InstitutoNova Medida

Atualizado em 9 de maio de 2026

Política de Privacidade

Esta política explica, de forma clara, como o Instituto Nova Medida trata seus dados pessoais — incluindo dados de saúde, considerados sensíveis pela LGPD. Leia com calma. Se algo não estiver claro, fale com a gente.

1. Quem somos e quem é o controlador

O Instituto Nova Medida é uma plataforma brasileira de telessaúde que oferece avaliação médica online, prescrição individualizada quando indicada e acompanhamento contínuo para pessoas com sobrepeso ou obesidade.

Para fins da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), o controlador dos seus dados é o Instituto Nova Medida Saúde Ltda., inscrito no CNPJ [a preencher], com sede em [endereço a preencher].

As médicas e os médicos parceiros que realizam suas consultas atuam como operadores de dados pessoais, na forma do art. 5º, VII, e 39 da LGPD: tratam seus dados conforme as instruções e a finalidade definidas pelo Instituto, sob aditivo contratual específico de operador. A responsabilidade técnica e ética (Resolução CFM nº 2.217/2018) e o sigilo médico permanecem integralmente da médica responsável pelo seu atendimento — a qualificação como operador é exclusivamente para fins da LGPD.

2. Dados que coletamos

Coletamos apenas o necessário para oferecer o serviço com segurança e qualidade. Categorizamos assim:

2.1. Dados que você nos fornece diretamente

  • Identificação: nome completo, telefone celular, e-mail, CPF, data de nascimento, sexo biológico, endereço de entrega.
  • Dados de saúde (sensíveis): peso, altura, medidas, histórico de comorbidades (diabetes, hipertensão, etc), histórico de tentativas anteriores de emagrecimento, exames laboratoriais, uso atual e prévio de medicamentos, alergias, gestação ou amamentação, hábitos alimentares e de sono.
  • Dados clínicos gerados na consulta: anamnese, hipóteses diagnósticas, prescrições, pedidos de exame, evolução do tratamento.
  • Dados de pagamento: tokenizados pelo provedor (Asaas). Nunca armazenamos número de cartão.

2.2. Dados que coletamos automaticamente

  • Dados de navegação: endereço IP, tipo de dispositivo, navegador, sistema operacional, páginas visitadas, tempo de permanência, origem do acesso (UTM e referrer).
  • Cookies e identificadores: ver seção 9.
  • Dados de comunicação: data, hora e status das mensagens trocadas pelo WhatsApp para fins de continuidade do atendimento. Não lemos rotineiramente o conteúdo das suas conversas com sua médica — apenas o necessário para qualidade e auditoria, como exige o CFM.

2.3. Dados que recebemos de terceiros

  • Plataforma de pagamento (Asaas): status de cobranças, eventuais inadimplências.
  • Plataforma de prescrição (Memed): confirmação de emissão e dispensação da receita.
  • Farmácia parceira: status do envio do medicamento manipulado.

3. Para que usamos seus dados (finalidades)

  • Prestar o serviço: agendar e realizar a consulta, emitir prescrição quando indicada, intermediar a entrega do medicamento, oferecer acompanhamento contínuo.
  • Acompanhamento clínico: registrar a evolução do tratamento, ajustar conduta, contatar você por WhatsApp para checagens periódicas.
  • Cumprir obrigações legais: guarda de prontuário (Resolução CFM nº 1.821/2007), emissão de notas fiscais, prevenção a fraudes.
  • Segurança e auditoria: investigar incidentes, evitar uso indevido da plataforma.
  • Comunicação: avisar sobre status de consulta, cobranças, alterações importantes no serviço, lembrar de exames e reconsultas.
  • Marketing (apenas com seu consentimento): envio de conteúdos educativos sobre emagrecimento e novidades da plataforma. Você pode descadastrar a qualquer momento.
  • Melhoria do produto: análises agregadas e anonimizadas para entender como nosso serviço pode ficar melhor.

4. Bases legais (LGPD)

A LGPD exige que toda coleta de dados pessoais tenha uma base legal que a autorize. As nossas são:

  • Execução de contrato (art. 7º, V) — para realizar a consulta, prescrever, intermediar entrega do medicamento e cobrar pelos serviços contratados.
  • Consentimento (art. 7º, I e art. 11, I) — para tratamento de dados sensíveis de saúde, comunicações de marketing e cookies não essenciais.
  • Tutela da saúde (art. 11, II, "f") — para o exercício da medicina pela profissional de saúde responsável pelo seu atendimento.
  • Cumprimento de obrigação legal (art. 7º, II) — para guarda de prontuário, contabilidade e atendimento a requisições de autoridades.
  • Legítimo interesse (art. 7º, IX) — para segurança da plataforma, prevenção a fraudes e melhorias agregadas, sempre com proporcionalidade e respeito aos seus direitos.

5. Com quem compartilhamos seus dados

Compartilhamos apenas o necessário, e apenas com quem precisa para que o serviço funcione:

  • Médicas e médicos parceiros (operadores · CRM válido): recebem seu histórico clínico para realizar a consulta. Sujeitos a sigilo médico (CFM 2.217/2018) e ao aditivo LGPD operador firmado com o Instituto.
  • Farmácia parceira (operador): recebe nome, endereço, telefone e a prescrição médica para preparar e enviar o medicamento manipulado.
  • Asaas — processamento de pagamentos (operador): recebe dados estritamente financeiros para emissão de cobrança. Não armazenamos número de cartão; o Asaas tokeniza com PCI-DSS.
  • Memed — prescrição digital (operador): recebe os dados necessários para emissão da receita com assinatura ICP-Brasil (CFM 2.299/2021).
  • Provedor de videoconsulta — LiveKit (operador): recebe seus dados de identificação para criar a sala. As gravações, quando autorizadas por você, ficam sob controle do Instituto e são criptografadas.
  • Supabase — banco de dados (operador): hospeda o banco com criptografia at-rest e RLS (Row-Level Security).
  • Vercel — hospedagem da aplicação (operador): executa a plataforma. Não persiste dados clínicos.
  • Meta WhatsApp Business API (operador): entrega das mensagens transacionais (lembretes, status). Conteúdo limitado ao mínimo necessário.
  • Cloudflare R2 — backup independente (operador): armazena snapshot diário criptografado para conformidade CFM 1.821 (20 anos) e LGPD Art. 46. Conteúdo cifrado client-side com chave que não é compartilhada com a Cloudflare.
  • Autoridades públicas: quando legalmente obrigados (decisão judicial, ofício de autoridade competente, requisição válida).

Todos os parceiros são previamente avaliados quanto à conformidade com a LGPD e estão vinculados por contrato a padrões mínimos de segurança.

6. Onde e por quanto tempo armazenamos

Seus dados são armazenados em servidores localizados no Brasil (região São Paulo) sempre que possível. Provedores específicos podem manter cópias em outras jurisdições com garantias adequadas — ver seção 11.

Prazos de retenção

  • Prontuário médico: mínimo de 20 anos a partir do último registro (Resolução CFM nº 1.821/2007). Após esse prazo, pode ser anonimizado para fins estatísticos.
  • Dados financeiros e fiscais: 5 anos após o término do contrato (art. 174 do CTN; art. 11 da Lei nº 8.218/1991).
  • Dados de navegação e logs de acesso: 6 meses (art. 15 do Marco Civil da Internet).
  • Comunicações de WhatsApp: 5 anos para fins de auditoria do atendimento.
  • Dados de marketing: até você descadastrar.

7. Como protegemos seus dados

Adotamos medidas técnicas e administrativas compatíveis com o porte do tratamento e a sensibilidade dos dados envolvidos:

  • Criptografia em trânsito (HTTPS/TLS 1.2+) em 100% das páginas e APIs.
  • Criptografia em repouso no banco de dados pelo provedor de infraestrutura.
  • Criptografia application-level (AES-256-GCM) de dados financeiros sensíveis das médicas (chaves PIX, dados bancários) — defesa em profundidade caso um snapshot do banco vaze.
  • Controle de acesso baseado em função (RLS) no banco — cada usuário acessa apenas o necessário.
  • Autenticação por magic-link (sem senha) com token de uso único.
  • Logs de auditoria imutáveis de acessos administrativos a dados sensíveis e de toda alteração de prontuário.
  • Backup independente diário em provedor distinto do banco principal, com criptografia client-side e teste periódico de restauração (CFM 1.821 + LGPD Art. 46).
  • Limite de idade técnico — a plataforma rejeita cadastro de menores de 18 anos no momento da entrada (LGPD Art. 14 e ECA).
  • Plano de resposta a incidentes — comunicaremos a ANPD e você, sem demora indevida, em caso de incidente que possa acarretar risco ou dano relevante (LGPD Art. 48).

8. Seus direitos como titular

A LGPD garante a você uma série de direitos sobre seus próprios dados. Você pode, a qualquer momento:

  • Confirmar a existência de tratamento dos seus dados.
  • Acessar os dados que mantemos sobre você.
  • Corrigir dados incompletos, inexatos ou desatualizados.
  • Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Solicitar a portabilidade dos seus dados a outro fornecedor.
  • Eliminar dados tratados com base no seu consentimento — ressalvadas as hipóteses de retenção obrigatória (item 6).
  • Saber com quem compartilhamos seus dados.
  • Revogar o consentimento a qualquer momento.
  • Opor-se a tratamento realizado com base em legítimo interesse.
  • Peticionar diretamente à ANPD (Autoridade Nacional de Proteção de Dados) caso entenda que seus direitos foram violados.

Para exercer qualquer um desses direitos, escreva para nosso Encarregado de Dados (item 13). Cumprimos os prazos do art. 19 da LGPD: confirmação de tratamento e acesso em formato simplificado imediatamente, e em formato completo no prazo de até 15 dias úteis contados do pedido.

Você pode também acompanhar e abrir solicitações pela sua área de paciente em /paciente, com histórico das requisições.

9. Cookies e tecnologias similares

Usamos cookies para fazer o site funcionar, lembrar suas preferências e medir o que precisa melhorar. São três categorias:

  • Essenciais: necessários para o site funcionar (sessão, segurança). Não exigem consentimento.
  • Funcionais: lembram preferências (idioma, último passo do quiz).
  • Analíticos: nos ajudam a entender como o site é usado, de forma agregada.

Você pode desabilitar cookies não essenciais nas configurações do seu navegador. Isso pode degradar a experiência mas não impede o uso do serviço.

10. Crianças e adolescentes

O Instituto Nova Medida é plataforma exclusivamente adulta: não atendemos menores de 18 anos. Os formulários de cadastro pedem data de nascimento e rejeitam tecnicamente qualquer idade inferior a 18 anos completos, em conformidade com os arts. 14 e 11 da LGPD e o art. 17 do ECA.

Se você é responsável legal e identificou um cadastro indevido de menor, escreva ao Encarregado (item 13) imediatamente para exclusão.

11. Transferência internacional de dados

Para operar a plataforma, o Instituto utiliza alguns provedores situados fora do Brasil:

  • Supabase (banco e armazenamento) — operação no Brasil (região São Paulo) sempre que possível, com cópias de redundância eventualmente em outros datacenters do provedor;
  • Vercel (hospedagem da aplicação) — região primária São Paulo (gru1) com edge global para conteúdo estático;
  • Meta WhatsApp Business API — infraestrutura global da Meta para entrega de mensagens;
  • LiveKit Cloud — sala de videoconsulta com servidores em múltiplas regiões;
  • Cloudflare R2 — armazenamento de backups criptografados client-side (a Cloudflare nunca tem acesso ao plaintext).

As transferências atendem ao art. 33 da LGPD por meio de cláusulas contratuais específicas (incluindo Cláusulas Padrão da ANPD quando aplicáveis) e do programa de governança dos provedores. Dados clínicos sensíveis (prontuário, prescrições, videoconsulta) permanecem prioritariamente em região brasileira.

12. Alterações nesta política

Esta política pode ser atualizada para refletir mudanças no serviço, na legislação ou nas nossas práticas de privacidade. Sempre que ocorrerem mudanças relevantes, avisaremos por e-mail e WhatsApp antes que entrem em vigor. A data da última atualização aparece no topo desta página.

13. Encarregado de Dados (DPO) e contato

Para qualquer dúvida, solicitação ou exercício de direitos: