Transparência sobre dados clínicos, segurança e direitos do titular.

Usamos os dados do médico para autenticação, gestão de assinatura, prevenção a fraude, notificações operacionais e segurança da plataforma.

Os dados dos pacientes são tratados para viabilizar acompanhamento longitudinal, visualização de históricos, compartilhamento controlado de documentos, comparações de evolução e alertas assistenciais.

O acesso aos dados clínicos é segmentado por perfil e vínculo assistencial. Links temporários de arquivos são gerados de forma controlada pela aplicação e as áreas autenticadas usam políticas de não armazenamento em cache.

Cada consulta finalizada pelo médico no Acompanha é um prontuário eletrônico conforme exigido pela Resolução CFM 1.821/2007 e pela Resolução CFM 2.314/2022 (telemedicina). O registro contém data, hora, identificação do profissional, identificação do paciente e os campos clínicos no padrão SOAP (Subjetivo, Objetivo, Avaliação, Plano).

Imutabilidade após finalização: uma vez que o médico finaliza a consulta, o registro torna-se imutável — não pode ser editado nem apagado. Eventuais correções devem ser feitas via adendo. Esta regra é aplicada no nível do banco de dados (Row Level Security) e atende ao princípio de integridade do prontuário.

Visibilidade do paciente: o titular dos dados (paciente) tem acesso ao próprio prontuário no portal — exceto o campo "Avaliação" (raciocínio clínico do médico), que fica restrito ao próprio profissional conforme prática clínica.

Prescrição digital via Memed: quando o médico emite receita digital pelo Acompanha, dados do prescritor (CPF, conselho, UF, data de nascimento) e do paciente (nome, CPF quando preenchido, data de nascimento, telefone, endereço) são transmitidos para a Memed Tecnologia S.A. para gerar e assinar digitalmente a receita com certificado ICP-Brasil. A Memed atua como operadora desses dados sob seus próprios termos. A integração é opcional — médicos podem registrar prescrições sem usá-la.

Dado sensível — raça (Art. 11 LGPD): a coleta de raça/cor é opcional e exige consentimento explícito do paciente. Pode ser usada apenas quando relevante para o cuidado clínico (ex: emissão de LME). O paciente pode marcar "Prefiro não declarar" e essa preferência é respeitada — não inferimos raça a partir de outros dados.

A sincronização com o Google Calendar é opcional. O médico ativa a integração em Admin → Integrações, passando pelo consentimento OAuth 2.0 do próprio Google, e pode revogar o acesso a qualquer momento — tanto dentro do Acompanha quanto em myaccount.google.com/permissions.

Escopos solicitados (apenas os estritamente necessários):

• calendar.events — criar, atualizar e remover eventos que o próprio médico cria dentro do Acompanha. Não modificamos eventos criados fora do nosso app.
• calendar.readonly — listar os calendários do médico (para escolher o calendário destino) e exibir eventos existentes em modo somente-leitura na agenda do Acompanha, evitando que o médico precise alternar entre ferramentas.

O que fazemos com os dados: criamos eventos na agenda escolhida pelo médico quando ele marca uma consulta dentro do Acompanha; exibimos eventos do Google Calendar na tela de agenda do médico para visualização consolidada; opcionalmente permitimos que o médico vincule um evento do Google a um paciente cadastrado no Acompanha para enriquecer o contexto clínico.

O que NÃO fazemos: nunca lemos, armazenamos ou processamos e-mails, contatos, Drive, fotos, Gmail ou qualquer outro serviço Google além da Calendar API. Não compartilhamos dados do Google com terceiros. Não usamos os dados para treinar modelos de IA. Não exibimos dados do Google para outros usuários do Acompanha — apenas o próprio médico que conectou sua conta.

Armazenamento e segurança: os tokens OAuth (access_token e refresh_token) são criptografados em repouso com AES-256-GCM antes de persistir no banco. Decifragem ocorre apenas em Route Handlers server-only. Tokens são revogados automaticamente no Google quando o médico desconecta a integração no Acompanha.

Como revogar: Admin → Integrações → Desconectar remove todos os tokens do nosso banco e chama a API de revogação do Google. IDs de eventos do Google que tenham sido salvos junto a consultas do Acompanha permanecem como referência, mas o acesso à conta Google é imediatamente encerrado.

O uso dos dados obtidos via Google APIs respeita integralmente a Google API Services User Data Policy, incluindo os requisitos de Limited Use.

Titulares podem solicitar confirmação de tratamento, acesso, correção, revisão de dados cadastrais e outras medidas cabíveis pela LGPD, sempre observado o contexto clínico, bases legais aplicáveis e deveres de retenção.

Quando o pedido envolver dado clínico mantido em nome do profissional de saúde, o Acompanha pode atuar em cooperação com o médico ou clínica responsável, conforme o papel de controlador definido para aquela finalidade.

Mantemos apenas o necessário para operação, segurança, faturamento, prevenção a abuso e cumprimento de obrigações legais. Artefatos órfãos e registros sem finalidade operacional devem entrar em ciclos de revisão e descarte controlado.

Rotinas internas de governança definem retenção para billing, logs, documentos, backups e registros de incidente. O detalhamento operacional fica documentado no repositório interno de segurança e LGPD.