PortimedHealth Intelligence
Agendar demo
LGPD

Política de privacidade e proteção de dados

Versão 2.0 — Última atualização: 17 de maio de 2026

Bem-vindo à Portimed. A Portimed é uma plataforma de Software as a Service (SaaS) operada pela PMD GESTÃO E SAÚDE LTDA, inscrita no CNPJ sob o nº 65.092.521/0001-61, sediada em Curitiba/PR.

Esta política descreve, em linguagem clara e em conformidade com a Lei nº 13.709/2018 (LGPD) e as orientações da Autoridade Nacional de Proteção de Dados (ANPD), como coletamos, usamos, armazenamos, compartilhamos e protegemos os dados pessoais tratados em nossa plataforma. Ao utilizar a Portimed, você reconhece que atuamos como Operadora de dados em nome do Controlador (empregador) que contratou nossos serviços, salvo nas hipóteses em que figuramos como Controladora (p. ex., dados de cadastro de leads em nossos formulários de contato).

1. Definições essenciais

  • Plataforma Portimed: o software de gestão de dados de saúde acessível via portal web ou aplicação.
  • Controlador (Cliente): a pessoa jurídica que contrata a Portimed e detém o poder de decisão sobre o tratamento dos dados pessoais de seus funcionários.
  • Operador (Portimed): a plataforma que realiza o tratamento de dados pessoais em nome do Controlador.
  • Titular dos Dados: o funcionário ou indivíduo cujos dados de saúde e pessoais são inseridos na plataforma.
  • Usuário Administrador: usuário principal definido pelo Controlador, responsável por gerir níveis de acesso e permissões.
  • Dados pessoais sensíveis: conforme art. 5º, II da LGPD, incluem dados sobre saúde, biometria e demais categorias protegidas. Atestados médicos e códigos CID-10 são dados sensíveis de saúde.
  • ANPD: Autoridade Nacional de Proteção de Dados, órgão fiscalizador da LGPD.

2. Princípios aplicáveis ao tratamento (art. 6º da LGPD)

A Portimed observa, em todas as operações de tratamento de dados pessoais, os princípios estabelecidos no art. 6º da Lei nº 13.709/2018:

  • Finalidade: tratamento para propósitos legítimos, específicos, explícitos e informados ao titular.
  • Adequação: compatibilidade entre o tratamento e as finalidades informadas.
  • Necessidade: limitação ao mínimo necessário para o cumprimento das finalidades.
  • Livre acesso: garantia de consulta facilitada e gratuita aos dados tratados.
  • Qualidade dos dados: exatidão, clareza, relevância e atualização.
  • Transparência: informações claras, precisas e acessíveis sobre o tratamento.
  • Segurança: medidas técnicas e administrativas aptas a proteger os dados.
  • Prevenção: adoção de medidas para evitar danos em virtude do tratamento.
  • Não discriminação: impossibilidade de tratamento para fins discriminatórios, ilícitos ou abusivos.
  • Responsabilização e prestação de contas: demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas.

3. A Portimed não é uma prestadora de serviços médicos

A Portimed é exclusivamente uma ferramenta tecnológica.

  • Não fornecemos atendimento médico, consultas, diagnósticos ou prescrições.
  • Não somos responsáveis pela veracidade ou qualidade técnica dos dados inseridos por médicos, enfermeiros ou gestores do Controlador.
  • A responsabilidade técnica e legal pelos atos médicos e pela guarda do prontuário (nos termos das resoluções do CFM) permanece com o profissional de saúde e com o Controlador.

4. Categorias de dados pessoais tratados

A Portimed processa as seguintes categorias de dados, inseridos pelo Controlador ou pelo próprio titular:

  • Dados de identificação: nome completo, CPF, RG, data de nascimento, matrícula funcional.
  • Dados de contato: e-mail, telefone, endereço.
  • Dados profissionais: cargo, setor, empresa empregadora, CBO, data de admissão.
  • Dados pessoais sensíveis de saúde (art. 5º, II e art. 11 da LGPD): atestados médicos com diagnóstico em CID-10, restrições laborais, exames ocupacionais (ASO), histórico clínico ocupacional, dados de afastamentos, dados informados em consultas e perícias.
  • Dados de credenciais e segurança: hash de senha, fator de autenticação multifator (MFA) cifrado, tokens de sessão.
  • Dados de registro e auditoria: endereço IP, data e hora de acesso, identificador do dispositivo, logs de ações executadas na plataforma.

Atenção: atestados médicos contendo códigos CID-10 e qualquer informação clínica são dados pessoais sensíveis de saúde e recebem proteções adicionais previstas no art. 11 da LGPD.

5. Finalidades e bases legais (arts. 7º e 11 da LGPD)

Cada operação de tratamento é amparada por uma base legal específica:

OperaçãoFinalidadeBase legal
Cadastro e autenticação de usuáriosPermitir o acesso à plataforma pelo Controlador e seus colaboradores autorizados.Execução de contrato (art. 7º, V)
Gestão de atestados e dados ocupacionais (dados sensíveis)Cumprimento da legislação trabalhista, eSocial e gestão de saúde ocupacional pelo Controlador.Cumprimento de obrigação legal e regulatória pelo Controlador (art. 11, II, "a") e tutela da saúde do titular por profissional da área (art. 11, II, "f")
Envio de atestado pelo colaborador via portal/WhatsAppViabilizar a entrega do documento ao empregador.Consentimento específico e destacado coletado no ato do envio (art. 11, I)
Logs de acesso e auditoriaSegurança da informação, prevenção a fraudes e rastreabilidade.Legítimo interesse (art. 7º, IX) e cumprimento de obrigação regulatória
Comunicações comerciais (formulários do site)Resposta a solicitação do próprio interessado.Procedimentos preliminares a contrato a pedido do titular (art. 7º, V)

6. Gestão de acessos e responsabilidade do Controlador

A Portimed oferece um sistema de controle de acesso baseado em funções (RBAC) combinado a atributos (ABAC) por colaborador.

  • Administrador principal: o Controlador nomeará um administrador que terá o poder exclusivo de definir quais usuários (RH, Médicos do Trabalho, Gestores) poderão visualizar dados específicos.
  • Blindagem de dados sensíveis: a plataforma permite que dados médicos sensíveis fiquem restritos apenas a usuários com perfil "Médico", garantindo o sigilo profissional.
  • Responsabilidade: a Portimed não se responsabiliza por acessos indevidos decorrentes de má gestão de senhas ou configuração de permissões inadequadas realizadas pelo Administrador Principal do Controlador.

7. Compartilhamento de dados e operadores (sub-processadores)

A Portimed não comercializa dados pessoais. O compartilhamento ocorre apenas:

  1. Por ordem do Controlador: para envio de eventos ao eSocial ou integração com outros sistemas autorizados pelo cliente.
  2. Por obrigação legal: cumprimento de ordens judiciais ou requisições de autoridades competentes.
  3. Com operadores (sub-processadores): fornecedores contratados para viabilizar a prestação do serviço, sujeitos a obrigações contratuais de confidencialidade e segurança equivalentes às assumidas pela Portimed.

Operadores em uso atualmente:

OperadorFinalidadePaís de tratamento
Google Cloud Platform (Google LLC)Hospedagem da aplicação, banco de dados, armazenamento de arquivos e gestão de segredos.Brasil (região southamerica-east1, São Paulo)
Resend, Inc.Envio de e-mails transacionais (verificação, redefinição de senha, notificações).Estados Unidos
Meta Platforms, Inc. (WhatsApp Business Cloud API)Envio de links de acesso (magic link) e recepção de mensagens para entrega de atestados pelo colaborador.Estados Unidos / União Europeia (infraestrutura Meta)
Soluti Certificação Digital (VIDaaS)Assinatura digital ICP-Brasil de atestados emitidos pelo médico (PAdES).Brasil
Anthropic, PBCAnálise assistida por IA do conteúdo de atestados para triagem (texto e imagem do documento).Estados Unidos
BrasilAPI (consulta pública de CNPJ)Enriquecimento de cadastro de empresa a partir do CNPJ informado em formulários públicos.Brasil

A lista é atualizada conforme novos operadores são integrados. O Controlador pode solicitar a relação vigente a qualquer momento pelo canal indicado na Seção 12.

8. Transferência internacional de dados (art. 33 da LGPD)

O processamento principal e o armazenamento dos dados ocorrem na região southamerica-east1 (São Paulo, Brasil) da Google Cloud Platform.

Quando há transferência internacional a operadores localizados no exterior (vide tabela na Seção 7), a transferência é amparada por uma das hipóteses do art. 33 da LGPD, em especial: (i) execução de contrato do qual o titular é parte; (ii) cumprimento de obrigação legal; e (iii) cláusulas contratuais específicas com garantias de proteção de dados equivalentes à legislação brasileira, conforme orientações da ANPD.

O titular pode solicitar informações detalhadas sobre as salvaguardas adotadas em cada transferência internacional pelo canal indicado na Seção 12.

9. Segurança da informação

Empregamos medidas técnicas e administrativas para proteger o sistema:

  • Criptografia: dados em trânsito (TLS) e em repouso. CPF, CNPJ, segredos de MFA e credenciais de integração são cifrados na camada de banco com chaves gerenciadas pela GCP (KMS).
  • Isolamento por tenant: Row-Level Security (RLS) no PostgreSQL impede acesso cruzado entre organizações mesmo em caso de falha de aplicação.
  • Logs de auditoria: registro de quem acessou, editou ou visualizou dados de saúde, com rastreabilidade por requisição.
  • Backups periódicos: snapshots automáticos do banco de dados e armazenamento versionado de documentos.
  • Autenticação: senhas com política mínima de 12 caracteres, hash Argon2id, suporte a autenticação multifator (TOTP).
  • Resposta a incidentes: em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Portimed comunicará o Controlador e a ANPD em prazo razoável, nos termos do art. 48 da LGPD.

10. Retenção e exclusão de dados

Os prazos de retenção observam a finalidade do tratamento, o ciclo de vida do contrato com o Controlador e as obrigações legais e regulatórias aplicáveis:

CategoriaPrazo de retençãoFundamento
PDF assinado de atestado médico7 anos a partir da emissãoResolução CFM 1.821/2007 e CFM 2.381/2024 (guarda de documento médico)
Dados indexados do titular do atestado (nome, CPF, matrícula)Anonimizados sob demanda via DSAR; metadados clínicos (CID, datas) preservados pelo prazo do CFMConciliação entre LGPD art. 17 e CFM
Cadastro do colaborador (roster da empresa)Enquanto durar a relação contratual com o Controlador, mais 5 anos após o términoPrescrição trabalhista (CLT, art. 11)
Contas de usuário (e-mail, hash de senha, MFA)Enquanto a conta estiver ativa; após exclusão, mantida em estado anonimizado por 5 anos para fins de auditoriaExecução de contrato e legítimo interesse
Logs de auditoria e acessoMantidos por tempo indeterminado (append-only)Cumprimento de obrigação regulatória, prevenção a fraudes
Dados de leads (formulários do site)24 meses a partir do último contatoProcedimentos preliminares a contrato

Após o término do contrato, os dados serão devolvidos ao Controlador ou eliminados, salvo se a manutenção for necessária para cumprimento de obrigação legal ou regulatória.

11. Direitos do titular (art. 18 da LGPD)

Você, titular dos dados, pode exercer a qualquer momento os seguintes direitos garantidos pelo art. 18 da Lei nº 13.709/2018:

  1. Confirmação da existência de tratamento dos seus dados pessoais.
  2. Acesso aos dados pessoais tratados.
  3. Correção de dados incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  5. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa.
  6. Eliminação dos dados pessoais tratados com base no consentimento (ressalvadas as hipóteses do art. 16 da LGPD, em especial a guarda obrigatória do atestado por 7 anos pela legislação do CFM).
  7. Informação sobre as entidades públicas e privadas com as quais a Portimed realizou uso compartilhado de dados.
  8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  9. Revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.

Como exercer: envie sua solicitação para contato@portimed.com.br identificando-se e descrevendo o direito que deseja exercer. Responderemos em até 15 (quinze) dias, conforme orientação da ANPD. Quando atuamos como Operadora, encaminharemos a solicitação ao Controlador (empregador) quando este for o destinatário adequado, mantendo o titular informado.

12. Decisões automatizadas (art. 20 da LGPD)

A Portimed pode utilizar inteligência artificial para auxiliar a triagem de atestados (leitura assistida de documento e sugestão de CID). Essas funcionalidades são ferramentas de apoio à decisão humana e não substituem a análise de um profissional autorizado pelo Controlador.

Nenhuma decisão automatizada tomada exclusivamente por algoritmo afeta interesses do titular (aprovação ou rejeição de atestado, encaminhamento ao INSS, decisões de RH). Todas essas decisões são sempre revisadas e tomadas por um responsável humano da empresa Controladora.

Caso, no futuro, a Portimed adote decisões automatizadas com efeito sobre o titular, esta política será atualizada e o titular terá direito de solicitar revisão por pessoa natural, nos termos do art. 20 da LGPD.

13. Cookies e tecnologias de rastreamento

A Portimed utiliza atualmente apenas cookies essenciais de sessão e segurança (autenticação, CSRF, preferência de tema), necessários ao funcionamento da plataforma. Esses cookies não dependem de consentimento prévio nos termos do art. 7º, V da LGPD.

Cookies de análise e marketing

Não utilizados atualmente. Quando ativados, um banner de consentimento será apresentado antes da coleta, com opção de aceitar, recusar ou configurar individualmente as categorias.

14. Alterações nesta política

Reservamo-nos o direito de atualizar esta política periodicamente para refletir melhorias técnicas ou mudanças legais. Alterações materiais serão comunicadas com antecedência razoável aos Controladores e, quando cabível, aos titulares. O uso continuado da plataforma após alterações constitui aceitação dos novos termos.

15. Encarregado pelo Tratamento de Dados (DPO) e contato

Para questões sobre privacidade, exercício de direitos ou para falar com nosso Encarregado pelo Tratamento de Dados Pessoais (DPO), utilize:

Caso entenda que sua solicitação não foi adequadamente respondida, é direito do titular peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd.

Destaques de segurança e conformidade

  1. Cláusula de Operador: a Portimed atua como Operadora de dados. A responsabilidade pela gestão de acessos e permissões é do Controlador (cliente).
  2. Log de auditoria: registro completo e imutável de todas as ações realizadas na plataforma, garantindo rastreabilidade total.
  3. Isenção de responsabilidade médica: a Portimed é uma ferramenta tecnológica e não responde por atos médicos ou pela veracidade dos dados clínicos inseridos.

Histórico de revisões

  • Versão 2.017 de maio de 2026. Adições: enumeração dos princípios do art. 6º, bases legais por operação de tratamento, categorias de dados pessoais e dados sensíveis, lista de operadores (sub-processadores), tabela de retenção com conciliação LGPD/CFM, enumeração dos 9 direitos do titular (art. 18) com canal e prazo, declaração sobre transferência internacional (art. 33), declaração sobre decisões automatizadas (art. 20), seção de cookies, designação do canal do Encarregado.
  • Versão 1.0. Política inicial em 10 seções.