MINUTA · versão privacy-2026-07-11 · não vigente

Minuta do Aviso de Privacidade

Documento de trabalho privacy-2026-07-11 para mapear transparência, papéis e decisões pendentes sob a LGPD. Esta é uma minuta não aprovada e não autoriza o tratamento de dados reais.

1. Escopo e status desta minuta

A OnzFit está sendo projetada como plataforma B2B2C de acompanhamento entre clínicas, profissionais e pacientes. Esta minuta descreve o desenho pretendido do tratamento de dados no Brasil, sujeito à Lei nº 13.709/2018 (LGPD), à validação jurídica e aos contratos definitivos.

Marcar a caixa de leitura no piloto apenas registra a versão técnica apresentada. Isso não substitui a definição de uma hipótese legal para cada finalidade, não constitui renúncia de direitos e não torna esta minuta apta para pacientes reais.

2. Quem trata os dados

A identificação da empresa responsável pela OnzFit ainda precisa ser preenchida: PENDENTE — razão social, PENDENTE — CNPJ, PENDENTE — endereço completo e PENDENTE — canal institucional.

Hipótese de trabalho a validar em contrato: para dados clínicos, cada clínica tende a decidir as finalidades e os elementos essenciais do cuidado e, portanto, tende a atuar como controladora. A OnzFit tende a atuar como operadora desses dados, segundo instruções documentadas da clínica. Para cadastro da própria plataforma, segurança, prevenção a abuso e relacionamento comercial, a entidade OnzFit poderá ter decisões próprias e atuar como controladora independente.

Esses papéis dependem das decisões reais, não apenas do nome dado no contrato. Antes de qualquer paciente real, devem ser definidos o contrato de tratamento de dados, as responsabilidades e a identificação da clínica controladora exibida ao respectivo paciente.

Clínica controladora no ambiente do paciente: PENDENTE — razão social, CNPJ, endereço e canal de privacidade por organização.

3. Categorias de dados previstas

  • dados de conta e profissionais: nome, e-mail, telefone, clínica, função, vínculo, status da conta e registros de autenticação;
  • dados cadastrais do paciente: nome, contato, data de nascimento, sexo cadastrado, objetivo e profissional responsável;
  • dados pessoais sensíveis de saúde: medidas corporais, bioimpedância, métricas, resultados laboratoriais, hábitos e check-ins, recomendações, consultas, anotações clínicas e indicadores de risco;
  • arquivos clínicos privados e seus metadados, quando o módulo de mídia estiver habilitado e validado;
  • dados técnicos e de segurança: endereço IP transformado em hash, identificador de dispositivo/navegador transformado em hash, eventos de auditoria, tentativas, datas e identificadores de sessão;
  • dados de comunicação: destinatário protegido, tipo e estado de mensagens de confirmação, convite e recuperação de conta.

O inventário final, campos obrigatórios e dados que nunca deverão ser coletados estão PENDENTE — pendentes de ROPA/data map.

4. Origem dos dados

Os dados poderão ser fornecidos pelo próprio titular, pela clínica e profissionais autorizados, gerados durante o uso do serviço ou derivados de cálculos configurados na plataforma. Integrações externas de exames, dispositivos ou prontuários não estão aprovadas nesta versão e exigirão aviso e avaliação específicos.

5. Finalidades e bases legais

As finalidades projetadas são:

  • criar e proteger contas e vínculos com uma clínica;
  • permitir acompanhamento clínico e evolução entre consultas;
  • registrar métricas, exames, hábitos, recomendações e agenda;
  • entregar comunicações transacionais de autenticação e acesso;
  • manter segurança, isolamento entre organizações e auditoria;
  • cumprir obrigações legais e responder a direitos dos titulares;
  • operar e melhorar o serviço com dados minimizados, sem reutilizar dados clínicos para publicidade.

PENDENTE — matriz finalidade × categoria × agente × hipótese legal. Para dados de saúde, a clínica deverá documentar a hipótese específica do art. 11 da LGPD aplicável à sua operação. Consentimento não deve ser usado como autorização genérica quando outra base específica for a adequada; quando for usado, deve ser livre, informado, destacado, específico e revogável.

6. Compartilhamentos e fornecedores

O acesso clínico deverá ser limitado à clínica controladora, aos profissionais autorizados e ao próprio paciente, conforme perfil e necessidade. Também poderá haver compartilhamento estritamente necessário com autoridades quando exigido por lei ou ordem válida.

Fornecedores técnicos previstos, ainda sujeitos a contratação final:

  • Supabase — banco de dados, autenticação e funções de backend;
  • Resend — e-mails transacionais sem conteúdo clínico no assunto;
  • Cloudflare — DNS, proteção, jobs e armazenamento privado R2;
  • Vercel ou host compatível — aplicação web/PWA.

PENDENTE — lista final de suboperadores, países, regiões de armazenamento, mecanismos de transferência internacional e links das políticas. Nenhum fornecedor deve receber dados além do necessário para a sua função contratada.

7. Segurança e governança

O desenho técnico inclui separação por organização, políticas de acesso no banco, menor privilégio por papel, autenticação, trilha de auditoria, segredos apenas no servidor, mídia privada com URLs de curta duração, verificação de integridade e limites contra abuso. O acesso de equipe administrativa a dados clínicos permanece bloqueado até que existam permissões explícitas.

Também estão previstos procedimentos de backup, recuperação, gestão de vulnerabilidades, revisão de acessos e resposta a incidentes. Nenhum sistema é absolutamente seguro; a lista acima não é garantia de risco zero nem substitui testes e governança contínuos.

PENDENTE — políticas internas, responsáveis, periodicidades, evidência de backup/restore, plano de resposta e relatório de impacto (RIPD).

8. Retenção e eliminação

A OnzFit ainda não possui uma matriz de retenção juridicamente aprovada. Até ela existir, o piloto deve usar somente dados sintéticos. Os prazos deverão considerar finalidade, instruções da clínica, obrigações legais, exercício regular de direitos, segurança e eliminação também em cópias de backup, quando tecnicamente e juridicamente aplicável.

  • conta e vínculo com clínica: PENDENTE — definir prazo e gatilho;
  • prontuário/dados clínicos: PENDENTE — definir pela clínica e normas setoriais;
  • auditoria e segurança: PENDENTE — definir prazo e acesso;
  • e-mails e eventos de entrega: PENDENTE — definir prazo;
  • mídia e objetos incompletos: PENDENTE — definir ciclo de vida;
  • backups: PENDENTE — definir janela e descarte verificável.

9. Direitos do titular

Conforme aplicável, o titular pode solicitar confirmação e acesso, correção, anonimização, bloqueio ou eliminação, portabilidade nos termos da regulamentação, informação sobre compartilhamentos, revisão de decisões automatizadas, oposição e revogação do consentimento sem afetar tratamentos anteriores legítimos.

Pedidos relacionados ao cuidado e prontuário deverão ser apresentados à clínica controladora; a OnzFit deverá cooperar como operadora. Pedidos sobre a conta ou operações próprias da OnzFit deverão usar o canal da OnzFit. A identidade do solicitante deverá ser verificada sem coletar dados excessivos.

PENDENTE — e-mail/formulário, fluxo de autenticação, responsável e SLA de atendimento. O atendimento observará os prazos legais e regulatórios aplicáveis, que não são substituídos por um prazo interno inventado nesta minuta.

10. Indicadores e decisões automatizadas

A plataforma poderá calcular indicadores de acompanhamento e escores configurados. Eles devem servir como apoio e não devem ser usados como única base para diagnóstico, tratamento, urgência ou outra decisão clínica relevante. PENDENTE — inventário de modelos, critérios, explicabilidade, validação clínica e fluxo de revisão humana.

11. Crianças e adolescentes

O piloto não está aprovado para menores de 18 anos. Antes de qualquer uso com crianças ou adolescentes, a clínica deverá documentar o melhor interesse, a hipótese legal, as informações apropriadas à idade, a participação de responsável quando exigida e mecanismos proporcionais de verificação. PENDENTE — política etária e procedimento de responsável legal.

12. Incidentes de segurança

Suspeitas de acesso indevido, perda, alteração ou divulgação devem ser preservadas e investigadas. Na hipótese operacional, a OnzFit notificará a clínica controladora conforme o contrato; o controlador avaliará e realizará as comunicações exigidas à ANPD e aos titulares quando o incidente puder ocasionar risco ou dano relevante.

PENDENTE — canal 24×7, responsáveis, matriz de severidade, prazo contratual de escalonamento, modelos de comunicação e registro mínimo de cinco anos.

13. Encarregado, contato e reclamações

Encarregado ou responsável pelo canal de privacidade: PENDENTE — nome/identificação a definir. Canal de privacidade: PENDENTE — e-mail e/ou formulário a definir. Endereço postal: PENDENTE — a definir.

Depois de tentar o atendimento pelo controlador, o titular poderá usar os canais oficiais da Autoridade Nacional de Proteção de Dados e, em relações de consumo, dos órgãos competentes.

14. Versão, mudanças e referências

Versão técnica: privacy-2026-07-11. Data da minuta: 11 de julho de 2026. Data de vigência: PENDENTE — não definida. Uma versão aprovada deverá registrar alterações materiais e apresentar novo consentimento apenas quando a lei e a finalidade realmente o exigirem.