1. Quem somos
O enxaqueca.app é operado pela MADEMED SOFTWARE LTDA, inscrita no CNPJ sob nº 57.213.090/0001-16 ("nós", "mademed"). Atuamos como controladora dos seus dados pessoais nos termos da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados, LGPD).
Encarregado pelo Tratamento de Dados Pessoais (DPO): Samuel Von Fruhauf (sam@mademed.com.br).
Em uma frase: a gente só coleta o que precisa pra você cuidar da sua cefaleia, nunca vende seus dados, nunca usa pra anúncio, e você pode exportar ou apagar tudo a qualquer hora.
2. Que dados a gente coleta
2.1 Dados que você fornece
- Cadastro e perfil: nome completo, e-mail, senha (armazenada apenas como hash), data de nascimento, sexo, cidade, perfil (paciente, médico ou pesquisador) e, se você quiser, foto/emoji de avatar.
- Histórico clínico (paciente): tempo de convivência com a cefaleia, frequência típica, diagnósticos anteriores, medicação em uso e histórico familiar.
- Diário de crises: data e duração, intensidade da dor (0–10), localização, características da dor, sintomas, gatilhos (incluindo gatilhos que você escreve), impacto no seu dia, humor antes/durante a crise, sintomas emocionais e observações em texto.
- Notas de voz: se você gravar um áudio durante uma crise, guardamos a gravação e a transcrição em texto dela.
- Medicações: remédios usados na crise (SOS) e medicação preventiva contínua — nome, dose, frequência, efeito e eventuais efeitos colaterais.
- Sono e procedimentos: horas de sono, noites com crise e procedimentos realizados (ex.: bloqueios, aplicações).
- Questionários validados: respostas e pontuações de instrumentos como MIDAS e HIT-6 (impacto/incapacidade por cefaleia) e, quando aplicados em estudos, PHQ-9 (rastreio de depressão) e GAD-7 (ansiedade). Estes últimos envolvem dados de saúde mental e recebem a mesma proteção reforçada.
- Profissionais de saúde: número de registro (CRM), UF, especialidades, dados do consultório (endereço, telefone) e foto do documento profissional, enviada apenas para verificação da sua identidade.
- Pesquisadores: instituição, currículo Lattes, função na pesquisa, número do CAAE (Plataforma Brasil) e documento institucional, para verificação.
- Endereço: CEP, rua, número, bairro, cidade e UF, usados para encontrar atendimento próximo na função SOS.
- Mensagens: conteúdo das conversas entre paciente e médico vinculados.
- Pagamentos: se você assinar um plano pago, os dados do cartão são tratados diretamente pela Stripe — nós não vemos nem guardamos o número do seu cartão. Guardamos apenas um identificador de cliente, o status e o tipo da assinatura.
2.2 Dados coletados automaticamente
- Técnicos: tipo de dispositivo, sistema operacional, idioma, fuso horário e endereço IP.
- Uso: telas acessadas, ações realizadas, datas e horários — apenas para entender padrões e melhorar o produto. Hoje a coleta de telemetria de produto está desativada; se um dia ativarmos uma ferramenta de análise (ex.: PostHog) ou de monitoramento de erros (ex.: Sentry), atualizaremos esta política e avisaremos antes.
- Localização (opcional): só se você ativar, e somente no momento em que aciona o SOS.
3. Por que a gente coleta (bases legais)
Dados de saúde são dados pessoais sensíveis (art. 5º, II) e só são tratados nas hipóteses do art. 11 da LGPD. Veja a base legal de cada finalidade:
| Finalidade | Base legal (LGPD) |
|---|---|
| Manter sua conta e prestar o serviço | Execução de contrato (art. 7º, V) |
| Registrar e analisar suas crises e seu histórico de saúde | Consentimento específico e destacado para dado sensível (art. 11, I) |
| Compartilhar dados com o médico que você vinculou | Consentimento específico (art. 11, I) e tutela da saúde (art. 11, II, "f") |
| Participação voluntária em estudos científicos (dados anonimizados) | Consentimento específico (art. 11, I), sempre revogável |
| Processar pagamentos de planos pagos | Execução de contrato (art. 7º, V) |
| Suporte, segurança e prevenção à fraude | Exercício regular de direitos / legítimo interesse (art. 7º, IX) |
| Cumprir obrigações legais, fiscais e regulatórias | Obrigação legal ou regulatória (art. 11, II, "a"; art. 7º, II) |
O consentimento para dados sensíveis é colhido de forma específica e em destaque, separado dos demais termos, e pode ser revogado a qualquer momento — a revogação não afeta os tratamentos já realizados de forma lícita.
4. Com quem a gente compartilha
A gente nunca vende seus dados e nunca os usa para anúncios. A LGPD (art. 11, §4º) também proíbe comunicar ou compartilhar dados de saúde com objetivo de vantagem econômica — e a gente não faz isso. Os únicos compartilhamentos são:
- Seu médico vinculado: só enxerga seus dados depois que você aceita o vínculo, e somente o que você liberar. Você pode cortar o vínculo a qualquer momento.
- Pesquisadores em estudo aprovado: apenas dados anonimizados e/ou agregados, e somente se você aceitar participar daquele estudo específico (ver seção 5).
- Operadores de infraestrutura que tratam dados em nosso nome, sob contrato, exclusivamente para operar a plataforma:
- Supabase — banco de dados, autenticação e armazenamento de arquivos;
- Vercel — hospedagem da aplicação e do site;
- Resend — envio de e-mails transacionais (confirmação, recuperação de senha, avisos);
- Stripe — processamento de pagamentos das assinaturas;
- Soniox — transcrição de notas de voz em texto, somente se esse recurso estiver ativo na sua conta.
- Autoridades: quando exigido por lei, ordem judicial, ou para proteger a vida e a integridade física de alguém.
5. Pesquisa científica
Doar dados para pesquisa é opcional e separado do uso normal do app. Quando você consente:
- Os dados usados em estudos são anonimizados (sem nome, e-mail ou identificadores) e/ou agregados, de modo que não seja possível identificar você.
- Toda pesquisa com participantes humanos hospedada na plataforma deve ter aprovação de um Comitê de Ética em Pesquisa (CEP) e, quando aplicável, da CONEP, com registro na Plataforma Brasil (número CAAE), conforme as Resoluções CNS nº 466/2012 e 510/2016.
- Os dados só podem ser usados para as finalidades previstas no protocolo e no Termo de Consentimento Livre e Esclarecido (TCLE) de cada estudo — nunca para outros fins.
- Você pode revogar a participação a qualquer momento, sem prejuízo.
Dados já anonimizados deixam de ser dados pessoais (art. 12) e podem ser mantidos para fins estatísticos e científicos.
6. Onde os dados ficam
Os dados são armazenados na infraestrutura do Supabase, com criptografia em trânsito (TLS) e em repouso. O acesso ao banco é controlado por Row Level Security: cada registro tem regra explícita de quem pode lê-lo, no nível do banco. Você nunca enxerga o que não é seu. Arquivos sensíveis (documentos profissionais e notas de voz) ficam em buckets privados, acessíveis só por URLs assinadas e temporárias.
Parte da infraestrutura pode estar localizada fora do Brasil. Nesse caso, a transferência internacional observa os requisitos dos arts. 33 a 36 da LGPD.
7. Por quanto tempo guardamos
- Conta ativa: enquanto você usar o app.
- Após pedido de exclusão: apagamos seus dados pessoais em até 30 dias, inclusive notas de voz e documentos enviados, exceto o que a lei nos obriga a reter.
- Registros fiscais e de pagamento: mantidos pelo prazo exigido pela legislação fiscal e tributária (em regra, 5 anos), mesmo após a exclusão da conta.
- Backups: retidos por até 90 dias e então sobrescritos.
- Dados anonimizados de pesquisa: podem ser mantidos indefinidamente — por já não identificarem você, deixam de ser dado pessoal.
8. Seus direitos (LGPD art. 18)
Você pode, a qualquer momento:
- Confirmar que tratamos seus dados e acessar uma cópia em formato legível;
- Corrigir dados incompletos, inexatos ou desatualizados;
- Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade;
- Portar seus dados a outro serviço;
- Eliminar dados tratados com base em consentimento;
- Revogar qualquer consentimento dado;
- Obter informação sobre com quem compartilhamos seus dados e sobre as consequências de não consentir;
- Opor-se a tratamentos que considere irregulares.
Para exercer qualquer direito, escreva para sam@mademed.com.br ou use a opção "Excluir minha conta" dentro do app. O exercício de direitos é gratuito. Respondemos a pedidos de confirmação e acesso em até 15 dias e aos demais no menor prazo possível, conforme a regulamentação da ANPD.
9. Segurança
- Senhas armazenadas apenas como hash com salt — nem nós conseguimos lê-las.
- Conexões sempre por HTTPS/TLS.
- Row Level Security no banco: separação por usuário no nível do SQL.
- Arquivos sensíveis em armazenamento privado, com acesso por URL assinada.
- Logs de auditoria das ações sensíveis e monitoramento de acessos anômalos.
10. Incidentes de segurança
Se ocorrer um incidente de segurança que possa acarretar risco ou dano relevante a você, comunicaremos a ANPD e os titulares afetados em prazo razoável, descrevendo o ocorrido e as medidas adotadas, conforme o art. 48 da LGPD.
11. Decisões automatizadas
A gente não toma decisões unicamente automatizadas que afetem seus interesses de forma jurídica ou relevante. As pontuações de questionários e os gráficos do app são apoio à informação — quem interpreta clinicamente é você e o seu médico.
12. Crianças e adolescentes
O enxaqueca.app é destinado a maiores de 18 anos. O uso por adolescente depende de consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, e o tratamento ocorre sempre no melhor interesse do menor, conforme o art. 14 da LGPD.
13. Cookies e tecnologias similares
O site usa apenas cookies essenciais ao funcionamento (sessão e preferências). Não usamos cookies de marketing nem rastreamento de terceiros sem o seu consentimento.
14. Mudanças nesta política
Quando atualizarmos esta política, avisaremos no app e/ou por e-mail antes de a nova versão entrar em vigor. A versão vigente é a publicada nesta página, com a data acima.
15. Como falar com a gente
Encarregado (DPO): Samuel Von Fruhauf · sam@mademed.com.br
Empresa: MADEMED SOFTWARE LTDA · CNPJ 57.213.090/0001-16
Você também pode reclamar à ANPD: gov.br/anpd.