Política de Privacidade

Última atualização: 10/04/2026

1. Introdução

Esta Política de Privacidade descreve como a LifeTime Pesquisa Clínica Ltda. ("LifeTime", "nós"), inscrita no CNPJ sob nº a ser informado, com sede em São Paulo/SP, atuando como Controladora dos dados pessoais nela descritos, coleta, utiliza, armazena, compartilha e protege os dados pessoais dos usuários do LifeMatch Engine ("Serviço"), em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD") e demais normas aplicáveis.

Ao utilizar o Serviço, você declara estar ciente e de acordo com esta Política. Caso não concorde, recomendamos que não utilize o Serviço.

O Encarregado pelo Tratamento de Dados Pessoais (DPO) da LifeTime pode ser contactado através do e-mail: dpo@lifetimepc.com.br.

2. Dados Coletados

Coletamos e tratamos dois grupos distintos de dados pessoais:

2.1. Dados do Cliente (Empresa usuária do Serviço)

Razão social, nome fantasia e CNPJ;
Nome completo, CPF e cargo do representante/administrador;
E-mail corporativo e telefone de contato;
Endereço de cobrança;
Credenciais de acesso ao painel administrativo (usuário, hash de senha, 2FA/TOTP, códigos de recuperação);
Logs de acesso, endereço IP, user-agent, data e hora das ações administrativas (auditoria);
Dados de pagamento (processados por terceiros — não armazenamos dados de cartão).

2.2. Dados de Pacientes (processados via API)

Quando o Cliente integra seu site, widget ou CRM ao Serviço, os seguintes dados pessoais de pacientes são transmitidos e processados:

Dados de identificação: nome, idade, sexo, localização (estado/cidade);
Dados de contato: e-mail, telefone (quando fornecidos);
Dados clínicos sensíveis: condição clínica, subtipo, biomarcadores, estadiamento, linha de tratamento, medicações concomitantes, comorbidades, gestação, ECOG e respostas ao questionário;
Dados da sessão: ID de sessão, timestamps, resultados de matching, scores, critérios confirmados e pendentes.

Nestes casos, a LifeTime atua como Operador, processando os dados exclusivamente conforme instruções do Cliente (Controlador), conforme o DPA.

3. Finalidades e Bases Legais

O tratamento dos dados pessoais é realizado para as seguintes finalidades e fundamenta-se nas seguintes bases legais da LGPD (artigos 7º e 11):

Execução do contrato (art. 7º, V): prestar o Serviço contratado, processar o matching, gerar relatórios e disponibilizar o painel administrativo;
Cumprimento de obrigação legal (art. 7º, II): atender requisições de autoridades, obrigações fiscais e regulatórias;
Legítimo interesse (art. 7º, IX): garantir a segurança do Serviço, prevenir fraudes, realizar auditorias e melhorar a qualidade do matching;
Consentimento (art. 7º, I e art. 11, I): tratamento de dados clínicos sensíveis, que deve ser previamente obtido pelo Cliente junto ao paciente;
Tutela da saúde (art. 11, II, "f"): identificação de estudos clínicos compatíveis com a condição do paciente, em procedimento realizado por profissionais da área da saúde ou serviços de saúde.

4. Compartilhamento de Dados

Não comercializamos dados pessoais. O compartilhamento de dados ocorre exclusivamente com:

Sub-operadores autorizados (listados no DPA), incluindo:
- Amazon Web Services (AWS) — infraestrutura de hospedagem, banco de dados (PostgreSQL RDS, região sa-east-1) e armazenamento;
- ClinicalTrials.gov — base pública de estudos clínicos (não recebe dados de pacientes — apenas busca por condições/critérios);
- Provedor de e-mail transacional (SMTP) — envio de notificações administrativas;
- Ferramentas de monitoramento e logs — análise de desempenho e incidentes de segurança.
Autoridades competentes, mediante requisição legal, judicial ou para cumprir obrigações legais;
Integração com o CRM do Cliente via webhook, conforme configuração explícita do próprio Cliente.

5. Retenção de Dados

Os dados são retidos pelo tempo necessário para cumprir as finalidades descritas, respeitando prazos legais e regulatórios. Os períodos padrão são:

Sessões de matching e respostas de pacientes: 90 dias (configurável por empresa via painel administrativo);
Dados do Cliente e contas administrativas: enquanto durar o contrato, mais 5 anos após a rescisão (obrigações fiscais);
Logs de auditoria e segurança: 12 meses;
Logs de requisições HTTP: 30 dias;
Backups criptografados: 30 dias.

Após o decurso dos prazos, os dados são eliminados ou anonimizados por meio de jobs agendados e auditáveis.

6. Direitos do Titular

Nos termos do artigo 18 da LGPD, o titular dos dados pessoais tem direito a:

Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
Portabilidade dos dados a outro fornecedor;
Eliminação dos dados pessoais tratados com consentimento;
Informação sobre entidades públicas e privadas com as quais a LifeTime compartilhou os dados;
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências;
Revogação do consentimento.

Para exercer seus direitos, entre em contato com o DPO através do e-mail dpo@lifetimepc.com.br. A solicitação será atendida em até 15 dias corridos. Quando o titular for paciente e a LifeTime atuar como Operador, a solicitação será encaminhada ao Controlador (Cliente).

7. Segurança

A LifeTime adota medidas técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, perda, alteração ou divulgação indevida, incluindo:

Senhas administrativas armazenadas com hash PBKDF2-HMAC-SHA256;
Autenticação de dois fatores (2FA/TOTP) opcional para contas administrativas;
API keys armazenadas como hash SHA-256 — a chave original jamais é recuperável após criação;
Criptografia em trânsito via HTTPS/TLS 1.2+ em todos os endpoints;
Criptografia em repouso (at rest) no banco de dados AWS RDS;
Webhooks assinados com HMAC-SHA256;
Rate limiting por plano, proteção contra brute force e lockout automático de contas;
Cabeçalhos de segurança (HSTS, CSP, X-Frame-Options, XSS Protection);
Logs de auditoria de todas as ações administrativas;
Backups automatizados e criptografados.

8. Cookies

O Serviço utiliza cookies estritamente necessários para o funcionamento do painel administrativo, notadamente:

session_token — cookie de sessão HTTP-only e SameSite=strict, usado para autenticação;
csrf_token — cookie de proteção contra CSRF em formulários;
lifematch_lang e lifematch-theme — preferências de idioma e tema (armazenadas via localStorage, não cookies).

Não utilizamos cookies de rastreamento, analytics comportamental ou publicidade.

9. Transferência Internacional

Os dados são armazenados primariamente em servidores localizados no Brasil (AWS região sa-east-1). Eventuais transferências internacionais, quando necessárias a sub-operadores (por exemplo, serviços globais de monitoramento), são realizadas com garantias adequadas conforme o artigo 33 da LGPD, incluindo cláusulas contratuais padrão e avaliação do nível de proteção do país de destino.

10. Menores de 18 anos

O Serviço pode processar dados de pacientes menores de 18 anos exclusivamente quando a pesquisa clínica envolver essa faixa etária e mediante o consentimento específico, informado e destacado do responsável legal, conforme o artigo 14 da LGPD. É responsabilidade do Cliente (Controlador) garantir a obtenção do consentimento apropriado.

11. Alterações desta Política

Esta Política pode ser atualizada periodicamente para refletir melhorias no Serviço, alterações legais ou novas práticas de privacidade. Em caso de alterações materiais, notificaremos os usuários com antecedência mínima de 30 dias por e-mail ou através do painel administrativo. A data da última atualização é indicada no topo desta página.

12. Canal de Comunicação

Para exercer seus direitos, esclarecer dúvidas, registrar reclamações ou comunicar incidentes de segurança, entre em contato:

Encarregado de Dados (DPO): dpo@lifetimepc.com.br
Contato geral: contato@lifetimepc.com.br
Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd