

2.1 Dados de cadastro (quando você possui conta no portal)

E-mail — identificador único da conta
Senha — armazenada apenas como hash Argon2id (algoritmo recomendado pela ANPD); o portal nunca tem acesso à senha em texto claro
Nome completo, data de nascimento, sexo biológico, IMC (quando informado)

2.2 Dados clínicos (sensíveis — LGPD Art. 5º, II e Art. 11)

Respostas aos questionários e escalas clínicas (EFCA, SF-36, FANTASTIC, PHQ-9, BDI-II e outras escalas autoavaliadas)
Pontuações totais, sub-totais por domínio e classificações derivadas
Composições nutricionais montadas no NutriLab (alimentos selecionados, quantidades e totais nutricionais)
Metas nutricionais e preferências cadastradas pelo médico

2.3 Dados de navegação e técnicos

Endereço IP (registrado em logs de acesso e em registros de proteção contra abuso, como tentativas de login)
Cookies estritamente necessários para a sessão autenticada (ver seção 9)
Dados agregados de tráfego via Google Analytics 4 (quando ativo) — sem identificação direta do titular

2.4 Dados de comunicação

Mensagens enviadas pelo formulário de contato (nome, e-mail, telefone, assunto, mensagem)
E-mails automáticos enviados após a conclusão de questionários, incluindo registro de envio (data, destinatário e status)

3. Para que utilizamos seus dados (finalidades)

Avaliação clínica: aplicar escalas e instrumentos validados, calcular pontuações e classificações para uso na consulta médica
Acompanhamento longitudinal: permitir que o médico observe a evolução do paciente ao longo do tratamento
Comunicação clínica: notificar o médico após o paciente concluir um questionário e remeter retorno por e-mail ou WhatsApp
Identificação e autenticação do paciente no portal
Segurança: proteger contra abuso (rate limiting, detecção de força bruta, registro de tentativas de login)
Conformidade legal: cumprir obrigações regulatórias do exercício da medicina (retenção de prontuário, Resolução CFM nº 1.821/2007)

3.1 Tratamento específico do IMC (Índice de Massa Corporal)

O IMC informado pelo paciente é mantido junto ao perfil para uso na avaliação clínica em consulta e no acompanhamento longitudinal (comparação entre visitas). A retenção é justificada pela base legal de necessidade (LGPD Art. 6º, III) combinada com a tutela da saúde (Art. 11, II, "a"): a evolução de IMC ao longo de meses/anos é dado clinicamente relevante para decisões nutricionais, de prescrição e de risco cardiovascular.

O titular pode solicitar a remoção pontual do IMC (sem afetar os demais dados da conta) acessando meus-dados.html e clicando em "Atualizar perfil"; ou pedir eliminação completa da conta pelo mesmo painel. Para correções, atualizações ou esclarecimentos sobre essa retenção específica, escrever ao DPO em security@drpetrus.top.

4. Bases legais do tratamento

O tratamento de seus dados pessoais se apoia nas seguintes bases legais previstas na LGPD:

Consentimento (Art. 7º, I) — coletado de forma livre, informada e inequívoca no primeiro acesso ao portal autenticado
Tutela da saúde (Art. 11, II, "a") — aplicável aos dados sensíveis (clínicos), tratados por profissional de saúde ou por organização de saúde
Cumprimento de obrigação legal (Art. 7º, II) — retenção mínima de prontuário médico exigida pelo CFM
Legítimo interesse (Art. 7º, IX) — medidas de segurança da plataforma (logs, rate limiting), sempre observando os direitos e liberdades fundamentais do titular

5. Com quem compartilhamos seus dados

Seus dados clínicos não são compartilhados com terceiros. Apenas o Dr. Petrus Silva Costa, na qualidade de profissional de saúde responsável pelo seu cuidado, tem acesso aos seus dados clínicos no portal.

Operadores estritamente técnicos atuam apenas como infraestrutura, sem acesso ao conteúdo dos dados clínicos:

Hostinger — hospedagem da aplicação e do banco de dados (servidor em conformidade com a LGPD; dados clínicos sensíveis armazenados de forma criptografada em repouso)
Google reCAPTCHA — proteção contra envio automatizado nos formulários (analisa apenas sinais de comportamento de máquina, não armazena conteúdo dos questionários)
Google Analytics 4 — estatísticas de tráfego anônimas, agregadas (quando ativo)
Servidor SMTP da Hostinger — trânsito de e-mails de notificação

Em situações excepcionais, dados poderão ser compartilhados em cumprimento a obrigação legal, ordem judicial ou requisição de autoridade competente, sempre nos limites estritos da LGPD.

6. Por quanto tempo armazenamos seus dados

Dados clínicos (prontuário e escalas): 20 (vinte) anos contados do último registro, conforme Resolução CFM nº 1.821/2007 — mesmo após pedido de eliminação, parte dos dados poderá ser retida em forma anonimizada para cumprimento dessa obrigação legal
Dados de cadastro (e-mail, hash de senha): enquanto a conta estiver ativa; após pedido de exclusão da conta, são eliminados ou anonimizados em até 30 dias
Logs de segurança e tentativas de login: até 48 horas (rotação automática)
Mensagens do formulário de contato: até 5 anos, para histórico do atendimento
Cookies de sessão: até o logout ou após 8 horas de inatividade (o que ocorrer primeiro)

7. Como protegemos seus dados

São adotadas medidas técnicas e administrativas para proteger seus dados, em conformidade com o Art. 46 da LGPD:

Conexão exclusivamente por HTTPS (TLS) em todo o portal, com HSTS e upgrade-insecure-requests
Senhas armazenadas com algoritmo Argon2id (recomendado pela OWASP/ANPD); migração progressiva de senhas legadas
Dados clínicos sensíveis (nome, data de nascimento, sexo, IMC) cifrados em repouso com AES-256-GCM
Cookies de sessão com flags HttpOnly, Secure e SameSite=Strict; idle timeout de 30 minutos; rotação de identificador no login
Proteção contra força bruta via rate limiting em curto e longo prazo
Cabeçalhos de segurança Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
Acesso ao banco de dados restrito a credenciais com privilégios mínimos
Configurações sensíveis armazenadas fora do diretório público do servidor

8. Seus direitos como titular

A LGPD (Art. 18) garante a você os seguintes direitos sobre seus dados pessoais:

Confirmação da existência de tratamento
Acesso aos dados que armazenamos sobre você
Correção de dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
Portabilidade dos dados, em formato estruturado e legível
Eliminação dos dados tratados com base no consentimento (ressalvadas as hipóteses de retenção legal - ver seção 6)
Informação sobre compartilhamento dos dados
Informação sobre a possibilidade de não fornecer consentimento e suas consequências
Revogação do consentimento a qualquer momento

Como exercer:

Acesso e portabilidade: faça login em /meus-dados.html e clique em "Baixar meus dados (JSON)" - receberá imediatamente um arquivo com todos os seus dados pessoais.
Eliminação: faça login em /meus-dados.html e clique em "Excluir minha conta" - anonimização imediata; respostas clínicas são preservadas anonimizadas por 20 anos conforme retenção CFM.
Correção, revogação de consentimento ou outras solicitações: envie um e-mail para contato@drpetrus.top com o assunto "Direito do titular — LGPD".

Responderemos em até 15 dias corridos (LGPD Art. 19 §1º).

9. Cookies e tecnologias semelhantes

O portal utiliza cookies organizados em três categorias, com consentimento explícito coletado no primeiro acesso por meio de banner inferior (LGPD Art. 7º I + Art. 8º):

Necessários (sempre ativos): indispensáveis ao funcionamento e à segurança. Não há opt-out porque sem eles o portal autenticado não opera.
- PHPSESSID — sessão autenticada; flags HttpOnly, Secure, SameSite=Strict; eliminado no logout ou após 8 h
- cookie_consent — registra a sua própria decisão sobre cookies (versão do schema, timestamp, categorias); validade de 1 ano; SameSite=Lax
Analíticos (opt-in): só são carregados se você consentir.
- Google Analytics 4 (cookie _ga, prazo padrão de 13 meses): métricas agregadas e anônimas de tráfego para melhoria do site. Quando ativo, é configurado com anonymize_ip
Terceiros (opt-in): só são carregados se você consentir.
- Google reCAPTCHA nos formulários (contato e questionários públicos): distingue humanos de robôs; analisa apenas sinais comportamentais; não armazena conteúdo dos questionários

Você pode a qualquer momento para revisar ou revogar suas escolhas (LGPD Art. 8º §5º). Você também pode configurar seu navegador para bloquear cookies — cookies estritamente necessários, se bloqueados, inviabilizam o uso autenticado do portal.

10. Alterações nesta Política

Esta Política pode ser atualizada para refletir mudanças em nossas práticas, na legislação ou na infraestrutura técnica. A data da última atualização aparece no topo deste documento. Em caso de alteração material, solicitaremos novo consentimento explícito no próximo acesso autenticado.

Histórico de versões
v1.1 — 30 de abril de 2026: seção 9 (Cookies) reescrita para refletir o banner de consentimento granular (necessários / analíticos / terceiros), a coleta opt-in de Google Analytics 4 e reCAPTCHA, e a possibilidade de reabertura do painel a qualquer momento (LGPD Art. 8º §5º).
v1.0 — 27 de abril de 2026: versão inicial.

11. Contato e Encarregado de Dados (DPO)

Em conformidade com o art. 41, §1º da LGPD, o controlador designa formalmente o seguinte Encarregado pelo Tratamento de Dados Pessoais (DPO), conforme permitido pelo art. 41, §3º (acumulação pelo controlador pessoa física):

Encarregado (DPO): Dr. Petrus Silva Costa · CRM-PE 16844
Canal exclusivo para privacidade e direitos LGPD: security@drpetrus.top
Telefones: (81) 3314-0465 (Tryad) · (81) 99446-9997 (Day Clinic)
Endereços físicos:
- Tryad Consultórios — Av. Conselheiro Rosa e Silva, 1460, Cobertura · Graças · Recife-PE · CEP 52050-245
- Recife Day Clinic — Av. Conselheiro Aguiar, 2004 · Boa Viagem · Recife-PE · CEP 51111-010

11.1 Canal para exercício de direitos do titular (LGPD Art. 18)

Você, titular de dados pessoais, pode exercer todos os direitos previstos no art. 18 da LGPD (confirmação, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, revogação do consentimento) enviando solicitação por e-mail para security@drpetrus.top com o assunto “LGPD Art. 18 — [direito desejado]”.

O Encarregado responderá em até 15 dias corridos contados do recebimento, conforme art. 19, §1º da LGPD. A solicitação é gratuita (art. 18, §5º). Para confirmar sua identidade, podem ser solicitados dados adicionais mínimos — nunca dados sensíveis além do necessário.

Você também pode acionar a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd caso entenda que seus direitos não foram adequadamente atendidos.