SymmetraSymmetra

Política de Privacidade e Proteção de Dados

Última atualização: 5 de setembro de 2025 | Versão 2.0 | Conformidade LGPD Completa

Compromisso com a Privacidade

A Symmetra assume compromisso integral com a proteção da privacidade e dos dados pessoais de todos os usuários, implementando as mais rigorosas medidas técnicas, organizacionais e jurídicas em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e regulamentações internacionais aplicáveis.

1. IDENTIFICAÇÃO DO CONTROLADOR E OPERADOR

1.1 Controlador Principal

  • Razão Social: ANDERSON DA LUZ ASSESSORIA LTDA
  • Nome Fantasia: REGULARIZA AI
  • CNPJ: 50.067.208/0001-04
  • Endereço: Av. Paulista, 1000, Conjunto 101, Bela Vista - São Paulo/SP - CEP: 01310-100
  • Email Institucional: contato@symmetra.com.br
  • Telefone: +55 (11) 4000-0000

1.2 Encarregado de Proteção de Dados (DPO)

  • Nome: Dr. Anderson Fernandes da Luz
  • Qualificação: Advogado (OAB/SC 50.571)
  • Email Direto: dpo@symmetra.com.br
  • Telefone Exclusivo: +55 (11) 4000-0001
  • Horário de Atendimento: Segunda a sexta, 9h às 17h

1.3 Papel Dual: Controlador e Operador

A Symmetra atua em papel dual conforme LGPD:

  • CONTROLADOR: Para dados de usuários/clínicas (cadastro, assinatura, pagamento);
  • OPERADOR: Para dados de pacientes processados por clínicas usuárias.

2. CATEGORIAS DE DADOS PESSOAIS TRATADOS

2.1 Dados Pessoais de Usuários/Clínicas

Dados de Identificação

  • • Nome completo, CPF/CNPJ, RG/Inscrição Estadual
  • • Data de nascimento, nacionalidade, estado civil
  • • Registro profissional (CRM, CRO, CREF, etc.)
  • • Endereço residencial e comercial completo
  • • Telefones de contato (fixo, celular, WhatsApp)
  • • Endereços de email (principal e alternativos)

Dados Financeiros e Comerciais

  • • Informações de cartão de crédito (tokenizadas via Stripe)
  • • Histórico de transações e pagamentos
  • • Dados bancários para reembolsos
  • • Notas fiscais e comprovantes
  • • Informações de crédito e análise de risco

Dados de Navegação e Uso

  • • Endereço IP, localização geográfica
  • • Informações do dispositivo (modelo, SO, navegador)
  • • Logs de acesso e atividades na plataforma
  • • Cookies e tecnologias similares
  • • Métricas de uso e engajamento

2.2 Dados Pessoais Sensíveis de Pacientes

Dados Sensíveis (LGPD Art. 5º, II)

  • • Dados Biométricos: Imagens faciais, landmarks anatômicos, medições
  • • Dados de Saúde: Informações sobre condições estéticas e médicas
  • • Histórico Médico: Procedimentos realizados, tratamentos, evoluções
  • • Imagens Corporais: Fotografias para análise e documentação
  • • Informações Genéticas: Quando relevantes para análise facial

2.3 Dados Derivados e Processados

  • • Análises Computacionais: Métricas de simetria e proporções
  • • Relatórios Técnicos: Documentos gerados automaticamente
  • • Simulações de IA: Comparativos antes/depois gerados
  • • Metadados: Informações técnicas sobre processamento
  • • Dados Agregados: Estatísticas anonimizadas para pesquisa

3. FINALIDADES E BASES LEGAIS DO TRATAMENTO

3.1 Finalidades Principais

Para Dados de Usuários/Clínicas:

  • Prestação de Serviços: Operação da plataforma e funcionalidades (LGPD Art. 7º, V)
  • Execução Contratual: Cumprimento de obrigações contratuais (LGPD Art. 7º, V)
  • Processamento de Pagamentos: Cobrança e faturamento (LGPD Art. 7º, V)
  • Suporte Técnico: Atendimento e resolução de problemas (LGPD Art. 7º, VI)
  • Conformidade Legal: Atendimento a obrigações regulatórias (LGPD Art. 7º, II)
  • Legítimo Interesse: Segurança, prevenção de fraudes (LGPD Art. 7º, IX)

Para Dados Sensíveis de Pacientes:

  • Consentimento Específico: Autorização expressa para análise facial (LGPD Art. 11, I)
  • Tutela da Saúde: Procedimentos médicos/estéticos (LGPD Art. 11, II, a)
  • Interesse Legítimo: Pesquisa científica com anonimização (LGPD Art. 11, II, f)

3.2 Finalidades Secundárias

  • • Melhoria de Algoritmos: Aperfeiçoamento de IA com dados anonimizados
  • • Pesquisa e Desenvolvimento: Inovação em análise facial computacional
  • • Marketing Direcionado: Comunicações relevantes (com opt-in)
  • • Análise de Mercado: Inteligência comercial agregada
  • • Auditoria e Compliance: Verificação de conformidade regulatória

3.3 Documentação de Bases Legais

Todas as bases legais são documentadas em Registro de Atividades de Tratamento detalhado, disponível para consulta pela ANPD e titulares mediante solicitação formal.

4. COMPARTILHAMENTO E TRANSFERÊNCIA DE DADOS

4.1 Compartilhamento Interno

Dados são compartilhados internamente apenas com colaboradores autorizados mediante:

  • Need-to-Know Basis: Acesso restrito ao mínimo necessário
  • Controles de Acesso: Autenticação multifator obrigatória
  • Treinamento LGPD: Capacitação anual em proteção de dados
  • Acordos de Confidencialidade: NDAs específicos para cada função
  • Auditoria de Acesso: Logs detalhados de todas as operações

4.2 Compartilhamento com Terceiros

Prestadores de Serviços Essenciais

  • Stripe Inc.: Processamento de pagamentos (PCI DSS Level 1)
  • Amazon Web Services: Infraestrutura de nuvem (SOC 2 Type II)
  • SendGrid/Mailgun: Envio de emails transacionais
  • Zendesk: Sistema de atendimento ao cliente
  • Google Analytics: Métricas de uso (dados anonimizados)

Garantias: Todos os terceiros possuem DPAs (Data Processing Agreements) específicos e certificações de segurança adequadas.

4.3 Transferências Internacionais

Política de Localização de Dados:

  • • Dados pessoais sensíveis: EXCLUSIVAMENTE em território brasileiro
  • • Dados pessoais não sensíveis: Preferencialmente no Brasil
  • • Transferências excepcionais: Mediante adequação ANPD ou BCRs
  • • Monitoramento: Relatórios trimestrais de localização de dados

4.4 Compartilhamento por Determinação Legal

Dados podem ser compartilhados com autoridades mediante:

  • • Ordem judicial com fundamentação específica
  • • Requisição de autoridades sanitárias competentes
  • • Investigações criminais formalmente instauradas
  • • Processos administrativos de conselhos profissionais
  • • Notificação prévia ao titular sempre que legalmente possível

5. MEDIDAS DE SEGURANÇA E PROTEÇÃO TÉCNICA

5.1 Criptografia e Proteção de Dados

Especificações Técnicas de Segurança:

  • Criptografia em Trânsito: TLS 1.3 com HSTS e certificate pinning
  • Criptografia em Repouso: AES-256-GCM com rotação automática de chaves
  • Gerenciamento de Chaves: AWS KMS com HSM dedicado
  • Hashing de Senhas: Argon2id com salt único e pepper global
  • Tokenização: Dados de pagamento via Stripe Vault
  • Pseudonimização: Identificadores únicos para dados sensíveis

5.2 Controles de Acesso e Autenticação

  • Autenticação Multifator (MFA): Obrigatória para todos os usuários
  • Single Sign-On (SSO): Integração com provedores corporativos
  • RBAC (Role-Based Access Control): Permissões granulares por função
  • Zero Trust Architecture: Verificação contínua de identidade
  • Session Management: Timeout automático e controle de sessões concorrentes
  • Biometria: Autenticação facial opcional para acesso móvel

5.3 Monitoramento e Detecção

Sistemas de Segurança 24/7:

  • SIEM: Splunk Enterprise Security com correlação avançada
  • IDS/IPS: Detecção de intrusão em tempo real
  • DLP: Prevenção de vazamento de dados sensíveis
  • UEBA: Análise comportamental de usuários
  • SOC: Centro de operações 24x7 com SLA de 15 minutos
  • Threat Intelligence: Feeds de ameaças atualizados

5.4 Backup e Recuperação

  • Backup Incremental: A cada 4 horas com criptografia
  • Replicação Geográfica: 3 datacenters com sincronização
  • RPO (Recovery Point Objective): 4 horas máximo
  • RTO (Recovery Time Objective): 2 horas máximo
  • Testes de Recuperação: Mensais com documentação completa
  • Backup Imutável: Proteção contra ransomware

5.5 Testes e Validações de Segurança

  • Penetration Testing: Trimestral por empresas especializadas
  • Vulnerability Assessment: Scans automatizados semanais
  • Red Team Exercises: Simulações anuais de ataques
  • Code Review: Análise estática e dinâmica de código
  • Compliance Audits: Auditorias anuais por terceiros independentes

6. RETENÇÃO E ELIMINAÇÃO DE DADOS

6.1 Política de Retenção por Categoria

Dados de Usuários/Clínicas:

  • Dados Cadastrais: Durante vigência contratual + 5 anos (Marco Civil Art. 15)
  • Logs de Acesso: 6 meses para investigações (Marco Civil Art. 15)
  • Dados Financeiros: 5 anos após última transação (Código Civil Art. 206)
  • Comunicações: 2 anos para resolução de disputas
  • Métricas de Uso: 3 anos para análise estatística

Dados Sensíveis de Pacientes:

  • Imagens Faciais: Conforme consentimento específico (máximo 20 anos)
  • Dados Biométricos: Eliminação imediata após processamento
  • Relatórios Médicos: Conforme regulamentação CFM (mínimo 20 anos)
  • Dados Anonimizados: Retenção indefinida para pesquisa
  • Backups: Máximo 7 anos com eliminação segura

6.2 Processo de Eliminação Segura

Métodos de Eliminação Certificados:

  • Sobrescrita Criptográfica: Padrão NIST 800-88 Rev. 1
  • Destruição de Chaves: Invalidação imediata de criptografia
  • Wiping Físico: DOD 5220.22-M para mídias removíveis
  • Certificação: Atestados de destruição por terceiros
  • Auditoria: Logs imutáveis de todas as eliminações

6.3 Automatização e Governança

  • Data Lifecycle Management: Políticas automatizadas por categoria
  • Alertas de Vencimento: Notificações 30 dias antes da eliminação
  • Workflow de Aprovação: Processo formal para extensões
  • Relatórios de Conformidade: Dashboards executivos mensais
  • Revisão Anual: Atualização de políticas conforme evolução legal

7. DIREITOS DOS TITULARES DE DADOS

7.1 Direitos Fundamentais Garantidos (LGPD Art. 18)

Transparência

  • • Confirmação de Tratamento
  • • Acesso aos Dados
  • • Finalidades
  • • Compartilhamento

Controle

  • • Correção
  • • Eliminação
  • • Portabilidade
  • • Revogação de Consentimento

Proteção

  • • Oposição
  • • Revisão de Decisões Automatizadas
  • • Anonimização
  • • Informações sobre Segurança

Recurso

  • • Petição à ANPD
  • • Indenização
  • • Representação
  • • Recurso Judicial

7.2 Canal de Exercício de Direitos

Portal do Titular

  • • URL: privacy.symmetra.com.br
  • • Autoatendimento 24/7
  • • Autenticação: Login seguro obrigatório
  • • Resposta: Imediata para consultas

Email Dedicado

  • • Endereço: direitos@symmetra.com.br
  • • Criptografia: PGP disponível
  • • SLA: Resposta em 72 horas
  • • Idiomas: Português, Inglês, Espanhol

Telefone Direto

  • • Número: 0800-123-4567
  • • Custo: Ligação gratuita
  • • Horário: Segunda a sexta, 9h às 17h
  • • Gravação: Para qualidade e treinamento

Formulário Web

  • • Acesso: forms.symmetra.com.br/direitos
  • • Validação: Documento obrigatório
  • • Protocolo: Número de acompanhamento
  • • Status: Tracking em tempo real

7.3 Processo de Atendimento

  • 1. Recebimento: Solicitação registrada com protocolo único
  • 2. Validação: Verificação de identidade em 24 horas
  • 3. Análise: Avaliação técnica e jurídica da solicitação
  • 4. Execução: Implementação da solicitação procedente
  • 5. Comunicação: Resposta formal ao titular
  • 6. Acompanhamento: Verificação de satisfação

7.4 Prazos e Limitações

  • Prazo Padrão: 15 dias corridos conforme LGPD Art. 19
  • Prorrogação: Até 15 dias adicionais em casos complexos
  • Limitações Legais: Segredo comercial, proteção de terceiros
  • Custos: Gratuito; taxas apenas para solicitações manifestamente infundadas
  • Recurso: Escalação para DPO em caso de discordância

8. COOKIES E TECNOLOGIAS DE RASTREAMENTO

8.1 Tipos de Cookies Utilizados

Classificação Técnica Detalhada:

Cookies Estritamente Necessários (sem consentimento)
  • • session_id: Manutenção de sessão autenticada (httpOnly, secure)
  • • csrf_token: Proteção contra ataques CSRF (SameSite=Strict)
  • • load_balancer: Distribuição de carga entre servidores
  • • security_headers: Implementação de políticas de segurança
Cookies de Funcionalidade (consentimento implícito)
  • • user_preferences: Configurações de interface e idioma
  • • theme_selection: Tema claro/escuro selecionado
  • • accessibility: Configurações de acessibilidade
  • • timezone: Fuso horário para exibição de datas
Cookies Analíticos (consentimento explícito)
  • • _ga, _gid: Google Analytics (dados anonimizados)
  • • _fbp: Facebook Pixel (marketing autorizado)
  • • hotjar_session: Hotjar para UX research
  • • mixpanel_distinct: Análise de comportamento

8.2 Gestão de Consentimento

Implementamos Consent Management Platform (CMP) certificada IAB TCF v2.0:

  • Granularidade: Consentimento específico por finalidade
  • Withdraw: Revogação simples a qualquer momento
  • Demonstração: Proof of consent com timestamp
  • Atualização: Re-consent automático para mudanças materiais
  • Integração: API com todos os sistemas de marketing

8.3 Tecnologias Alternativas

  • Local Storage: Armazenamento local para dados não sensíveis
  • Session Storage: Dados temporários da sessão atual
  • Web Beacons: Pixels 1x1 para tracking de emails
  • Fingerprinting: NÃO utilizado em conformidade com LGPD
  • Server-side Tracking: Alternativa privacy-first implementada

8.4 Controles do Usuário

Central de Privacidade: privacy.symmetra.com.br/cookies

  • • Visualização de todos os cookies ativos
  • • Controle granular por categoria
  • • Histórico de consentimentos
  • • Exportação de configurações
  • • Limpeza automática de dados

9. INCIDENTES DE SEGURANÇA E NOTIFICAÇÃO

9.1 Definição de Incidente de Segurança

Considera-se incidente qualquer evento que comprometa:

  • Confidencialidade: Acesso não autorizado a dados pessoais
  • Integridade: Modificação indevida de informações
  • Disponibilidade: Impedimento de acesso legítimo aos dados
  • Autenticidade: Comprometimento de identidades ou certificados

9.2 Processo de Resposta a Incidentes

Plano de Resposta Certificado ISO 27035:

Fase 1: Detecção e Análise (0-2 horas)
  • • Acionamento automático do SOC (Security Operations Center)
  • • Classificação inicial de severidade (Baixa/Média/Alta/Crítica)
  • • Isolamento preventivo de sistemas afetados
  • • Ativação do Comitê de Crise
Fase 2: Contenção e Erradicação (2-8 horas)
  • • Implementação de medidas de contenção
  • • Preservação de evidências forenses
  • • Identificação da causa raiz
  • • Remoção de ameaças persistentes
Fase 3: Recuperação e Monitoramento (8-24 horas)
  • • Restauração segura de sistemas
  • • Validação de integridade de dados
  • • Monitoramento intensivo por 72 horas
  • • Atualização de controles de segurança

9.3 Notificação à ANPD

Conforme LGPD Art. 48, notificaremos a ANPD em até 72 horas quando:

  • • Incidente apresentar risco relevante aos direitos dos titulares
  • • Dados sensíveis estiverem envolvidos
  • • Volume significativo de dados for comprometido (>1000 titulares)
  • • Houver possibilidade de danos materiais ou morais

9.4 Comunicação aos Titulares

Transparência e Comunicação Clara

Titulares são notificados quando o incidente puder gerar risco relevante, incluindo:

  • Descrição: Natureza e causa do incidente
  • Categorias: Tipos de dados pessoais afetados
  • Consequências: Possíveis impactos e riscos
  • Medidas: Ações adotadas para mitigação
  • Contato: Canal direto para esclarecimentos
  • Recomendações: Passos que o titular deve adotar

9.5 Lições Aprendidas e Melhoria Contínua

  • Post-Mortem: Análise detalhada de cada incidente
  • Documentação: Registro completo para auditoria
  • Treinamento: Capacitação baseada em casos reais
  • Atualizações: Melhoria de controles e processos
  • Testes: Simulações regulares de incidentes

10. CONFORMIDADE REGULATÓRIA E CERTIFICAÇÕES

10.1 Certificações de Segurança

Certificações Ativas:

  • ISO 27001:2013: Sistema de Gestão de Segurança da Informação
  • ISO 27701:2019: Extensão para Gestão de Privacidade
  • SOC 2 Type II: Controles de segurança auditados
  • PCI DSS Level 1: Segurança para dados de pagamento
  • HITRUST CSF: Framework específico para dados de saúde
  • CSA STAR: Cloud Security Alliance certification

10.2 Auditorias e Avaliações

  • Auditoria LGPD: Anual por escritório especializado
  • DPIA (Data Protection Impact Assessment): Para novos processamentos
  • Privacy by Design Assessment: Avaliação em desenvolvimento
  • Vendor Risk Assessment: Avaliação de fornecedores
  • Compliance Monitoring: Monitoramento contínuo automatizado

10.3 Treinamento e Conscientização

Programa de Capacitação Contínua:

  • Onboarding LGPD: 8 horas para novos colaboradores
  • Atualização Anual: 4 horas de reciclagem obrigatória
  • Treinamento Específico: Por área e nível de acesso
  • Simulações: Exercícios práticos mensais
  • Avaliação: Testes de conhecimento trimestrais
  • Certificação: LGPD Foundation para gestores

10.4 Governança de Privacidade

  • Comitê de Privacidade: Reuniões mensais executivas
  • Data Protection Officer (DPO): Dedicação exclusiva
  • Privacy Champions: Representantes por área
  • Políticas Internas: 15 políticas específicas
  • Métricas e KPIs: Dashboard executivo em tempo real

11. ALTERAÇÕES E ATUALIZAÇÕES

11.1 Processo de Atualização

Esta Política de Privacidade pode ser atualizada mediante:

  • Mudanças Legais: Novas regulamentações ou decisões judiciais
  • Evolução Tecnológica: Implementação de novas funcionalidades
  • Melhores Práticas: Adoção de padrões mais rigorosos
  • Feedback de Usuários: Sugestões de melhoria
  • Auditorias: Recomendações de conformidade

11.2 Notificação de Mudanças

Comunicação Multicanal:

  • Email Direto: Para mudanças materiais significativas
  • Push Notification: Alertas na plataforma
  • Banner Informativo: Destaque na tela principal
  • Newsletter: Resumo mensal de atualizações
  • API Webhook: Para integrações empresariais

11.3 Versionamento e Histórico

  • Controle de Versão: Numeração semântica (Major.Minor.Patch)
  • Changelog: Registro detalhado de todas as mudanças
  • Arquivo Histórico: Versões anteriores disponíveis por 5 anos
  • Comparativo Visual: Diff tool para visualizar alterações
  • Data de Vigência: Implementação gradual com período de transição

11.4 Aceite e Consentimento

  • Mudanças Menores: Continuidade de uso implica aceite
  • Mudanças Materiais: Consentimento explícito obrigatório
  • Opt-out: Cancelamento sem ônus para mudanças substanciais
  • Granularidade: Aceite específico por funcionalidade
  • Documentação: Registro de todos os consentimentos

12. CANAIS DE ATENDIMENTO E CONTATO

Encarregado de Dados (DPO)

  • Dr. Anderson Fernandes da Luz
  • Email: dpo@symmetra.com.br
  • Telefone: +55 (11) 4000-0001
  • Horário: Segunda a sexta, 9h às 17h
  • Endereço: Av. Paulista, 1000 - São Paulo/SP

Central de Privacidade

  • Email: privacidade@symmetra.com.br
  • Telefone: 0800-123-4567 (gratuito)
  • WhatsApp: +55 (11) 99999-9999
  • Portal: privacy.symmetra.com.br

Questões Jurídicas

  • Email: juridico@symmetra.com.br
  • Telefone: +55 (11) 4000-0002
  • Horário: Segunda a sexta, 9h às 18h
  • Protocolo: Sempre via email para rastreabilidade

Incidentes de Segurança

  • SOC 24/7
  • Email: security@symmetra.com.br
  • Telefone: +55 (11) 4000-0099 (24h)
  • Urgência: Resposta garantida em 30 minutos
  • PGP Key: Disponível para comunicação criptografada

Declaração de Conformidade

A Symmetra declara estar em total conformidade com a LGPD e regulamentações aplicáveis. Esta Política de Privacidade foi elaborada por especialistas em Direito Digital e revisada por auditores independentes. Estamos comprometidos com a proteção da privacidade e transparência no tratamento de dados pessoais, implementando as melhores práticas técnicas e organizacionais do mercado.