Política de Privacidade (LGPD)
Data de entrada em vigor: 18 de abril de 2025.
Introdução à nossa Política de Privacidade
Bem-vindo(a) ao AI DiagMe! A Smart Medical Care Ltd (“nós”, “nos”, “nossos”) está profundamente comprometida com a proteção da privacidade e segurança dos seus dados pessoais. Esta Política de Privacidade foi elaborada para explicar claramente como lidamos com suas informações. AI DiagMe é o nome comercial da Smart Medical Care Ltd.
Este documento detalha como coletamos, usamos e protegemos seus dados pessoais quando você usa nosso site, aidiagme.com (o “Site”), e nossos serviços de interpretação de laudos de exame com inteligência artificial (os “Serviços”). Além disso, informa sobre seus direitos de proteção de dados. Recomendamos que você leia atentamente toda esta política de privacidade. Ao usar nossos Serviços, você reconhece que leu esta política. Para o processamento específico de seus dados de saúde, obtemos seu consentimento explícito separadamente.
1. Responsável pelo tratamento de dados e contato para assuntos de privacidade
Nosso papel como controlador de dados
O responsável pelo tratamento dos seus dados pessoais é:
- Empresa: Smart Medical Care Ltd
- Sede social: 167-169 Great Portland Street, 5º andar, Londres, W1W 5PF, Reino Unido
- Número de registro: 15309552
- E-mail para contato: contact@aidiagme.com
Seu ponto de contato para assuntos de privacidade.
Para quaisquer dúvidas sobre esta política de privacidade ou sobre seus dados pessoais, entre em contato com nosso responsável pela privacidade:
- Nome: Julien P.
- Contato: contact@aidiagme.com
A Smart Medical Care Ltd opera em coordenação com a Smart Medical Care SAS (SAS francesa, RCS Nice 932 924 194), que gere as operações no Espaço Económico Europeu. Para utilizadores residentes no EEE, a Smart Medical Care SAS pode ser o ponto de contacto para questões relacionadas com a proteção de dados.
2. Os dados pessoais que coletamos
Para fornecer e aprimorar nossos Serviços, coletamos diversas categorias de dados pessoais. Esta seção de nossa política de privacidade descreve quais dados coletamos.
- Dados de identificação e contato: Isso inclui seu nome e endereço de e-mail. Usamos seu nome para ajudar a pseudonimizar (desidentificar) seu relatório de laboratório antes do processamento por IA e usamos seu e-mail para enviar o relatório gerado por IA.
- Dados de saúde e contextuais: Esta categoria abrange o arquivo do laudo de exame (por exemplo, sangue, urina) que você envia. Também inclui informações contextuais que você fornece, como idade, sexo e histórico médico, o que nos ajuda a gerar uma explicação mais relevante.
- Dados da transação: Coletamos informações relacionadas à sua compra, que são processadas diretamente pelo nosso provedor de pagamentos, Stripe. Embora não armazenemos os dados completos do seu cartão de crédito, mantemos um histórico das suas transações conosco.
- Dados técnicos e de interação: Por meio de ferramentas como o Google Analytics, coletamos informações sobre como você interage com nosso Site, mediante seu consentimento para o uso de cookies. Isso pode incluir seu endereço IP (anonimizado sempre que possível), tipo de navegador e páginas visitadas.
- Dados de cookies: Coletamos informações por meio de cookies, conforme detalhado em nossa Política de Cookies e com base nas suas opções de consentimento.
- Dados de comunicação: Isso inclui qualquer informação que você fornecer ao entrar em contato com nosso suporte ao cliente.
3. Como utilizamos seus dados: Finalidades e fundamentos jurídicos
Nossa política de privacidade se baseia no processamento de seus dados para fins específicos, sob fundamentos legais apropriados (como o GDPR do Reino Unido e da UE).
- Para fornecer o serviço de IA: Utilizamos seus Dados e Relatório de Saúde para gerar sua explicação por IA, com base no seu Consentimento Explícito.
- Para pseudonimizar seu relatório: Seu nome nos ajuda a remover identificadores diretos do relatório antes da análise por IA. Esse processo constitui pseudonimização (não anonimização completa), pois os dados contextuais que você fornece (idade, sexo, histórico médico) são mantidos para garantir a relevância da explicação da IA. Essa é uma etapa necessária para a execução do nosso contrato.
- Para entregar seu relatório de IA: Utilizamos seu endereço de e-mail para enviar os resultados, o que é essencial para a execução do nosso contrato.
- Para gerenciar pagamentos e contas: Os seus dados de transação e de contacto são utilizados para gerir os pagamentos e a nossa relação enquanto cliente, com base na execução do nosso contrato.
- Para melhorar a segurança do site e do serviço: Analisamos os dados de utilização para melhorar a nossa plataforma. Este processamento baseia-se no seu consentimento para cookies de análise e no nosso interesse legítimo em garantir a segurança dos nossos serviços.
- Para aprimorar nossos modelos de IA: Podemos usar dados de saúde pseudonimizados para melhorar nossos serviços, com base em nosso legítimo interesse. Você tem o direito de optar por não participar desse uso.
- Para atender às suas solicitações: Ao entrar em contato com o suporte, utilizamos seus dados para responder, com base em nosso legítimo interesse em fornecer um serviço excelente.
- Para cumprir as obrigações legais: Podemos processar quaisquer dados pessoais conforme necessário para cumprir a lei.
4. Compartilhamento de seus dados pessoais
Não vendemos seus dados pessoais. Esta política de privacidade confirma que compartilhamos seus dados apenas com terceiros confiáveis, sob condições rigorosas.
- Prestadores de serviços (processadores): Compartilhamos dados com parceiros essenciais, incluindo o Google Cloud para hospedagem segura. Independentemente do seu país de residência, todos os dados de saúde são hospedados exclusivamente na França em servidores Google Cloud certificados HDS (Health Data Hosting) — o mais alto padrão francês de hospedagem de dados médicos.
- Provedores de e-mail transacionais: Utilizamos provedores de serviços externos (por exemplo, SendGrid, Mailgun) para enviar seu relatório gerado por IA por e-mail. Eles processam temporariamente seu endereço de e-mail e o conteúdo do relatório estritamente para fins técnicos de roteamento e entrega.
- Fornecedores de infraestrutura de IA: Utilizamos serviços de roteamento especializados, como o Open Router, para interagir de forma segura com modelos de IA de terceiros. É importante ressaltar que somente dados rigorosamente anonimizados são enviados a esses provedores para gerar seu relatório.
- Obrigações Legais e Comerciais: Podemos divulgar dados se exigido por lei ou durante uma transferência comercial (como uma fusão), garantindo que a nova entidade mantenha nossos compromissos com a política de privacidade.
Exigimos que todos os nossos parceiros respeitem a segurança dos seus dados e os tratem de forma lícita, assinando Acordos de Processamento de Dados (DPAs) rigorosos para garantir a estrita confidencialidade das suas informações.
5. Transferências Internacionais de Dados e esta Política de Privacidade
Como uma empresa sediada no Reino Unido e com atuação internacional, processamos dados em diversas jurisdições. Esta seção explica como protegemos seus dados, dependendo de onde você reside.
Se você reside no Espaço Econômico Europeu (EEE)
Seus dados de saúde (relatórios de exames, informações contextuais e relatórios gerados por IA) são hospedados exclusivamente na França em servidores Google Cloud certificados HDS (Health Data Hosting). Essa certificação atende aos mais rigorosos padrões regulatórios europeus para dados de saúde sensíveis. Seus dados de saúde não são transferidos para fora da França para fins de armazenamento.
No entanto, para gerar seu relatório de IA, dados pseudonimizados (seus resultados de exames laboratoriais com identificadores diretos, como seu nome, removidos, mas mantendo dados contextuais como idade, sexo e histórico médico) são transmitidos para nosso provedor de infraestrutura de IA, a OpenRouter Inc., localizada nos Estados Unidos. Essa transferência é regida por Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia, complementadas por salvaguardas técnicas adicionais, incluindo o próprio processo de pseudonimização, o que reduz significativamente o risco associado a essa transferência.
Os dados de análise (Google Analytics) são transferidos para os Estados Unidos sob o EU-US Data Privacy Framework (DPF). A Google LLC é certificada pelo DPF. Os dados de pagamento são processados pela Stripe Inc. nos Estados Unidos, também certificada pelo DPF.
A Smart Medical Care Ltd opera em coordenação com a Smart Medical Care SAS, uma empresa francesa (RCS Nice 932 924 194), que gere as operações dentro do Espaço Económico Europeu (EEE). Para obter mais informações sobre como os seus dados são tratados dentro do EEE, pode contactar-nos através do endereço [inserir endereço de contacto aqui]. contact@aidiagme.com.
Se você reside no Reino Unido
Seus dados de saúde são hospedados na França em servidores Google Cloud certificados HDS (Health Data Hosting). As transferências entre o Reino Unido e a França são cobertas pela decisão de adequação da Comissão Europeia em relação ao Reino Unido. As transferências para os Estados Unidos (OpenRouter, Google, Stripe) são regidas pela Extensão do Reino Unido ao EU-US Data Privacy Framework (UK-US Data Bridge) e, quando aplicável, pelo UK International Data Transfer Agreement (UK IDTA).
Se você reside nos Estados Unidos ou em outro lugar
Seus dados de saúde são hospedados na França em servidores Google Cloud certificados HDS (Health Data Hosting) — o mais alto padrão disponível para hospedagem de dados de saúde. Não há exigência legal nos EUA de manter seus dados médicos dentro dos Estados Unidos; escolhemos a hospedagem HDS francesa porque oferece o quadro de segurança e regulatório mais sólido para dados de saúde sensíveis. Os dados pseudonimizados transmitidos ao OpenRouter para processamento por IA permanecem nos Estados Unidos.
Se você reside em uma jurisdição com leis específicas de proteção de dados (como as leis de privacidade estaduais dos EUA), consulte nossos Termos e Condições para obter informações sobre seus direitos específicos.
Nota importante sobre a pseudonimização antes da transferência
Independentemente da sua localização, todos os relatórios de laboratório são pseudonimizados antes de serem enviados ao nosso provedor de infraestrutura de IA. Isso significa que seu nome e sobrenome são removidos automaticamente do documento. No entanto, os dados contextuais (idade, sexo, histórico médico) são mantidos para garantir a relevância da explicação da IA. Esse processo constitui pseudonimização nos termos do Artigo 4(5) do RGPD, e não anonimização irreversível. Aplicamos essa salvaguarda como uma camada adicional de proteção para todos os usuários em todo o mundo.
6. Nosso Compromisso com a Segurança de Dados
Implementamos medidas de segurança técnicas e organizacionais robustas para proteger seus dados pessoais. Estas incluem:
Hospedagem unificada de dados de saúde na França (HDS). Independentemente do seu país de residência, todos os dados de saúde são hospedados exclusivamente na França em servidores Google Cloud certificados HDS (Health Data Hosting) — o mais alto padrão francês de hospedagem de dados de saúde. O Google Cloud também possui certificações de segurança abrangentes, incluindo ISO 27001 e SOC 2 Type II.
Pseudonimização antes do processamento por IA. Antes de qualquer laudo laboratorial ser transmitido ao nosso provedor de infraestrutura de IA para análise, nosso sistema detecta e remove automaticamente identificadores diretos (nome, sobrenome) do documento. Os dados contextuais (idade, sexo, histórico médico) são mantidos para garantir a relevância da explicação gerada pela IA. Esse processo reduz o risco de reidentificação por provedores externos, mantendo a qualidade do serviço.
Criptografia em trânsito e em repouso. Todos os dados armazenados são criptografados em repouso usando criptografia AES-256 na infraestrutura Google Cloud.
Controles de acesso interno rigorosos. O acesso a dados pessoais e de saúde é restrito apenas a pessoal autorizado, seguindo o princípio do menor privilégio. A autenticação multifator (MFA) é obrigatória para todos os acessos aos ambientes de produção. Os direitos de acesso são revistos trimestralmente.
Monitoramento contínuo. Usamos as ferramentas de monitoramento do Google Cloud para detectar anomalias e potenciais ameaças à segurança. Os incidentes de segurança são gerenciados de acordo com nosso Plano de Resposta a Incidentes, com procedimentos de escalonamento e prazos de notificação definidos.
Confirmação regulatória. O serviço AI DiagMe foi confirmado como um dispositivo não médico pela Agência Nacional Francesa para a Segurança de Medicamentos e Produtos de Saúde (ANSM) (referência GIO 23593272, arquivo 2500297). Essa classificação foi obtida após uma análise minuciosa do nosso serviço pelo Departamento de Inovação da ANSM.
7. Política de Retenção de Dados
Conservamos os seus dados pessoais apenas pelo tempo necessário para cumprir as finalidades para as quais os recolhemos, incluindo o cumprimento de quaisquer obrigações legais, contabilísticas ou de reporte. O período de conservação dos seus principais dados pessoais depende do estado da sua conta. Nota importante relativamente às contas de utilizador: Atualmente, o nosso serviço funciona sem a criação formal de contas. Os seus dados históricos (informações contextuais e relatórios de IA gerados) estão associados ao seu endereço de e-mail e conservados por um período máximo de 3 anos após a sua última utilização, em antecipação à implementação do nosso portal seguro para pacientes.
Após o lançamento oficial deste portal, as seguintes disposições serão integralmente aplicadas e o período de retenção dos seus principais dados pessoais dependerá do status da sua conta:
- Para contas ativas: Os dados da sua conta, informações de contato e contextuais, bem como os relatórios de IA gerados, são mantidos enquanto sua conta estiver ativa. Isso permite que você utilize nossos Serviços e acesse seu histórico por meio do portal do paciente.
- Para contas desativadas: Após a desativação, retemos seus dados (conta, contato, contexto, relatórios de IA) por um período máximo de 3 anos. Isso permite que você reative sua conta durante esse período. Ao final desse período, caso não haja reativação, esses dados serão excluídos permanentemente.
- Relatório original: Em conformidade com o princípio da minimização de dados, conservaremos este arquivo por um período máximo de 90 dias para resolver quaisquer problemas de entrega que possam surgir, após o qual será eliminado de forma segura.
- Dados da transação: Retido pelo período exigido por nossas obrigações legais e contábeis (normalmente 6 anos no Reino Unido).
- Dados anonimizados para aprimoramento da IA: Os dados dos quais os identificadores diretos foram removidos podem ser usados para pesquisa e aprimoramento de nossos modelos de IA, com base em nosso legítimo interesse. Como os dados contextuais (idade, sexo, histórico médico) são mantidos, esses dados permanecem sujeitos às proteções do GDPR como dados pseudonimizados. Você tem o direito de optar por não participar desse uso entrando em contato conosco.
Uma solicitação para excluir permanentemente sua conta resultará na eliminação de todos os dados listados acima, exceto nos casos em que tivermos uma obrigação legal imperativa de retê-los (como dados de transação) ou para dados que já tenham sido anonimizados de forma irreversível.
8. Seus direitos de proteção de dados de acordo com esta política
Dependendo da sua localização, você tem direitos relativos aos seus dados pessoais.
- Direito de acesso, retificação e apagamento: Você pode solicitar uma cópia dos seus dados, corrigi-los ou pedir a sua exclusão.
- Direito de restringir ou opor-se: Você pode se opor ao processamento com base em nossos interesses legítimos (como o uso de dados anonimizados para aprimoramento da IA).
- Direito de Retirar o Consentimento: Você pode revogar o consentimento para o processamento de dados de saúde a qualquer momento.
Gerenciando sua conta: desativação e exclusão
Você tem o direito de apagar seus dados pessoais. Com o lançamento do nosso portal do paciente, você terá duas opções distintas para gerenciar sua conta e seus dados diretamente do seu painel pessoal:
- Desative sua conta: Esta opção permite que você faça uma pausa em nossos Serviços. Sua conta e seus dados pessoais (incluindo seu perfil, relatórios de IA, etc.) não estarão mais acessíveis, mas serão armazenados com segurança por um período de 3 anos. Isso permite que você reative sua conta e acesse seu histórico a qualquer momento durante esse período. Se sua conta não for reativada dentro de 3 anos, ela e todos os dados pessoais associados serão excluídos permanentemente, exceto os dados sujeitos a uma obrigação legal de retenção.
- Excluir sua conta permanentemente: Esta opção corresponde ao exercício do seu Direito ao Apagamento. Ela acionará a exclusão irreversível e imediata da sua conta e de todos os dados pessoais associados (perfil, documentos enviados, relatórios de IA), sujeitos às nossas obrigações legais de retenção (nomeadamente para dados de transações). Após a execução desta ação, os seus dados não poderão ser recuperados.
Como exercer seus direitos
Enquanto aguardamos o lançamento oficial do portal do paciente, você pode exercer seu direito ao apagamento e solicitar a exclusão permanente de seus dados (vinculados ao seu e-mail) a qualquer momento, entrando em contato conosco diretamente pelo endereço de e-mail. contact@aidiagme.com. Assim que o portal estiver disponível, as opções para desativar e excluir permanentemente sua conta estarão acessíveis diretamente nas suas configurações online.
9. Política de Privacidade para Crianças
Nossos serviços não se destinam a indivíduos menores de 18 anos. Consequentemente, não coletamos intencionalmente dados pessoais de menores.
10. Cookies e Tecnologias de Rastreamento
Nossa Política de Cookies fornece informações detalhadas sobre o uso de cookies. Consulte-a para saber como gerenciar suas preferências.
11. Alterações a esta Política de Privacidade
Podemos atualizar esta política de privacidade periodicamente. A data de “Última atualização” no topo sempre indicará a versão mais recente. Recomendamos que você revise esta página regularmente.
12. Como apresentar uma reclamação
Se tiver alguma dúvida sobre como tratamos os seus dados, entre em contato conosco primeiro. Você também tem o direito de apresentar uma reclamação a uma autoridade supervisora, como o Information Commissioner's Office (ICO) no Reino Unido.
Se você reside no Espaço Econômico Europeu, também pode apresentar uma reclamação à autoridade de proteção de dados do seu país de residência. Na França, essa autoridade é a Comissão Nacional de Informática e Liberdades (CNIL). www.cnil.fr.
13. Recursos adicionais da empresa
- Publicações: Descubra nossos artigos e análises.
- Interpretar Agora: Saiba como funciona nossa ferramenta com inteligência artificial.
- PERGUNTAS FREQUENTES: Encontre respostas para perguntas frequentes sobre segurança de dados e uso de ferramentas.
- Site francês: Para quem fala francês, visite aidiagme.fr
