Política de Privacidade

Versão 2026-07-rev1 · Em conformidade com a LGPD (Lei nº 13.709/2018)

1. Quem somos

O MedFIN é uma plataforma de gestão financeira para profissionais da saúde. Esta Política descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais.

2. Dados que coletamos

2.1 Dados de cadastro:

2.2 Dados financeiros inseridos por você:

2.3 Dados trazidos do seu calendário (opcional, iOS):

2.4 Dados técnicos (gerados automaticamente):

Não coletamos: dados de navegação fora do app, localização, fotos, contatos, ou qualquer informação além das listadas acima.

3. Base legal para o tratamento (LGPD Art. 7º)

4. Como usamos seus dados

Nunca usamos seus dados financeiros para fins publicitários.

5. Compartilhamento de dados

Não vendemos, alugamos ou comercializamos seus dados em nenhuma hipótese.

Compartilhamos apenas com prestadores (operadores) estritamente necessários para o funcionamento do serviço, agrupados abaixo por finalidade. Todos atuam sob contrato de tratamento de dados (DPA) e processam apenas o necessário para a função descrita:

A lista nomeada e atualizada de cada operador (com país, finalidade, retenção e certificações como SOC 2 / ISO 27001) é mantida no nosso Registro de Operações de Tratamento (ROPA) e fica disponível mediante solicitação ao Encarregado (DPO): privacidade@medfinapp.com.br.

6. Segurança

Seus dados são protegidos com:

7. Seus direitos (LGPD Art. 18)

Você tem os seguintes direitos, exercíveis no app ou via DPO:

8. Retenção de dados

9. Cookies e tecnologias semelhantes

O aplicativo MedFIN (área logada, em conta.medfinapp.com.br) não usa cookies de rastreamento, pixels publicitários nem ferramentas de analytics comportamental de terceiros (Google Analytics, Hotjar, etc.). Seus dados financeiros e de saúde nunca alimentam tracking de marketing.

Exceção — site público de divulgação: nosso site institucional (medfinapp.com.br, sem login) utiliza o Google Analytics (medição) e o Meta Pixel (Facebook) (anúncios), somente se você consentir no banner de cookies. Detalhes nos itens 9.5 e 9.6 abaixo.

9.1 Estritamente necessários (funcionamento)

Sem eles o aplicativo não funciona. Guardados localmente no seu navegador (cookies ou localStorage):

9.2 Cookies de segurança

Nossos provedores de segurança e proteção de borda (firewall/WAF, anti-bot, CAPTCHA) podem definir cookies estritamente necessários de defesa — por exemplo, um cookie de detecção de bots (__cf_bm), sem PII e com expiração em 30 minutos. Outros cookies desta mesma categoria (mitigação de ataques, verificação anti-fraude) podem ser definidos conforme a necessidade de proteger o serviço — sempre sem dados pessoais identificáveis e sem finalidade de marketing.

9.3 Preferências (funcionais)

Lembram suas escolhas entre sessões, no seu próprio navegador: tema (claro/escuro), filtros salvos da Lista de Transações e flags de UX (onboarding visto, dicas dispensadas) — para não mostrar repetidamente o que você já viu. Podem ser limpos a qualquer momento nos dados do site do navegador, sem afetar sua conta.

9.4 Notificações push (opcional, opt-in)

Você pode habilitar notificações em Configurações com duas finalidades distintas:

Você pode revogar a permissão a qualquer momento nas configurações do dispositivo (iOS: Ajustes → MedFIN → Notificações). Desabilitar push impede ambos os tipos. A permissão é solicitada apenas após sua ação explícita no toggle.

9.5 Analytics

No aplicativo logado: nenhum. No site público de divulgação (medfinapp.com.br, sem login) usamos duas camadas:

9.6 Cookies de marketing — Meta Pixel e Google Ads (somente no site público, opt-in)

Nosso site institucional de divulgação (medfinapp.com.br, área pública sem login) pode carregar dois trackers de anúncios — o Meta Pixel (Meta Platforms) e o Google Ads (via Google Analytics, Google LLC) — para medir a eficácia das campanhas e formar públicos de remarketing. Ambos só carregam após o seu consentimento ("Aceitar" no banner) e jamais existem no aplicativo logado. Detalhes:

9.7 Gestão e mudanças futuras

Podemos adotar novos cookies dentro das categorias acima (necessários, segurança, preferências, analytics sem PII) sem aviso individual, desde que a finalidade se mantenha. Uma nova categoria ou finalidade material (ex.: novo tracking que dependa de consentimento) será refletida nesta política e comunicada antes de entrar em vigor.

Sobre o banner de cookies: conforme a LGPD, o banner de consentimento é exigido apenas para cookies de tracking/marketing. No aplicativo logado não usamos esse tipo de cookie — todo armazenamento local é estritamente necessário ou funcional — por isso lá não há banner. No site público, como oferecemos a opção do Meta Pixel, exibimos o banner para que o tracking só ocorra com o seu consentimento.

10. Menores de idade

O MedFIN é destinado exclusivamente a profissionais médicos maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos cadastro de menor, removeremos a conta imediatamente.

11. Transferência internacional de dados

Os dados da sua conta ficam primariamente em servidores na América do Sul. Alguns operadores descritos no item 5 — envio de e-mail, suporte técnico, monitoramento de erros e, no site público, analytics e anúncios — processam dados nos Estados Unidos (e, no caso de anúncios, também na Irlanda). Todos atuam sob cláusulas contratuais de proteção compatíveis com a LGPD (Art. 33). A relação nominal por operador está na nossa ROPA e fica disponível mediante solicitação ao Encarregado (DPO).

12. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Alterações significativas serão comunicadas dentro do app com antecedência mínima de 15 dias e exigirão nova aceitação.

13. Encarregado de Proteção de Dados (DPO)

Para exercer qualquer direito previsto na LGPD ou tirar dúvidas:

DPO designado: Marcelo Turra
E-mail: privacidade@medfinapp.com.br
Prazo de resposta: até 15 dias úteis

14. Autoridade Nacional

Caso considere que seus direitos não foram atendidos, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd

15. Reportar vulnerabilidades de segurança

Pesquisadores ou usuários que encontrem vulnerabilidades técnicas (XSS, bypass de auth, exposição de dados) devem reportar via política de segurança (SECURITY.md) — não abra issue pública no GitHub. Disclosure responsável e crédito público disponíveis.

Avaliação de Impacto à Proteção de Dados (DPIA conforme LGPD Art. 38) disponível em docs/dpia.md .

← Voltar ao MedFIN