Esta Política descreve como a KURAI TECNOLOGIA EM SAÚDE LTDA. trata dados pessoais de Usuários e Pacientes na plataforma kurai.com.br, em conformidade com a Lei 13.709/2018 (LGPD), Marco Civil da Internet (Lei 12.965/2014) e regulamentações da ANPD.
Controlador e Encarregado de Dados
CONTROLADOR: Kurai Tecnologia em Saúde Ltda. Endereço: a confirmar após constituição (Brasil) E-mail: suporte@kurai.app
ENCARREGADO DE DADOS (DPO): A Kurai mantém Encarregado próprio (art. 41 LGPD), com canal exclusivo em suporte@kurai.app para todas as questões relacionadas a dados pessoais. Resposta em até 15 (quinze) dias corridos.
PAPÉIS DA KURAI:
- CONTROLADOR dos dados de cadastro de Usuários (médicos, equipe);
- OPERADOR dos dados de pacientes, sob instrução do médico/clínica contratante (Controlador). Esta relação é regida pelo Acordo de Operação anexado aos Termos de Uso.
Dados Coletados
2.1DADOS DE CADASTRO DE USUÁRIO (médicos, equipe)
- Nome completo, e-mail, telefone, CPF, CNPJ;
- CRM (número, UF, especialidade, RQE);
- Endereço profissional, foto de perfil, biografia;
- Documento de identidade com foto (RG, CNH ou CRM físico) — para verificação de identidade quando exigido por compliance;
- Selfie de prova de vida (livenness) — opcional, para upgrade de confiança;
- Dados financeiros (chave PIX, dados bancários, dados de cartão via tokenização do PSP — a Kurai NÃO armazena PAN completo);
- Logs de acesso (IP, agente de usuário, data/hora) — Marco Civil.
2.2DADOS DE PACIENTES (tratados em nome do Controlador médico)
- Identificação (nome, CPF, RG, data de nascimento, gênero);
- Contato (e-mail, telefone, endereço);
- Dados de saúde (histórico clínico, diagnósticos CID-10, prescrições, exames, atestados, prontuários, dados antropométricos, alergias);
- Dados financeiros (pagamentos de consulta);
- Gravações de telemedicina (com consentimento explícito do paciente para cada sessão, conforme Resolução CFM 2.314/2022, art. 4º).
2.3Dados Coletados Automaticamente
- Cookies essenciais (autenticação, preferências);
- Cookies analíticos (com consentimento — ver Política de Cookies);
- Endereço IP, fingerprint do navegador (segurança);
- Logs de auditoria (todas as ações em prontuários e documentos clínicos são registradas).
Finalidades do Tratamento
| Finalidade | Base legal | Exemplos |
|---|---|---|
| Operar a plataforma | Execução de contrato | Login, agenda, prontuário |
| Cumprir obrigação legal | Obrigação legal | Retenção CFM 1.821/2007 |
| Validar identidade | Legítimo interesse + obrigação legal | Verificação CRM ativo |
| Prevenir fraude | Legítimo interesse | Detecção de uso indevido |
| Comunicação operacional | Execução de contrato | E-mail de confirmação |
| Marketing | Consentimento (opt-in) | Newsletter, dicas |
| IA assistencial | Consentimento + execução de contrato | Scribe, sugestão CID |
| Atender autoridades | Obrigação legal | ANPD, MP, Judiciário |
| Pesquisa e melhoria | Legítimo interesse (anonimizado) | Estatísticas agregadas |
Compartilhamento e Subprocessadores
A Kurai compartilha dados pessoais EXCLUSIVAMENTE com:
4.1.SUBPROCESSADORES (operadores) sob contrato com cláusulas LGPD:
| Subprocessador | Finalidade | Localização |
|---|---|---|
| AWS (Amazon Web Services) | Hospedagem, banco, S3, CloudFront | Brasil (sa-east-1) |
| Anthropic | IA assistencial (Claude) | EUA — cláusulas adequadas |
| OpenAI | Transcrição de áudio (Whisper) | EUA — cláusulas adequadas |
| Stripe | Processamento de cartão | EUA — PCI DSS Level 1 |
| AbacatePay | PIX e boleto | Brasil |
| Resend | E-mail transacional | EUA — cláusulas adequadas |
| Jitsi as a Service (8x8 Inc.) | Telemedicina por vídeo (sinalização e mídia) | EUA — cláusulas adequadas |
| Evolution API (self-hosted) | Mensageria WhatsApp Business | Brasil (mesma infra Kurai) |
| Consultar.io | Validação ativa de CRM (CFM) | Brasil |
| BrasilAPI | Validação de CNPJ (Receita Federal) | Brasil |
| MailHog (apenas dev) | Captura de e-mails locais | Local — sem dados reais |
4.2.Transferência internacional (quando ocorre — IA, cartão, vídeo):
A transferência ocorre nos termos do art. 33 LGPD, com cláusulas contratuais padrão alinhadas a SCCs UE/EUA, EU-US Data Privacy Framework (quando aplicável), e auditorias periódicas dos subprocessadores.
4.3Autoridades Públicas
A Kurai compartilha dados com autoridades exclusivamente mediante:
- Ordem judicial fundamentada;
- Requisição da ANPD;
- Requisição do Ministério Público nos termos da LC 75/93;
- Requisição de autoridade sanitária federal (ANVISA, SUS) em contexto de emergência sanitária declarada.
A Kurai NUNCA vende dados pessoais a terceiros.
Direitos do Titular (art. 18 Lgpd)
O titular tem direito a:
- (a)CONFIRMAÇÃO da existência de tratamento;
- (b)ACESSO aos dados;
- (c)CORREÇÃO de dados incompletos, inexatos ou desatualizados;
- (d)ANONIMIZAÇÃO, BLOQUEIO ou ELIMINAÇÃO de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- (e)PORTABILIDADE dos dados a outro fornecedor (formato estruturado);
- (f)ELIMINAÇÃO dos dados tratados com consentimento, ressalvadas as hipóteses do art. 16 LGPD (cumprimento de obrigação legal, estudo por órgão de pesquisa, transferência a terceiro, uso exclusivo do controlador anonimizado);
- (g)INFORMAÇÃO sobre entidades públicas e privadas com as quais houve compartilhamento;
- (h)INFORMAÇÃO sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- (i)REVOGAÇÃO do consentimento;
- (j)REVISÃO DE DECISÕES AUTOMATIZADAS (art. 20 LGPD): se uma decisão for baseada exclusivamente em tratamento automatizado, o titular tem direito a solicitar revisão por pessoa natural.
5.1.Como exercer:
- Pelo Portal do Paciente (acesso, correção, exportação);
- Por e-mail suporte@kurai.app (todos os direitos);
- Em caso de não atendimento, ao usuário cabe reclamação à ANPD em www.gov.br/anpd.
5.2.Prazo de resposta: 15 (quinze) dias corridos a partir da solicitação devidamente identificada. A Kurai pode prorrogar por mais 15 dias, mediante justificativa, em casos complexos.
Segurança e Incidentes
6.1Medidas Técnicas
- Criptografia em trânsito (TLS 1.3);
- Criptografia em repouso para dados sensíveis (AES-256);
- Hashing de senhas com bcrypt (cost ≥ 12);
- Multi-fator de autenticação (TOTP) disponível e recomendado;
- Tokens de acesso curtos (15 min) com refresh rotativo (7 dias);
- Logs de auditoria imutáveis (append-only, retenção 5 anos);
- Backups diários com retenção de 30 dias;
- Isolamento por tenant (schema-per-tenant no PostgreSQL);
- Pen-test anual por terceira parte independente.
6.2Medidas Organizacionais
- NDA com todos os colaboradores;
- Treinamento periódico em LGPD;
- Princípio do mínimo privilégio (RBAC);
- Revisão de acessos a cada 90 dias;
- Política interna de gestão de incidentes.
6.3Incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Kurai notificará a ANPD e os titulares afetados em prazo razoável (até 48h da ciência), conforme art. 48 LGPD e Resolução CD/ANPD nº 15/2024.
Retenção e Eliminação
| Tipo de dado | Prazo de retenção | Base |
|---|---|---|
| Prontuário médico | 20 anos do último atendimento | CFM 1.821/2007 |
| Dados financeiros / fiscais | 5 anos | CTN art. 173 |
| Logs de auditoria | 5 anos | LGPD + boas práticas |
| Logs de conexão | 6 meses | Marco Civil art. 13 |
| Cadastro de usuário ativo | Enquanto durar a relação | Execução de contrato |
| Cadastro de usuário inativo | 5 anos após cancelamento | Defesa em juízo |
| Dados de marketing | Até revogação do consentimento | Consentimento |
| Cookies analíticos | Conforme Política de Cookies | Consentimento |
Após o prazo, os dados são eliminados ou anonimizados. Dados anonimizados podem ser usados para estatística agregada, sem possibilidade de re-identificação (art. 12 LGPD).
Crianças e Adolescentes
8.1.A Plataforma não é destinada a usuários menores de 18 anos como profissionais cadastrados. Pacientes menores podem ser cadastrados exclusivamente por seu responsável legal, que declara ter autorização para fornecer os dados (art. 14 LGPD).
8.2.O tratamento de dados de crianças (até 12 anos) e adolescentes (13-17 anos) considera seu melhor interesse, com consentimento específico e em destaque do responsável legal.
Alterações Nesta Política
A Kurai pode atualizar esta Política. Mudanças materiais serão comunicadas com 30 dias de antecedência por e-mail aos Usuários e por banner na Plataforma. Versões anteriores ficam disponíveis em /legal/privacidade?version=X.Y.
Contato
Encarregado de Dados (DPO): suporte@kurai.app Solicitações em geral: suporte@kurai.app ANPD: www.gov.br/anpd · denuncia@anpd.gov.br
Precisa de ajuda
Nossa equipe jurídica está pronta para esclarecer qualquer dúvida sobre este documento.