Portal LGPD · Lei 13.709/2018

Proteção de dados & LGPD

A Orvax Health está comprometida com a privacidade e a proteção dos dados pessoais que trata. Esta página reúne nosso programa de conformidade com a Lei Geral de Proteção de Dados (LGPD) e os canais para exercício dos direitos do titular.

RESPONSÁVELOrvax Health
CNPJ65.027.554/0001-28
ENCARREGADO · DPOlgpd@orvaxhealth.com.br

Nosso compromisso

A privacidade não é um item de checklist para a Orvax Health — é parte do desenho do produto. Operamos o princípio de minimização de dados: tratamos apenas o estritamente necessário para entregar inteligência sobre o mercado de saúde suplementar, e exclusivamente a partir de bases públicas oficiais.

Não tratamos dados pessoais de beneficiários, pacientes ou prontuários. Os dados pessoais tratados se restringem aos colaboradores dos nossos clientes e a usuários da plataforma.

Agentes de tratamento

  • Controlador: Orvax Health, CNPJ 65.027.554/0001-28, em relação aos dados de cadastro, faturamento e uso da plataforma.
  • Operadora: Orvax Health, quando trata dados pessoais por conta e sob instruções de Clientes que sejam controladores próprios.

Encarregado pelo tratamento (DPO)

Nomeamos formalmente um Encarregado pelo Tratamento de Dados Pessoais, conforme art. 41 da LGPD, responsável por:

  • Receber e responder a solicitações de titulares;
  • Ser canal de comunicação com a ANPD;
  • Orientar funcionários e contratados sobre práticas a serem adotadas;
  • Executar as demais atribuições determinadas pelo controlador.
Contato direto com o DPO

lgpd@orvaxhealth.com.br

Dados pessoais que tratamos

  • Identificação: nome, e-mail corporativo, telefone, cargo;
  • Empresa: razão social, CNPJ, segmento;
  • Acesso: log de autenticação, IP, dispositivo;
  • Uso: módulos acessados, filtros, exportações;
  • Faturamento: dados fiscais necessários à emissão de NF-e.

Não tratamos dados sensíveis (saúde, biometria, dados de menores) na operação ordinária da plataforma.

Bases legais utilizadas

  • Execução de contrato (art. 7º, V) — prestação dos serviços contratados;
  • Cumprimento de obrigação legal (art. 7º, II) — emissão fiscal, retenção exigida por lei;
  • Legítimo interesse (art. 7º, IX) — segurança, prevenção a fraudes, melhoria do produto;
  • Consentimento (art. 7º, I) — marketing e cookies não essenciais.

Direitos do titular

Você tem direito a, gratuitamente:

  1. Confirmação da existência de tratamento;
  2. Acesso aos dados tratados;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
  5. Portabilidade a outro fornecedor;
  6. Eliminação dos dados tratados com base em consentimento;
  7. Informação sobre as entidades com as quais compartilhamos seus dados;
  8. Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
  9. Revogação do consentimento;
  10. Oposição a tratamento realizado com fundamento em hipóteses dispensadas de consentimento.

Como exercer seus direitos

Envie a solicitação para nosso DPO informando:

  • Nome completo e e-mail de contato;
  • Empresa, se aplicável;
  • Direito que pretende exercer;
  • Descrição clara do pedido.
Canal oficial

lgpd@orvaxhealth.com.br — atendimento em até 15 dias a contar da solicitação.

Para sua segurança, podemos solicitar informações adicionais para confirmar a identidade do titular antes de processar o pedido.

Medidas de segurança

Aplicamos controles técnicos e organizacionais proporcionais ao risco, incluindo:

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256);
  • Autenticação multifator (MFA) obrigatória para administradores;
  • Controle de acesso por perfil e princípio do menor privilégio;
  • Registros de auditoria de eventos sensíveis;
  • Backups criptografados com testes periódicos de restauração;
  • Revisões de código com foco em segurança e dependências monitoradas;
  • Treinamento periódico de pessoal sobre proteção de dados.

Operadores e transferências

Contratamos operadores reconhecidos no mercado para infraestrutura em nuvem, e-mail transacional, CRM e ferramentas operacionais, todos submetidos a contratos de proteção de dados (DPA) compatíveis com a LGPD.

Eventuais transferências internacionais de dados pessoais ocorrem exclusivamente para países com nível adequado de proteção ou mediante cláusulas-padrão e garantias específicas previstas no art. 33 da LGPD.

Tratamento de incidentes

Mantemos plano formal de resposta a incidentes. Em caso de evento que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, com informações sobre natureza, dados envolvidos, medidas adotadas e riscos relacionados.

Autoridade Nacional de Proteção de Dados

O titular pode, a qualquer momento, peticionar à ANPD — autoridade competente para fiscalizar o cumprimento da LGPD no Brasil.

  • Site: gov.br/anpd
  • Canal de atendimento ao titular disponível no portal oficial