Política de Privacidade

PAJE.SYSTEMS LLC — Ecossistema de Saúde Digital

Versão 1.0 Vigente desde 27/03/2026 Em vigor LGPD Compliant

Índice

Identificação do Controlador e Encarregado (DPO)
Dados Coletados por Sistema
Finalidade e Base Legal do Tratamento
Dados Sensíveis de Saúde
Compartilhamento de Dados
Armazenamento, Segurança e Retenção
Transferência Internacional
Direitos do Titular
Exclusão de Dados — Passo a Passo
Cookies e Tecnologias de Rastreamento
Crianças e Adolescentes
Alterações nesta Política
Canal de Contato

1. Identificação do Controlador e Encarregado (DPO)

Controlador dos Dados: PAJE.SYSTEMS LLC, sociedade devidamente constituída e operando no ecossistema de saúde digital brasileiro.

Encarregado de Proteção de Dados (DPO):

Email: privacidade@paje.systems
Canal de requisições LGPD: lgpd@paje.systems
Prazo de resposta: até 15 (quinze) dias corridos

A PAJE.SYSTEMS atua como Controladora dos dados coletados diretamente dos usuários por meio do portal paje.systems e dos sistemas integrados. Para pesquisas científicas em parceria com instituições acadêmicas, a PAJE pode atuar como Operadora, conforme contrato específico com o pesquisador responsável.

2. Dados Coletados por Sistema

A coleta de dados varia conforme o sistema utilizado e o perfil do usuário:

Sistema	Dados Coletados	Categoria LGPD
HDsys Hipertensão e Diabetes	Nome, data de nascimento, CPF, email, pressão arterial, glicemia, peso, altura, medicações em uso, histórico de monitoramentos.	Dados pessoais + Dados de Saúde (sensíveis)
GRAVsys Monitoramento Gestacional	Dados pessoais, DUM, IG, peso, PA, BCF, resultados de exames pré-natais, ultrassonografias, dados do parceiro (opcional).	Dados pessoais + Dados de Saúde (sensíveis)
PEDsys Saúde Infantil 0–12 anos	Nome e dados da criança, dados do responsável legal, curvas de crescimento, calendário vacinal, desenvolvimento neuropsicomotor, atendimentos.	Dados pessoais de criança + Dados de Saúde (hipersensíveis)
Portal PAJE.club Cadastro e Conta	Nome, email, CPF/CNPJ, perfil (paciente/profissional/instituição), endereço IP, logs de acesso, dados de pagamento via Stripe.	Dados pessoais comuns + financeiros

3. Finalidade e Base Legal do Tratamento

O tratamento dos seus dados pessoais é realizado com base nas seguintes hipóteses legais previstas na LGPD (Art. 7º e Art. 11):

Finalidade	Base Legal (LGPD)
Criação e gestão de conta no ecossistema PAJE	Art. 7º, II — execução de contrato
Prestação dos serviços de monitoramento clínico	Art. 7º, II + Art. 11, II, "f" — proteção da saúde
Geração de relatórios e dashboards para profissionais	Art. 7º, II — execução de contrato
Pesquisas científicas (anonimizadas ou pseudonimizadas)	Art. 7º, IV + Art. 11, II, "c" — pesquisa científica
Comunicações de saúde e notificações do sistema	Art. 7º, I — consentimento
Cumprimento de obrigações legais e regulatórias	Art. 7º, II — obrigação legal
Prevenção a fraudes e segurança do sistema	Art. 7º, IX — legítimo interesse

4. Dados Sensíveis de Saúde

Para o tratamento de dados sensíveis de saúde, a PAJE.SYSTEMS adota:

Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
Controle de acesso por perfil (RBAC) — profissionais só acessam pacientes vinculados
Logs de auditoria de todos os acessos a registros clínicos
Pseudonimização de dados em ambiente de pesquisa
Plano de Resposta a Incidentes com notificação à ANPD em até 72 horas

5. Compartilhamento de Dados

A PAJE.SYSTEMS não vende dados pessoais. O compartilhamento ocorre apenas nos seguintes cenários:

Profissional de saúde vinculado: médicos, enfermeiros e agentes comunitários com vínculo ativo acessam apenas os dados dos pacientes que os autorizaram.
Instituição gestora: secretarias de saúde e clínicas conveniadas recebem relatórios agregados e anonimizados (sem identificação individual).
Parceiros de pesquisa científica: somente com TCLE assinado, dados pseudonimizados e protocolo aprovado por CEP.
Prestadores de serviço (subprocessadores): Supabase (infraestrutura de dados), Stripe (pagamentos), Google/Microsoft (SSO opcional). Todos com Data Processing Agreement (DPA) firmado.
Autoridades competentes: quando exigido por lei, ordem judicial ou regulamento sanitário.

6. Armazenamento, Segurança e Retenção

Armazenamento

Os dados são armazenados em infraestrutura gerenciada pelo Supabase (PostgreSQL com Row Level Security habilitado). Backups automáticos diários com retenção de 30 dias.

Períodos de Retenção

Tipo de Dado	Período de Retenção	Fundamento
Prontuário clínico (HDsys/GRAVsys/PEDsys)	20 anos após último atendimento	CFM 1.638/2002 + LGPD
Dados de conta e cadastro	5 anos após encerramento	Código Civil Art. 206
Logs de acesso e auditoria	2 anos	Marco Civil da Internet
Dados de pesquisa (pseudonimizados)	Conforme protocolo CEP aprovado	Res. CNS 466/2012
Dados de pagamento	5 anos	Legislação fiscal

7. Transferência Internacional de Dados

O Supabase pode armazenar dados em servidores localizados fora do Brasil (EUA, UE). A PAJE.SYSTEMS garante que tais transferências ocorrem somente para países ou organizações que oferecem grau adequado de proteção (LGPD Art. 33), mediante:

Cláusulas contratuais padrão (Standard Contractual Clauses — SCCs)
Data Processing Agreement (DPA) com o Supabase
Conformidade com o GDPR para usuários europeus

8. Direitos do Titular

Nos termos do Art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

Confirmação e acesso: saber se tratamos seus dados e obter cópia deles.
Correção: corrigir dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade.
Portabilidade: receber seus dados em formato estruturado e interoperável.
Eliminação: solicitar a exclusão de dados tratados com base no consentimento.
Informação sobre compartilhamento: saber com quais entidades seus dados foram compartilhados.
Revogação do consentimento: a qualquer momento, sem prejuízo ao tratamento realizado anteriormente.
Oposição: opor-se ao tratamento realizado com base em legítimo interesse.
Revisão de decisões automatizadas: solicitar revisão humana de decisões baseadas em perfis automatizados.
Petição à ANPD: encaminhar reclamação à Autoridade Nacional de Proteção de Dados.

Para exercer qualquer um desses direitos, entre em contato pelo email lgpd@paje.systems. Responderemos em até 15 dias corridos.

Exclusão de Dados — Passo a Passo

Você pode solicitar a exclusão completa de sua conta e de todos os seus dados pessoais a qualquer momento, sem necessidade de justificativa.

Como solicitar a exclusão

Envie um email para lgpd@paje.systems com o assunto: Solicitação de Exclusão de Dados
Informe o email cadastrado na sua conta PAJE club.
Você receberá uma confirmação em até 2 dias úteis.
A exclusão completa será concluída em até 15 dias corridos.

O que é excluído

Conta de usuário e credenciais de acesso
Dados de perfil (nome, email, dados demográficos)
Dados clínicos registrados no app (pressão arterial, histórico)
Consentimentos e registros de aceite de termos
Dados de pagamento vinculados à conta (tokens Stripe)

Retenção após exclusão

Após a exclusão, alguns dados podem ser retidos pelo prazo mínimo legal:

Tipo de Dado	Retido por	Motivo
Registros de transação financeira	5 anos	Obrigação fiscal (Receita Federal)
Logs de auditoria de segurança	2 anos	Marco Civil da Internet
Prontuário clínico (se houver)	20 anos	CFM 1.638/2002

Todos os demais dados são anonimizados ou eliminados permanentemente no prazo de 15 dias após a solicitação.

9. Cookies e Tecnologias de Rastreamento

O portal paje.systems utiliza cookies estritamente necessários para funcionamento (sessão, autenticação SSO). Não utilizamos cookies de rastreamento publicitário de terceiros.

Cookie	Finalidade	Duração
sb-access-token	Autenticação Supabase Auth (SSO)	Sessão
sb-refresh-token	Renovação de sessão autenticada	7 dias
paje-perfil	Preferência de perfil selecionado	30 dias

10. Crianças e Adolescentes (PEDsys)

O tratamento de dados de crianças entre 12 e 18 anos (adolescentes no PEDsys) requer consentimento do responsável legal e, quando possível, assentimento do próprio adolescente.

11. Alterações nesta Política

A PAJE.SYSTEMS reserva-se o direito de atualizar esta Política periodicamente para refletir mudanças em nossos serviços, legislação aplicável ou melhores práticas de segurança. Alterações substanciais serão comunicadas por email cadastrado e notificação no portal com antecedência mínima de 30 dias. O uso continuado dos serviços após o prazo configura aceite da nova versão.

12. Canal de Contato

DPO / LGPD: lgpd@paje.systems
Suporte geral: contato@paje.systems
Autoridade regulatória: ANPD — Autoridade Nacional de Proteção de Dados