Voltar

Política de Privacidade

Última atualização: 21 de junho de 2026

1. Controlador e contato

Esta Política de Privacidade descreve como o DorMap trata dados pessoais, em conformidade com a Lei nº 13.709/2018 (LGPD) e com a Lei nº 12.965/2014 (Marco Civil da Internet).

Controlador: João Fornaza (Fisioterapeuta) — produto DorMap.
Encarregado / contato para titulares (DPO): contatofornaza@gmail.com.

2. Dados que coletamos

2.1. Do profissional usuário (titular dos dados de cadastro): nome, e-mail, senha (armazenada com hash), registro profissional (CREFITO/CRM/CREF), especialidade, perfil profissional selecionado e, quando aplicável, identificador da conta Google em caso de login social.

2.2. Dados de navegação e segurança: endereço IP, identificadores de sessão (cookies estritamente necessários para login), agente de usuário (navegador e sistema operacional) e registros de acesso (data e hora), conforme exigido pelo art. 15 do Marco Civil da Internet.

2.3. Dados de pagamento: processados diretamente pela Hotmart. Recebemos apenas o status da assinatura, identificador do cliente e do plano. Não armazenamos número de cartão, CVV ou dados bancários completos.

2.4. Dados de pacientes (inseridos pelo profissional): nome ou iniciais, idade e dados clínicos relacionados à avaliação de dor (localização, escalas, critérios clínicos, mecanismo identificado, subtipo, CPM e algometria). Esses dados são considerados dados pessoais sensíveis de saúde(art. 5º, II da LGPD) e recebem o tratamento correspondente.

2.5. Dados de progresso de treinamento: registro dos casos clínicos de treinamento concluídos pelo profissional na área "Treinar".

3. Bases legais (art. 7º e art. 11 da LGPD)

  • Execução de contrato (art. 7º, V): criação e manutenção da conta, cobrança da assinatura, prestação da funcionalidade clínica e do treinamento.
  • Cumprimento de obrigação legal (art. 7º, II): guarda de registros de acesso por 6 meses (art. 15 do Marco Civil) e obrigações fiscais.
  • Legítimo interesse (art. 7º, IX): segurança da aplicação, prevenção a fraude e cookies estritamente necessários para login.
  • Tutela da saúde por profissional de saúde (art. 11, II, "f"): tratamento dos dados clínicos do paciente, realizado pelo profissional usuário no exercício da atividade profissional, tendo o DorMap como operador.
  • Consentimento (art. 7º, I e art. 11, I): coletado pelo profissional junto ao paciente, conforme suas obrigações éticas, e registrado por meio do aceite destes termos pelo profissional ao criar a conta (data, hora e versão aceita).

4. Finalidades do tratamento

Os dados são tratados exclusivamente para:

  • Viabilizar o cadastro, login e identificação do profissional.
  • Realizar a classificação clínica de dor solicitada pelo profissional e manter o histórico de avaliações por paciente.
  • Gerar relatórios em PDF a partir das avaliações realizadas.
  • Processar a assinatura e a cobrança recorrente.
  • Garantir a segurança da aplicação e atender a obrigações legais.

Não utilizamos os dados para publicidade comportamental, perfilamento de marketing, venda a terceiros ou treinamento de modelos de IA.

5. Papéis: controlador e operador

Quanto aos dados do profissional usuário (cadastro, login, assinatura), o DorMap, representado por João Fornaza (Fisioterapeuta), atua como controlador.

Quanto aos dados clínicos do paciente inseridos pelo profissional, o profissional usuário é o controlador (responsável pela coleta, consentimento e finalidade) e o DorMap atua como operador, processando os dados estritamente conforme as instruções do profissional, no contexto da relação profissional-paciente regida pelas obrigações éticas do seu conselho de classe.

6. Compartilhamento com terceiros (operadores e suboperadores)

Para viabilizar o funcionamento da ferramenta, compartilhamos dados com:

  • Supabase (banco de dados, autenticação e armazenamento) — infraestrutura em nuvem. Dados podem ser processados em servidores fora do Brasil, incluindo Estados Unidos, com as devidas garantias previstas no art. 33 da LGPD.
  • Hotmart (processamento de pagamento) — recebe os dados necessários para a cobrança (e-mail, identificador da assinatura). Está submetida à LGPD.
  • Google (somente se o usuário optar por login com Google) — recebe apenas o necessário para autenticação OAuth.
  • Cloudflare (hospedagem edge e proteção contra abuso) — processa requisições HTTP com a finalidade de entregar o aplicativo e proteger contra ataques.
  • Meta Platforms (Meta Pixel, apenas mediante consentimento) — recebe eventos anônimos de navegação e conversão para medição das nossas campanhas de publicidade. Dados processados em servidores fora do Brasil.

Utilizamos o Meta Pixel (Facebook/Instagram) exclusivamente para medir a eficácia das nossas campanhas publicitárias (eventos como visualização de página, início de checkout e conversão), somente quando o usuário aceita explicitamente no banner de cookies. Se você recusar, nenhum dado é enviado à Meta e o app funciona normalmente. Não compartilhamos dados com data brokers e não utilizamos Google Analytics, Hotjar ou Mixpanel.

7. Transferência internacional de dados

Alguns operadores acima processam dados em servidores fora do Brasil. Essas transferências ocorrem com base nas hipóteses do art. 33 da LGPD — em particular, quando o país de destino oferece grau de proteção adequado, quando há cláusulas contratuais específicas ou quando o tratamento é necessário para a execução do contrato com o titular.

8. Cookies

O DorMap utiliza cookies estritamente necessários para autenticar a sessão do usuário e manter o funcionamento da aplicação (cookies de sessão do provedor de autenticação). Além disso, mediante seu consentimento, o Meta Pixel pode utilizar cookies e identificadores de navegador para medir a eficácia de campanhas. Você pode aceitar ou recusar esse uso a qualquer momento pelo banner de cookies; a recusa não afeta o uso do app.

9. Retenção dos dados

Os prazos de retenção adotados são:

  • Conta e perfil do profissional: enquanto a conta estiver ativa e por até 30 dias após a solicitação de exclusão, para confirmar o encerramento.
  • Assinaturas e registros de pagamento: 5 (cinco) anos a partir do término da relação contratual, para cumprimento de obrigações fiscais (art. 173 do CTN).
  • Registros de acesso (IP, data/hora de login): 6 (seis) meses, conforme art. 15 do Marco Civil da Internet, podendo ser prorrogado em caso de ordem judicial.
  • Dados clínicos de pacientes e avaliações: enquanto a conta do profissional estiver ativa. Após a exclusão da conta pelo profissional, esses dados são removidos em até 30 dias. Atenção: a guarda mínima de prontuário (20 anos, Resolução CFM nº 1.821/2007, e prazos análogos do CREFITO) é responsabilidade do profissional em seu próprio prontuário; o DorMapnão é prontuário e a guarda nele não substitui o prontuário profissional.
  • Progresso de treinamento: enquanto a conta estiver ativa.

10. Segurança da informação

Adotamos medidas técnicas e administrativas razoáveis para proteger os dados:

  • Senha armazenada com hash (não em texto puro).
  • Comunicação criptografada em trânsito (HTTPS/TLS).
  • Criptografia em repouso no provedor de banco de dados.
  • Controle de acesso por Row Level Security: cada profissional só acessa os dados da sua própria conta e dos seus próprios pacientes.
  • Princípio do menor privilégio para chaves administrativas.
  • Registro de eventos de autenticação e tentativas suspeitas.

Nenhuma medida de segurança é absoluta. Em caso de incidente de segurança que possa gerar risco ou dano relevante aos titulares, comunicaremos os titulares afetados e a ANPD nos termos do art. 48 da LGPD.

11. Direitos do titular (art. 18 da LGPD)

O titular dos dados (profissional usuário e, no que couber, paciente) pode:

  • Confirmar a existência de tratamento.
  • Acessar os dados.
  • Corrigir dados incompletos, inexatos ou desatualizados.
  • Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
  • Solicitar a portabilidade dos dados.
  • Solicitar a eliminação dos dados tratados com base em consentimento, ressalvadas as hipóteses legais de conservação.
  • Obter informação sobre os terceiros com quem os dados são compartilhados.
  • Revogar o consentimento, quando aplicável.
  • Apresentar reclamação à ANPD (Autoridade Nacional de Proteção de Dados).

As solicitações devem ser enviadas para contatofornaza@gmail.com e serão respondidas em até 15 (quinze) dias. Para garantir a segurança, pode ser solicitada confirmação de identidade.

Solicitações de pacientes devem, preferencialmente, ser feitas ao profissional de saúde que registrou seus dados, pois ele é o controlador desses dados.

12. Crianças e adolescentes

O DorMap não é destinado a usuários menores de 18 anos; o cadastro é restrito a profissionais de saúde adultos. Quando o paciente avaliado pelo profissional for menor de idade, o consentimento dos pais ou responsáveis para o tratamento dos dados sensíveis do menor é de responsabilidade do profissional controlador, nos termos do art. 14 da LGPD.

13. Encerramento de conta e exclusão

O profissional pode solicitar a exclusão da conta a qualquer momento por contatofornaza@gmail.com. A exclusão remove os dados de cadastro e os dados de pacientes associados em até 30 dias, ressalvados os dados que devamos conservar por obrigação legal (faturamento e registros de acesso).

14. Alterações nesta política

Esta política pode ser atualizada periodicamente. Mudanças significativas serão comunicadas dentro do aplicativo e, quando aplicável, será solicitado novo aceite. A data da última atualização consta no topo deste documento.

15. Contato

Dúvidas, solicitações de titular ou comunicações relativas a esta política podem ser enviadas para contatofornaza@gmail.com.