Política de Privacidade
Versão 2026-07-rev1 · Em conformidade com a LGPD (Lei nº 13.709/2018)
1. Quem somos
O MedFIN é uma plataforma de gestão financeira para profissionais da saúde. Esta Política descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais.
2. Dados que coletamos
2.1 Dados de cadastro:
- Nome completo
- CRM e Estado (UF) — opcionais
- Especialidade médica
- Tipo de vínculo profissional
- Locais de trabalho (hospitais e clínicas onde você atende) — opcional, máximo 10 entradas. Usado apenas para preencher automaticamente os campos de hospital/local nos cadastros de Cirurgias, Plantões, Consultas e Exames.
- Foto de perfil (opcional, armazenada em bucket privado no nosso provedor de armazenamento em nuvem com URL assinada de curta duração)
- Data e hora do aceite dos termos
2.2 Dados financeiros inseridos por você:
- Transações (receitas e despesas)
- Cirurgias realizadas (procedimento, convênio, valor)
- Plantões (hospital, data, valor, status)
- Consultas e exames (especialidade/tipo, convênio, valor)
- Configurações de orçamento
- Receitas e despesas recorrentes
2.3 Dados trazidos do seu calendário (opcional, iOS):
- Se você ativar a sincronização com o calendário, lemos os eventos das agendas que você escolher para sugerir plantões e cirurgias. Persistimos apenas o que você confirmar: data, hora, duração, local e — para cirurgias — o título do evento como nome do procedimento.
- Notas, convidados e demais campos dos eventos nunca saem do aparelho. Títulos de eventos não confirmados não são salvos nem enviados.
2.4 Dados técnicos (gerados automaticamente):
- Logs de autenticação (gerados pelo provedor de autenticação)
- Data e hora de acesso ao aplicativo
- IP de origem das requisições (logs do provedor de hospedagem)
Não coletamos: dados de navegação fora do app, localização, fotos, contatos, ou qualquer informação além das listadas acima.
3. Base legal para o tratamento (LGPD Art. 7º)
- Cadastro e prestação do serviço: execução de contrato
- Notificação ao administrador sobre novos cadastros: legítimo interesse
- Logs de segurança e auditoria: cumprimento de obrigação legal
- Melhoria do aplicativo (anonimizada): legítimo interesse
4. Como usamos seus dados
- Fornecer e personalizar os serviços do MedFIN
- Sincronizar seus dados entre dispositivos (PWA via nuvem)
- Garantir a segurança da sua conta (autenticação, prevenção de fraude)
- Notificar o administrador sobre novos cadastros (apenas e-mail, nome, CRM e especialidade — para controle de uso da plataforma)
- Melhorar a plataforma com métricas anonimizadas
Nunca usamos seus dados financeiros para fins publicitários.
5. Compartilhamento de dados
Não vendemos, alugamos ou comercializamos seus dados em nenhuma hipótese.
Compartilhamos apenas com prestadores (operadores) estritamente necessários para o funcionamento do serviço, agrupados abaixo por finalidade. Todos atuam sob contrato de tratamento de dados (DPA) e processam apenas o necessário para a função descrita:
- Infraestrutura (banco de dados, autenticação, hospedagem e armazenamento): guardam e processam os dados da sua conta. Servidores na América do Sul (banco de dados) e em rede global de borda (frontend). Base legal: execução de contrato.
- Segurança e proteção anti-fraude (CDN, firewall/WAF e CAPTCHA): protegem o serviço contra ataques e bots; recebem metadados de conexão com IP truncado, sem o conteúdo dos seus dados. Base legal: execução de contrato + legítimo interesse (segurança).
- Monitoramento de erros: ajuda a identificar e corrigir falhas. Recebe stack traces, versão do navegador e um ID anônimo de sessão. Não recebe senhas, dados financeiros, conteúdo de transações nem nomes — endereços e parâmetros de URL são removidos antes do envio. Base legal: legítimo interesse.
- Envio de e-mails transacionais: aviso de novo cadastro (ao administrador) e lembretes de pagamento (a você). Os lembretes contêm apenas a quantidade de lançamentos e um link para o app — nunca valores, convênios, procedimentos ou nomes. Base legal: execução de contrato / legítimo interesse.
- Processamento de pagamentos da assinatura Pro: apenas quando você opta por assinar o plano Pro. O processador recebe: nome, e-mail, dados do meio de pagamento (token do cartão + 4 últimos dígitos), valor e data da cobrança, e — caso você forneça pra emissão de NFS-e — CPF. Não armazenamos número completo do cartão — apenas o token retornado pelo processador (padrão PCI-DSS Level 1). Servidores nos EUA / Irlanda; o processador no Brasil é Instituição de Pagamento autorizada pelo Banco Central (Lei 12.865/2013). Base legal: execução de contrato (Art. 7º V LGPD).
- Pagamento via App Store (iOS): quando você assina pelo aplicativo para iPhone, o pagamento é processado pela Apple (App Store), que atua como vendedora e trata os dados do seu meio de pagamento conforme a Política de Privacidade da Apple. Não recebemos os dados do seu cartão — recebemos apenas, via RevenueCat, o status pseudônimo da assinatura (produto, datas e estado), sem dados de pagamento. Base legal: execução de contrato (Art. 7º V LGPD).
- Gestão do ciclo da assinatura Pro (status, renovação, cancelamento, retenção, upgrade/downgrade): apenas quando você opta por assinar. O gestor recebe seu identificador pseudônimo (UUID interno), o produto contratado (mensal/anual), datas de início e fim e status da assinatura. Não recebe nome, e-mail, CPF, número de cartão ou dados financeiros do app. Servidores nos EUA; certificação SOC 2 Type II. Base legal: execução de contrato.
- Suporte técnico (relato de problemas): somente quando você usa "Reportar problema" no app. O chamado, registrado em ferramenta privada de suporte, recebe a sua descrição, um identificador da sua conta e, se você anexar, o screenshot. O texto digitado passa por remoção automática de dados sensíveis, mas o screenshot é enviado como você o capturou — por isso o app pede para conferir a tela antes de anexar. Base legal: legítimo interesse.
- Verificação de senha vazada: no cadastro/redefinição, conferimos se a senha aparece em vazamentos públicos usando k-anonymity — enviamos apenas os 5 primeiros caracteres do hash da senha. A senha em texto puro nunca sai do seu dispositivo, e o serviço não consegue identificar qual senha foi verificada.
-
Site público de divulgação (analytics e anúncios): apenas no
medfinapp.com.br(sem login). Inclui analytics agregado sem cookies (IP truncado) e, somente se você aceitar no banner de cookies, medição e anúncios via Google (Google Analytics / Google Ads) e o pixel de anúncios da Meta — usados para medir campanhas e formar públicos de remarketing. O aplicativo logado (conta.medfinapp.com.br) nunca carrega pixel ou tracking de terceiro. Detalhes nos itens 9.5 e 9.6. Base legal: legítimo interesse (analytics agregado sem cookie) / consentimento (Google e Meta).
A lista nomeada e atualizada de cada operador (com país, finalidade, retenção e certificações como SOC 2 / ISO 27001) é mantida no nosso Registro de Operações de Tratamento (ROPA) e fica disponível mediante solicitação ao Encarregado (DPO): privacidade@medfinapp.com.br.
6. Segurança
Seus dados são protegidos com:
- Criptografia em trânsito — TLS 1.2+ em todas as conexões (HTTPS)
- Criptografia em repouso — AES-256 nos discos do banco
- Row-Level Security (RLS) — políticas no banco garantem que cada usuário acesse exclusivamente seus próprios dados
- Triggers server-side — atribuição automática do user_id impede gravar dados em nome de outro
- Autenticação segura via e-mail/senha (com hash bcrypt), Google OAuth ou Sign in with Apple (provedores OAuth — credenciais nunca passam pelos nossos servidores)
- Autenticação em 2 etapas (TOTP) opcional via Google Authenticator, 1Password, Authy ou similares
- Step-up authentication — exclusão de conta requer reconfirmação de senha
- Validação de senhas vazadas via HaveIBeenPwned (k-anonymity local) — ver seção 5
- Limpeza automática de dados locais no logout — drafts, filtros salvos, dicas dispensadas e flags de UX são removidos do navegador no signOut para evitar vazamento entre usuários no mesmo dispositivo (PWA compartilhado)
- Senhas mínimas de 8 caracteres
- Headers HTTP de segurança ativos (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy)
- Audit log de ações críticas (exclusão de conta, exports, alteração de perfil)
- Auditoria periódica de permissões e funções privilegiadas. Avaliações contra OWASP Top 10, vibe-security e CASA Tier 2.
7. Seus direitos (LGPD Art. 18)
Você tem os seguintes direitos, exercíveis no app ou via DPO:
- Acesso: Configurações → Exportar dados (CSV individual por tabela ou Backup completo em JSON com TODOS os seus dados em um único arquivo)
- Correção: editar diretamente no aplicativo
- Anonimização ou bloqueio: solicitação ao DPO
- Eliminação: Configurações → Zona de Perigo → Apagar todos os dados (apaga conteúdo) ou Excluir conta (apaga conta + todos os dados)
- Portabilidade: exportação em CSV (por tabela) ou JSON (backup completo) — formatos abertos, prontos para importar em outras ferramentas
- Revogação do consentimento: excluir a conta a qualquer momento
- Reclamação à ANPD: gov.br/anpd
8. Retenção de dados
- Conta ativa: dados mantidos enquanto a conta estiver em uso
- Conta excluída: remoção permanente em até 30 dias
- Audit log: retenção de até 24 meses para investigação forense
- Logs de autenticação: retenção de 90 dias para segurança
- Backups de banco: retenção rolling de 14 dias
- Logs de operação (hospedagem): retenção de até 30 dias
9. Cookies e tecnologias semelhantes
O aplicativo MedFIN (área logada, em conta.medfinapp.com.br)
não usa cookies de rastreamento, pixels publicitários nem ferramentas de analytics
comportamental de terceiros
(Google Analytics, Hotjar, etc.). Seus dados financeiros e de saúde nunca alimentam tracking
de marketing.
Exceção — site público de divulgação: nosso site institucional
(medfinapp.com.br, sem login) utiliza o Google Analytics
(medição) e o Meta Pixel (Facebook) (anúncios), somente se você
consentir no banner de cookies. Detalhes nos itens 9.5 e 9.6 abaixo.
9.1 Estritamente necessários (funcionamento)
Sem eles o aplicativo não funciona. Guardados localmente no seu navegador (cookies ou
localStorage):
- Token de autenticação — mantém você logado entre sessões. Limpo automaticamente no logout.
- Fila de sincronização offline — operações feitas sem internet ficam aqui até reconectar. Essencial para o app funcionar offline. Limpa no logout.
- Rascunho do formulário de Adicionar — preserva o que você está digitando se trocar de aba.
- Service Worker — mantém o aplicativo funcional offline (PWA). Não armazena dados pessoais, apenas cache de arquivos estáticos (JavaScript, CSS, imagens).
9.2 Cookies de segurança
Nossos provedores de segurança e proteção de borda (firewall/WAF, anti-bot, CAPTCHA) podem
definir cookies estritamente necessários de defesa — por exemplo, um cookie de detecção de
bots (__cf_bm), sem PII e com expiração em 30 minutos. Outros cookies
desta mesma categoria (mitigação de ataques, verificação anti-fraude) podem
ser definidos conforme a necessidade de proteger o serviço — sempre sem dados pessoais
identificáveis e sem finalidade de marketing.
9.3 Preferências (funcionais)
Lembram suas escolhas entre sessões, no seu próprio navegador: tema (claro/escuro), filtros salvos da Lista de Transações e flags de UX (onboarding visto, dicas dispensadas) — para não mostrar repetidamente o que você já viu. Podem ser limpos a qualquer momento nos dados do site do navegador, sem afetar sua conta.
9.4 Notificações push (opcional, opt-in)
Você pode habilitar notificações em Configurações com duas finalidades distintas:
- Lembretes locais — vencimento de lançamentos recorrentes próximos. Geradas localmente pelo navegador/sistema operacional. Não enviamos dados financeiros a nenhum servidor de push externo.
- Re-engajamento (apenas iOS) — quando a permissão é habilitada no app iOS, podemos enviar até 2 notificações pontuais via servidor: (i) 24-48h após o cadastro se nenhum lançamento foi feito ("Bora lançar seu 1º plantão?"); (ii) 4-7 dias sem abrir o app após você já ter usado o app ("Veja seu resumo →"). Essas notificações não contêm dados financeiros no payload — somente um identificador de template fixo do servidor é enviado à Apple Push Notification service (APNs, Apple Inc., EUA), que entrega a notificação ao seu dispositivo. O texto exibido é definido pelo servidor MedFIN com mensagens genéricas pré-aprovadas.
Você pode revogar a permissão a qualquer momento nas configurações do dispositivo (iOS: Ajustes → MedFIN → Notificações). Desabilitar push impede ambos os tipos. A permissão é solicitada apenas após sua ação explícita no toggle.
9.5 Analytics
No aplicativo logado: nenhum. No site público de divulgação
(medfinapp.com.br, sem login) usamos duas camadas:
- Analytics de infraestrutura sem cookies — métricas agregadas com IP truncado, sem PII e sem perfil de comportamento. Não usa cookies, logo não depende de consentimento. Base legal: legítimo interesse.
-
Google Analytics 4 (Google LLC, EUA) — só carrega após o seu
consentimento explícito ("Aceitar" no banner). Mantemos o IP
anonimizado. Com o seu consentimento, o GA4 também alimenta a medição de
anúncios e o remarketing do Google Ads ("Google Signals" ativado) — ver item 9.6.
Usa cookies (
_ga,_ga_<id>) para distinguir visitas. Base legal: consentimento (LGPD Art. 7º I). Se você escolher "Só essenciais" ou ignorar o banner, o GA nunca carrega e seus cookies não são criados; ao revogar, eles são apagados. O aplicativo logado (conta.medfinapp.com.br) jamais carrega o Google Analytics.
9.6 Cookies de marketing — Meta Pixel e Google Ads (somente no site público, opt-in)
Nosso site institucional de divulgação (medfinapp.com.br, área pública sem
login) pode carregar dois trackers de anúncios — o Meta Pixel (Meta
Platforms) e o Google Ads (via Google Analytics, Google LLC) — para medir a
eficácia das campanhas e formar públicos de remarketing. Ambos
só carregam após o seu consentimento ("Aceitar" no banner) e
jamais existem no aplicativo logado. Detalhes:
- Só carrega após o seu consentimento explícito ("Aceitar" no banner de cookies). Se você recusar ou ignorar o banner, ele nunca é carregado. Base legal: consentimento (LGPD Art. 7º I).
-
Existe apenas no site público. O aplicativo logado
(
conta.medfinapp.com.br), onde ficam seus dados financeiros e de saúde, jamais carrega o Pixel ou qualquer tracking de terceiro. -
O que a Meta recebe: páginas visitadas no site público, endereço IP, tipo
de navegador/dispositivo e identificadores de cookie (ex.:
_fbp). Como você não está logado no site público, nenhum dado da sua conta, financeiro ou de saúde é enviado. Desativamos a coleta automática de campos de formulário (advanced matching), então e-mails digitados (ex.: na lista de espera) não são compartilhados com o Meta. -
Google Ads (via Google Analytics): com o seu consentimento, as visitas ao
site público formam públicos de remarketing e medem conversões de
campanhas do Google. O Google recebe páginas visitadas, IP e identificadores de cookie
(ex.:
_ga); como você não está logado, nenhum dado da sua conta, financeiro ou de saúde é enviado. Ajuste suas preferências em myadcenter.google.com. - Como revogar: clique em "Cookies" no rodapé do site para reabrir este aviso e mudar sua escolha a qualquer momento; ou limpe os cookies/dados do site no seu navegador. Você também pode ajustar suas preferências de anúncios na sua conta do Facebook/Instagram.
9.7 Gestão e mudanças futuras
Podemos adotar novos cookies dentro das categorias acima (necessários, segurança, preferências, analytics sem PII) sem aviso individual, desde que a finalidade se mantenha. Uma nova categoria ou finalidade material (ex.: novo tracking que dependa de consentimento) será refletida nesta política e comunicada antes de entrar em vigor.
Sobre o banner de cookies: conforme a LGPD, o banner de consentimento é exigido apenas para cookies de tracking/marketing. No aplicativo logado não usamos esse tipo de cookie — todo armazenamento local é estritamente necessário ou funcional — por isso lá não há banner. No site público, como oferecemos a opção do Meta Pixel, exibimos o banner para que o tracking só ocorra com o seu consentimento.
10. Menores de idade
O MedFIN é destinado exclusivamente a profissionais médicos maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos cadastro de menor, removeremos a conta imediatamente.
11. Transferência internacional de dados
Os dados da sua conta ficam primariamente em servidores na América do Sul. Alguns operadores descritos no item 5 — envio de e-mail, suporte técnico, monitoramento de erros e, no site público, analytics e anúncios — processam dados nos Estados Unidos (e, no caso de anúncios, também na Irlanda). Todos atuam sob cláusulas contratuais de proteção compatíveis com a LGPD (Art. 33). A relação nominal por operador está na nossa ROPA e fica disponível mediante solicitação ao Encarregado (DPO).
12. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Alterações significativas serão comunicadas dentro do app com antecedência mínima de 15 dias e exigirão nova aceitação.
13. Encarregado de Proteção de Dados (DPO)
Para exercer qualquer direito previsto na LGPD ou tirar dúvidas:
DPO designado: Marcelo Turra
E-mail:
privacidade@medfinapp.com.br
Prazo de resposta: até 15 dias úteis
14. Autoridade Nacional
Caso considere que seus direitos não foram atendidos, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd
15. Reportar vulnerabilidades de segurança
Pesquisadores ou usuários que encontrem vulnerabilidades técnicas (XSS, bypass de auth, exposição de dados) devem reportar via política de segurança (SECURITY.md) — não abra issue pública no GitHub. Disclosure responsável e crédito público disponíveis.
Avaliação de Impacto à Proteção de Dados (DPIA conforme LGPD Art. 38) disponível em docs/dpia.md .
← Voltar ao MedFIN