CentralMed Revalida
Política de Privacidade

Politica de Privacidade

Central Med Revalida

Ultima atualizacao: 20 de maio de 2026

1. Introducao

A Central Med Revalida reconhece a importancia da privacidade e da protecao dos dados pessoais de seus usuarios, comprometendo-se a realizar o tratamento dessas informacoes de forma responsavel, transparente e em conformidade com a legislacao vigente.

A presente Politica de Privacidade tem por finalidade informar, de maneira clara e acessivel, como sao realizadas as atividades de coleta, utilizacao, armazenamento, tratamento, protecao e eventual compartilhamento dos dados pessoais fornecidos pelos usuarios no ambito da utilizacao da Plataforma Central Med Revalida, incluindo seus aplicativos web e mobile (iOS e Android).

Esta Politica esta em conformidade com a Lei Geral de Protecao de Dados Pessoais (LGPD - Lei n. 13.709/2018), com o Marco Civil da Internet (Lei n. 12.965/2014), com as diretrizes da App Store Review Guidelines (Apple) e com as Google Play Developer Policies, bem como com demais normas e principios aplicaveis a protecao de dados, privacidade e seguranca da informacao.

Ao acessar, cadastrar-se, contratar servicos ou utilizar qualquer funcionalidade da Plataforma Central Med Revalida, o usuario declara que leu, compreendeu e concorda expressamente com os termos desta Politica de Privacidade, autorizando o tratamento de seus dados pessoais nas condicoes aqui estabelecidas.

Caso o usuario nao concorde, total ou parcialmente, com qualquer disposicao desta Politica de Privacidade, devera abster-se de utilizar a Plataforma, interrompendo imediatamente seu acesso ou uso dos servicos disponibilizados.

A utilizacao continua da Plataforma apos a leitura desta Politica sera interpretada como manifestacao livre, informada e inequivoca de concordancia com as praticas de tratamento de dados aqui descritas.

2. Definicoes Importantes

Para fins de interpretacao e aplicacao desta Politica de Privacidade, os termos abaixo terao os significados indicados a seguir, observadas as definicoes estabelecidas na Lei Geral de Protecao de Dados Pessoais — LGPD (Lei n. 13.709/2018).

A utilizacao desses termos nesta Politica devera ser interpretada de acordo com as definicoes abaixo, salvo quando o contexto indicar sentido diverso.

Dados Pessoais

Qualquer informacao relacionada a pessoa natural identificada ou identificavel, direta ou indiretamente. Incluem-se, entre outros, dados como nome completo, endereco de e-mail, numero de telefone, endereco IP, identificadores eletronicos, registros de acesso, dados de navegacao, desempenho e quaisquer outras informacoes que permitam identificar o usuario da Plataforma.

Titular dos Dados

Pessoa natural a quem se referem os dados pessoais que sao objeto de tratamento. Para os fins desta Politica, considera-se titular dos dados o usuario cadastrado ou que utilize qualquer funcionalidade da Plataforma Central Med Revalida.

Tratamento de Dados

Toda e qualquer operacao realizada com dados pessoais, por meios automatizados ou nao, incluindo, mas nao se limitando a: coleta, producao, recepcao, classificacao, utilizacao, acesso, reproducao, transmissao, distribuicao, processamento, arquivamento, armazenamento, eliminacao, avaliacao ou controle da informacao, modificacao, comunicacao, transferencia, difusao ou extracao de dados.

Controlador

Pessoa natural ou juridica responsavel pelas decisoes referentes ao tratamento de dados pessoais. No ambito desta Politica, a Central Med Revalida atua como controladora dos dados pessoais coletados e tratados no contexto da utilizacao da Plataforma, sendo responsavel pela definicao das finalidades e dos meios de tratamento dessas informacoes.

Operador

Pessoa natural ou juridica, de direito publico ou privado, que realiza o tratamento de dados pessoais em nome do controlador, seguindo suas instrucoes e finalidades estabelecidas. No contexto da Plataforma, podem atuar como operadores empresas ou prestadores de servicos responsaveis por infraestrutura tecnologica, hospedagem de dados, suporte tecnico, analise de desempenho e demais servicos necessarios ao funcionamento da Plataforma.

3. Dados Pessoais Coletados

Durante a utilizacao da Plataforma Central Med Revalida, poderao ser coletados diferentes tipos de dados pessoais, conforme a forma de interacao do usuario com os servicos disponibilizados.

A coleta de dados ocorre exclusivamente para viabilizar o funcionamento da plataforma, melhorar a experiencia educacional do usuario, permitir o acompanhamento pedagogico e garantir a seguranca e integridade do sistema.

Os dados poderao ser coletados diretamente do usuario, gerados a partir da utilizacao da plataforma ou obtidos automaticamente por meio de tecnologias de monitoramento e registro de acesso.

3.1 Dados fornecidos diretamente pelo usuario

Sao os dados informados voluntariamente pelo usuario no momento do cadastro, contratacao de servicos ou utilizacao das funcionalidades da plataforma. Entre esses dados podem estar incluidos:

  • nome completo;
  • endereco de e-mail;
  • senha de acesso a plataforma (armazenada de forma criptografada com bcrypt cost 12 e protegida);
  • numero de telefone ou WhatsApp;
  • informacoes relacionadas ao perfil;
  • dados inseridos em formularios da plataforma;
  • informacoes compartilhadas durante mentorias, sessoes de orientacao ou interacoes com profissionais vinculados a plataforma.

Esses dados sao necessarios para identificacao do usuario, criacao e gerenciamento de sua conta, bem como para a prestacao adequada dos servicos educacionais oferecidos.

3.2 Dados de uso da plataforma

Durante a navegacao e utilizacao da plataforma, poderao ser registradas informacoes relacionadas a forma como o usuario interage com os conteudos educacionais e ferramentas disponibilizadas. Esses dados podem incluir:

  • questoes respondidas no banco de questoes;
  • simulados realizados;
  • trilhas de estudo acessadas;
  • progresso nas atividades educacionais;
  • tempo de estudo registrado na plataforma;
  • conteudos, aulas ou materiais visualizados;
  • historico de participacao em atividades educacionais;
  • historico de desempenho em avaliacoes ou simulados.

A coleta dessas informacoes permite que a plataforma ofereca uma experiencia educacional mais personalizada e que o usuario acompanhe sua evolucao ao longo do tempo.

3.3 Dados de desempenho

Para fins de acompanhamento e desenvolvimento das funcionalidades educacionais da plataforma, poderao ser registrados dados relacionados ao desempenho do usuario nas atividades educacionais. Esses dados podem incluir:

  • pontuacoes obtidas em simulados;
  • resultados em avaliacoes educacionais;
  • estatisticas de desempenho;
  • conquistas ou medalhas obtidas dentro da plataforma;
  • classificacao em rankings ou indicadores de desempenho.

Essas informacoes sao utilizadas para fornecer relatorios educacionais, metricas de aprendizado e ferramentas de acompanhamento do progresso do usuario.

3.4 Dados de comunicacao e interacao

A plataforma podera registrar comunicacoes realizadas pelos usuarios em determinados ambientes ou funcionalidades disponibilizadas. Entre essas comunicacoes podem estar incluidas:

  • mensagens trocadas em chats internos da plataforma;
  • interacoes realizadas em sessoes de mentoria;
  • comunicacoes com psicologos, mentores ou orientadores educacionais;
  • mensagens enviadas ao suporte tecnico ou administrativo.

Essas informacoes poderao ser utilizadas exclusivamente para:

  • acompanhamento pedagogico;
  • prestacao de suporte ao usuario;
  • melhoria dos servicos educacionais oferecidos;
  • resolucao de eventuais duvidas ou solicitacoes.

3.5 Dados tecnicos e de navegacao

Alem das informacoes fornecidas diretamente pelo usuario, a plataforma podera coletar automaticamente determinados dados tecnicos relacionados ao acesso e a utilizacao do sistema. Esses dados podem incluir:

  • endereco IP utilizado para acesso;
  • tipo e versao do navegador;
  • sistema operacional do dispositivo utilizado;
  • tipo de dispositivo (computador, smartphone ou tablet);
  • registros de acesso a plataforma;
  • data e horario de utilizacao;
  • paginas, funcionalidades ou recursos acessados.

Essas informacoes sao utilizadas para garantir a seguranca da plataforma, prevenir fraudes ou acessos indevidos, monitorar o funcionamento do sistema e melhorar a experiencia de navegacao do usuario.

3.6 Dados especificos do aplicativo mobile

Quando o usuario utiliza os aplicativos mobile da Central Med Revalida (iOS e Android), poderao ser coletados, adicionalmente:

  • identificador do dispositivo (Device ID) — gerado automaticamente pelo sistema operacional para identificar instalacoes do app, vinculado a sessoes de autenticacao;
  • token de notificacao push — fornecido por Apple Push Notification Service (APNs) ou Firebase Cloud Messaging (FCM), utilizado exclusivamente para entregar notificacoes que o usuario optou por receber;
  • modelo do dispositivo, versao do sistema operacional e versao do app — coletados para diagnostico de erros e compatibilidade;
  • dados de cache local — armazenados no dispositivo do usuario (exemplo: PDFs de provas baixados, sessoes ativas) para permitir uso offline e melhor experiencia.

A camera, microfone e Bluetooth do dispositivo somente serao acessados com permissao explicita do usuario, em duas situacoes:

  • Mentorias e lives ao vivo: transmitidas em tempo real para os participantes da sessao. Podem ser gravadas pelo organizador (administrador ou mentor) quando habilitado para a sala, sempre apos consentimento explicito de cada participante (anel de aceite obrigatorio antes da entrada). Quando gravadas, as sessoes sao processadas pela LiveKit Egress e armazenadas em Bunny Stream para reproducao posterior pelos alunos autorizados. O registro de consentimento (mentorship_recording_consents) e preservado.
  • Estacoes Praticas (OSCE Modo IA): o microfone captura a voz do usuario, que e transmitida em tempo real para servicos de IA da Anthropic (transcricao + raciocinio clinico simulado) e Google Cloud Text-to-Speech (sintese da voz do paciente IA). O audio bruto nao e armazenado apos a sessao; apenas o historico textual da conversa (transcricoes) pode ser preservado para revisao educacional pelo proprio usuario.

3.7 Limitacao da coleta de dados

A Central Med Revalida compromete-se a coletar apenas os dados estritamente necessarios para a prestacao dos servicos educacionais e para o funcionamento adequado da plataforma, observando sempre os principios da necessidade, finalidade, transparencia e seguranca previstos na LGPD.

Nenhum dado pessoal sera coletado de forma abusiva ou para finalidades incompativeis com os servicos oferecidos.

3.8 Dados Pessoais Sensiveis

Em determinadas situacoes especificas, especialmente no contexto de sessoes de mentoria, acompanhamento educacional ou interacoes com psicologos ou orientadores vinculados a plataforma, poderao ser compartilhadas informacoes relacionadas ao estado emocional, psicologico ou condicoes pessoais do usuario.

Nos termos da Lei Geral de Protecao de Dados, tais informacoes podem ser classificadas como dados pessoais sensiveis, por se referirem a aspectos relacionados a saude fisica ou mental do titular.

A Central Med Revalida nao exige o fornecimento de dados sensiveis para utilizacao regular da plataforma. Eventuais informacoes dessa natureza somente serao tratadas quando fornecidas voluntariamente pelo proprio usuario no contexto das interacoes realizadas na plataforma.

Quando houver tratamento de dados pessoais sensiveis, serao adotadas medidas adicionais de protecao, incluindo:

  • acesso restrito apenas aos profissionais responsaveis pelo atendimento ou orientacao do usuario;
  • utilizacao dos dados exclusivamente para fins de acompanhamento educacional ou suporte solicitado pelo proprio usuario;
  • adocao de medidas tecnicas e organizacionais destinadas a proteger essas informacoes contra acesso nao autorizado, divulgacao indevida ou uso inadequado.

A Central Med Revalida compromete-se a tratar dados pessoais sensiveis com nivel elevado de confidencialidade, seguranca e responsabilidade, observando os principios e requisitos estabelecidos pela legislacao aplicavel.

4. Finalidade do Tratamento dos Dados

Os dados pessoais coletados pela Central Med Revalida sao utilizados exclusivamente para viabilizar a prestacao adequada dos servicos educacionais oferecidos pela plataforma, bem como para garantir o funcionamento seguro e eficiente do ambiente digital.

O tratamento de dados pessoais ocorre sempre de forma transparente, limitada as finalidades legitimas relacionadas a utilizacao da plataforma e em conformidade com os principios estabelecidos pela Lei Geral de Protecao de Dados (LGPD), especialmente os principios da finalidade, adequacao, necessidade, seguranca e transparencia.

Os dados pessoais poderao ser utilizados para as seguintes finalidades:

  • criacao, autenticacao e gerenciamento da conta do usuario na plataforma;
  • identificacao do usuario e verificacao de sua identidade quando necessario;
  • disponibilizacao e gerenciamento do acesso aos conteudos educacionais da plataforma;
  • acompanhamento do desempenho e progresso do usuario nas atividades educacionais;
  • personalizacao da experiencia de aprendizado com base no historico de uso e desempenho;
  • geracao de relatorios educacionais, metricas de aprendizado e estatisticas pedagogicas;
  • organizacao e funcionamento das funcionalidades da plataforma, incluindo banco de questoes, simulados e trilhas de estudo;
  • envio de comunicacoes relacionadas ao progresso do usuario, orientacoes e informacoes relevantes para sua jornada de aprendizado;
  • envio de comunicacoes institucionais, atualizacoes da plataforma, melhorias de funcionalidades ou alteracoes nos servicos;
  • envio de notificacoes push opcionais (mobile), exclusivamente para usuarios que optarem por receber;
  • prestacao de suporte tecnico, administrativo ou pedagogico ao usuario;
  • prevencao de fraudes, abusos ou acessos indevidos a plataforma;
  • monitoramento da seguranca do sistema e protecao da infraestrutura tecnologica;
  • cumprimento de obrigacoes legais, regulatorias ou determinacoes de autoridades competentes.

Em nenhuma hipotese os dados pessoais dos usuarios serao utilizados para finalidades incompativeis com aquelas informadas nesta Politica de Privacidade.

A Central Med Revalida compromete-se a tratar os dados pessoais apenas quando necessario para a prestacao dos servicos oferecidos, adotando praticas compativeis com os principios de minimizacao de dados, proporcionalidade e seguranca previstos na legislacao aplicavel.

Sempre que possivel, a plataforma podera utilizar dados de forma agregada ou anonimizada para fins estatisticos, analiticos ou de melhoria continua dos servicos, sem identificacao individual dos usuarios.

5. Base Legal para o Tratamento de Dados

O tratamento de dados pessoais realizado pela Central Med Revalida baseia-se nas seguintes hipoteses legais previstas no art. 7 da LGPD:

  • execucao de contrato ou procedimentos preliminares relacionados ao contrato (art. 7, V) — necessario para prestacao dos servicos educacionais contratados;
  • consentimento do titular (art. 7, I) — quando aplicavel, especialmente para envio de notificacoes push, comunicacoes de marketing e tratamento de dados sensiveis;
  • cumprimento de obrigacao legal ou regulatoria (art. 7, II);
  • legitimo interesse (art. 7, IX) — especialmente para melhoria da plataforma, seguranca e analise de desempenho educacional, sempre observando o teste de balanceamento e os direitos fundamentais do titular.

6. Armazenamento e Seguranca dos Dados

Os dados pessoais coletados sao armazenados em infraestrutura tecnologica segura, operada por provedores especializados em armazenamento e processamento de dados, com servidores localizados nos Estados Unidos e em nuvem distribuida globalmente.

A plataforma utiliza atualmente a seguinte infraestrutura:

  • PostgreSQL hospedado em Railway — banco de dados principal contendo informacoes de cadastro, progresso educacional e historico de uso;
  • Cloudflare R2 — armazenamento de arquivos (PDFs de provas, materiais de estudo) e backups diarios criptografados;
  • Bunny Stream (CDN) — distribuicao de videos de aulas e gravacoes de mentorias/lives, com protecao por token de autenticacao (assinatura SHA-256 com expiracao) e marca d'agua personalizada com nome e e-mail do usuario sobreposta ao video durante a reproducao;
  • Cloudflare — Content Delivery Network e Web Application Firewall (WAF) para protecao contra ataques.

Entre as medidas de seguranca adotadas estao:

  • criptografia de dados em transito (TLS 1.2 ou superior, HTTPS obrigatorio);
  • criptografia de senhas com bcrypt (cost factor 12);
  • criptografia AES-256-GCM para chaves de API armazenadas;
  • tokens de sessao HMAC-SHA256 com expiracao de 7 dias (web) ou JWT HS256 com refresh token rotativo (mobile);
  • rate limiting via Redis para prevenir ataques de forca bruta;
  • account lockout apos 10 tentativas de login falhas em 15 minutos;
  • backup diario automatico do banco de dados para Cloudflare R2 com retencao de 30 dias;
  • monitoramento de seguranca via Sentry com filtros LGPD-compliant para PII (e-mails, cookies, headers de autenticacao mascarados);
  • registro e auditoria de acessos administrativos ao sistema.

Apesar da adocao de medidas tecnicas e organizacionais adequadas, nenhum sistema e completamente imune a riscos. Por esse motivo, tambem recomendamos que os usuarios adotem boas praticas de seguranca digital, como manter suas credenciais de acesso protegidas e ativar autenticacao multifator quando disponivel.

7. Compartilhamento de Dados com Terceiros

A Central Med Revalida nao vende, aluga ou comercializa dados pessoais de seus usuarios.

A Central Med Revalida tambem nao realiza tracking cross-app ou cross-website, nao compartilha dados com data brokers e nao permite que terceiros utilizem os dados dos usuarios para finalidades publicitarias.

Os dados poderao ser compartilhados apenas com prestadores de servicos tecnologicos estritamente necessarios para o funcionamento da plataforma, sempre sob acordos contratuais que exigem o cumprimento da LGPD e padroes equivalentes de protecao de dados:

Infraestrutura e armazenamento

  • Railway (Estados Unidos) — hospedagem do servidor de aplicacao e banco de dados PostgreSQL.
  • Cloudflare (global) — Content Delivery Network (CDN), Web Application Firewall (WAF), DNS, armazenamento R2 e protecao contra ataques DDoS.
  • Bunny.net (global) — distribuicao de videos com token de autenticacao assinado, marca d'agua personalizada e medidas anti-download (bloqueio de menu de contexto, sandbox restritivo).

Inteligencia artificial e processamento educacional

  • Anthropic (Claude API) — utilizado para o Mentor IA (chat educacional) e simulacao de pacientes em estacoes praticas. Em estacoes OSCE com paciente IA, a transcricao da voz do usuario e transmitida a Anthropic para processamento conversacional. Anthropic nao utiliza prompts/respostas para treinar seus modelos quando integrado via API.
  • OpenAI — utilizado para flashcards, resumos automaticos, traducao e feedback de redacao. Configurado para nao utilizar dados de API para treinamento.
  • Google AI (Gemini) — utilizado para extracao de questoes a partir de PDFs.
  • Google Cloud Text-to-Speech — sintese de voz para o paciente simulado em estacoes praticas (audio gerado em tempo real, nao armazenado).

Comunicacao e suporte

  • Resend — envio de e-mails transacionais (recuperacao de senha, confirmacao de cadastro, notificacoes de aprovacao).
  • Apple Push Notification Service (APNs) e Firebase Cloud Messaging (FCM) — entrega de notificacoes push opcionais para o aplicativo mobile.

Comunicacao em tempo real

  • LiveKit Cloud — infraestrutura de video e audio para mentorias e lives ao vivo. Sessoes nao sao gravadas por padrao; quando gravadas (com consentimento), o video e processado pela LiveKit Egress e transferido para Bunny Stream.

Monitoramento e observabilidade

  • Sentry — captura de erros e diagnostico de falhas. Configurado com PII scrubbing para garantir conformidade com a LGPD (e-mails, cookies, headers de autenticacao sao removidos antes do envio).

Pagamentos (quando aplicavel)

  • Asaas (Brasil) — processamento de assinaturas mensais em BRL.
  • Pagopar (Paraguai) — processamento de pagamentos one-time em PYG.

Profissionais vinculados a plataforma

Dados estritamente necessarios poderao ser compartilhados com:

  • mentores;
  • professores;
  • psicologos ou orientadores educacionais;

sempre no contexto das atividades contratadas pelo usuario.

Cumprimento de obrigacoes legais

Os dados poderao ser compartilhados com autoridades publicas ou orgaos reguladores quando houver obrigacao legal ou determinacao judicial.

8. Transferencia Internacional de Dados (LGPD Art. 33)

Como parte da infraestrutura tecnologica utilizada pela plataforma esta localizada fora do Brasil, alguns dados pessoais poderao ser armazenados ou processados em servidores localizados em outros paises.

Paises de destino dos dados:

  • Estados Unidos (EUA): Anthropic (Claude API), OpenAI (gpt-4o-mini), Google Cloud (Gemini + TTS), Cloudflare (WAF/DNS/CDN/Turnstile), Sentry (telemetria com PII scrubbed), Resend (e-mails transacionais), Railway (PostgreSQL + Docker) e Bunny.net (Stream + CDN);
  • Brasil: Asaas (processamento de pagamentos em BRL) e hospedagem complementar;
  • Paraguai: Pagopar (processamento de pagamentos em PYG, quando aplicavel ao tenant).

Garantias adequadas adotadas:

  • celebracao de Data Processing Agreements (DPAs) com clausulas-padrao contratuais (Standard Contractual Clauses — SCCs) quando disponiveis pelo subprocessador;
  • selecao de fornecedores certificados em frameworks internacionais (SOC 2 Type II, ISO 27001, GDPR/EU-US DPF);
  • criptografia em transito (TLS 1.2+, HSTS habilitado);
  • criptografia em repouso (AES-256 nativa do provedor para PostgreSQL, R2 e Bunny Stream);
  • principio da minimizacao (LGPD Art. 6 III) — compartilhamento estritamente do necessario para a finalidade contratada de cada subprocessador.

Direitos do titular sob LGPD Art. 33:

  • saber para onde os dados vao — lista publica e atualizada em https://centralmedrevalida.com.br/legal/subprocessors;
  • opor-se a uma transferencia especifica para subprocessador determinado — contato com o Encarregado (DPO);
  • portabilidade entre fornecedores — exportacao em formato estruturado em Configuracoes da conta.

Politica de notificacao de novos subprocessadores: novos subprocessadores que receberao dados pessoais sao publicados em https://centralmedrevalida.com.br/legal/subprocessors com pelo menos 30 (trinta) dias de antecedencia. Usuarios ativos podem opor-se ao novo subprocessador dentro do prazo de notificacao, contatando o DPO. Alteracoes urgentes por motivo de seguranca poderao ter prazo reduzido, mediante justificativa registrada.

9. Direitos do Titular dos Dados

Nos termos do art. 18 da Lei Geral de Protecao de Dados (LGPD), o titular dos dados possui diversos direitos em relacao aos seus dados pessoais, todos exercitaveis gratuitamente:

  • confirmacao da existencia de tratamento de dados;
  • acesso aos dados pessoais tratados;
  • correcao de dados incompletos, inexatos ou desatualizados;
  • anonimizacao, bloqueio ou eliminacao de dados desnecessarios, excessivos ou tratados em desconformidade com a LGPD;
  • portabilidade dos dados a outro fornecedor de servico ou produto, mediante requisicao expressa, observados os segredos comercial e industrial;
  • eliminacao dos dados pessoais tratados com o consentimento do titular, ressalvadas as hipoteses do art. 16 da LGPD;
  • informacao sobre as entidades publicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • informacao sobre a possibilidade de nao fornecer consentimento e sobre as consequencias da negativa;
  • revogacao do consentimento a qualquer momento.

9.1 Como exercer seus direitos

O exercicio desses direitos podera ser solicitado pelo usuario a qualquer momento, atraves dos seguintes canais:

  • Excluir conta diretamente no aplicativo: Perfil → Configuracoes → Excluir conta. A exclusao remove imediatamente o acesso a plataforma e inicia o processo de anonimizacao com UUID em ate 30 dias para todos os 17 conjuntos de dados associados ao usuario.
  • Exportar todos os seus dados: Perfil → Configuracoes → Exportar meus dados. Receba um arquivo JSON contendo todas as informacoes pessoais coletadas (cadastro, progresso, historico de uso, mensagens, conquistas e demais dados).
  • WhatsApp: +55 (47) 99763-0532
  • E-mail: privacidade@centralmedrevalida.com.br

A Central Med Revalida atendera as solicitacoes em prazo razoavel, observando os limites estabelecidos pela LGPD (geralmente 15 dias).

10. Cookies e Tecnologias de Rastreamento

A plataforma web utiliza cookies e armazenamento local (localStorage) classificados em quatro categorias, com bases legais distintas conforme o art. 7º da LGPD. Na primeira visita, um banner de consentimento granular permite aceitar, recusar ou personalizar cada categoria. Suas escolhas ficam registradas em um cookie de primeira parte por 12 meses e podem ser revistas a qualquer momento em Configuracoes da conta -> Privacidade.

O aplicativo mobile nao utiliza cookies — a autenticacao mobile usa tokens JWT armazenados de forma criptografada via expo-secure-store (iOS Keychain / Android Keystore). Os subprocessadores de IA, analytics e telemetria de erro descritos a seguir tambem se aplicam ao mobile, com o mesmo controle granular disponivel em Configuracoes -> Privacidade.

10.1. Cookies necessarios (sempre ativos)

Base legal: art. 7º, V (execucao de contrato) e art. 7º, IX (legitimo interesse). Nao dependem de consentimento porque a Plataforma nao funciona sem eles.

  • Cookie de sessao (httpOnly, Secure, SameSite=Lax) — mantem o usuario autenticado;
  • Token CSRF — protecao contra cross-site request forgery em requisicoes autenticadas;
  • Cookie de consentimento (cookie-consent-v3) — armazena suas escolhas de categoria e subprocessador; espelhado em localStorage para leitura sincrona pelo gate de analytics/erro;
  • Cookie de preferencia de idioma e demais cookies funcionais de infraestrutura essencial — Cloudflare (anti-bot/DDoS via Turnstile), Railway (load balancing), LiveKit (sessoes ao vivo), Bunny.net (streaming de video), Resend (e-mails transacionais), Asaas (processamento de pagamentos).

10.2. Cookies de IA — provedores de mentoria automatizada

Base legal: art. 7º, I (consentimento) e art. 20 (revisao de decisoes automatizadas). Voce pode opor-se ao tratamento por IA a qualquer momento; funcionalidades dependentes (Mentor IA, geracao de flashcards/resumos, feedback automatico) serao desabilitadas para sua conta.

  • Anthropic (Claude API) — Mentor IA: respostas conversacionais a duvidas de estudo. EUA;
  • OpenAI (gpt-4o-mini) — geracao de flashcards, resumos e feedback estruturado em simulados. EUA;
  • Google Cloud (Gemini + Text-to-Speech) — explicacoes alternativas e narracao de audio. EUA / Global.

10.3. Cookies de analytics e telemetria de erro

Base legal: art. 7º, I (consentimento). Esta categoria fica desativada por padrao; so e habilitada se voce optar explicitamente no banner.

  • PostHog (host europeu — Frankfurt, Alemanha) — analytics de produto: visualizacoes de pagina, eventos de uso e funis. Identificadores pseudonimizados; IP truncado antes do armazenamento; sem cross-site tracking;
  • Sentry (EUA) — telemetria de erros e performance: stack traces, metricas de Web Vitals, sessoes com erros. PII (e-mails, cookies, headers de autenticacao) e removida no SDK antes do envio (PII scrubbing ativado).

10.4. Cookies de marketing

Base legal: art. 7º, I (consentimento). Atualmente, a Central Med Revalida nao utiliza cookies de marketing comportamental, pixels de publicidade nem cross-site tracking. A categoria permanece no banner para garantir transparencia caso passemos a utiliza-los no futuro — nesse caso, novos subprocessadores serao publicados em https://centralmedrevalida.com.br/legal/subprocessors com pelo menos 30 dias de antecedencia.

10.5. Como gerenciar suas preferencias

  • Banner inicial: exibido na primeira visita — botoes Aceitar tudo, Recusar nao essenciais e Personalizar (com toggles por categoria e por subprocessador);
  • Revisar ou revogar: Configuracoes da conta -> Privacidade — abre novamente o painel granular sem precisar limpar cookies do navegador;
  • Apagar tudo: remover os cookies da Central Med Revalida no seu navegador faz com que o banner reapareca na proxima visita;
  • Lista completa de subprocessadores que podem definir cookies: https://centralmedrevalida.com.br/legal/subprocessors.

11. Retencao de Dados

Os dados pessoais serao mantidos enquanto forem necessarios para:

  • prestacao dos servicos educacionais;
  • manutencao da conta do usuario;
  • cumprimento de obrigacoes legais (registros de log de acesso retidos por 6 meses, conforme art. 15 do Marco Civil da Internet);
  • resolucao de disputas ou exercicio de direitos.

Apos o encerramento da conta, os dados pessoais serao anonimizados com UUID ou eliminados em ate 30 dias, salvo quando houver obrigacao legal de retencao por prazo superior. A anonimizacao garante que os dados nao possam mais ser associados ao titular original, preservando estatisticas agregadas para fins de analise educacional.

12. Privacidade de Criancas

A plataforma Central Med Revalida e direcionada exclusivamente a estudantes de medicina e profissionais da area de saude maiores de 18 anos. A plataforma nao e destinada a criancas menores de 13 anos, em conformidade com o COPPA (Children's Online Privacy Protection Act) e a LGPD.

A Central Med Revalida nao coleta intencionalmente dados pessoais de criancas. Caso identifiquemos que um menor de 18 anos criou uma conta sem consentimento dos responsaveis, a conta sera imediatamente desativada e os dados eliminados.

Pais ou responsaveis que tenham conhecimento de que um menor sob sua responsabilidade forneceu dados pessoais a Central Med Revalida podem solicitar a exclusao imediata pelos canais de contato indicados nesta Politica.

13. App Tracking Transparency (Apple iOS)

A Central Med Revalida nao utiliza o IDFA (Identifier for Advertisers) e nao realiza tracking cross-app ou cross-website de seus usuarios. Por esse motivo, o aplicativo iOS nao apresenta o prompt de App Tracking Transparency (ATT) da Apple.

Os identificadores de dispositivo coletados sao utilizados exclusivamente dentro da plataforma para finalidades de seguranca, sessao e suporte tecnico, conforme detalhado na secao 3.6 desta Politica.

14. Notificacoes Push (Mobile)

O envio de notificacoes push pelo aplicativo mobile depende de consentimento explicito do usuario. Na primeira utilizacao do app, o sistema operacional (iOS ou Android) solicitara permissao para envio de notificacoes.

Caso o usuario opte por receber notificacoes, podera personalizar quais tipos deseja receber em Perfil → Configuracoes → Notificacoes. Tipos disponiveis incluem:

  • lembretes de revisao espacada (SRS);
  • novos comunicados do administrador;
  • mensagens de mentores;
  • atualizacoes de progresso e conquistas.

O usuario pode revogar a permissao a qualquer momento nas configuracoes do sistema operacional do dispositivo, sem prejuizo de utilizacao das demais funcionalidades do aplicativo.

15. Encarregado pelo Tratamento de Dados (DPO)

Em conformidade com o art. 41 da LGPD, a Central Med Revalida designou um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer):

  • E-mail: dpo@centralmedrevalida.com.br
  • WhatsApp: +55 (47) 99763-0532

O DPO e responsavel por atender solicitacoes do titular dos dados, da Autoridade Nacional de Protecao de Dados (ANPD) e por orientar a Central Med Revalida sobre as praticas de protecao de dados.

16. Alteracoes nesta Politica

A Central Med Revalida podera atualizar esta Politica de Privacidade periodicamente para refletir mudancas legais, tecnologicas ou operacionais.

Sempre que houver alteracoes relevantes, os usuarios serao informados:

  • por meio de notificacao na propria plataforma e/ou no aplicativo mobile;
  • por e-mail enviado ao endereco cadastrado;
  • pela atualizacao da data indicada no inicio desta Politica.

Em caso de alteracoes substanciais que impactem o tratamento de dados, sera solicitado novo consentimento do usuario quando aplicavel.

Recomendamos que os usuarios revisem esta Politica regularmente.

17. Contato

Para duvidas, solicitacoes ou exercicio de direitos relacionados a protecao de dados pessoais, o usuario podera entrar em contato com a Central Med Revalida pelos seguintes canais:

  • E-mail Privacidade / DPO: privacidade@centralmedrevalida.com.br
  • WhatsApp: +55 (47) 99763-0532
  • Instagram: @centralmedrevalida
← Voltar ao cadastro