Blog Institucional

Política de Privacidade – Lumos Med

Lucas Matheus
04/02/2026 10 min leitura
Institucional 04/02/2026

Política de Privacidade – Lumos Med

Esta Política explica como tratamos dados pessoais no site e na Plataforma Lumos Med , incluindo dados sensíveis de saúde quando a Plataforma é utilizada por clínicas e…

Esta Política explica como tratamos dados pessoais no site e na Plataforma Lumos Med , incluindo dados sensíveis de saúde quando a Plataforma é utilizada por clínicas e…

Esta Política explica como tratamos dados pessoais no site e na Plataforma Lumos Med, incluindo dados sensíveis de saúde quando a Plataforma é utilizada por clínicas e profissionais. Nosso compromisso é transparência, segurança e conformidade com a LGPD.

1. Quem somos e escopo desta Política

A LUMOS LTDA desenvolve e opera a plataforma Lumos Med (“Plataforma”) e também o site institucional.

Esta Política se aplica a:

  • Visitantes do site (conteúdos, formulários, cookies);
  • Usuários Contratantes (clínicas e profissionais que contratam a Plataforma) e seus Usuários Autorizados (colaboradores);
  • Pacientes/Titulares cujos dados sejam tratados na Plataforma, no contexto de atendimento e gestão clínica realizada pelo Usuário Contratante.

Importante: quando falamos de dados de pacientes na Plataforma, na maioria dos casos a Lumos atua como Operadora, e a clínica/profissional é a Controladora (detalhes no item 2).

2. Papéis na LGPD (Controladora/Operadora) e implicações práticas

2.1. Quando a clínica/profissional usa a Plataforma (prontuário, teleconsulta, prescrição, agenda, faturamento)

  • Clínica/Profissional (Usuário Contratante): em regra, atua como CONTROLADORA dos dados de pacientes, pois define as finalidades e os meios do tratamento (ex.: registro assistencial, guarda de prontuário, comunicação com paciente, faturamento, etc.).
  • Lumos: em regra, atua como OPERADORA, tratando dados em nome e conforme instruções do Usuário Contratante, para viabilizar a Plataforma, segurança e suporte.

Para pacientes/titulares: pedidos sobre prontuário/atendimento (ex.: cópia do prontuário, retificação clínica, histórico assistencial) devem ser direcionados à clínica/profissional que realizou o atendimento. A Lumos pode apoiar tecnicamente a Controladora, quando aplicável.

2.2. Quando a Lumos atua como Controladora (dados próprios e finalidades próprias)

A Lumos atua como CONTROLADORA para dados necessários a:

  • cadastro do cliente (conta, usuários, permissões);
  • gestão de contrato e assinatura do plano;
  • suporte e relacionamento;
  • segurança, prevenção a fraude/abuso e auditoria técnica;
  • cumprimento de obrigações legais e exercício regular de direitos.

3. Quais dados tratamos (categorias)

3.1. Visitantes do site (institucional)

Podemos tratar:

  • Dados de navegação e técnicos: IP, data/hora, páginas acessadas, identificadores de dispositivo/navegador, logs de acesso, eventos de segurança;
  • Cookies e identificadores: conforme item 8;
  • Dados fornecidos por você: quando preencher formulários (nome, e-mail, telefone, mensagem, empresa).

3.2. Usuários Contratantes e Usuários Autorizados (Plataforma)

Podemos tratar:

  • Dados cadastrais e de conta: nome, e-mail, telefone, cargo, empresa/clinica, CNPJ/CPF quando aplicável;
  • Dados de autenticação e segurança: logs de acesso, trilhas de auditoria, registros de ações, tokens, controle de sessão;
  • Dados de cobrança do plano: status de pagamento, faturas/recibos e dados mínimos necessários.

    Observação: dados completos de cartão (número integral/CVV) normalmente são processados por gateway externo e não precisam ser armazenados pela Lumos.

3.3. Pacientes/Titulares na Plataforma (tratados em nome da Controladora)

Dependendo da configuração da clínica/profissional, a Plataforma pode tratar:

  • Dados de identificação/contato: nome, data de nascimento, documentos, endereço, telefone, e-mail;
  • Dados sensíveis de saúde: anamnese, sinais e sintomas, hipóteses/diagnósticos, exames, prescrições, laudos, imagens/anexos, evolução, alergias, dados biométricos quando aplicável;
  • Dados administrativos do atendimento: agendamentos, confirmações, histórico de presença, convênios/planos, guias e informações administrativas relacionadas ao atendimento;
  • Telemedicina: registros do atendimento e, quando habilitado pela Controladora, anexos e materiais relacionados.

4. Finalidades e bases legais (matriz objetiva)

Abaixo um mapa finalidade → tipo de dado → base legal. Em alguns casos, a base legal é da Controladora (clínica/profissional); em outros, da Lumos.

Finalidade Exemplos de dados Quem define (papel) Base legal típica
Criar e administrar conta na Plataforma dados cadastrais, login, permissões Lumos (Controladora) Execução de contrato
Prestar suporte e atendimento ao cliente mensagens, logs técnicos, dados de conta Lumos (Controladora) Execução de contrato e/ou legítimo interesse (suporte e qualidade)
Segurança, prevenção a fraude/abuso, auditoria técnica IP, logs, trilhas de auditoria, alertas Lumos (Controladora) Legítimo interesse e/ou obrigação legal (conforme o caso)
Cumprir obrigações legais/regulatórias e responder autoridades registros exigidos, comprovações Lumos (Controladora) Obrigação legal/regulatória
Operar módulos clínicos (prontuário, prescrição, teleconsulta, agenda) dados de pacientes, dados de saúde, anexos Clínica/Profissional (Controladora) Hipóteses legais aplicáveis a dados sensíveis (ex.: tutela da saúde)
Comunicação com pacientes (lembretes, mensagens) contato, conteúdo enviado Clínica/Profissional (Controladora) Execução de serviços de saúde e/ou consentimento (quando exigido)
BI/relatórios e indicadores do cliente dados agregados, métricas Lumos (Operadora/Controladora conforme contexto) Execução de contrato; quando envolver pacientes, conforme instruções da Controladora
Marketing do site (newsletter, campanhas) e-mail, preferências Lumos (Controladora) Consentimento (opt-in) ou legítimo interesse quando aplicável e sem dados sensíveis

4.1. Regra de ouro para dados sensíveis de saúde

  • Não usamos “legítimo interesse” como base para tratar dados sensíveis de saúde de pacientes.
  • Para dados sensíveis, aplicamos as hipóteses legais específicas e o tratamento ocorre, em regra, sob responsabilidade da Controladora (clínica/profissional).

5. Dados de crianças e adolescentes

A Plataforma pode tratar dados de crianças e adolescentes quando eles forem pacientes atendidos por clínicas/profissionais usuários do sistema.

Nesses casos:

  • o tratamento é realizado sob responsabilidade da Controladora (clínica/profissional);
  • a Controladora deve observar a legislação aplicável, inclusive representação legal e o melhor interesse do menor quando pertinente.

Para visitantes do site e marketing, a Lumos não direciona comunicações intencionalmente a menores. Se identificarmos coleta indevida no contexto do site, adotaremos medidas de bloqueio/exclusão quando aplicável.

6. Compartilhamento de dados, suboperadores e inventário mínimo

Podemos compartilhar dados apenas quando necessário e com salvaguardas contratuais, com categorias como:

  • Infraestrutura e hospedagem (cloud/backup/monitoramento): para manter a Plataforma disponível e segura;
  • Mensageria e comunicações: e-mail transacional, SMS, WhatsApp Business (quando habilitado pelo cliente);
  • Analytics do site: métricas de uso e desempenho (especialmente no site institucional);
  • Assinatura eletrônica / trilhas de auditoria: quando o cliente habilitar integrações;
  • BI e relatórios: ferramentas de visualização e relatórios (quando contratadas/ativadas pelo cliente);
  • Gateway de pagamento (assinatura do cliente): processamento de cobrança do plano (provedor externo);
  • Autoridades competentes: quando houver obrigação legal, ordem judicial ou requisição válida.

Não vendemos dados pessoais. Não compartilhamos dados para “data brokers”. Compartilhamentos ocorrem para operar a Plataforma, cumprir lei, garantir segurança e executar o contrato.

6.1. Suboperadores (lista atualizada / inventário mínimo)

A Lumos poderá utilizar suboperadores para viabilizar os serviços (ex.: infraestrutura em nuvem/hospedagem, mensageria, BI/analytics, assinatura, suporte, monitoramento).
Para dar transparência operacional (inclusive para auditorias), adotamos um inventário mínimo por categoria, com:

  • Categoria do suboperador (ex.: cloud, mensageria, BI/analytics, assinatura, suporte);
  • Finalidade (por que ele é usado);
  • Tipos de dados (ex.: dados de conta, logs, dados clínicos quando aplicável);
  • Localidade/país/região do tratamento (quando aplicável);
  • Mecanismo de transferência quando envolver exterior (item 7).

A lista consolidada e atualizada (“Lista de Suboperadores”) será disponibilizada:

  • em endereço oficial versionado e/ou painel do cliente (quando aplicável); e/ou
  • mediante solicitação ao canal de privacidade (item 12).

6.2. Inventário mínimo (resumo por categoria — visão rápida)

Categoria Para que usamos Tipos de dados típicos Observações
Infraestrutura/Cloud/Hospedagem Operação do SaaS, disponibilidade, escalabilidade dados de conta, dados clínicos quando aplicável, metadados técnicos Pode envolver processamento fora do Brasil (ver item 7 e Lista de Suboperadores)
Backup/Continuidade Recuperação e resiliência dados necessários à restauração Retenção e ciclos detalhados na Política de Exclusão/Retenção
Monitoramento/Segurança Detecção de incidentes, auditoria, performance logs técnicos, eventos de segurança, identificadores Minimização e controle de acesso
Mensageria (e-mail/SMS/WhatsApp) Notificações e comunicação habilitada pelo cliente dados de contato e conteúdo enviado conforme configuração Pode exigir aceites/termos do provedor e bases legais da Controladora
Assinatura eletrônica / trilhas Assinatura de documentos e evidências auditáveis dados do signatário e evidências técnicas Terceiro específico quando habilitado
BI/Analytics Relatórios e indicadores métricas agregadas; eventualmente dados conforme instruções Preferência por agregação/minimização
Suporte/Atendimento Atendimento técnico e relacionamento dados de conta; eventualmente logs; conteúdos enviados pelo cliente Acesso restrito e controlado

Nota importante (pacientes): quando envolver dados clínicos, o tratamento por suboperadores ocorre sob o papel de Operadora e conforme instruções do Controlador, regido também pelo DPA.

7. Transferência internacional de dados (mecanismos e transparência)

A depender dos provedores contratados (ex.: infraestrutura em nuvem, monitoramento, mensageria, BI), pode ocorrer transferência internacional.

Quando isso acontecer, a Lumos adotará salvaguardas e mecanismos aplicáveis, como:

  • cláusulas contratuais e obrigações de segurança e confidencialidade com suboperadores;
  • medidas técnicas de proteção (criptografia, segregação por cliente, controle de acesso, auditoria);
  • mecanismos legais de transferência previstos na LGPD, conforme o caso concreto (ex.: hipóteses legais aplicáveis, garantias contratuais, padrões equivalentes de proteção, e demais mecanismos admitidos em lei/regulamentação).

7.1. Transparência prática (o que você consegue ver/solicitar)

Você pode solicitar, pelo canal do item 12:

  • categorias de suboperadores envolvidos;
  • países/regiões onde dados podem ser processados;
  • finalidades por categoria;
  • o endereço/versionamento da Lista de Suboperadores aplicável ao seu contrato/plano.

8. Cookies e tecnologias semelhantes

Utilizamos cookies e tecnologias semelhantes no site e, quando aplicável, na Plataforma, para:

  • Cookies essenciais: funcionamento, segurança, autenticação;
  • Cookies de desempenho/analytics: entender uso e melhorar experiência;
  • Cookies de funcionalidade: lembrar preferências;
  • Cookies de marketing: quando houver campanhas e somente quando aplicável.

Como gerenciar: você pode ajustar preferências pelo banner/gerenciador de cookies (quando disponível) e/ou pelas configurações do navegador.

Detalhes completos estão na Política de Cookies .

9. Inteligência Artificial, automações e BI

Quando habilitadas, funcionalidades de IA/automação e BI podem:

  • gerar sumarizações e insights operacionais;
  • apoiar relatórios e rotinas administrativas;
  • sugerir padrões e alertas (ex.: qualidade de cadastro, produtividade, indicadores).

9.1. Não-treinamento com dados identificáveis de pacientes

A Lumos não utiliza dados de saúde identificáveis de pacientes inseridos em prontuários para treinar modelos de IA generativa públicos ou de terceiros.

Qualquer análise para melhoria do serviço deve ocorrer:

  • com dados anonimizados de forma efetiva (não reversível por meios razoáveis), quando aplicável; e/ou
  • com controles e bases legais aplicáveis, respeitando instruções da Controladora e transparência quando exigida.

9.2. Logs de prompts/saídas (quando existirem)

Podemos manter logs técnicos mínimos relacionados a prompts/saídas apenas quando necessário para:

  • segurança, prevenção a abuso e auditoria;
  • investigação de incidentes e melhoria operacional.

Esses logs observam:

  • controle de acesso e segregação;
  • criptografia quando aplicável;
  • retenção limitada ao necessário e descarte/anonimização quando possível.

9.3. Revisão humana e decisões automatizadas (art. 20 / LGPD)

Se algum tratamento automatizado for utilizado em contexto que gere efeitos relevantes ao titular, o titular pode solicitar revisão humana, conforme aplicável e conforme o papel (Controladora/Operadora) no caso concreto.
No contexto de dados de pacientes, a solicitação normalmente é operacionalizada pela Controladora (clínica/profissional), com apoio técnico quando aplicável.

10. Retenção e descarte (com quadro-resumo)

Mantemos dados pelo tempo necessário para:

  • execução do contrato e prestação do serviço;
  • cumprimento de obrigações legais/regulatórias;
  • segurança, auditoria e prevenção a fraude/abuso;
  • exercício regular de direitos em processos.

10.1. Quadro de retenção (resumo por categoria)

Este quadro é um resumo prático. O detalhamento operacional e exceções (ex.: exigências legais, investigação, disputa) está na Política de Exclusão/Retenção de Dados e no DPA quando aplicável.

Categoria Prazo típico (resumo) Observações
Dados de conta/contrato (cliente/usuários) Durante a relação contratual + prazos legais aplicáveis Ex.: fiscal/contábil quando aplicável
Logs de acesso e segurança mínimo legal aplicável (comumente 6 meses) e/ou tempo necessário à segurança Minimização, acesso restrito, finalidade de segurança
Backups operacionais janela limitada (ex.: até 90 dias) Voltado à continuidade/recuperação; detalhes na Política de Exclusão
Dados clínicos (prontuário/documentos) Definidos pela Controladora conforme normas aplicáveis Em saúde, a guarda costuma ter prazo mínimo elevado (comumente 20 anos a partir do último registro), podendo existir exigência maior/permanente conforme norma e política do Controlador

Solicitações de exclusão/anonimização seguem também a Política de Exclusão/Retenção de Dados e o DPA (quando houver).

11. Segurança da informação

Adotamos medidas técnicas e organizacionais compatíveis com o risco, incluindo (quando aplicável):

  • criptografia em trânsito (TLS/SSL) e em repouso;
  • controle de acesso por perfil (RBAC), autenticação e segregação de permissões;
  • trilhas de auditoria e monitoramento;
  • backup e rotinas de continuidade;
  • testes e correções de vulnerabilidades em ciclos regulares.

Nenhum sistema é 100% inviolável, mas trabalhamos continuamente para reduzir riscos e responder rapidamente a incidentes.

12. Direitos dos titulares e como exercer

Você pode exercer os direitos previstos na LGPD, incluindo:

  • confirmação da existência de tratamento;
  • acesso, correção e atualização;
  • anonimização, bloqueio ou eliminação (quando aplicável);
  • portabilidade (quando aplicável);
  • informação sobre compartilhamentos;
  • revogação de consentimento (quando a base for consentimento);
  • oposição (quando aplicável);
  • revisão de decisões automatizadas (quando aplicável).

12.1. Canal do Encarregado (DPO)

Para assuntos de privacidade e LGPD, contate o Encarregado:

  • E-mail: dpo@lumosmed.com.br
  • Assunto sugerido: “LGPD – Solicitação de Titular”
  • Conteúdo mínimo: identificação do solicitante, relação com a Plataforma (visitante/cliente/paciente), descrição do pedido e, se possível, documentos de comprovação.

12.2. Prazos e validação de identidade

  • Podemos responder de forma simplificada quando possível ou de forma completa dentro de prazo razoável previsto em lei.
  • Para proteger o titular, podemos solicitar informações adicionais para validar identidade e prevenir fraude.
  • Em pedidos envolvendo prontuário/atendimento, o direcionamento principal pode ser a clínica/profissional (Controladora) responsável pelo atendimento.

13. Incidentes de segurança (SLA alinhado ao DPA)

13.1. Em caso de incidente que possa acarretar risco ou dano relevante, adotaremos medidas de contenção, investigação e mitigação.

13.2. SLA de notificação ao Controlador (quando atuarmos como Operadora). Identificada a ocorrência de incidente de segurança envolvendo dados pessoais tratados pela Lumos como Operadora, a Lumos notificará o Controlador em até 48 (quarenta e oito) horas contadas da confirmação do incidente, com as informações disponíveis sobre:

  • natureza do evento;
  • categorias de dados potencialmente afetados;
  • medidas adotadas para contenção;
  • recomendações de mitigação;
  • próximos passos e prazos estimados (quando aplicável), sem prejuízo de complementação posterior conforme a apuração evoluir.

13.3. A Lumos cooperará de forma razoável com o Controlador para atendimento de obrigações legais perante titulares e/ou autoridades competentes, observados o DPA e a legislação aplicável.

14. Atualizações desta Política

Podemos atualizar esta Política para refletir mudanças legais, regulatórias, técnicas ou operacionais. A versão vigente estará publicada nesta página, com data no cabeçalho.

15. Contato geral

Para dúvidas gerais (não-LGPD), utilize:

Para solicitações LGPD e privacidade (DPO), utilize:

Versão: 2.1 (Ajustes: Transferência internacional/Suboperadores/Retenção/Incidentes 48h)
Última atualização: 2026-02-04

#privacidade #políticadeprivacidade #dadospessoais #lgpd #saúde
Compartilhar link:

Continue lendo

Institucional

Política de Cookies – Lumos Med

Utilizamos cookies e tecnologias semelhantes para garantir segurança, funcionamento, preferências e, quando você consentir, para análises e marketing. Esta Política explica…

04/02/2026 Ler artigo
Institucional

Acordo de Processamento de Dados (DPA) – Lumos Med

DPA (Acordo de Processamento de Dados) Este Acordo de Processamento de Dados (“ DPA ”) define as obrigações aplicáveis ao tratamento de dados pessoais realizado pela Lumos Med…

04/02/2026 Ler artigo
Institucional

Política de Exclusão e Retenção de Dados – Lumos Med

Esta Política explica como solicitar exclusão , anonimização ou bloqueio/restrição de dados na Lumos Med, quais são os prazos operacionais , e quais dados não podem ser apagados…

04/02/2026 Ler artigo
Institucional

Termos de Serviço – Lumos Med

Estes Termos de Serviço regulam o acesso e uso da plataforma Lumos Med . Ao criar conta, contratar plano ou utilizar qualquer funcionalidade, você declara que leu, compreendeu e…

04/02/2026 Ler artigo
Segurança

Segurança de dados e LGPD: como proteger sua clínica médica

A privacidade e a proteção de dados pessoais se tornaram obrigações legais para clínicas médicas no Brasil. Com a Lei Geral de Proteção de Dados (LGPD) em vigor, clínicas,…

12/06/2025 Ler artigo
Gestão de Clínica

Lumos Med: O software médico com o melhor custo-benefício do mercado

Lead: Administrar uma clínica com eficiência depende de processo, gente e dados em sintonia. A Lumos Med nasceu para alinhar esses três pilares com um foco simples: oferecer…

14/08/2025 Ler artigo