Privacy Notice
Version:
This notice explains what data we process about you, why, on what legal basis, who else sees it, and what you can do about it. It is the same notice for everyone, regardless of where you live, with regime-specific rights called out by jurisdiction.
1. Quem controla seus dados
O controlador dos seus dados é a A H LEDIG IVOLUT SOFTWARE LTDA, sociedade limitada unipessoal brasileira (Sociedade Limitada Unipessoal, registrada sob o regime tributário de pequeno porte EPP).
- CNPJ: 36.062.448/0001-87
- NIRE: 35235819092
- Inscrição Municipal: 402865
- Endereço registrado: Rua Cambroé 243, Alphaville 2, 12244-045 São José dos Campos, SP, Brasil
- Pessoa responsável pelo tratamento: Alexander H Ledig
- Contato para privacidade: privacy@gambrio.com
O controlador opera o serviço “biosatlas.”
2. Quais dados coletamos
- Dados de conta: seu endereço de e-mail, seu nome (opcional) e sua foto de perfil (opcional, fornecida pelo provedor de login).
- Dados de saúde — dados pessoais sensíveis (categoria especial): os PDFs e imagens de exames de sangue que você envia, os valores dos marcadores extraídos, as unidades, os intervalos de referência, os metadados do laboratório e os carimbos de data/hora das observações.
- Dados de perfil: seu sexo (opcional) e data de nascimento (opcional), usados para selecionar intervalos de referência adequados à idade e ao sexo.
- Metadados de consentimento: a data em que você consentiu e a versão deste aviso à qual consentiu.
- Metadados de uso: tokens de sessão, tokens de verificação de magic link, logs de jobs de extração e o custo da chamada ao modelo por extração.
3. Por que tratamos seus dados + com que base legal
Finalidades
- Acompanhar seus exames de sangue ao longo do tempo.
- Normalizar nomes e unidades de marcadores entre diferentes laboratórios para que você possa comparar resultados.
- Fornecer uma exportação em JSON, legível por máquina, de todos os seus dados.
Bases legais
- LGPD Art. 7(I) — seu consentimento, para dados pessoais.
- LGPD Art. 11(I) — seu consentimento de forma destacada (“consentimento de forma destacada”), para dados pessoais sensíveis (dados de saúde).
- GDPR Art. 6(1)(b) — execução do contrato sob o qual prestamos o serviço.
- GDPR Art. 9(2)(a) — seu consentimento explícito, para dados pessoais de categoria especial (dados de saúde).
- UK GDPR — bases equivalentes.
Sem o seu consentimento de forma destacada, não podemos prestar o serviço. Você concede consentimento por meio das duas caixas de seleção abaixo — uma para confirmar a ciência deste aviso e outra, destacada separadamente, para consentir especificamente com o tratamento dos seus dados de saúde.
4. Quem mais trata seus dados em nosso nome
| Sub-processor | Purpose | Region & transfer basis | Status | Privacy policy |
|---|---|---|---|---|
| Fly.io | Hospedagem da aplicação (a máquina virtual que executa o serviço). | UE (Frankfurt). Observação: o plano de controle e os logs agregados do Fly.io são hospedados nos EUA. | Planned | View policy |
| Resend | E-mail transacional (links mágicos de login). | UE. | Active | View policy |
| OpenAI ([OPENAI_ORG_NAME — pending Alex creates the side-project org]) | Extração visual dos seus exames de sangue enviados (os bytes da imagem são enviados à API da OpenAI). | Estados Unidos. Transferência sob Cláusulas Contratuais Padrão (SCCs), Módulo 2 (controlador para operador). A OpenAI retém entradas da API por até 30 dias para monitoramento de abuso; a OpenAI não treina com dados da API por padrão. | Active | View policy |
| Anthropic | Provedor alternativo de visão, ativado apenas se o controlador explicitamente o selecionar (configuração: BLOODWORK_PROVIDER=anthropic). Não está ativo nesta versão. | Estados Unidos. Transferência sob SCCs. Retenção zero por padrão. | Dormant | View policy |
Esta lista está atualizada até a data indicada no topo deste aviso. Qualquer inclusão, exclusão ou alteração relevante aciona uma atualização do aviso e nova aceitação.
5. Quando seus dados saem do seu país
Os bytes das imagens enviadas por você são tratados pela OpenAI nos Estados Unidos sob Cláusulas Contratuais Padrão, Módulo 2 (controlador para operador). Nenhum outro dado deixa a região de hospedagem na União Europeia. Os dados de residentes do Reino Unido são tratados de forma idêntica; as Cláusulas Contratuais Padrão incluem aditivos específicos para o Reino Unido (UK IDTA / Addendum) quando aplicável. Trata-se, portanto, de transferência internacional de dados.
6. Por quanto tempo guardamos seus dados
Mantemos sua conta e todos os dados a ela associados enquanto sua conta existir. Você pode excluir sua conta a qualquer momento:
- Autoatendimento: o botão “Excluir minha conta”, no final deste aviso (ou no seu perfil), aciona DELETE /api/account. Isso cancela qualquer job de extração ativo em aproximadamente 30 segundos (o tempo para a página atual concluir o processamento), exclui todos os seus painéis e marcadores e exclui sua conta.
- Por e-mail: escreva para privacy@gambrio.com.
Comprometemo-nos a processar pedidos de exclusão em 24 a 72 horas. A LGPD nos permite até 15 dias; o GDPR permite até 30 dias; nossa meta é mais rápida.
Assim que você inicia a exclusão, paramos de aceitar novos envios imediatamente. Qualquer job de extração já em andamento é cancelado em aproximadamente 30 segundos; dados já enviados aos suboperadores nessa janela ficam sujeitos às respectivas políticas de retenção (Seção 4).
Não há backups automatizados nesta versão. Seus dados existem apenas no banco de dados de produção. Se você quiser um backup, exporte seus dados regularmente em JSON pelo endpoint /api/export ou pelo botão de exportação no aplicativo.
Retenção pelos suboperadores: a OpenAI mantém entradas de API por até 30 dias (política padrão), o Resend mantém metadados de e-mail por até 30 dias e a Fly.io retém logs operacionais por tempo indeterminado.
7. Seus direitos — usuários da UE e do Reino Unido (GDPR + UK GDPR)
- Acesso (Art. 15): seus dados ficam visíveis no aplicativo; o endpoint /api/export devolve uma exportação completa, legível por máquina.
- Retificação (Art. 16): edite qualquer marcador diretamente no aplicativo.
- Apagamento (Art. 17): o botão “Excluir minha conta” elimina todos os seus dados em cascata.
- Limitação do tratamento (Art. 18): use o botão “Revogar consentimento” abaixo para pausar tratamentos futuros sem excluir sua conta.
- Portabilidade (Art. 20): a exportação JSON do /api/export é legível por máquina.
- Oposição (Art. 21): revogue seu consentimento a qualquer momento e interrompemos o tratamento imediatamente.
- Revogação do consentimento (Art. 7(3)): a qualquer momento, pelo botão abaixo. A licitude do tratamento realizado antes da revogação não é afetada.
- Reclamação perante uma autoridade de controle: ver Seção 12 abaixo.
8. Seus direitos — usuários brasileiros (LGPD Art. 18)
- Confirmação da existência de tratamento.
- Acesso aos seus dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
- Portabilidade dos seus dados a outro fornecedor de serviço ou produto.
- Eliminação dos dados tratados com o seu consentimento.
- Informação sobre as entidades públicas e privadas com as quais o controlador compartilhou seus dados (ver Seção 4).
- Informação sobre a possibilidade de não fornecer o consentimento e as respectivas consequências (você não pode usar o serviço sem consentir).
- Revogação do consentimento a qualquer momento.
- Reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD) — ver Seção 12.
9. Como protegemos seus dados
- Em trânsito: HTTPS em toda parte (TLS via Let's Encrypt, gerenciado pela Fly.io).
- Em repouso: criptografia de disco no Volume da Fly.io (estilo LUKS).
- Disciplina de logging: o aplicativo usa um auxiliar redactPHI() para remover seu nome e data de nascimento antes que qualquer dado seja gravado em logs.
- A criptografia em camada de aplicação (criptografia dos dados na camada de aplicação, em adição à criptografia de disco) NÃO está implementada nesta versão. Está no roadmap para a próxima versão.
10. Como consentir e revogar o consentimento
Você fornece consentimento de forma destacada abaixo por meio de duas caixas de seleção: uma para confirmar a ciência deste aviso e outra, destacada separadamente, para consentir especificamente com o tratamento dos seus dados de saúde. O registro de consentimento é armazenado vinculado à sua conta de usuário (data do consentimento + versão do aviso + idioma em que você leu o aviso + hash do conteúdo renderizado do aviso).
Você pode revogar o consentimento a qualquer momento, sem excluir sua conta, usando o botão “Revogar consentimento” abaixo. Enquanto estiver revogado, você ainda pode visualizar e exportar seus dados existentes, mas nenhum novo envio será tratado. Você pode consentir novamente depois ou usar “Excluir minha conta” para apagamento completo.
Se atualizarmos este aviso de forma que altere materialmente seus direitos ou o nosso tratamento, exigiremos que você dê novo consentimento no próximo login.
11. Decisões automatizadas
Este serviço não toma decisões automatizadas a seu respeito que produzam efeitos jurídicos ou similarmente significativos (GDPR Art. 22 / LGPD Art. 20). A etapa de extração por visão computacional é tratamento automatizado, mas o resultado é um conjunto de valores que você revisa — nenhuma decisão sobre você é tomada pelo sistema.
12. Reclamação a uma autoridade de proteção de dados
Você tem o direito de apresentar reclamação à autoridade de proteção de dados do seu local. Você não precisa nos contatar antes, mas incentivamos que o faça — costuma ser mais rápido.
- Residentes da UE: encontre a autoridade de proteção de dados do seu país no registro oficial do EDPB: https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Alemanha: para um serviço comercial como o nosso, as reclamações vão para a autoridade de proteção de dados do seu estado federal (lista completa: https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften-table.html). O comissário federal (BfDI) trata dos setores do governo federal, telecomunicações e postal, e não é a via principal para este serviço.
- Reino Unido: Information Commissioner's Office (ICO), https://ico.org.uk/
- Brasil: Autoridade Nacional de Proteção de Dados (ANPD), https://www.gov.br/anpd/
- Estados Unidos: o Attorney General do seu estado, quando aplicável. Não há via federal de reclamação para serviços não cobertos pela HIPAA.
13. Versionamento + atualizações
Este aviso é versionado por sua data de vigência, exibida no topo da página. Quando fazemos uma alteração, atualizamos a versão e exigimos que você dê novo consentimento no próximo login.
Um histórico das versões anteriores está disponível mediante solicitação a privacy@gambrio.com.
14. Cookies que utilizamos
Este serviço utiliza três cookies, todos estritamente necessários para o funcionamento do serviço:
- authjs.session-token (ou similar) — mantém você autenticado. Definido pelo sistema de login (Auth.js). Sessão ou 30 dias.
- bdl-language — lembra em qual idioma você leu o aplicativo. Definido na primeira visita ou quando você muda o idioma no perfil. 1 ano.
- bdl-format-locale — lembra qual formato numérico/de data você prefere (por exemplo, 1,234.56 vs 1.234,56). 1 ano.
Os três são essenciais — sem o cookie de sessão você não consegue ficar autenticado; sem os cookies de idioma o aplicativo não consegue entregar conteúdo em um idioma que você consiga ler. Conforme o Considerando 30 do GDPR, cookies estritamente necessários não exigem banner de consentimento. Não utilizamos cookies de analytics, publicidade ou rastreamento.
15. Crianças e adolescentes
Este serviço não é destinado a usuários com menos de 18 anos. Não coletamos conscientemente dados de menores. Se você acredita que um menor se cadastrou, entre em contato com privacy@gambrio.com e excluiremos a conta.
16. Como nos contatar + prazos de resposta
Dúvidas sobre privacidade: privacy@gambrio.com
Compromissos de tempo de resposta
- Exclusão de conta: 24 a 72 horas.
- Pedidos de informação / acesso / correção sob a LGPD: 15 dias (o prazo máximo da LGPD).
- Pedidos de informação / acesso / correção sob o GDPR / UK GDPR: 30 dias (o prazo máximo do GDPR).