MedScribes.AI MedScribes.AI Criar Conta
Documento Legal

Política de Privacidade

Última atualização: 10 de abril de 2026

A BF Holding Capital Ltda. ("BF Holding", "nós", "nosso"), inscrita no CNPJ sob o n.º 49.649.876/0001-52 (bfholding.capital), operadora da plataforma MedScribes.AI ("Plataforma"), tem o compromisso de proteger a privacidade e os dados pessoais de seus Usuários e dos pacientes cujos dados são processados na Plataforma.

Esta Política de Privacidade ("Política") descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei n.º 13.709/2018 — LGPD), o Marco Civil da Internet (Lei n.º 12.965/2014), a Resolução CFM n.º 2.314/2022 (telemedicina) e demais normas aplicáveis.

1. Agentes de Tratamento

Para fins da LGPD:

  • Controlador dos dados dos Usuários (médicos/profissionais): BF Holding Capital Ltda.
  • Controlador dos dados dos pacientes: o profissional de saúde (Usuário) que insere os dados na Plataforma. A BF Holding atua como Operadora desses dados, processando-os exclusivamente conforme as instruções do Controlador (Usuário) e para a finalidade de prestação dos serviços.

2. Dados que Coletamos

2.1. Dados dos Usuários (profissionais de saúde)

Categoria Dados Finalidade Base Legal (LGPD)
Cadastro Nome completo, e-mail, telefone, senha (hash), especialidade, CRM/registro profissional, UF Identificação, autenticação, verificação profissional Art. 7º, V — Execução de contrato
Perfil Foto de perfil, bio Personalização da experiência Art. 7º, I — Consentimento
Uso Logs de acesso, IP, user-agent, ações na plataforma, créditos consumidos Segurança, auditoria, melhoria do serviço Art. 7º, IX — Legítimo interesse
Pagamento Dados de cobrança (quando aplicável, processados por terceiros como Stripe) Faturamento e cobrança Art. 7º, V — Execução de contrato

2.2. Dados dos Pacientes (inseridos pelo Usuário)

Categoria Dados Finalidade Base Legal (LGPD)
Identificação Nome, CPF, telefone, e-mail, data de nascimento, sexo Identificação do paciente no prontuário Art. 7º, V e Art. 11, II, f — Tutela da saúde
Dados de Saúde (sensíveis) Áudios de consulta, transcrições, diagnósticos, medicações, exames laboratoriais, alergias, tipo sanguíneo, peso, altura, histórico clínico, relatórios da IA Processamento clínico por IA, geração de relatórios, prontuário Art. 11, II, f — Tutela da saúde em procedimento realizado por profissional de saúde
Artefatos Prescrições, pedidos de exame, encaminhamentos Documentação clínica Art. 11, II, f — Tutela da saúde

Nota sobre dados sensíveis: Os dados de saúde dos pacientes são classificados como dados pessoais sensíveis nos termos do art. 5º, II da LGPD. Seu tratamento é realizado com base na tutela da saúde (art. 11, II, f), exclusivamente em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária. O consentimento do paciente para a coleta deve ser obtido pelo Usuário (médico), que é o Controlador desses dados.

3. Como Utilizamos os Dados

  • Prestação dos serviços: processamento de áudio, transcrição, análise clínica por IA, geração de relatórios e artefatos, manutenção do prontuário;
  • Autenticação e segurança: login, controle de sessão, prevenção de fraude, rate limiting;
  • Auditoria: registro de ações na Plataforma para fins de rastreabilidade e conformidade;
  • Comunicação: notificações sobre o serviço, atualizações, alertas de segurança;
  • Melhoria do serviço: análise de uso agregada e anônima para otimização da Plataforma;
  • Cumprimento de obrigações legais: atendimento a determinações judiciais, administrativas ou regulatórias.

Importante: Não utilizamos os dados clínicos dos pacientes para treinamento de modelos de IA, publicidade, perfilamento comportamental ou qualquer finalidade alheia à prestação dos serviços contratados pelo Usuário.

4. Compartilhamento de Dados

Os dados pessoais poderão ser compartilhados nas seguintes hipóteses:

Destinatário Finalidade Dados Compartilhados
Provedores de infraestrutura (cloud) Hospedagem e armazenamento seguro Todos os dados (criptografados)
Provedores de IA Processamento de linguagem natural, transcrição, análise clínica Dados clínicos necessários ao processamento
Gateway de pagamento (Stripe) Processamento de pagamentos Dados de cobrança (quando aplicável)
Verificação pública de documentos Permitir que pacientes e farmácias verifiquem a autenticidade de prescrições, pedidos e encaminhamentos Dados do artefato (nome do paciente, médico, data, conteúdo)
Autoridades públicas Cumprimento de obrigação legal ou determinação judicial Conforme exigido por lei

Não vendemos, alugamos ou comercializamos dados pessoais a terceiros.

5. Armazenamento e Segurança

5.1. Os dados são armazenados em servidores com as seguintes medidas de segurança:

  • Criptografia em trânsito (TLS/HTTPS);
  • Criptografia em repouso no banco de dados;
  • Hash de senhas com bcrypt (12 rounds);
  • Sessões autenticadas com cookie assinado (HttpOnly, SameSite) e expiração de 8 horas;
  • Proteção contra CSRF (double-submit cookie);
  • Rate limiting para prevenção de ataques de força bruta;
  • Logs de auditoria imutáveis para rastreabilidade;
  • Controle de acesso baseado em papéis (RBAC).

5.2. Apesar de adotarmos medidas técnicas e organizacionais adequadas, nenhum sistema é 100% seguro. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados nos termos do art. 48 da LGPD.

6. Retenção de Dados

Tipo de Dado Período de Retenção Fundamentação
Dados cadastrais do Usuário Enquanto a conta estiver ativa + 5 anos após o cancelamento Art. 16, I da LGPD — cumprimento de obrigação legal; prescrição civil
Dados clínicos de pacientes (prontuário) Mínimo de 20 anos após o último registro Resolução CFM n.º 1.821/2007 — prazo mínimo de guarda do prontuário médico
Logs de auditoria 5 anos Marco Civil da Internet (art. 15) e boas práticas de segurança
Dados de pagamento 5 anos após a transação Código Tributário Nacional e legislação fiscal

7. Direitos dos Titulares

Nos termos dos arts. 17 a 22 da LGPD, os titulares de dados pessoais têm os seguintes direitos:

  • Confirmação e acesso: confirmar a existência de tratamento e obter acesso aos dados;
  • Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade: solicitar a portabilidade dos dados a outro fornecedor, mediante regulamentação da ANPD;
  • Eliminação: solicitar a eliminação dos dados tratados com base em consentimento, ressalvadas as hipóteses de retenção obrigatória;
  • Informação: ser informado sobre as entidades públicas e privadas com as quais houve compartilhamento;
  • Revogação do consentimento: revogar o consentimento a qualquer tempo, sem afetar a licitude do tratamento anterior;
  • Oposição: opor-se ao tratamento realizado com base em hipótese diferente do consentimento, caso haja descumprimento da LGPD.

Para dados de pacientes: os direitos acima podem ser exercidos pelo paciente diretamente junto ao profissional de saúde (Controlador). O Usuário é responsável por atender às solicitações dos seus pacientes e poderá utilizar as funcionalidades da Plataforma para esse fim.

Para exercer seus direitos: entre em contato pelo e-mail privacidade@bfholding.capital. Responderemos em até 15 (quinze) dias úteis, conforme previsto na LGPD.

8. Cookies e Tecnologias Similares

A Plataforma utiliza cookies estritamente necessários para:

  • Cookie de sessão (medscribes_session): autenticação do Usuário, com expiração de 8 horas;
  • Token CSRF: proteção contra ataques de falsificação de requisição.

Não utilizamos cookies de rastreamento, publicidade ou analytics de terceiros.

9. Transferência Internacional de Dados

Os dados poderão ser processados por provedores de infraestrutura e IA localizados fora do Brasil. Nesses casos, asseguramos que a transferência ocorra em conformidade com o art. 33 da LGPD, mediante:

  • Cláusulas contratuais padrão aprovadas pela ANPD;
  • Transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;
  • Garantias de que os dados serão tratados com nível de proteção equivalente ao exigido pela legislação brasileira.

10. Dados de Menores

A Plataforma não é destinada a menores de 18 anos como Usuários (profissionais de saúde). Dados de pacientes menores de idade poderão ser inseridos pelo profissional de saúde no contexto do atendimento clínico, sob responsabilidade do Controlador (Usuário), em conformidade com o art. 14 da LGPD e mediante consentimento específico do responsável legal, quando aplicável.

11. Encarregado de Proteção de Dados (DPO)

Nos termos do art. 41 da LGPD, o Encarregado de Proteção de Dados da BF Holding pode ser contatado por:

  • E-mail: privacidade@bfholding.capital
  • Responsável: BF Holding Capital Ltda.

O Encarregado é responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, bem como receber comunicações da ANPD.

12. Alterações nesta Política

Esta Política poderá ser atualizada periodicamente para refletir mudanças nas práticas de tratamento de dados, na legislação ou nos serviços oferecidos. Alterações relevantes serão comunicadas com antecedência mínima de 15 (quinze) dias por e-mail ou notificação na Plataforma.

13. Legislação Aplicável

Esta Política é regida pela legislação brasileira, em especial:

  • Lei n.º 13.709/2018 — Lei Geral de Proteção de Dados (LGPD);
  • Lei n.º 12.965/2014 — Marco Civil da Internet;
  • Lei n.º 8.078/1990 — Código de Defesa do Consumidor;
  • Resolução CFM n.º 1.821/2007 — Prontuário médico e guarda;
  • Resolução CFM n.º 2.217/2018 — Código de Ética Médica;
  • Resolução CFM n.º 2.314/2022 — Telemedicina.

14. Contato

Em caso de dúvidas sobre esta Política ou sobre o tratamento de seus dados pessoais:

  • E-mail geral: contato@bfholding.capital
  • E-mail do DPO: privacidade@bfholding.capital
  • Responsável: BF Holding Capital Ltda.
Voltar ao cadastro