Política de Privacidade — MedShifts
Última atualização: 24 de março de 2026
1. Introdução
Esta Política de Privacidade descreve como o MedShifts ("nós", "nosso" ou "Aplicativo") coleta, utiliza, armazena, compartilha e protege os dados pessoais dos seus usuários ("você" ou "usuário"), em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/2018.
Ao utilizar o MedShifts, você consente com as práticas descritas nesta Política. Recomendamos a leitura integral deste documento.
2. Controlador de Dados
O controlador dos dados pessoais tratados pelo MedShifts é:
- Razão Social: [INSERIR RAZÃO SOCIAL]
- CNPJ: [INSERIR CNPJ]
- Endereço: [INSERIR ENDEREÇO]
- E-mail do Encarregado (DPO): [INSERIR E-MAIL DO DPO]
3. Dados Pessoais Coletados
3.1. Dados de Cadastro e Identificação
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome completo | Identificação no sistema e exibição para a equipe | Execução de contrato (Art. 7º, V) |
| Autenticação, comunicação e recuperação de conta | Execução de contrato (Art. 7º, V) | |
| Senha | Autenticação segura (armazenada com hash criptográfico) | Execução de contrato (Art. 7º, V) |
| Gênero | Identificação do perfil profissional | Consentimento (Art. 7º, I) |
3.2. Dados Profissionais
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| CRM (registro profissional) | Validação da habilitação médica | Execução de contrato (Art. 7º, V) |
| Especialidade médica | Alocação adequada em escalas por competência | Execução de contrato (Art. 7º, V) |
| Setor de atuação | Organização de escalas por departamento | Execução de contrato (Art. 7º, V) |
| Subtipo/função (emergencista, noturno, coordenador, etc.) | Definição de permissões e alocação de turnos | Execução de contrato (Art. 7º, V) |
| Tipo de vínculo empregatício | Gestão de escalas conforme regime de trabalho | Execução de contrato (Art. 7º, V) |
| Competências (skills) | Atribuição de turnos compatíveis | Execução de contrato (Art. 7º, V) |
| Disponibilidade e preferências de escala | Planejamento de escalas respeitando preferências | Consentimento (Art. 7º, I) |
3.3. Dados de Contato
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Telefone pessoal | Contato de emergência entre equipe (visibilidade controlável) | Consentimento (Art. 7º, I) |
| Telefone do consultório | Contato profissional | Consentimento (Art. 7º, I) |
| Endereço do consultório | Informação complementar do perfil | Consentimento (Art. 7º, I) |
Nota: O número de telefone pessoal só é visível para outros usuários se você ativar a opção "Telefone público" no seu perfil. Administradores e proprietários podem visualizá-lo independentemente desta configuração.
3.4. Dados de Atividade no Aplicativo
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Escalas e turnos atribuídos | Gestão de escalas e histórico profissional | Execução de contrato (Art. 7º, V) |
| Solicitações de troca de plantão | Fluxo de aprovação de trocas | Execução de contrato (Art. 7º, V) |
| Ofertas de turnos | Cobertura de turnos descobertos | Execução de contrato (Art. 7º, V) |
| Confirmações de presença | Controle de cobertura de plantão | Execução de contrato (Art. 7º, V) |
| Alertas de atraso/ausência | Gestão operacional da escala | Interesse legítimo (Art. 7º, IX) |
| Feedbacks enviados | Melhoria do Aplicativo | Consentimento (Art. 7º, I) |
3.5. Dados Técnicos e de Dispositivo
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Token de push notification (Expo) | Envio de notificações push | Consentimento (Art. 7º, I) |
| Plataforma do dispositivo (iOS/Android) | Compatibilidade de notificações | Interesse legítimo (Art. 7º, IX) |
| Dados de sessão (token JWT) | Manutenção de sessão autenticada | Execução de contrato (Art. 7º, V) |
3.6. Dados Biométricos
O MedShifts oferece autenticação por biometria (Face ID / impressão digital) como alternativa ao login por senha. Os dados biométricos são processados exclusivamente no dispositivo móvel pelo sistema operacional (iOS/Android) e nunca são transmitidos, armazenados ou acessados pelo MedShifts. Armazenamos apenas um indicador (sim/não) sobre a ativação do recurso.
3.7. Imagem (Avatar)
O usuário pode opcionalmente enviar uma foto de perfil (avatar), que será armazenada em serviço de armazenamento seguro com controle de acesso e visível aos demais membros da equipe.
4. Finalidades do Tratamento
Os dados pessoais são tratados para as seguintes finalidades:
- Prestação do serviço — gestão de escalas, trocas, ofertas e atribuições de turnos;
- Autenticação e segurança — controle de acesso, prevenção de fraude e proteção de contas;
- Comunicação — envio de notificações push sobre turnos, trocas e comunicados institucionais;
- Melhoria do serviço — análise de feedbacks e uso para aprimoramento do Aplicativo;
- Gestão institucional — relatórios e dashboards para coordenadores e administradores;
- Cumprimento de obrigações legais — atendimento a requisitos regulatórios aplicáveis.
5. Compartilhamento de Dados
5.1. Dentro da Instituição
Seus dados profissionais (nome, especialidade, setor, CRM, subtipo) são visíveis para outros usuários da mesma instituição conforme necessário para a operação das escalas. Dados de contato pessoal são compartilhados apenas conforme suas configurações de privacidade.
5.2. Prestadores de Serviço (Operadores)
Utilizamos os seguintes serviços de terceiros para operar o Aplicativo:
| Prestador | Função | Dados Compartilhados |
|---|---|---|
| Supabase (Supabase Inc.) | Autenticação, banco de dados e armazenamento de arquivos | Credenciais de autenticação, dados do perfil, avatar |
| Expo (Expo/650 Industries) | Envio de notificações push | Tokens de push notification |
Estes prestadores atuam como operadores conforme a LGPD e estão vinculados a obrigações contratuais de proteção de dados.
5.3. Não Compartilhamos
Não vendemos, alugamos ou comercializamos seus dados pessoais com terceiros para fins de marketing, publicidade ou qualquer outra finalidade comercial.
5.4. Autoridades Competentes
Poderemos compartilhar dados pessoais com autoridades judiciais, administrativas ou governamentais em cumprimento de ordem judicial, requisição legal ou para proteção de direitos.
6. Armazenamento e Segurança
6.1. Local de Armazenamento
Os dados são armazenados em servidores da Supabase, com infraestrutura em nuvem. Os dados podem ser processados em servidores localizados fora do Brasil, estando sujeitos a salvaguardas adequadas conforme Art. 33 da LGPD.
6.2. Medidas de Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:
- Criptografia de senhas — senhas armazenadas com algoritmo de hash seguro (bcrypt);
- Autenticação por token JWT — sessões com expiração temporal;
- Controle de acesso baseado em função (RBAC) — permissões diferenciadas por perfil;
- Controle de acesso a objetos (ACL) — proteção granular de arquivos armazenados;
- Visibilidade seletiva de dados — dados de contato pessoal ocultos por padrão;
- HTTPS — comunicação criptografada entre aplicativo e servidor;
- Validação de dados — schemas de validação (Zod) em todas as operações.
6.3. Período de Retenção
Os dados pessoais serão mantidos enquanto a conta do usuário estiver ativa e por período adicional necessário para:
- Cumprimento de obrigações legais ou regulatórias;
- Exercício regular de direitos em processos judiciais ou administrativos;
- Interesse legítimo do controlador, respeitando os direitos do titular.
Dados de escalas históricas podem ser mantidos para fins de registro institucional, conforme exigências do setor de saúde.
7. Direitos do Titular (Art. 18 da LGPD)
Você possui os seguintes direitos em relação aos seus dados pessoais:
| Direito | Descrição |
|---|---|
| Confirmação e acesso | Confirmar se tratamos seus dados e obter cópia das informações |
| Correção | Solicitar a correção de dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação | Solicitar quando os dados forem desnecessários ou tratados em desconformidade |
| Portabilidade | Solicitar a transferência dos seus dados a outro fornecedor de serviço |
| Eliminação | Solicitar a exclusão dos dados tratados com base no consentimento |
| Informação sobre compartilhamento | Saber com quais entidades seus dados foram compartilhados |
| Revogação do consentimento | Revogar consentimento a qualquer momento, sem prejuízo do tratamento anterior |
| Oposição | Opor-se ao tratamento quando realizado com base em hipótese diferente do consentimento, se houver descumprimento da LGPD |
Como exercer seus direitos
Para exercer qualquer dos direitos acima, entre em contato pelo e-mail: [INSERIR E-MAIL DO DPO].
Responderemos à sua solicitação em até 15 (quinze) dias conforme previsto na LGPD.
8. Notificações e Comunicações
8.1. Notificações Push
O MedShifts envia notificações push para:
- Lembretes de plantão — 24 horas, 12 horas e 1 hora antes do turno;
- Atualizações de trocas — solicitações recebidas, aprovadas ou recusadas;
- Comunicados gerais — avisos da coordenação.
O envio de notificações push depende da sua autorização e pode ser desativado a qualquer momento:
- Nas configurações do Aplicativo (preferências de notificação);
- Nas configurações do dispositivo (gerenciamento de permissões do app).
8.2. Preferência de Horário
Você pode configurar os horários preferenciais para recebimento de notificações push nas suas preferências.
9. Cookies e Tecnologias de Rastreamento
O MedShifts é um aplicativo móvel nativo e não utiliza cookies. Não empregamos tecnologias de rastreamento para fins de publicidade ou análise comportamental.
10. Dados de Menores
O MedShifts é destinado a profissionais de saúde e não coleta intencionalmente dados de menores de 18 anos. Se tomarmos conhecimento de que dados de um menor foram coletados, tomaremos medidas para excluí-los.
11. Transferência Internacional de Dados
Os dados podem ser processados em servidores localizados fora do Brasil pela Supabase e Expo. Estas transferências são realizadas com base em:
- Cláusulas contratuais que garantem nível adequado de proteção;
- Conformidade com o Art. 33 da LGPD e regulamentações da ANPD.
12. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o MedShifts comunicará:
- A Autoridade Nacional de Proteção de Dados (ANPD);
- Os titulares afetados;
em prazo razoável, conforme Art. 48 da LGPD, informando:
- A natureza dos dados afetados;
- Os riscos relacionados ao incidente;
- As medidas adotadas para mitigar os efeitos;
- As recomendações ao titular para minimizar riscos.
13. Alterações nesta Política
Poderemos atualizar esta Política de Privacidade periodicamente. As alterações serão comunicadas por meio do Aplicativo e/ou por e-mail. A data da última atualização será sempre indicada no topo deste documento.
O uso continuado do Aplicativo após a publicação das alterações constitui aceitação da nova Política.
14. Legislação Aplicável
Esta Política é regida pela legislação brasileira, em especial:
- Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018;
- Marco Civil da Internet — Lei nº 12.965/2014;
- Código de Defesa do Consumidor — Lei nº 8.078/1990 (quando aplicável).
15. Contato
Para dúvidas, solicitações ou reclamações sobre esta Política de Privacidade ou sobre o tratamento de seus dados pessoais:
- Encarregado de Proteção de Dados (DPO): [INSERIR NOME DO DPO]
- E-mail: [INSERIR E-MAIL DO DPO]
- Endereço: [INSERIR ENDEREÇO]
Você também pode registrar reclamações junto à Autoridade Nacional de Proteção de Dados (ANPD) pelo site gov.br/anpd.
Ao utilizar o MedShifts, você declara ter lido, compreendido e concordado com esta Política de Privacidade.