probamed probamed

DOCUMENTO LEGAL

Política de Privacidade do probamed

Última atualização: 6 de julho de 2026


Contato do Encarregado pelo Tratamento de Dados Pessoais (DPO): dpo@probamed.com

1. Quem somos e o que é esta Política

A ATTUANT CO LTDA (CNPJ 66.654.550/0001-32), doravante "Attuant", "nós" ou "nosso", desenvolve e opera o probamed (app.probamed.com), uma ferramenta de apoio à decisão clínica que ajuda médicos a interpretar exames laboratoriais durante a consulta.

O probamed é apoio à decisão. A decisão clínica final é sempre do médico responsável, conforme a Resolução CFM nº 2.454/2026.

Esta Política de Privacidade explica como tratamos dados pessoais no probamed e nos canais relacionados (site e comunicações). Ela foi escrita para ser lida por duas pessoas diferentes: o médico que usa a plataforma e o paciente cujos exames são interpretados. Sempre que a regra mudar conforme quem você é, dizemos isso de forma explícita.

O probamed é um produto voltado exclusivamente a médicos e, nesta fase, o acesso é por convite.

2. Definições

Para facilitar a leitura, seguem os conceitos-chave da Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018):

3. Os dois papéis da Attuant

O papel da Attuant, e portanto quem responde pelas decisões sobre seus dados, depende do dado em questão.

3.1 Attuant como Controladora: dados do médico e do site

Quando você é médico e cria uma conta, ou quando visita nosso site e recebe nossas comunicações, a Attuant decide as finalidades e os meios do tratamento. Nesse contexto, somos o Controlador.

3.2 Attuant como Operadora: dados de saúde do paciente

Os exames e achados clínicos do paciente são tratados pela Attuant em nome do médico e sob as instruções dele. O médico é o Controlador desses dados: é dele a relação clínica com o paciente e a responsabilidade pelo registro médico. A Attuant apenas processa esses dados para viabilizar a interpretação do exame na plataforma. O paciente que quiser exercer direitos sobre esses dados deve procurar, em primeiro lugar, o médico responsável (ver seção 10).

4. Dados que tratamos, finalidade e base legal

4.1 Dados da conta do médico (Attuant como Controladora)

Não coletamos o CPF do médico para login ou identificação. A identificação do médico é feita por CRM e UF, validados junto ao serviço consultar.io.

4.2 Dados de saúde do paciente (Attuant como Operadora, médico como Controlador)

Finalidade: interpretar os exames durante a consulta, gerar e armazenar a interpretação e o registro clínico, sempre sob instrução do médico.

Base legal: por se tratar de dado sensível de saúde, o tratamento se apoia na tutela da saúde exercida por profissional de saúde (art. 11, II, "f", da LGPD) e, quando o médico assim definir, no consentimento específico e destacado do paciente. A escolha e o registro da base legal aplicável são responsabilidade do médico, na condição de Controlador.

5. Uso de inteligência artificial e anonimização

Para interpretar o exame, o probamed combina uma base teórica indexada de literatura médica de referência com modelos de inteligência artificial do Google (Vertex AI e Gemini). Antes de qualquer envio a esses modelos, removemos os dados diretos de identificação do paciente: nome, data de nascimento completa e número de registro do laboratório. Mantemos apenas sexo e idade, que são clinicamente necessários para a interpretação.

Registramos uma limitação de forma transparente: em bases de pacientes muito pequenas, a combinação de idade, sexo e certos achados pode, em tese, permitir reidentificação. Por isso tratamos esses dados com acesso restrito e os mantemos dentro do ambiente controlado do produto.

Não usamos dados de pacientes para treinar modelos de inteligência artificial.

6. Com quem compartilhamos

Não vendemos dados pessoais. O compartilhamento ocorre apenas com prestadores que viabilizam o produto e nas hipóteses legais:

Mantemos uma relação atualizada dos suboperadores e comunicamos alterações relevantes.

7. Transferência internacional de dados

A hospedagem principal, incluindo banco de dados, arquivos e execução da aplicação, fica no Brasil. Parte do processamento de inteligência artificial do Google ocorre fora do país: a geração usa um endpoint global e o cálculo de embeddings ocorre nos Estados Unidos. Nesses casos, dados clínicos já anonimizados deixam o território nacional.

O envio do código de verificação (OTP) ao médico pela API Oficial da Meta para WhatsApp também pode envolver processamento do número de telefone fora do Brasil.

Essas transferências internacionais seguem a LGPD (art. 33), com salvaguardas contratuais junto aos provedores e a remoção prévia dos identificadores diretos do paciente. Nome, data de nascimento completa e número de registro do laboratório não são transferidos.

8. Segurança da informação

Adotamos medidas técnicas e organizacionais para proteger os dados: controle de acesso por IAM, autenticação, criptografia em trânsito e em repouso pelos serviços do Google Cloud, restrição de acesso a contas autorizadas, regras de segurança no banco de dados e registro de logs.

Além dessas proteções, os dados pessoais sensíveis (por exemplo, nome, CPF e data de nascimento do paciente, observações e contexto clínico, o registro clínico e os arquivos PDF dos exames) são cifrados campo a campo no banco de dados, em repouso, com criptografia autenticada AES-256. Usamos um modelo de envelope: a chave que cifra os dados é, por sua vez, protegida por uma chave-mestra que fica no serviço de gerenciamento de chaves do Google Cloud (Cloud KMS), nunca sai desse serviço e é rotacionada periodicamente. Cada médico tem uma subchave própria derivada dessa estrutura, de forma que o acesso aos dados de um médico não permite decifrar os de outro. O sistema opera em modo "fail-closed": se as chaves não estiverem disponíveis, ele recusa a operação em vez de gravar dados em texto legível. Na prática, isso significa que os dados sensíveis não ficam legíveis no banco para quem não passe pela camada de decifra autorizada da aplicação.

Nenhum sistema é totalmente imune a incidentes. Caso ocorra um incidente de segurança com risco relevante aos titulares, cumpriremos os deveres de comunicação previstos na LGPD.

9. Retenção e exclusão

10. Seus direitos e como exercê-los

A LGPD garante ao titular, entre outros: confirmação da existência de tratamento e acesso aos dados, correção, anonimização, bloqueio ou eliminação, portabilidade, informação sobre compartilhamentos e revogação do consentimento. Atenderemos os pedidos nos prazos da LGPD.

O canal correto depende do dado:

11. Cookies

No site e na plataforma usamos cookies essenciais para autenticação, segurança e funcionamento da sessão. Cookies não essenciais, como os de medição de audiência, só são usados mediante o seu consentimento, que pode ser revisto a qualquer momento nas configurações do navegador ou em nosso painel de preferências, quando disponível. O probamed não veicula publicidade nem usa cookies de publicidade comportamental.

12. Dados de crianças e adolescentes

O probamed é uma ferramenta de uso profissional por médicos. Quando exames de pacientes menores de idade são tratados, isso ocorre sob a responsabilidade e a base legal definidas pelo médico Controlador, no melhor interesse do paciente e conforme a LGPD.

13. Atualizações desta Política

Podemos atualizar esta Política. A data no topo indica a versão vigente. Mudanças relevantes serão comunicadas pelos canais do produto.

14. Encarregado (DPO) e contato

15. Histórico de versões