VIVA Saúde Única

Política de Privacidade

Versão 1.3 — vigente a partir de 13 de junho de 2026

1. Quem somos — Controlador dos Dados

Esta Política de Privacidade descreve como a plataforma VIVA Saúde Única trata seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).

Controlador dos Dados:
Gustavo Henrique Costa e Silva
Plataforma VIVA Saúde Única
E-mail: contato@vivasaudeunica.com.br

Encarregado de Proteção de Dados (DPO):
Gustavo Henrique Costa e Silva
contato@vivasaudeunica.com.br

2. Quais dados coletamos

Coletamos apenas os dados necessários para prestar o serviço:

  • Conta e perfil: nome, e-mail, apelido (nickname), foto de perfil e bio.
  • Notas de saúde (dado sensível LGPD Art. 11): observações que você opta por adicionar ao seu perfil para personalizar as respostas da assistente Íris. Tratadas com base no consentimento específico (Art. 11 §1º).
  • Histórico de vacinação humana e perfil de saúde (dado sensível LGPD Art. 11): vacinas que você registra para receber lembretes, e sua data de nascimento e sexo biológico, usados apenas para montar seu calendário de vacinação personalizado. Tratados com base no consentimento específico (Art. 11 §1º) e nunca compartilhados com outras pessoas.
  • Animais de estimação: espécie, raça, nome, vacinações registradas, fotos.
  • Ambiente: tipo de área (urbana/periurbana/rural), saneamento e fatores de risco.
  • Localização: coordenadas GPS (somente se você ativar o compartilhamento) e endereço de cobrança (somente para assinaturas pagas).
  • Relatórios comunitários: descrição, fotos e localização do risco ambiental reportado.
  • Mensagens: conteúdo das conversas no chat da plataforma, armazenado com criptografia AES-256-GCM em repouso.
  • Família (Plano Família): vínculos de família, convites trocados, e — apenas com consentimento granular explícito — vacinações compartilhadas entre membros.
  • Dados de pagamento (assinaturas): CPF, telefone, endereço completo (LGPD Art. 7 V — execução de contrato + obrigação fiscal). Número do cartão (PAN) NÃO toca nossos servidores — é tokenizado diretamente pelo gateway Pagar.me (padrão PCI SAQ-A).
  • Histórico de cobranças: data, valor, método de pagamento, status, ID da transação para fins fiscais (retidos por 5 anos conforme legislação).
  • Notificações: registros de notificações em-app (consents, alertas de risco, etc).
  • Dados técnicos: logs de acesso, errors (sanitizados para remover PII) e métricas de uso para fins de auditoria e melhoria.

3. Base legal para o tratamento (LGPD Art. 7 e Art. 11)

Tratamos seus dados com base nas seguintes hipóteses legais:

  • Execução de contrato (Art. 7, V): conta, perfil, funcionalidades essenciais, dados de pagamento para assinaturas.
  • Cumprimento de obrigação legal (Art. 7, II): retenção de histórico de pagamentos por 5 anos (Receita Federal, SUSEP); registros fiscais.
  • Consentimento (Art. 7, I e Art. 11 §1º): publicação de relatórios comunitários, compartilhamento de localização, participação em conversas, notas de saúde, registro do seu histórico de vacinação humana e seu perfil de saúde (data de nascimento e sexo biológico, usados no calendário de vacinação), e o compartilhamento de vacinações em família — todos dados sensíveis tratados exclusivamente com base no seu consentimento específico (Art. 11 §1º). O consentimento pode ser revogado a qualquer momento, com a consequente eliminação dos dados correspondentes.
  • Legítimo interesse (Art. 7, IX): logs de segurança e auditoria necessários para proteger a integridade da plataforma e dos demais usuários.

4. Compartilhamento com terceiros (sub-operadores)

Não vendemos nem compartilhamos seus dados com fins publicitários. Utilizamos os seguintes serviços de infraestrutura e processamento, todos com contratos LGPD aplicáveis (Art. 39):

  • Google Firebase / Firestore (Google LLC, EUA) — armazenamento de dados, autenticação, hospedagem de arquivos. Política: firebase.google.com/support/privacy
  • Google Gemini AI (Google LLC, EUA) — assistente de saúde preventiva (Íris). Os dados enviados (perfil, pets, contexto) são usados exclusivamente para gerar a resposta solicitada e NÃO são retidos para treinamento de modelos. Política: ai.google.dev/gemini-api/terms
  • Pagar.me (Pagar.me Pagamentos S.A., Brasil) — gateway de pagamento. Processa CPF, telefone, endereço, dados de cartão (PAN tokenizado). Recebe dados de cobrança para emissão de boletos e processamento de pagamentos. Política: pagar.me/seguranca
  • Microsoft Graph API (Microsoft Corporation, EUA) — envio de e-mails transacionais (recibos, confirmações, alertas) a partir do domínio vivasaudeunica.com.br. Processa apenas seu e-mail e o conteúdo da mensagem. Política: privacy.microsoft.com
  • Sentry (Functional Software Inc., EUA) — monitoramento de erros e performance. Recebe apenas relatórios de erros com PII sanitizada (UIDs hasheados, e-mails/CPF/healthNotes removidos). Política: sentry.io/privacy
  • GitLab Observability (GitLab Inc., EUA) — logs estruturados, métricas e traces (OpenTelemetry). Recebe apenas dados técnicos com PII removida (UIDs hasheados). Política: about.gitlab.com/privacy
  • Upstash Redis (Upstash Inc., EUA) — cache de dados temporários e controle de taxa (rate limit). Não armazena dados pessoais persistentes. Política: upstash.com/trust/privacy.pdf
  • Vercel (Vercel Inc., EUA) — hospedagem e execução da aplicação web. Política: vercel.com/legal/privacy-policy
  • BirdID / Soluti (Soluti Certificação Digital S.A., Brasil) — provedor de certificado digital ICP-Brasil para assinatura eletrônica qualificada de receituários veterinários emitidos pelo Módulo Clínica. Ativo somente quando o recurso de receituário digital estiver habilitado para a clínica (flag C-23 ligada). Processa apenas os dados do médico-veterinário responsável pela assinatura (nome, número de CRMV, CPF, e-mail vinculado ao certificado). Os dados do paciente-animal e do tutor não são transmitidos ao provedor de certificação. Política: birdid.com.br/privacidade
  • Infraestrutura de telemedicina veterinária (LiveKit — self-hosted) — quando o recurso de teleconsulta estiver habilitado (flag C-24 ligada), as sessões de vídeo são conduzidas em infraestrutura própria da VIVA, hospedada no Google Cloud Platform, região São Paulo (southamerica-east1). Não há subprocessador externo de vídeo; os dados da sessão permanecem em território brasileiro e não são gravados na versão inicial. O áudio/vídeo é transmitido exclusivamente ponto-a-ponto entre clínica e tutor e não é retido após o encerramento da consulta.

Transferência internacional: alguns sub-operadores estão sediados nos Estados Unidos. As transferências ocorrem com base nas cláusulas-padrão de proteção de dados aprovadas pela ANPD (LGPD Art. 33 II) ou em programas equivalentes de adequação.

5. Retenção de dados

Tipo de dadoPeríodo de retençãoBase legal
Perfil, pets (incl. vacinações dos pets), ambienteEnquanto a conta estiver ativa. Excluídos em até 48h após exclusão da conta.Execução de contrato
Dados de saúde sensíveis: notas de saúde, histórico de vacinação humana próprio, perfil de saúde (data de nascimento e sexo biológico)Enquanto houver consentimento ativo. Apagados na revogação do consentimento ou em até 48h após exclusão da conta.Consentimento (Art. 11 §1º)
Mensagens (chat)Enquanto a conta estiver ativa. Excluídas pelo usuário ou após cancelamento são removidas em até 365 dias.Execução de contrato
Histórico de cobranças / payment_events5 anos após a cobrança, conforme legislação fiscal. Após exclusão da conta, dados são pseudonimizados (identificadores removidos) e mantidos para esse prazo.Obrigação legal (Receita Federal, SUSEP)
Relatórios comunitáriosEnquanto a conta estiver ativa. Excluídos com a conta.Consentimento
Localização em tempo realDado de sessão — não armazenado permanentemente.Consentimento
Logs técnicos / ai_logs (sem PII)12 meses após a interação, descartados automaticamente.Legítimo interesse
Logs de auditoria administrativa18 meses após o evento, descartados automaticamente.Legítimo interesse + auditoria
Sessões da assistente Íris (aiSessions)7 dias (plano Free) ou 90 dias (Pro/Família), após o que são removidas automaticamente.Execução de contrato
Conta inativa (sem login)Após 24 meses de inatividade, enviamos aviso por e-mail. Sem reativação em 6 meses, a conta é eliminada.Legítimo interesse + LGPD Art. 16
Receituário veterinário digital (Módulo Clínica — quando ativado)5 anos contados da data de emissão da receita, atendendo ao piso de guarda do prontuário veterinário (CFMV Resolução 1.321/2020). A data de emissão (issuedAt) é adotada como âncora conservadora da retenção. Eliminação automática por rotina agendada ao vencimento; cópia para o tutor disponível antes da exclusão mediante solicitação ao DPO.Obrigação legal (CFMV 1.321/2020) + execução de contrato

6. Seus direitos (LGPD Art. 18)

Como titular dos dados, você tem direito a:

  • Confirmação e acesso: saber se tratamos seus dados e obter uma cópia.
  • Correção: atualizar dados incompletos, inexatos ou desatualizados nas configurações do perfil.
  • Portabilidade: exportar todos os seus dados em formato JSON pelo botão “Exportar dados” na página de perfil.
  • Eliminação: excluir sua conta e todos os dados associados pelo botão “Excluir conta” na página de perfil. Dados financeiros são pseudonimizados (não eliminados) por obrigação fiscal.
  • Revogação do consentimento: você pode revogar o consentimento a qualquer momento, o que implicará na exclusão da conta.
  • Informação sobre compartilhamento: obter informações sobre com quem compartilhamos seus dados (veja a seção 4 acima).
  • Oposição ao tratamento: opor-se ao tratamento de dados com base em legítimo interesse.

Para exercer qualquer um desses direitos, entre em contato com nosso DPO pelo e-mail contato@vivasaudeunica.com.br. Responderemos em até 15 dias corridos, conforme prazo da LGPD.

7. Segurança

Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados contra acesso não autorizado, perda acidental ou destruição, incluindo:

  • Criptografia das mensagens em repouso (AES-256-GCM) — LGPD Art. 46.
  • Criptografia em trânsito (TLS 1.3) em todas as comunicações.
  • Tokenização de cartões de pagamento (padrão PCI SAQ-A) — número do cartão jamais toca nossos servidores.
  • Autenticação via Firebase com tokens JWT verificados server-side em todas as requisições.
  • Controle de acesso baseado em funções (usuário, admin, owner) com auditoria de operações privilegiadas.
  • Comunicação exclusivamente via HTTPS com HSTS (max-age 2 anos + preload).
  • Content Security Policy (CSP) rigorosa contra injeção de código.
  • Sanitização de PII (CPF, telefone, e-mail, notas de saúde) em logs e telemetria.

8. Cookies e tecnologias similares

Utilizamos apenas tecnologias estritamente necessárias para manter a sessão autenticada (token Firebase em IndexedDB) e armazenar preferências locais (idioma, tema). Não utilizamos cookies de rastreamento, publicidade ou analytics de terceiros.

9. Alterações nesta política

Esta Política pode ser atualizada periodicamente para refletir novas funcionalidades, alterações regulatórias ou decisões de governança de dados. A versão atual e sua data de vigência estão indicadas no cabeçalho desta página.

Como notificamos você sobre mudanças:

  • Notificação por e-mail (Art. 8 §6): em caso de alterações materiais — mudança de base legal, introdução de novo tipo de dado pessoal, novo compartilhamento com terceiros ou ampliação de finalidade — você será notificado por e-mail no endereço cadastrado antes da entrada em vigor da mudança.
  • Consentimento granular contextualizado: para funcionalidades que envolvam dados sensíveis (Art. 11) ou tratamento novo baseado em consentimento, o aceite será solicitado de forma específica e destacada no momento em que você acessar ou ativar a funcionalidade correspondente (padrão adotado: modais de consentimento contextuais, como o que exige aceite ao registrar vacinação humana ou ao adicionar notas de saúde). Esse consentimento é granular, ligado à finalidade, e pode ser revogado de forma independente.
  • Re-aceite global in-app: um mecanismo de reaceitação da Política por banner dentro da plataforma será implementado quando o volume ou a frequência de mudanças materiais justificar essa camada adicional de confirmação, a critério do DPO. Enquanto esse mecanismo não estiver disponível, a notificação por e-mail e o consentimento contextual são as formas primárias de comunicação de mudanças relevantes.

Alterações que apenas esclareçam ou detalhem tratamentos já informados, sem alterar base legal ou introduzir novo dado, poderão ser publicadas sem notificação prévia — nesse caso, a data de vigência no cabeçalho é atualizada.

10. Contato

Para dúvidas, solicitações ou reclamações relacionadas à privacidade dos seus dados, entre em contato com nosso Encarregado de Proteção de Dados:

Gustavo Henrique Costa e Silva
contato@vivasaudeunica.com.br

Você também pode registrar uma reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.

11. Crianças e adolescentes (LGPD Art. 14)

A VIVA Saúde Única é destinada a maiores de 18 anos. Ao criar uma conta, você declara ter idade suficiente para consentir com o tratamento dos seus dados pessoais.

Caso identifique-se que a conta pertence a um menor de idade sem consentimento dos pais ou responsáveis legais, a conta será suspensa e os dados eliminados. Pais/responsáveis podem solicitar a eliminação pelo e-mail do DPO.

12. Resposta a incidentes de segurança (LGPD Art. 48)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comprometemo-nos a:

  • Comunicar à ANPD em até 72 horas a partir do conhecimento.
  • Comunicar aos titulares afetados em prazo razoável (geralmente até 7 dias), informando: natureza dos dados afetados, riscos, medidas adotadas e canal de contato.
  • Adotar medidas de mitigação e correção do incidente.

O plano de resposta a incidentes está documentado internamente e é revisado periodicamente.

13. Módulo Clínica — VIVA como sub-operadora (B2B)

Quando uma clínica ou hospital veterinário contrata o Módulo Clínica da plataforma VIVA, os papéis de proteção de dados são distribuídos da seguinte forma:

  • Clínica/Hospital Veterinário — Controladora dos dados do prontuário: a clínica é a responsável principal pelo tratamento dos dados do paciente-animal e do tutor no contexto do atendimento clínico. Ela define as finalidades, os prazos de guarda e as bases legais aplicáveis à sua atividade profissional regulamentada (CFMV Resolução 1.321/2020 e normativas MAPA).
  • VIVA Saúde Única — Sub-operadora: a VIVA processa os dados do prontuário digital exclusivamente sob instrução da clínica, com base em Acordo de Processamento de Dados (DPA) firmado entre as partes (LGPD Art. 37 e 39). A VIVA não utiliza esses dados para finalidades próprias nem os compartilha com terceiros além dos sub-operadores de infraestrutura listados na Seção 4.

Dados do prontuário veterinário digital incluem: espécie, raça, nome e histórico clínico do animal; identificação do tutor (nome, contato); registros de consultas, exames e prescrições. Embora se trate de dados do animal, o prontuário está associado ao tutor como titular humano identificável — portanto, é tratado como dado pessoal do tutor, com sensibilidade elevada, sujeito a criptografia em repouso e controles de acesso restritos por Regras do Firestore.

Base legal aplicável (no contexto VIVA × clínica): execução de contrato entre a VIVA e a clínica (Art. 7 V) e ato profissional regulamentado do médico-veterinário (Art. 7 VI). Os dados de saúde animal do prontuário não são dados sensíveis nos termos do Art. 11 da LGPD (que se refere exclusivamente à saúde humana); contudo, são tratados com o mesmo rigor técnico por serem dados pessoais do tutor com elevada expectativa de privacidade.

Direitos do tutor: o tutor pode solicitar acesso, correção ou eliminação dos dados do prontuário diretamente à clínica (Controladora) ou, subsidiariamente, ao DPO da VIVA, que encaminhará a solicitação à clínica responsável no prazo de 5 dias úteis.

O Módulo Clínica é habilitado por contrato B2B. Esta seção aplica-se somente a usuários de clínicas parceiras credenciadas.

14. Decisão automatizada — fila de espera e no-show (LGPD Art. 20)

Quando o recurso de fila de espera inteligente (C-04) estiver habilitado para uma clínica parceira, a plataforma poderá utilizar processamento automatizado para ordenar os pacientes na fila de atendimento e identificar padrões de não-comparecimento (no-show).

Como funciona: o ranking de posição na fila considera o histórico de comparecimentos anteriores do tutor, o horário de agendamento e, opcionalmente, critérios de urgência definidos pela clínica. Nenhum dado de saúde, raça, gênero ou qualquer característica protegida é utilizado como fator de ranqueamento.

Base legal (dupla): o tratamento se apoia em duas hipóteses combinadas. (i) Legítimo interesse da clínica em otimizar o fluxo de atendimento (Art. 7 IX), balanceado pelo interesse do tutor em ser atendido tempestivamente, no que se refere ao uso do histórico de agendamento e comparecimento; esse Legítimo Interesse foi documentado internamente (LIA — Legitimate Interest Assessment) e está disponível mediante solicitação ao DPO. (ii) Execução do contrato entre a VIVA e a clínica e do atendimento contratado pelo tutor (Art. 7 V), que ampara a operação da fila enquanto vetor diretamente vinculado à prestação do serviço de agendamento clínico. A base dupla assegura que, quando o processamento tocar dado vinculado ao atendimento, ele permaneça lastreado na execução do contrato, e não apenas no legítimo interesse.

Seus direitos (Art. 20):

  • Opt-out (FIFO): você pode solicitar que sua posição na fila passe a ser determinada exclusivamente pela ordem de chegada (FIFO — primeiro a chegar, primeiro a ser atendido), sem uso de histórico de comparecimento. Basta solicitar à clínica ou ao DPO da VIVA.
  • Revisão humana: caso discorde de uma decisão automatizada que o afete (por exemplo, reclassificação de prioridade por histórico de no-show), você pode solicitar revisão por um funcionário da clínica. A VIVA fornecerá os dados utilizados no processamento mediante pedido ao DPO.

Este recurso está desabilitado por padrão e será ativado somente em clínicas que o contratarem explicitamente. Esta seção entrará em vigor para o tutor somente quando o recurso estiver ativo na clínica onde ele agenda atendimentos.