Blog Institucional

Política de Exclusão e Retenção de Dados – Lumos Med

Lucas Matheus
04/02/2026 10 min leitura
Institucional 04/02/2026

Política de Exclusão e Retenção de Dados – Lumos Med

Esta Política explica como solicitar exclusão , anonimização ou bloqueio/restrição de dados na Lumos Med, quais são os prazos operacionais , e quais dados não podem ser apagados…

Esta Política explica como solicitar exclusão , anonimização ou bloqueio/restrição de dados na Lumos Med, quais são os prazos operacionais , e quais dados não podem ser apagados…

Esta Política explica como solicitar exclusão, anonimização ou bloqueio/restrição de dados na Lumos Med, quais são os prazos operacionais, e quais dados não podem ser apagados imediatamente por obrigação legal, ética e de segurança — especialmente em contexto de saúde/prontuário (PEP).

1. Escopo e conceitos fundamentais

Esta Política se aplica a:

  • Visitantes do site (ex.: formulários e preferências de consentimento);
  • Usuários da Plataforma (clínicas, profissionais de saúde, administradores e colaboradores);
  • Pacientes cujos dados sejam tratados na Plataforma por uma clínica/profissional.

Conceitos para evitar dúvidas:

  • Exclusão/Eliminação: remoção de dados pessoais de ambientes de produção, quando tecnicamente possível e juridicamente permitido.
  • Anonimização: transformação do dado para que não seja possível identificar o titular de forma efetiva (não reversível por meios razoáveis).
  • Bloqueio/Restrição: preservação do dado com interrupção do uso operacional e limitação de acesso, quando a eliminação não for possível por obrigação legal/ética ou para segurança.
  • Produção x Backups: a exclusão/bloqueio ocorre primeiro em produção; cópias residuais podem permanecer em backups por prazo limitado de rotação/expurgo (ver Seção 9).
  • Suboperadores: fornecedores que tratam dados para viabilizar o serviço (ex.: cloud/hospedagem, monitoramento, mensageria, BI/analytics, assinatura, suporte), conforme Política de Privacidade e DPA (quando aplicável).

2. Papéis na LGPD e para onde o pedido deve ir (Controladora/Operadora)

2.1. Pedidos de pacientes (dados assistenciais)

Quando a Plataforma é usada por uma clínica/profissional para prontuário, teleconsulta, prescrição e atendimento, a clínica/profissional normalmente atua como Controladora dos dados do paciente, e a Lumos atua como Operadora, tratando dados conforme instruções.

Na prática:

  • Se você é paciente, o canal principal para pedidos (inclusive eliminação, acesso e cópias) é a clínica/profissional que realizou o atendimento.
  • A Lumos pode auxiliar tecnicamente e encaminhar a solicitação, mas pode exigir instruções formais da Controladora e validação de vínculo para executar medidas em dados assistenciais.

2.2. Pedidos de usuários (conta, suporte, segurança e cobrança do plano)

Para dados de cadastro da conta, administração do plano, suporte, segurança e obrigações legais, a Lumos pode atuar como Controladora (por finalidade). Nesses casos, o pedido pode ser tratado diretamente pela Lumos.

3. O que você pode solicitar (e diferenças práticas)

Você pode solicitar, conforme o caso:

  1. Exclusão de conta/cadastro (usuário administrador/colaborador);
  2. Exclusão de dados de marketing (ex.: newsletter/campanhas);
  3. Anonimização quando a exclusão não for possível;
  4. Bloqueio/restrição para dados retidos por obrigação legal/ética/segurança;
  5. Relatório do que foi excluído e do que foi retido, com justificativa.

Pedidos podem ser totalmente atendidos, parcialmente atendidos ou negados, conforme obrigações legais, deveres éticos (saúde) e requisitos de segurança (ver Seção 8).

4. Exportação/portabilidade antes da exclusão (passo obrigatório recomendado)

Antes de processarmos exclusão de dados do cliente/Controlador (especialmente em saúde/PEP), recomendamos fortemente:

  • Exportar dados (ex.: CSV/JSON/PDF conforme recursos do plano);
  • Gerar cópia do prontuário/documentos clínicos conforme rotina interna da clínica/profissional;
  • Validar integridade do arquivo exportado e armazenamento seguro.

4.1. Por que isso importa (PEP/prontuário)

Em muitos cenários, prontuários e documentos clínicos têm obrigações legais e éticas de guarda e não podem ser simplesmente apagados. Assim, a exportação pode ser o caminho correto para garantir continuidade operacional e conformidade.

Em caso de cancelamento de plano, a janela e meios de exportação seguem também os Termos e o contrato aplicável.

5. Como solicitar (canais oficiais)

Envie sua solicitação por um dos canais:

Assunto sugerido: Solicitação LGPD – Exclusão/Anonimização/Bloqueio

Inclua:

  • Nome completo;
  • E-mail/telefone vinculado à conta (se houver);
  • Perfil: ( ) paciente ( ) usuário da plataforma ( ) visitante do site
  • Pedido objetivo (ex.: “excluir conta”, “bloquear dados”, “excluir marketing”);
  • Se paciente: nome da clínica/profissional e, se possível, data aproximada do atendimento.

6. Validação de identidade e legitimidade (critérios mínimos + níveis)

Para prevenir exclusões indevidas por fraude, aplicamos validação proporcional ao risco. Podemos solicitar, conforme o caso:

6.1. Nível 1 (baixo risco)

  • Confirmação por e-mail cadastrado e/ou verificação de informações básicas da conta.

6.2. Nível 2 (risco médio)

  • Documento oficial com foto (com dados não necessários ocultados quando possível);
  • Confirmação por segundo fator quando disponível (ex.: código enviado para e-mail/telefone cadastrado).

6.3. Nível 3 (alto risco / dados sensíveis / prontuário / representante legal)

  • Documento oficial com foto + prova de vínculo;
  • Representação legal (procuração, tutela/curatela, termo de representação);
  • Para pacientes: confirmação pela Controladora (clínica/profissional) e/ou instrução formal.

Pedidos incompletos podem ser devolvidos para complementação. Se houver indícios de fraude, podemos suspender o processamento até validação adequada.

7. Prazos operacionais (SLA)

  • Confirmação de recebimento: em até 2 (dois) dias úteis.
  • Prazo médio de processamento: 5 a 10 dias úteis, após validação.
  • Casos complexos (grande volume, múltiplas integrações, dependência de instrução da Controladora, acionamento de suboperadores) podem exigir prazo maior — e informaremos status, motivo e estimativa.

8. Limites da exclusão (o que pode ser retido e por quê)

A exclusão na LGPD não é absoluta. Podemos reter dados quando houver:

8.1. Prontuários e dados assistenciais (saúde/PEP)

Dados assistenciais e prontuários podem estar sujeitos a obrigações legais e éticas de guarda. Por isso, em regra:

  • Não prometemos remoção integral de prontuário quando houver obrigação de guarda;
  • Podemos aplicar bloqueio/restrição, segregação de acesso e/ou anonimização quando permitido;
  • Em pedidos de pacientes, a execução pode depender da Controladora e de suas obrigações legais/éticas.

Retenção mínima referencial (prontuário): em geral, 20 (vinte) anos a partir do último registro, podendo existir exigências maiores conforme norma e política do Controlador.

8.2. Logs e trilhas de auditoria (segurança)

Registros técnicos e de segurança (logs) podem ser retidos para:

  • segurança, auditoria e prevenção a fraudes;
  • resposta a incidentes e investigações;
  • proteção da Plataforma e exercício regular de direitos.

Prazo mínimo legal de logs de acesso a aplicações: 6 (seis) meses, conforme Marco Civil da Internet (art. 15), além de retenções justificadas por segurança e auditoria, quando necessário e proporcional.

8.3. Obrigações legais, fiscais/contábeis e exercício regular de direitos

Alguns dados podem ser mantidos pelo prazo exigido por lei e/ou para exercício regular de direitos, por exemplo:

  • registros fiscais e documentais;
  • registros contábeis;
  • evidências de contratação e cobranças do plano;
  • evidências necessárias para defesa em disputas.

Nesses casos, informaremos quais dados foram retidos e o fundamento.

9. Backups, expurgo e ciclo de deleção (produção → backups)

Após a exclusão/bloqueio em produção, cópias residuais podem permanecer em backups por prazo limitado de rotação/expurgo.

Regras:

  • Dados excluídos em produção não retornam ao uso operacional, exceto em hipótese de recuperação de desastre;
  • Acesso a backups é restrito, controlado e auditável.

Prazo de rotação/expurgo de backups: até 90 (noventa) dias, podendo variar conforme ambiente e políticas de segurança.

10. Exclusão em suboperadores (propagação e confirmação)

10.1. Como a exclusão se propaga

Quando dados forem tratados por suboperadores (ex.: cloud/hospedagem, monitoramento, mensageria, BI/analytics, assinatura, suporte), a Lumos executará a solicitação de exclusão/anonimização/bloqueio também nesses suboperadores, quando aplicável, observados:

  • limitações técnicas do serviço;
  • prazos operacionais do fornecedor;
  • retenções legais/contratuais;
  • necessidade de instrução da Controladora (quando a Lumos atuar como Operadora).

10.2. O que o solicitante recebe como retorno (padrão de transparência)

A confirmação ao solicitante indicará, de forma objetiva:

  1. O que foi excluído/anonimizado/bloqueado em produção;
  2. O que foi retido e por qual fundamento (ex.: prontuário/guarda; logs/segurança; fiscal);
  3. Prazo de expurgo em backups (até 90 dias);
  4. Quais categorias de suboperadores foram acionadas e, quando aplicável, a conclusão do acionamento (ex.: solicitado/confirmado/pendente por prazo técnico).

Importante: não divulgamos detalhes que comprometam segurança (ex.: arquitetura interna, chaves, logs sensíveis). A transparência é fornecida no nível necessário para comprovar execução e fundamento de retenção.

11. O que você recebe ao final (comprovante)

Concluído o processo, enviaremos:

  • confirmação das ações realizadas (exclusão/anonimização/bloqueio);
  • resumo do escopo afetado;
  • itens retidos e fundamentos;
  • prazos aplicáveis (ex.: expurgo de backup);
  • orientações adicionais, quando necessário (ex.: exportação obrigatória antes de cancelamento; contato com a Controladora).

12. Casos especiais

12.1. Crianças e adolescentes

Dados de crianças/adolescentes como pacientes são tratados sob responsabilidade da Controladora e podem exigir prova de representação legal.

12.2. Pedido por representante legal

Exige documentação comprobatória (procuração, tutela/curatela, termo de representação).

13. Relação com outros documentos

Esta Política complementa:

14. Atualizações desta Política

Podemos atualizar esta Política para refletir mudanças legais, regulatórias, técnicas ou de negócio. A data de vigência/atualização constará no cabeçalho.

15. Contato

Versão: 2.1 (Ajustes: propagação em suboperadores, exportação antes da exclusão, critérios mínimos de autenticação)
Última atualização: 2026-02-04

#exclusãodedados #retençãodedados #remoçãodeconta #lgpd #direitosdotitular #prontuárioeletrônico
Compartilhar link:

Continue lendo

Institucional

Acordo de Processamento de Dados (DPA) – Lumos Med

DPA (Acordo de Processamento de Dados) Este Acordo de Processamento de Dados (“ DPA ”) define as obrigações aplicáveis ao tratamento de dados pessoais realizado pela Lumos Med…

04/02/2026 Ler artigo
Institucional

Política de Cookies – Lumos Med

Utilizamos cookies e tecnologias semelhantes para garantir segurança, funcionamento, preferências e, quando você consentir, para análises e marketing. Esta Política explica…

04/02/2026 Ler artigo
Institucional

Política de Privacidade – Lumos Med

Esta Política explica como tratamos dados pessoais no site e na Plataforma Lumos Med , incluindo dados sensíveis de saúde quando a Plataforma é utilizada por clínicas e…

04/02/2026 Ler artigo
Institucional

Termos de Serviço – Lumos Med

Estes Termos de Serviço regulam o acesso e uso da plataforma Lumos Med . Ao criar conta, contratar plano ou utilizar qualquer funcionalidade, você declara que leu, compreendeu e…

04/02/2026 Ler artigo
Segurança

Segurança de dados e LGPD: como proteger sua clínica médica

A privacidade e a proteção de dados pessoais se tornaram obrigações legais para clínicas médicas no Brasil. Com a Lei Geral de Proteção de Dados (LGPD) em vigor, clínicas,…

12/06/2025 Ler artigo
Gestão de Clínica

Automação em clínicas: como fazer e o que automatizar na prática

Lead: Administrar uma clínica médica envolve muito mais do que apenas consultas. São dezenas de processos diários que, quando feitos manualmente, consomem tempo e aumentam o risco…

03/08/2025 Ler artigo