Política de Privacidade

O MounFlow (“nós”) é um aplicativo brasileiro de organização e educação para pessoas em tratamento com medicamentos em caneta de aplicação, operado por [razão social da empresa, CNPJ e endereço — a definir], que atua como controladorados dados pessoais tratados no app, nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — “LGPD”).

Esta política explica, em linguagem clara, quais dados coletamos, por que coletamos, com quem podemos compartilhá-los, por quanto tempo os guardamos e como você exerce seus direitos. Ela se aplica ao aplicativo MounFlow, a este site e ao painel do profissional (MounFlow Conecta). As páginas institucionais deste site são estáticas e não coletam dados pessoais nem utilizam cookies de rastreamento (detalhes na seção 15).

• Seus registros de saúde existem para você — e, se você quiser, para o profissional que você vincular.
• Não vendemos seus dados. Não usamos seus dados de saúde para publicidade.
• A assistente com IA só processa suas informações com o seu consentimento específico, que pode ser revogado.
• Suas conversas com a assistente nunca são compartilhadas com o profissional vinculado.
• Fotos de documentos de saúde (laudos, exames, receitas) podem conter informações impressas, como o seu nome — avisamos isso no momento do consentimento e tratamos essas fotos com o mesmo rigor dos demais dados de saúde.
• O lembrete por WhatsApp é opcional: só existe se você cadastrar seu número, e a mensagem não contém o nome do medicamento nem a dose — apenas que o seu dia de aplicação chegou.
• Excluir a conta apaga seus dados pessoais, incluindo fotos, documentos e conversas.
• Nossas ferramentas de análise registram eventos de uso (ex.: “registrou peso”), nunca os valores de saúde em si (ex.: o peso registrado).

a) Dados de conta: nome e e-mail fornecidos pelo login social (Apple ou Google — as formas de acesso disponíveis no app); dados de assinatura (status do plano, identificadores de transação das lojas de aplicativos — nunca o número do seu cartão); e, se você ativar o lembrete por WhatsApp, o número de telefone que você cadastrar (opcional, removível a qualquer momento na mesma tela).

b) Dados de saúde que você registra (dados pessoais sensíveis — art. 5º, II, e art. 11 da LGPD): dados do seu perfil de tratamento (como gênero, idade e altura), medicamento e dose prescritos pelo seu médico, registros de aplicação, peso e medidas corporais, composição corporal (ex.: dados de bioimpedância), sintomas e intensidade auto-avaliada, hábitos (hidratação, proteína, refeições), metas, anotações livres que você escrever em registros e check-ins, fotos de progresso (opcionais), documentos de saúde que você enviar (laudos, exames, planos alimentares, receitas) e conversas com a assistente.

Sobre documentos: os arquivos que você envia são armazenados em área privada e acessados somente por você (e pelo profissional vinculado, se você consentir). Quando você usa o recurso de importar dados de um laudo de bioimpedância, a foto do laudo é processada pela assistente de IA (seção 5) para transcrever as medições — você revisa e confirma cada valor antes de qualquer dado ser salvo. Fotos de documentos podem conter dados impressos pelo emissor (como nome ou identificador no laudo); nomes de terceiros eventualmente impressos não são armazenados de forma estruturada.

c) Dados técnicos e de uso:identificadores de dispositivo, idioma, fuso horário, eventos de uso associados a identificadores de dispositivo (ex.: “abriu a tela de registros”) e relatórios de erro fornecidos pelas lojas de aplicativos e pelo sistema operacional, conforme as configurações do seu aparelho. Por desenho, os valores de saúde em si não entram em eventos de análise, relatórios de erro ou registros técnicos (logs).

Tratamos dados pessoais nas seguintes hipóteses:

• Operar o app para você (registros, lembretes, gráficos, relatório em PDF): consentimento destacado para dados de saúde (art. 11, I) colhido no primeiro uso, e execução de contrato para os dados de conta (art. 7º, V).
• Assistente com inteligência artificial e importação de documentos: consentimento específico e separado (art. 11, I), solicitado antes do primeiro uso. Sem esse consentimento, nenhum dado seu é enviado ao provedor de IA. Você pode revogá-lo a qualquer momento nas configurações. O texto desse consentimento é versionado: se o escopo ou o provedor mudar, pedimos seu aceite novamente.
• Lembrete de aplicação por WhatsApp: consentimento (art. 11, I), manifestado quando você cadastra seu número no app. Você revoga removendo o número — o envio cessa imediatamente. Detalhes na seção 7.
• Compartilhamento com profissional vinculado (MounFlow Conecta): consentimento específico e granular (art. 11, I), descrito na seção 6.
• Cobrança da assinatura: execução de contrato (art. 7º, V), processada pelas lojas de aplicativos — não temos acesso ao número do seu cartão.
• Segurança, prevenção a fraude e cumprimento de obrigações legais: legítimo interesse (art. 7º, IX) e obrigação legal (art. 7º, II), nunca aplicados para finalidade publicitária sobre dados de saúde.

Não reaproveitamos um consentimento para finalidade diferente daquela informada. Finalidade nova exige consentimento novo.

Quando você usa a assistente (ou o recurso de importar dados de um laudo), o conteúdo necessário para responder — sua mensagem (incluindo fotos que você anexar, como a de uma refeição ou de um documento), o contexto de registros pertinente e, no caso da importação de laudo, a foto do documento — é enviado, de forma criptografada, à OpenRouter, Inc. (Estados Unidos), provedora de infraestrutura de inteligência artificial que atua como operadora em nosso nome. A OpenRouter encaminha o processamento a provedores de modelos de inteligência artificial — modelos de linguagem para as conversas e a leitura de documentos, e modelo de geração de imagens para as ilustrações de receitas (abaixo) —, que atuam como suboperadores. Os modelos e provedores em uso podem variar por recurso e ao longo do tempo, sempre para as mesmas finalidades descritas aqui e sob o mesmo regime de proteção contratual da OpenRouter. Quando a resposta usa busca na web para citar fontes atualizadas, a consulta de busca (derivada da sua pergunta, nunca com seu nome ou e-mail) é processada por provedores de busca contratados pela OpenRouter, também como suboperadores. A política de privacidade da OpenRouter e a relação de provedores de modelos estão disponíveis em openrouter.ai/privacy.

Ilustrações de receitas: quando a assistente sugere uma receita, o app pode gerar uma imagem ilustrativa do prato. Para isso, enviamos ao modelo de imagem apenas o nome da receita, uma breve descrição culinária e a lista de ingredientes — nunca seu nome, e-mail ou identificadores de conta. As imagens geradas são genéricas (foto ilustrativa de comida), ficam em cache e são reaproveitadas entre usuários que recebem a mesma receita; elas não contêm dados pessoais.

• O envio só ocorre após o seu consentimento específico (seção 4), que registra a versão do texto aceito.
• Não enviamos seu nome nem seu e-mail de cadastro ao provedor de IA. Fotos de documentos, porém, podem conter dados impressos pelo emissor (como o nome no laudo) — o consentimento avisa isso de forma destacada.
• A assistente não realiza diagnóstico, prescrição ou ajuste de dose — limitação de produto, não apenas de política.
• A chave de acesso ao provedor fica em nossos servidores; o app nunca se comunica diretamente com o provedor de IA. Todas as chamadas passam por nossa camada intermediária, com limites de uso e sem registro do conteúdo das mensagens em logs.
• Na importação de laudo, apenas as medições numéricas transcritas (e que você confirmar) são armazenadas; pontuações, classificações e recomendações impressas pelo aparelho são descartadas, assim como nomes eventualmente impressos no documento.
• Mudança da operadora de IA (hoje, a OpenRouter) ou de finalidade implica atualização desta política e novo pedido de consentimento no app. A troca de modelos dentro da mesma operadora, para as mesmas finalidades, não amplia o escopo do seu consentimento.

O Conecta permite que você compartilhe registros com um profissional de saúde de sua escolha. Esse compartilhamento nunca é automático: ele só existe se você inserir o código do profissional e consentir, vendo antes a lista exata do que será compartilhado. O vínculo só se torna ativo depois que o profissional também aprovar a solicitação no painel dele — até lá, nenhum dado de saúde seu é acessível (na fila de aprovação, o profissional vê apenas o seu nome e a data da solicitação, para reconhecer o pedido).

• O que pode ser compartilhado (você escolhe, item a item): peso e medidas corporais; composição corporal (ex.: massa magra); registros de dose; sintomas auto-relatados; hábitos e check-ins diários (hidratação, proteína, anotações do dia — os sintomas anotados no check-in só são exibidos se você também ativar o compartilhamento de sintomas); exames e documentos que você enviar; e metas (peso-alvo e metas diárias que você definiu no app).
• Dados básicos do acompanhamento: com o vínculo ativo, o profissional vê também o seu nome, o medicamento registrado e a data de início do tratamento. Gênero e idade não são compartilhados; altura e peso inicial só aparecem se você ativar o compartilhamento de peso.
• Avisos ao profissional: o profissional vinculado pode receber avisos no painel e um resumo diário por e-mail sobre os seus registros, segundo critérios que ele próprio define e ativa. Esses avisos informam apenas o tipo e a quantidade de registros — nunca contêm os valores de saúde em si, nem o seu nome no e-mail — e cessam imediatamente com a revogação do vínculo.
• O que nunca é compartilhado: suas conversas com a assistente. Essa exclusão é estrutural — não existe caminho técnico que as exponha ao painel do profissional.
• Fotos de progresso: só são compartilhadas mediante autorização separada, desativada por padrão.
• Revogação: você pode encerrar o vínculo a qualquer momento, com efeito imediato. E-mails já enviados e documentos já baixados pelo profissional não podem ser recolhidos retroativamente e permanecem sob a responsabilidade profissional dele(a).
• Transparência: o app mostra quando o profissional acessou seus dados, e cada acesso do profissional fica registrado em trilha de auditoria.
• O profissional vinculado atua como controlador independente dos dados que recebe, no exercício da profissão, respondendo pelos deveres éticos e legais próprios (incluindo sigilo profissional).

Se você cadastrar um número de WhatsApp no app, enviamos um lembrete na véspera e no dia da sua aplicação (recurso disponível para a cadência semanal de aplicação). Ele é totalmente opcional e foi desenhado com minimização:

• A mensagem informa apenas que o seu dia de aplicação chegou — não contém o nome do medicamento, a dose nem qualquer outro dado de saúde, já que mensagens de WhatsApp podem aparecer na tela de bloqueio do celular.
• O envio é feito pela plataforma WhatsApp Business (Meta Platforms, Inc.), que atua como operadora e recebe o número de telefone e o texto da mensagem, sob a política de privacidade própria (whatsapp.com/legal). Não enviamos à Meta seu nome de cadastro nem dados de saúde.
• Para desativar, basta remover o número no app (Perfil → Minha dose) — o envio cessa imediatamente. O número não é usado para nenhuma outra finalidade (sem marketing, sem grupos, sem listas de transmissão).
• O número de telefone não aparece em registros técnicos (logs) da nossa infraestrutura.

Profissionais de saúde que se cadastram no Conecta também têm dados pessoais tratados por nós, como controladora:

• O que coletamos no cadastro: nome, e-mail, senha (armazenada de forma criptografada), número e UF do registro profissional (ex.: CRM), especialidade e telefone (opcionais).
• Para quê: validar o registro profissional (a conta nasce inativa e só é ativada após verificação humana), operar o painel do profissional e enviar comunicações operacionais do Conecta. Base legal: execução de contrato (art. 7º, V) e legítimo interesse na verificação (art. 7º, IX).
• Trilha de auditoria: os acessos do profissional a dados de pacientes são registrados (quem acessou o quê e quando), como medida de segurança e transparência para o paciente.
• Profissionais exercem os mesmos direitos da seção 13 pelo e-mail privacidade@mounflow.com.br.

Para funcionar, o MounFlow usa prestadores de serviço que tratam dados em nosso nome, sob contrato e instruções nossas:

• Supabase, Inc. (supabase.com/privacy) — banco de dados, autenticação e armazenamento de arquivos em nuvem (infraestrutura AWS, região Estados Unidos). É onde seus registros e documentos ficam guardados, com controle de acesso por usuário.
• RevenueCat, Inc. (revenuecat.com/privacy) — gestão de assinaturas: valida as compras feitas na App Store/Google Play. Recebe identificadores de transação e de usuário; nunca dados de saúde nem dados de cartão.
• OpenRouter, Inc. e suboperadores de modelos (seção 5) — processamento de IA, apenas com o seu consentimento específico.
• Meta Platforms, Inc. — WhatsApp Business Platform (whatsapp.com/legal) — envio do lembrete de aplicação por WhatsApp, apenas se você cadastrar seu número (seção 7). Recebe o número de telefone e a mensagem minimizada, sem dados de saúde.
• Resend, Inc. (resend.com/legal/privacy-policy) — envio de e-mails transacionais (ex.: avisos ao profissional vinculado). Os e-mails não contêm valores de saúde.
• Google LLC — Firebase Analytics(policies.google.com/privacy) — análise de uso e estabilidade: eventos de uso associados a identificadores de dispositivo (ex.: “registrou peso”) — por desenho, os valores de saúde em si nunca entram nos eventos.
• Apple Inc. e Google LLC (lojas de aplicativos) — processamento de pagamentos da assinatura, conforme as políticas das próprias lojas.
• Vercel Inc. (vercel.com/legal/privacy-policy) — hospedagem deste site e do painel do profissional (registros técnicos de acesso, como endereço IP, por curto período, para segurança e operação).

Ferramentas de gravação de sessão (replay) estão desativadas nesta versão do aplicativo; se algum dia forem ativadas, esta política será atualizada antes, com mascaramento obrigatório de qualquer tela com dado de saúde. Não vendemos dados pessoais e não compartilhamos dados de saúde com redes de publicidade. Poderemos compartilhar dados se exigido por lei ou ordem de autoridade competente, no limite da exigência.

Os operadores listados na seção 9 armazenam ou processam dados nos Estados Unidos (e, conforme a infraestrutura de cada um, em outras regiões de nuvem). Essas transferências ocorrem com base no art. 33 da LGPD, mediante garantias contratuais adequadas firmadas com cada operador (cláusulas contratuais de proteção de dados e acordos de processamento — DPAs), mantendo o padrão de proteção exigido pela lei brasileira.

• Criptografia em trânsito (TLS) em todas as comunicações e em repouso na infraestrutura de banco e arquivos;
• Controle de acesso por usuário no banco de dados (row-level security): cada conta só acessa os próprios registros;
• Acesso do profissional vinculado restrito, no servidor, ao escopo exato que você consentiu, revalidado a cada acesso;
• Arquivos de documentos e fotos em área privada, acessados por links assinados de curta duração — nunca públicos;
• Chaves e segredos mantidos em servidor, nunca no aplicativo instalado;
• Minimização: equipes e sistemas só acessam o necessário para a finalidade; valores de saúde fora de logs e ferramentas de análise.

Nenhum sistema é 100% imune. Em caso de incidente de segurança com risco relevante, comunicaremos você e a Autoridade Nacional de Proteção de Dados (ANPD), conforme o art. 48 da LGPD.

Mantemos seus dados enquanto sua conta existir. Ao excluir a conta (no app, em Perfil → Conta → Excluir conta, ou pelo e-mail abaixo), apagamos seus dados pessoais — registros de saúde, fotos, documentos, conversas com a assistente e vínculos com profissionais.

Prazos de retenção após a exclusão (sujeitos a ajuste na revisão jurídica):

• Registros de saúde, fotos, documentos e conversas: eliminados na exclusão da conta; cópias de segurança (backups) de infraestrutura expiram automaticamente em até 30 dias.
• Registros de acesso à aplicação: 6 meses, por obrigação legal (art. 15 do Marco Civil da Internet — Lei nº 12.965/2014).
• Registros fiscais e de assinatura: 5 anos, por obrigação fiscal e para defesa em processos (art. 7º, II e VI).
• Trilha de auditoria de acessos do profissional vinculado: mantida enquanto a sua conta e o vínculo existirem, em formato que registra apenas quem acessou o quê e quando — nunca os valores de saúde. É eliminada junto com a exclusão da conta.

Você pode, a qualquer momento e gratuitamente, solicitar:

• Confirmação de tratamento e acesso aos seus dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• Portabilidade dos dados;
• Informação sobre compartilhamentos realizados;
• Revogação de consentimentos (incluindo o da IA e o do Conecta), com efeitos a partir da revogação;
• Eliminação dos dados tratados com base em consentimento;
• Revisão de decisões automatizadas, quando aplicável (o MounFlow não toma decisões automatizadas com efeito jurídico sobre você).

Para exercer qualquer direito, escreva para privacidade@mounflow.com.br. Respondemos nos prazos da LGPD. Você também pode peticionar à ANPD.

O MounFlow é destinado a maiores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes; contas identificadas nessa situação serão encerradas e os dados eliminados.

As páginas institucionais deste site não usam cookies de rastreamento e não coletam dados pessoais de visitantes. A hospedagem do site (Vercel Inc.) mantém registros técnicos de acesso (como endereço IP) por curto período, para segurança e operação da infraestrutura — prática padrão de qualquer hospedagem. Se ferramentas de medição de audiência forem adotadas no futuro, esta seção será atualizada antes da ativação.

O painel do profissional (área de login do MounFlow Conecta) é a exceção funcional: ele tem formulários de cadastro e acesso (seção 8) e usa armazenamento local estritamente necessário para manter a sessão do profissional autenticado — sem cookies de publicidade e sem rastreadores de terceiros. As páginas do painel não são indexáveis por buscadores e aplicam política de referenciador que impede o vazamento de endereços de página ao navegar para fora do painel.

Encarregado pelo tratamento de dados pessoais: [nome do encarregado — a definir]. Contato: privacidade@mounflow.com.br.

Podemos atualizar esta política para refletir mudanças no produto ou na legislação. Mudanças relevantes serão avisadas no app com antecedência razoável e, quando a lei exigir, com novo pedido de consentimento. O histórico de versões ficará disponível nesta página.

Dúvidas sobre esta política ou sobre seus dados: privacidade@mounflow.com.br. Suporte geral do aplicativo: suporte@mounflow.com.br.