Política de Privacidade e Proteção de Dados

O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), conhecida como LGPD, é a legislação brasileira que regulamenta o tratamento de dados pessoais por pessoas físicas e jurídicas, tanto no meio digital quanto fora dele. Inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), a LGPD entrou em vigor em setembro de 2020 e estabelece regras claras sobre como dados pessoais devem ser coletados, armazenados, processados e compartilhados no território nacional (Presidência da República, 2018).

A lei tem como objetivo proteger os direitos fundamentais de liberdade e privacidade, além de promover o livre desenvolvimento da personalidade da pessoa natural. No contexto da saúde, a LGPD possui relevância especial, pois dados médicos — como histórico clínico, resultados de exames e informações sobre tratamentos — são classificados comodados pessoais sensíveis, exigindo um nível mais rigoroso de proteção.

Quem fiscaliza o cumprimento da LGPD?

A Agência Nacional de Proteção de Dados (ANPD) é a entidade responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território brasileiro. Criada originalmente como órgão da administração pública federal, a ANPD foi transformada em autarquia de natureza especial pela Lei nº 14.460/2022, ganhando autonomia técnica e decisória. Em 2026, a Lei nº 15.352 consolidou sua nova estrutura como agência reguladora vinculada ao Ministério da Justiça e Segurança Pública, dotada de autonomia funcional, técnica, decisória, administrativa e financeira (Presidência da República, 2026).

A ANPD tem competência exclusiva para aplicar sanções administrativas por infrações à LGPD e atua como órgão central de interpretação da lei. Além disso, a agência promove a cooperação internacional em matéria de proteção de dados, elabora diretrizes para a Política Nacional de Proteção de Dados Pessoais e mantém canais de atendimento tanto para cidadãos quanto para agentes de tratamento de dados (ANPD, 2025).

Quais são os fundamentos da LGPD?

A disciplina da proteção de dados pessoais no Brasil se apoia em sete fundamentos expressos no artigo 2º da lei. Esses princípios orientam toda a aplicação da LGPD e servem como base para a interpretação de seus dispositivos:

• Respeito à privacidade: proteção da esfera íntima do titular dos dados.

• Autodeterminação informativa: o direito de cada pessoa decidir sobre o uso de seus próprios dados pessoais.

• Liberdade de expressão, informação, comunicação e opinião: equilíbrio entre proteção de dados e liberdades fundamentais.

• Inviolabilidade da intimidade, da honra e da imagem: proteção de direitos da personalidade.

• Desenvolvimento econômico, tecnológico e inovação: a lei não busca impedir o uso de dados, mas regulamentá-lo de forma responsável.

• Livre iniciativa, livre concorrência e defesa do consumidor: harmonização entre proteção de dados e atividade econômica.

• Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania: o núcleo valorativo da legislação.

Esses fundamentos deixam claro que a LGPD não existe para dificultar o uso legítimo de informações — ela busca garantir que esse uso ocorra de maneira ética, transparente e segura.

O que são dados pessoais sensíveis na área da saúde?

A LGPD define dados pessoais sensíveis como aqueles que se referem a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, bem como dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural (Art. 5º, inciso II). Na prática, isso significa que praticamente toda informação gerada no contexto de uma consulta médica, exame laboratorial, prescrição de medicamentos ou sessão de fisioterapia é considerada sensível.

O tratamento de dados sensíveis exige cuidado redobrado. Ele somente pode ocorrer com o consentimento específico e destacado do titular ou, sem consentimento, em hipóteses restritas como a tutela da saúde — exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (Art. 11, inciso II, alínea "f"). A SERENITAS adota essa distinção como diretriz central em todos os processos que envolvem dados dos seus usuários.

Além disso, a lei prevê uma vedação importante para o setor de saúde: operadoras de planos privados de assistência à saúde não podem utilizar dados de saúde para a prática de seleção de riscos na contratação ou na exclusão de beneficiários (Art. 11, § 5º). Essa proteção existe para evitar discriminação com base no estado de saúde dos pacientes.

Quais são os direitos do titular dos dados?

O artigo 18 da LGPD estabelece um conjunto abrangente de direitos que toda pessoa natural pode exercer em relação aos seus dados pessoais. Esses direitos podem ser solicitados a qualquer momento, mediante requisição ao controlador dos dados:

Direito

Descrição

Confirmação de tratamento

Saber se a organização realiza qualquer operação com seus dados pessoais.

Acesso aos dados

Obter uma cópia dos dados pessoais mantidos pelo controlador.

Correção

Solicitar a atualização de dados incompletos, inexatos ou desatualizados.

Anonimização, bloqueio ou eliminação

Requerer que dados desnecessários ou tratados em desconformidade com a lei sejam anonimizados, bloqueados ou eliminados.

Portabilidade

Transferir seus dados a outro fornecedor de serviço ou produto, mediante requisição expressa.

Eliminação de dados consentidos

Solicitar a exclusão de dados pessoais tratados com base no consentimento.

Informação sobre compartilhamento

Saber com quais entidades públicas ou privadas seus dados foram compartilhados.

Possibilidade de não consentir

Ser informado sobre a possibilidade de não fornecer consentimento e quais as consequências dessa decisão.

Revogação do consentimento

Revogar o consentimento previamente dado, por procedimento gratuito e facilitado.

Na plataforma SERENITAS, esses direitos podem ser exercidos a qualquer momento por meio da área "Minha Conta" ou entrando em contato diretamente com o nosso encarregado de proteção de dados (DPO).

Quais são os princípios que regem o tratamento de dados?

O artigo 6º da LGPD estabelece dez princípios que devem ser observados em todas as atividades de tratamento de dados pessoais. Esses princípios funcionam como balizas para garantir que o uso de informações seja justo e proporcional:

1. Finalidade: o tratamento deve ter propósitos legítimos, específicos e informados ao titular.

2. Adequação: compatibilidade entre o tratamento e as finalidades informadas.

3. Necessidade: limitação ao mínimo necessário para alcançar a finalidade pretendida.

4. Livre acesso: consulta facilitada e gratuita sobre a forma e a duração do tratamento.

5. Qualidade dos dados: exatidão, clareza, relevância e atualização dos dados.

6. Transparência: informações claras e acessíveis sobre o tratamento e seus agentes.

7. Segurança: medidas técnicas e administrativas para proteger os dados.

8. Prevenção: adoção de medidas para prevenir danos decorrentes do tratamento.

9. Não discriminação: impossibilidade de uso dos dados para fins discriminatórios.

10. Responsabilização e prestação de contas: demonstração de conformidade com as normas de proteção de dados.

Na SERENITAS, esses princípios guiam desde o design das funcionalidades da plataforma até a forma como os dados de pacientes e profissionais de saúde são armazenados e acessados. Adotamos o conceito de privacidade por design (privacy by design), integrando proteção de dados desde a concepção de cada funcionalidade.

Quais são as sanções por descumprimento da LGPD?

A LGPD prevê sanções administrativas que podem ser aplicadas exclusivamente pela ANPD, mediante processo administrativo que assegure o contraditório e a ampla defesa. As penalidades estão previstas no artigo 52 da lei e incluem:

• Advertência: com indicação de prazo para adoção de medidas corretivas.

• Multa simples: de até 2% do faturamento da pessoa jurídica no Brasil, limitada a R$ 50.000.000,00 por infração.

• Multa diária: observado o mesmo limite total.

• Publicização da infração: após devidamente apurada e confirmada.

• Bloqueio ou eliminação dos dados: relacionados à infração.

• Suspensão parcial do banco de dados: por até 6 meses, prorrogável.

• Suspensão da atividade de tratamento: por até 6 meses, prorrogável.

• Proibição parcial ou total de atividades relacionadas a tratamento de dados.

As sanções mais severas — suspensão e proibição — somente são aplicadas após já ter sido imposta ao menos uma das penalidades anteriores para o mesmo caso concreto. A ANPD considera critérios como gravidade da infração, boa-fé do infrator, vantagem auferida, cooperação, reincidência e adoção de políticas de boas práticas e governança.

Como a SERENITAS trata os seus dados?

A SERENITAS opera como controladora de dados pessoais para as informações coletadas diretamente de pacientes e profissionais de saúde que utilizam a plataforma. Todos os dados são tratados com base nas hipóteses legais previstas na LGPD, incluindo consentimento do titular, execução de contrato, cumprimento de obrigação legal e legítimo interesse.

Os dados coletados pela plataforma podem incluir informações cadastrais (nome, e-mail, telefone), dados de navegação e uso da plataforma, localização geográfica para busca de profissionais e, quando aplicável, informações relacionadas à saúde fornecidas voluntariamente pelo usuário. Dados de saúde são sempre tratados com o nível de proteção exigido para dados sensíveis, conforme descrito na seção anterior.

A SERENITAS adota medidas técnicas e administrativas de segurança da informação, incluindo criptografia de dados em trânsito e em repouso, controle de acesso baseado em papéis, registro de auditoria de operações sensíveis e avaliação periódica de riscos à privacidade. A plataforma implementacookies estritamente necessários para o funcionamento técnico do serviço.

Como exercer seus direitos na SERENITAS?

Qualquer titular de dados pode exercer os direitos previstos na LGPD de forma simples e gratuita. Na plataforma SERENITAS, os canais disponíveis são:

• Área "Minha Conta": acesse as configurações de privacidade para visualizar, corrigir ou solicitar a exclusão dos seus dados pessoais.

• Encarregado de Proteção de Dados (DPO): para solicitações que não possam ser atendidas diretamente pela plataforma, entre em contato com nosso encarregado pelo e-mail disponível na seção de privacidade do site.

• ANPD: caso sua solicitação não seja atendida de forma satisfatória, o titular pode registrar uma petição ou denúncia diretamente nos canais de atendimento da Agência Nacional de Proteção de Dados.

Nos termos do artigo 19 da LGPD, a confirmação de existência ou o acesso a dados pessoais será providenciado em formato simplificado de forma imediata, ou por meio de declaração completa no prazo de até 15 dias a partir da data do requerimento.

Solicitação de exclusão de dados e direito ao esquecimento

Ao solicitar a eliminação dos seus dados pessoais na SERENITAS, iniciaremos o processo de remoção no prazo previsto pela LGPD. No entanto, é importante destacar quenem todos os dados podem ser excluídos de forma imediata e integral.

Dados vinculados a transações financeiras — como registros de pagamentos, emissão de notas fiscais e recibos — estão sujeitos a obrigações legais de guarda previstas na legislação tributária e contábil brasileira. Esses registros devem ser conservados pelo prazo mínimo decinco anos a partir da data da transação, conforme determinam o Código Tributário Nacional (Art. 173) e a legislação fiscal aplicável (Presidência da República, 1966).

Durante esse período de retenção obrigatória, a SERENITAS adotará aanonimização dos dados mantidos. Na prática, isso significa que as informações financeiras continuarão armazenadas para fins de conformidade legal, mas serão desvinculadas de qualquer elemento que permita identificar, direta ou indiretamente, o titular dos dados. O seu nome, e-mail, telefone e quaisquer outros identificadores pessoais serão removidos ou substituídos por códigos irreversíveis.

Ao final do prazo legal de guarda, os registros anonimizados serão definitivamente eliminados dos nossos sistemas. Você será notificado por e-mail quando a solicitação de exclusão for processada, com informações claras sobre quais dados foram removidos e quais foram anonimizados para cumprimento de obrigação legal.

Referências

• Presidência da República. Lei nº 13.709, de 14 de agosto de 2018 — Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, 2018.

• Presidência da República. Lei nº 13.853, de 8 de julho de 2019 — Alterações à LGPD e criação da ANPD. Diário Oficial da União, 2019.

• Presidência da República. Lei nº 14.460, de 25 de outubro de 2022 — Transformação da ANPD em autarquia de natureza especial. Diário Oficial da União, 2022.

• Presidência da República. Lei nº 15.352, de 2026 — Consolidação da ANPD como agência reguladora. Diário Oficial da União, 2026.

• Agência Nacional de Proteção de Dados (ANPD). Portal institucional. Disponível em:ANPD . Acesso em: 14 jul. 2025.