Política de Privacidade

Última atualização: Março 2026

1. Controlador dos Dados

O controlador dos dados pessoais tratados por meio da plataforma Aura Med é:

  • Razão social: Auramedical Tecnologia da Informação Ltda ("Aura Tech")
  • CNPJ: 58.107.486/0001-41
  • Sede: Av. Paulista, 1106 - 16º andar, Bela Vista, São Paulo-SP, CEP 01310-914
  • Encarregado de Proteção de Dados (DPO): dpo@aura.med

Esta Política de Privacidade ("Política") descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais dos usuários da Plataforma, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD") e demais normas aplicáveis.

2. Dados Pessoais Coletados

2.1 Dados de Identificação e Cadastro

  • Nome completo
  • Endereço de e-mail
  • Número de telefone celular
  • CPF (Cadastro de Pessoa Física)
  • Data de nascimento
  • Sexo biológico
  • Endereço residencial

2.2 Dados Sensíveis de Saúde

A Plataforma coleta e trata dados pessoais sensíveis relativos à saúde, nos termos do art. 5º, II, da LGPD, incluindo:

  • Dados de dispositivos vestíveis (wearables): frequência cardíaca, variabilidade da frequência cardíaca (HRV), padrões de sono (duração, fases REM e sono profundo), nível de atividade física, VO2max estimado, saturação de oxigênio, temperatura corporal e nível de estresse;
  • Resultados de exames laboratoriais: biomarcadores sanguíneos como HOMA-IR, HbA1c, ApoB, hs-CRP, homocisteína, cortisol, perfil lipídico, hormonal, e demais marcadores inseridos pelo usuário ou importados de laboratórios parceiros;
  • Respostas a questionários clínicos: dados sobre histórico médico, sintomas, hábitos de vida, alimentação, uso de medicamentos e suplementos;
  • Dados genômicos: variantes genéticas relevantes para farmacogenômica, metabolismo de nutrientes e predisposições, quando fornecidos pelo usuário.

2.3 Dados de Uso e Técnicos

  • Endereço IP e geolocalização aproximada
  • Tipo de dispositivo, sistema operacional e versão do aplicativo
  • Dados de navegação, páginas acessadas e tempo de permanência
  • Identificadores de dispositivo e tokens de notificação push
  • Logs de acesso, conforme exigido pelo Marco Civil da Internet (Lei nº 12.965/2014)

3. Base Legal para o Tratamento

O tratamento dos dados pessoais é realizado com fundamento nas seguintes bases legais da LGPD:

  • Consentimento explícito e específico (art. 11, I): para o tratamento de dados pessoais sensíveis de saúde. O consentimento é coletado de forma destacada, informada e inequívoca no momento do cadastro e pode ser revogado a qualquer tempo;
  • Execução de contrato (art. 7º, V): para dados necessários à prestação dos serviços contratados;
  • Cumprimento de obrigação legal ou regulatória (art. 7º, II): para retenção de registros de acesso e dados exigidos por legislação aplicável;
  • Legítimo interesse (art. 7º, IX): para melhoria da Plataforma, segurança da informação e prevenção de fraudes, sempre respeitando as expectativas do titular e seus direitos fundamentais.

4. Finalidades do Tratamento

Os dados pessoais são tratados para as seguintes finalidades específicas:

  • Monitoramento de saúde: geração de visualizações, pontuações e insights sobre os domínios de saúde do usuário (metabólico, cardiovascular, sono, nervoso e inflamatório);
  • Personalização: adaptação do conteúdo, recomendações e protocolos ao perfil biológico individual do usuário;
  • Prestação de serviços: viabilização do funcionamento da Plataforma, incluindo integração com dispositivos vestíveis e importação de exames;
  • Comunicação: envio de notificações sobre a conta, atualizações da Plataforma e, mediante consentimento adicional, comunicações informativas sobre saúde;
  • Análises e melhorias: análises estatísticas agregadas e anonimizadas para aprimoramento dos algoritmos e da experiência do usuário;
  • Cumprimento legal: atendimento a obrigações legais, regulatórias, judiciais ou administrativas.

5. Compartilhamento de Dados

A Aura Tech poderá compartilhar dados pessoais do usuário com:

  • Aura Serviços Médicos: parceiro médico responsável pela prestação de serviços clínicos (teleconsultas, prescrições, laudos). O compartilhamento é limitado aos dados estritamente necessários para a assistência médica e ocorre mediante consentimento específico do usuário;
  • Provedores de infraestrutura: serviços de computação em nuvem (Amazon Web Services — AWS) e banco de dados (Supabase) para armazenamento e processamento de dados, sob contratos que garantem confidencialidade e segurança;
  • Provedores de integração: APIs de fabricantes de dispositivos vestíveis (Garmin, Oura) para coleta de dados de saúde, mediante autorização expressa do usuário;
  • Autoridades competentes: quando exigido por determinação judicial, lei ou regulamentação aplicável.

A Aura Tech não vende, aluga ou comercializa dados pessoais de seus usuários a terceiros para fins de marketing, publicidade ou qualquer outra finalidade comercial.

6. Transferência Internacional de Dados

Em razão da utilização de provedores de infraestrutura em nuvem, os dados pessoais do usuário poderão ser armazenados e processados em servidores localizados fora do território brasileiro, incluindo Estados Unidos da América e União Europeia.

A transferência internacional de dados é realizada em conformidade com o art. 33 da LGPD, mediante:

  • Cláusulas contratuais padrão que garantem nível adequado de proteção de dados;
  • Certificação dos provedores em frameworks reconhecidos de proteção de dados (SOC 2, ISO 27001);
  • Compromisso contratual dos provedores com a observância da LGPD e legislações equivalentes de seus respectivos países.

7. Retenção dos Dados

Os dados pessoais são retidos pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os seguintes prazos:

  • Dados de saúde e prontuário: mínimo de 20 (vinte) anos a partir da data do último registro, em conformidade com a Resolução CFM nº 1.821/2007 e o art. 6º da Lei nº 13.787/2018, que regulamentam o prontuário médico eletrônico;
  • Dados de cadastro e conta: durante a vigência da relação contratual e por 5 (cinco) anos após o encerramento da conta, para cumprimento de obrigações legais, incluindo prescrição de pretensões cíveis (art. 206, §5º, do Código Civil);
  • Registros de acesso: 6 (seis) meses a partir do evento, conforme o Marco Civil da Internet (art. 15, Lei nº 12.965/2014);
  • Dados anonimizados: podem ser retidos por prazo indeterminado, pois não permitem a identificação do titular e não estão sujeitos à LGPD.

Após o término do período de retenção, os dados pessoais serão eliminados ou anonimizados de forma segura e irreversível, salvo quando a legislação exigir sua conservação.

8. Direitos do Titular dos Dados

Nos termos do art. 18 da LGPD, o titular dos dados pessoais tem direito a:

  • Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados pessoais;
  • Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço ou produto, em formato estruturado e interoperável;
  • Eliminação: solicitar a eliminação dos dados tratados com base no consentimento, exceto nas hipóteses de conservação previstas em lei;
  • Informação sobre compartilhamento: saber com quais entidades públicas e privadas os dados foram compartilhados;
  • Revogação do consentimento: revogar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente;
  • Oposição: opor-se ao tratamento realizado com base em hipótese de dispensa de consentimento, em caso de descumprimento da LGPD;
  • Revisão de decisões automatizadas: solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados.

Para exercer seus direitos, o titular pode entrar em contato com nosso Encarregado de Proteção de Dados (DPO) pelo e-mail dpo@aura.med. As solicitações serão respondidas no prazo de até 15 (quinze) dias úteis, conforme previsto na legislação.

O titular também tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) caso considere que o tratamento de seus dados pessoais viola a LGPD.

9. Segurança da Informação

A Aura Tech adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento ilícito, incluindo:

  • Criptografia: dados em trânsito protegidos por TLS 1.2+ (Transport Layer Security) e dados em repouso criptografados com AES-256;
  • Controle de acesso: autenticação multifator, princípio do menor privilégio e segregação de funções para acesso a dados de saúde;
  • Registros de auditoria: logs de acesso e operações sobre dados pessoais, mantidos para fins de rastreabilidade e conformidade;
  • Monitoramento contínuo: sistemas de detecção de intrusão e monitoramento de anomalias em tempo real;
  • Backups: cópias de segurança criptografadas com periodicidade regular e armazenamento em localidades geograficamente distintas;
  • Gestão de incidentes: procedimentos documentados para resposta a incidentes de segurança, incluindo notificação à ANPD e aos titulares afetados, quando aplicável, conforme art. 48 da LGPD.

10. Cookies e Tecnologias de Rastreamento

A Plataforma utiliza cookies e tecnologias similares para:

  • Cookies essenciais: necessários para o funcionamento básico da Plataforma, incluindo autenticação, segurança e preferências de sessão. Não podem ser desativados;
  • Cookies analíticos: coletam informações agregadas e anônimas sobre o uso da Plataforma para fins de melhoria contínua, incluindo páginas visitadas, tempo de permanência e padrões de navegação.

O usuário pode gerenciar suas preferências de cookies a qualquer momento por meio das configurações do navegador ou do painel de privacidade da Plataforma. A desativação de cookies essenciais pode afetar o funcionamento adequado da Plataforma.

A Plataforma não utiliza cookies para fins publicitários ou de retargeting.

11. Alterações desta Política

A Aura Tech reserva-se o direito de atualizar esta Política de Privacidade para refletir alterações em nossas práticas de tratamento de dados ou em exigências legais e regulatórias.

As alterações materiais serão comunicadas ao usuário com antecedência mínima de 30 (trinta) dias, por meio de notificação na Plataforma ou envio de e-mail para o endereço cadastrado. A data de "última atualização" no topo desta Política sempre refletirá a versão vigente.

O uso continuado da Plataforma após a entrada em vigor das alterações constitui aceitação da Política atualizada. Caso o usuário não concorde com as alterações, deverá cessar o uso da Plataforma e poderá solicitar a eliminação de seus dados conforme a Seção 8.

12. Contato

Para questões relacionadas a esta Política de Privacidade, tratamento de dados pessoais ou exercício de direitos do titular, entre em contato:

  • Encarregado de Proteção de Dados (DPO): dpo@aura.med
  • Contato geral: contato@aura.med
  • Endereço: Av. Paulista, 1106 - 16º andar, Bela Vista, São Paulo-SP, CEP 01310-914

Esta Política de Privacidade é regida pela legislação da República Federativa do Brasil. Eventuais controvérsias serão dirimidas no foro da Comarca de São Paulo, Estado de São Paulo, ressalvado o direito do consumidor de optar pelo foro de seu domicílio.