Política de Privacidade
Última atualização: 26 de maio de 2026
1. Sobre esta Política
Esta Política de Privacidade descreve como a Karis Health Tecnologia Ltda., operadora da plataforma Karis Health("Karis", "nós", "nosso"), coleta, usa, armazena e protege os dados pessoais dos usuários (médicos e profissionais de saúde) e os dados de pacientes inseridos na plataforma.
Esta Política está em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), com o Código de Ética Médica e com as demais normas aplicáveis ao setor de saúde no Brasil.
Ao usar o Karis, você concorda com as práticas descritas nesta Política. Se não concordar, por favor, não utilize a plataforma.
2. Quais dados coletamos
2.1 Dados do médico (usuário da plataforma):
- Nome completo, endereço de e-mail e foto de perfil (via autenticação Google/Firebase)
- CRM, UF de registro, especialidade médica e dados profissionais informados no perfil
- Dados de faturamento e pagamento (processados pelo Asaas; não armazenamos dados de cartão)
- Logs de acesso e uso da plataforma (para segurança e melhoria do serviço)
2.2 Dados de pacientes (inseridos pelo médico):
- Dados de identificação: nome, idade, data de nascimento, sexo, CEP
- Dados de saúde: condições ativas, alergias, sintomas, medicamentos, suplementos
- Resultados de exames laboratoriais e documentos médicos (PDFs)
- Dados de estilo de vida: tabagismo, consumo de álcool, prática de exercício físico
- Variantes genômicas e biomarcadores extraídos de laudos
2.3 Dados de uso da plataforma:
- Endereço IP, tipo de navegador, sistema operacional
- Páginas acessadas e funcionalidades utilizadas
- Data e hora dos acessos
3. Como usamos os dados
Utilizamos os dados coletados para as seguintes finalidades:
- Prestação do serviço: processar exames, gerar análises de IA (pipeline Consilium), exibir prontuários e fornecer insights clínicos ao médico.
- Personalização: adaptar as análises ao perfil e histórico do paciente.
- Comunicação: enviar notificações transacionais (análise concluída, confirmação de pagamento) via e-mail. Não enviamos publicidade não solicitada.
- Segurança: prevenir fraudes, monitorar acessos não autorizados e garantir a integridade dos dados.
- Melhoria do produto: analisar padrões de uso (de forma anonimizada) para aperfeiçoar as funcionalidades da plataforma.
- Cumprimento de obrigações legais: atender requisitos regulatórios e responder a autoridades competentes quando exigido por lei.
Não vendemos, alugamos ou compartilhamos dados de pacientes com terceiros para fins comerciais, jamais.
4. Dados de saúde e a LGPD
Dados de saúde são considerados dados pessoais sensíveis pela LGPD (art. 11). O Karis processa esses dados exclusivamente:
- Para prestação de serviços de saúde ao médico e seus pacientes (art. 11, II, "f")
- Com base no consentimento explícito do médico ao cadastrar dados de seus pacientes
- Sob sigilo profissional e com medidas técnicas de segurança adequadas
O médico usuário do Karis é o controlador dos dados de seus pacientes. O Karis atua como operador, processando esses dados apenas por instrução e em nome do médico, nos termos do art. 39 da LGPD.
O médico é responsável por obter o consentimento do paciente para uso de seus dados em plataformas digitais, em conformidade com a Resolução CFM nº 2.314/2022.
5. Compartilhamento de dados
Podemos compartilhar dados com terceiros apenas nas seguintes situações:
- Provedores de infraestrutura: Google Cloud Platform (armazenamento e computação), Anthropic (processamento de linguagem natural para análises de IA), Resend (envio de e-mails transacionais). Esses fornecedores atuam como suboperadores e estão sujeitos a acordos de confidencialidade.
- Processadores de pagamento: Asaas (dados de faturamento do médico; nunca inclui dados de pacientes).
- Obrigação legal: quando exigido por autoridade competente, decisão judicial ou regulação aplicável.
6. Segurança dos dados
Adotamos as seguintes medidas técnicas e organizacionais para proteger os dados:
- Comunicação criptografada via TLS/HTTPS em todas as transmissões
- Banco de dados em nuvem com criptografia em repouso (Google Cloud SQL)
- Autenticação via Firebase Authentication com suporte a 2FA
- Controle de acesso baseado em papéis (cada médico acessa apenas seus próprios pacientes)
- Logs de auditoria para operações críticas
- Revisões periódicas de segurança e atualização de dependências
Em caso de incidente de segurança que possa afetar seus dados, notificaremos os usuários afetados e a Autoridade Nacional de Proteção de Dados (ANPD) nos prazos previstos pela LGPD.
7. Retenção de dados
Os dados são mantidos enquanto a conta do médico estiver ativa. Após o encerramento da conta:
- Dados de pacientes são excluídos em até 90 dias, salvo obrigação legal de retenção
- Logs de acesso são mantidos por até 12 meses para fins de segurança
- Dados de faturamento são mantidos pelo prazo exigido pela legislação fiscal (5 anos)
O médico pode solicitar a exclusão antecipada de dados a qualquer momento pelo e-mail abaixo.
8. Seus direitos (LGPD, art. 18)
Como titular de dados ou como médico responsável pelos dados de seus pacientes, você tem direito a:
- Acesso: saber quais dados temos sobre você ou seus pacientes
- Correção: corrigir dados incompletos, inexatos ou desatualizados
- Exclusão: solicitar a remoção de dados desnecessários ou excessivos
- Portabilidade: receber seus dados em formato estruturado
- Revogação: retirar o consentimento a qualquer momento
- Informação: saber com quem compartilhamos seus dados
- Oposição: opor-se a tratamento realizado sem consentimento
Para exercer esses direitos, entre em contato pelo e-mail: privacidade@karis.health
9. Cookies e rastreamento
O Karis utiliza cookies estritamente necessários para autenticação e funcionamento da sessão. Não utilizamos cookies de publicidade ou rastreamento comportamental de terceiros.
10. Integração com Google Calendar
O Karis oferece integração opcional com o Google Calendar para permitir que médicos visualizem e gerenciem consultas diretamente na plataforma. Esta integração é totalmente opcional e requer autorização explícita do médico via fluxo OAuth 2.0 do Google.
10.1 Dados acessados e escopos utilizados:
- Leitura de eventos (
calendar.readonly/calendar.events): lemos os eventos dos próximos 30 dias do calendário principal (primary) do médico para exibi-los na agenda da plataforma. - Criação de eventos (
calendar.events): criamos eventos no calendário do médico somente quando ele solicitar explicitamente, por exemplo ao agendar um retorno de paciente pelo Karis.
10.2 Finalidade e uso dos dados do Google:
- Exibir a agenda do médico dentro do painel Karis, sem necessidade de alternar entre aplicativos.
- Permitir o agendamento de consultas e retornos vinculados ao prontuário do paciente.
- Os dados do Google Calendar não são utilizados para treinar modelos de IA, compartilhados com terceiros para fins comerciais ou usados para qualquer finalidade além das descritas acima.
10.3 Armazenamento e segurança:
- Armazenamos apenas o token de acesso OAuth e o refresh token, criptografados em repouso no Google Cloud SQL (região southamerica-east1, Brasil).
- Não armazenamos o conteúdo dos eventos do calendário — cada leitura é feita em tempo real e não persiste no nosso banco de dados.
- Os tokens são removidos imediatamente quando o médico desconecta a integração.
10.4 Revogação de acesso:
Você pode desconectar a integração a qualquer momento na página Integrações do painel Karis, ou diretamente na sua conta Google em myaccount.google.com/permissions. A revogação apaga imediatamente os tokens armazenados pelo Karis.
O uso pelo Karis das informações recebidas das APIs do Google seguirá a Política de Dados do Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado.
11. Menores de idade
O Karis é destinado exclusivamente a médicos e profissionais de saúde maiores de 18 anos. Não coletamos intencionalmente dados de menores. Os dados de saúde de pacientes menores de idade são tratados com restrição adicional de acesso.
12. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Notificaremos mudanças relevantes por e-mail e/ou aviso na plataforma. A versão vigente sempre estará disponível em karis.health/privacidade.
13. Contato e Encarregado (DPO)
Para dúvidas, solicitações relacionadas à privacidade ou exercício de direitos da LGPD:
- E-mail: privacidade@karis.health
- Empresa: Karis Health Tecnologia Ltda.
- Endereço: Brasil
Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd