1. Quem somos
O LabPort é uma plataforma de pré-atendimento laboratorial operada pela Belvy Tecnologia para a Saúde LTDA (nome fantasia: Belvy), que é a desenvolvedora e mantenedora do produto LabPort. Atuamos como operadores de dados pessoais em nome dos laboratórios de análises clínicas que contratam a plataforma (os controladores, conforme art. 5º, VI e VII da LGPD). Quando esta política menciona "LabPort", "nós" ou "nosso", refere-se à Belvy Tecnologia para a Saúde LTDA e ao laboratório parceiro no qual você está realizando o pré-atendimento.
Belvy Tecnologia para a Saúde LTDA
CNPJ: 57.958.081/0001-54
Endereço: Av. Paulista, 1106, Sala 01, Andar 16, Bela Vista, São Paulo — SP, CEP 01.310-914
Encarregado de Dados (DPO): dpo@belvy.ai
2. Quais dados coletamos
Durante o pré-atendimento, coletamos exclusivamente os dados necessários para organizar sua chegada ao laboratório:
- Nome completo
- CPF
- Telefone
- Data de nascimento e sexo biológico
- Foto ou imagem do pedido médico
- Foto da carteirinha do convênio, quando aplicável
Não coletamos dados de pagamento, senha ou qualquer informação além do estritamente necessário para o pré-atendimento. Os dados clínicos coletados (pedido médico, exames) são considerados dados pessoais sensíveis pelo art. 5º, II da LGPD, e tratados conforme art. 11 (consentimento específico e destacado ou para tutela da saúde pelo controlador laboratorial).
3. Para que usamos os dados
Os dados coletados são utilizados exclusivamente para:
- Identificar os exames solicitados no pedido médico via leitura por inteligência artificial
- Verificar a elegibilidade do convênio
- Pré-preencher o painel do atendente do laboratório antes da sua chegada ao balcão
- Cumprir obrigações legais e auditorias exigidas pela legislação sanitária e pela LGPD
Seus dados não são utilizados para fins de marketing, publicidade ou vendidos a terceiros.
4. Processamento por inteligência artificial
Para extrair os exames do pedido médico, utilizamos serviços de IA de terceiros — especificamente Google Gemini (via Google Vertex AI, região southamerica-east1) e OpenAI como contingência. As imagens enviadas são transmitidas a esses serviços de forma criptografada apenas para processamento imediato e não são retidas por esses provedores além do tempo necessário para a resposta, conforme os termos contratuais de processamento de dados (Data Processing Agreements) aplicáveis.
Ambos os provedores possuem certificações de segurança e comprometem-se contratualmente a não utilizar dados de saúde para treinamento de modelos nem para fins próprios.
5. Armazenamento e retenção
Aplicamos prazos de retenção diferenciados conforme a base legal de cada categoria de dado, cumprindo obrigações regulatórias específicas do setor de saúde e financeiro:
- Dados clínicos (pedido médico, exames identificados, carteirinha, dados do pré-atendimento): retidos por 20 anos a contar do último atendimento, conforme Resolução CFM nº 1.821/2007 e normas sanitárias aplicáveis.
- Dados fiscais e transacionais (faturas, recibos): retidos por 5 anos, conforme Código Tributário Nacional (Lei 5.172/1966, arts. 174 e 195).
- Registros de conexão e logs de acesso (endereço IP, user agent, registros de consentimento): retidos por 6 meses, conforme Marco Civil da Internet (Lei 12.965/2014, art. 15).
- Histórico da conversa no chat de pré-atendimento: apagado ao encerrar a sessão.
Após o decurso de cada prazo, os dados são eliminados ou anonimizados de forma irreversível, conforme art. 16 da LGPD. Todos os dados são armazenados em servidores localizados no Brasil (Google Cloud, região southamerica-east1), em conformidade com o art. 33 da LGPD.
6. Segurança
Adotamos as seguintes medidas técnicas e organizacionais para proteger seus dados (art. 46 da LGPD):
- Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256)
- Isolamento por laboratório — nenhum laboratório acessa dados de outro (multi-tenant isolation)
- Autenticação multifator obrigatória para operadores administrativos
- Auditoria de acessos, trilhas imutáveis e exclusões automáticas programadas
- Sem acesso público aos buckets de imagens; URLs assinadas de curta duração
- Backups criptografados diários e testes periódicos de restauração
7. Compartilhamento de dados
Compartilhamos dados pessoais apenas com os seguintes terceiros, sempre sob contrato de processamento de dados:
- Laboratório parceiro (controlador): recebe os dados do pré-atendimento para atendimento presencial.
- Google Cloud Platform (infraestrutura) e Google Vertex AI / OpenAI (processamento de IA): somente para processamento técnico imediato.
- Stripe, apenas para pagamentos do laboratório (não do paciente).
- Autoridades públicas, somente mediante requisição legal válida.
A lista completa e atualizada de sub-processadores ativos — com finalidade, país de hospedagem e mecanismo de transferência internacional — está publicada em belvy.ai/subprocessadores. Mudanças substanciais (troca de provedor, novo sub-operador de IA, mudança de país) são notificadas com 30 dias de antecedência.
8. Seus direitos (LGPD)
Conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018, art. 18), você tem direito a:
- Confirmação e acesso: saber se tratamos seus dados e obter cópia
- Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
- Portabilidade dos dados a outro fornecedor, observados os segredos comercial e industrial
- Informação sobre entidades com as quais compartilhamos seus dados
- Revogação do consentimento a qualquer momento, ressalvadas as hipóteses em que o tratamento seja exigido por lei (ex.: retenção clínica de 20 anos)
Para exercer qualquer um desses direitos, envie um e-mail ao Encarregado de Dados em dpo@belvy.ai, informando seu CPF e o laboratório onde realizou o pré-atendimento. Respondemos em até 15 dias úteis, conforme art. 19, §1º da LGPD.
9. Cookies e rastreamento
O chat de pré-atendimento não utiliza cookies de rastreamento nem pixels de publicidade. Utilizamos apenas um identificador de sessão técnico (armazenado localmente no navegador) para manter o estado da conversa durante o atendimento. Esse identificador é descartado ao fechar a aba.
10. Alterações nesta política
Podemos atualizar esta política periodicamente. A versão vigente estará sempre disponível nesta página com a data de atualização. Para mudanças relevantes, o consentimento será solicitado novamente no próximo pré-atendimento.
11. Contato e reclamações
Dúvidas sobre privacidade, proteção de dados ou exercício de direitos:
dpo@belvy.ai
Também é possível registrar reclamações perante a ANPD — Autoridade Nacional de Proteção de Dados.