Política de Privacidade

O CuidaVô é uma plataforma para gestão da rotina de cuidado de pessoas idosas (rotina, medicações, sinais vitais, consultas, prontuário). Os dados são tratados em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

Encarregado pelo tratamento (DPO): [email protected].

• Cadastrais: nome, email, telefone (opcional), senha (criptografada).
• De saúde do idoso: nome, data de nascimento, peso, altura, condições de saúde, alergias, medicações, sinais vitais, consultas, documentos (receitas, exames). Dado sensível pela LGPD (art. 5º II).
• De uso: rotina executada, logs de acesso (timestamps, IP, user-agent no audit log).
• Financeiros: status da assinatura, CPF do titular do pagamento, transações via Stripe (cartão). Não armazenamos número de cartão — apenas tokens do provedor.

O tratamento é baseado em:

• Consentimento (art. 7º I e art. 11 I) — fornecido no cadastro, em checkbox separado para dados de saúde.
• Tutela da saúde (art. 11 II f) — quando aplicável ao cuidado do idoso.
• Execução de contrato (art. 7º V) — para a assinatura e o serviço.
• Cumprimento de obrigação legal (art. 7º II) — fiscais e tributárias.

Representação do idoso: ao aceitar a Política o administrador da conta (familiar pagante) declara ser representante legal ou familiar autorizado pelo idoso titular, e responde pelo consentimento dos dados de saúde tratados pelo CuidaVô em nome dele.

• Permitir o registro e acompanhamento da rotina de cuidado.
• Notificar cuidadores sobre tarefas e alertas.
• Gerar relatórios e prontuário compartilhável (com link privado).
• Operar a assinatura e processar pagamentos.
• Atender solicitações de suporte.

Compartilhamos dados apenas com:

• Cuidadores convidados pelo administrador do idoso, com escopo limitado ao vínculo (ElderlyUser).
• Operadores terceirizados: Stripe (gateway de cartão, dados financeiros), Resend (envio de emails transacionais), Cloudflare R2 (armazenamento de arquivos do prontuário), Hetzner (hospedagem da aplicação e do banco de dados).

Todos os operadores são submetidos a contrato de tratamento de dados (DPA) e medidas técnicas adequadas.

• Conta excluída pelo titular: dados ficam em soft-delete por 30 dias (para reativação) e depois são apagados.
• Idosos marcados como inativos: dados são apagados em 90 dias.
• Logs de auditoria: retidos enquanto a conta existir; até 30 dias após exclusão.
• Dados financeiros: retenção legal de 5 anos (legislação tributária).

Você pode, a qualquer momento:

• Acessar seus dados em Configurações.
• Solicitar retificação de dados incorretos.
• Solicitar a exportação dos seus dados (portabilidade).
• Solicitar a exclusão completa da conta.
• Revogar o consentimento concedido para dados de saúde.
• Opor-se a tratamentos específicos.

Para exercer qualquer direito, envie um pedido para [email protected]. Responderemos em até 15 dias.

• Transporte criptografado por TLS em todas as conexões.
• Armazenamento de arquivos no Cloudflare R2 com criptografia AES-256 em repouso.
• Senhas armazenadas com Argon2id.
• Audit log de ações sensíveis.
• Backups diários do banco. Plano de resposta a incidentes em SECURITY.md.

O CuidaVô usa cookies estritamente necessários para autenticação e preferências de sessão. O Stripe pode usar cookies próprios para proteção antifraude no campo de cartão (PaymentElement). Cookies de analytics (Google Analytics 4) são carregados somente após consentimento via banner de cookies.

Esta política pode ser atualizada. Mudanças relevantes serão comunicadas por email aos titulares com pelo menos 30 dias de antecedência.

Encarregado (DPO): [email protected]

Reportes de segurança: [email protected]

Você também pode reclamar diretamente à ANPD.