LGPD / Segurança

Última atualização: 18/06/2026 às 14:52

Lei nº 13.709/2018

A OCTOR LTDA (CNPJ 47.947.003/0001-09) está em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018). Esta página explica como aplicamos a lei na proteção dos dados de saúde dos seus pacientes e na operação segura da plataforma Octor.

Documentos complementares

Para detalhes sobre coleta, finalidades e compartilhamento, consulte também nossa Política de Privacidade e o Contrato de Tratamento de Dados (DPA).

1. Nosso compromisso com a LGPD

A LGPD classifica dados de saúde como dados pessoais sensíveis, sujeitos a proteção especial. A Octor trata esses dados com o mais alto nível de cuidado, adotando medidas técnicas e organizacionais proporcionais à sua sensibilidade.

Informação importante

Nossa conformidade é contínua — revisamos processos, controles e documentação regularmente para manter o alinhamento com a legislação e as orientações da ANPD (Autoridade Nacional de Proteção de Dados).

2. Dados sensíveis de saúde

No contexto da plataforma Octor, dados sensíveis de saúde incluem:
  • Anamnese e história clínica dos pacientes;
  • Diagnósticos, condições de saúde e evoluções de atendimento;
  • Registros de prontuário eletrônico, prescrições e integrações (ex.: Memed);
  • Documentos clínicos (atestados, relatórios, laudos e anexos);
  • Exames, imagens e arquivos vinculados ao prontuário (Octor Cloud).

Informação importante

Esses dados são tratados exclusivamente para a finalidade de gestão clínica e administrativa da clínica ou profissional contratante, com base legal conforme o caso (tutela da saúde, execução de contrato, consentimento ou obrigação legal).

3. Responsabilidades

Octor como operadora

Em relação aos dados dos pacientes inseridos na plataforma, a Octor frequentemente atua como operadora — processa os dados em nome da clínica ou profissional contratante (controlador), seguindo instruções contratuais e os limites da Política de Privacidade e do DPA.

Clínica ou profissional como controlador

A clínica ou profissional que utiliza a Octor é o controlador dos dados dos seus pacientes, leads e equipe. É de sua responsabilidade:

  • Possuir base legal adequada para o tratamento clínico e comercial;
  • Informar titulares sobre o tratamento, quando aplicável;
  • Garantir que os dados inseridos sejam corretos e necessários;
  • Atender às solicitações dos titulares (pacientes) quanto aos seus dados;
  • Gerenciar perfis de acesso e credenciais da equipe.

Informação importante

A clínica contratante é responsável por garantir base legal adequada para o tratamento de dados de pacientes e por utilizar a plataforma em conformidade com a LGPD e normas do setor de saúde.

4. Medidas de segurança aplicadas

Adotamos controles técnicos e organizacionais para proteger dados pessoais e sensíveis, incluindo:
  • Criptografia TLS (HTTPS) para todos os dados em trânsito;
  • Criptografia em repouso para campos clínicos sensíveis (AES-256);
  • Isolamento multi-tenant — cada conta possui ambiente lógico separado, sem acesso cruzado entre clínicas;
  • Autenticação segura com sessões e tokens de acesso controlados;
  • Controle de acesso por função (RBAC) — perfis como administrador, profissional, recepcionista e demais papéis configuráveis;
  • Backups automatizados com política de retenção definida;
  • Infraestrutura em nuvem com alta disponibilidade e redundância;
  • Logs de auditoria para rastreabilidade de acessos e alterações em prontuário;
  • Políticas internas de segurança, confidencialidade e treinamento de equipe.

5. Direitos dos titulares (pacientes)

Conforme o Art. 18 da LGPD, os pacientes (titulares dos dados) têm direito a:
  • Confirmação da existência de tratamento;
  • Acesso aos seus dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários;
  • Portabilidade dos dados a outro fornecedor, quando aplicável;
  • Revogação do consentimento, quando o tratamento tiver essa base legal;
  • Informação sobre compartilhamentos e possibilidade de não consentir.

Informação importante

Solicitações de pacientes devem ser encaminhadas, em regra, à clínica ou profissional responsável (controlador). A Octor apoiará o atendimento das solicitações dentro de seus limites técnicos e contratuais, conforme previsto no DPA.

Para exercer direitos em relação a dados tratados diretamente pela Octor (conta, suporte, site), entre em contato pelo canal indicado na seção 7.

6. Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Octor se compromete a:
  • Notificar o controlador contratante e, quando aplicável, a ANPD no prazo de até 72 horas após a ciência do incidente;
  • Comunicar os usuários afetados de forma clara e tempestiva, quando couber;
  • Adotar medidas imediatas de contenção, mitigação e investigação.

Reportar incidente ou vulnerabilidade

Para reportar suspeitas de incidentes ou vulnerabilidades, entre em contato imediatamente: privacidade@octor.com.br

7. Encarregado de Proteção de Dados (DPO)

O encarregado de proteção de dados da Octor é responsável por:
  • Orientar colaboradores e parceiros sobre a LGPD;
  • Atender solicitações de titulares e da ANPD;
  • Coordenar auditorias e revisões de conformidade.

Contato do DPO

E-mail: privacidade@octor.com.br

Prazo de resposta: até 15 dias úteis.

Esta página é atualizada conforme evoluções na legislação e nas práticas de conformidade da Octor.