Última atualização: 08 de abril de 2026

LGPD — Conformidade

O Buscamontes Clinic foi projetado com a LGPD como requisito central — não como uma adição posterior. Saiba como cada aspecto da lei é implementado no sistema.

O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) regulamenta o tratamento de dados pessoais no Brasil. Para clínicas de saúde, é especialmente relevante por tratar de dados sensíveis — dados sobre saúde, biometria e condição médica — que exigem proteção reforçada.

1. Papéis na cadeia de tratamento

Controlador
A Clínica

Define as finalidades e os meios do tratamento dos dados dos pacientes. Responsável por obter o consentimento e respeitar os direitos dos titulares.

Operador
Buscamontes

Processa os dados conforme as instruções da clínica. Implementa as medidas de segurança técnicas e operacionais.

Titular
O Paciente

Tem direitos garantidos pela LGPD: acesso, correção, portabilidade, eliminação e revogação de consentimento.

2. Medidas de segurança implementadas

Criptografia de dados em repousoArt. 46 — Segurança

Todos os dados pessoais e de saúde dos pacientes são criptografados com algoritmos de padrão militar antes de serem armazenados. Mesmo em caso de comprometimento da infraestrutura de armazenamento, os dados clínicos permanecem ilegíveis.

Isolamento por clínicaArt. 46 — Segurança

A arquitetura multi-tenant garante que cada clínica acessa exclusivamente seus próprios dados. É tecnicamente impossível acessar dados de outra clínica, mesmo com credenciais válidas de outra conta.

Controle de acesso por papel (RBAC)Art. 46 — Acesso controlado

Cada profissional acessa apenas o que seu papel permite: recepcionista não acessa prontuários clínicos, psicólogo não acessa prontuários médicos. O controle é aplicado em múltiplas camadas independentes — banco de dados, aplicação e interface.

Logs de auditoriaArt. 37 — Registros

Toda ação relevante é registrada no log de auditoria: criação, edição, visualização e exclusão de dados sensíveis, com identificação do usuário e timestamp.

Exportação de dados (Art. 18 II)Art. 18 II — Portabilidade

O administrador da clínica pode exportar todos os dados de um paciente em formato estruturado, incluindo prontuários, exames, agendamentos e financeiro.

Solicitação de exclusão (Art. 18 §3)Art. 18 §3 — Eliminação

O paciente pode solicitar a exclusão de seus dados. A solicitação é registrada com prazo de atendimento conforme a LGPD, respeitando a retenção mínima legal para prontuários.

Registro de consentimentoArt. 7°, I — Consentimento

O sistema registra o consentimento LGPD de cada paciente com data, hora e versão da política aceita.

Autenticação de dois fatores (MFA)Art. 46 — Autenticação

Todos os usuários podem (e administradores devem) ativar autenticação de dois fatores via aplicativo autenticador para acesso à plataforma.

Política de retenção configurávelArt. 16 — Retenção

O período de retenção de dados pode ser configurado pela clínica conforme as normas de cada especialidade e as exigências regulatórias aplicáveis.

3. Direitos do paciente — como exercer

O paciente (titular) pode exercer seus direitos LGPD diretamente pelo Portal do Pacienteou solicitando à clínica (controladora):

Acesso aos dados
Portal → Prontuários e documentos
Exportação (portabilidade)
Solicitar à clínica → Arquivo exportado
Correção de dados
Solicitar à recepção da clínica
Exclusão de dados
Portal → Solicitar exclusão
Revogação de consentimento
Solicitar à clínica por escrito
Informação sobre tratamento
Esta página + Política de Privacidade

4. Infraestrutura e transferência internacional

A plataforma utiliza infraestrutura de nuvem de terceiros localizados nos Estados Unidos para armazenamento de dados e hospedagem da aplicação. Essa transferência internacional é coberta por cláusulas contratuais padrão e os dados são criptografados em repouso e em trânsito.

Para comunicações transacionais (confirmações de agendamento, acesso ao portal), utilizamos serviços de e-mail terceirizados que recebem apenas as informações mínimas necessárias para o envio.

5. Canal de privacidade

Para dúvidas, solicitações ou notificação de incidentes de privacidade: