POLÍTICA DE PRIVACIDADE
XTORY INTELIGÊNCIA ARTIFICIAL LTDA
Versão: 1.0
Data de Vigência: 01 de Janeiro de 2026
Última Atualização: 01 de Janeiro de 2026
Próxima Revisão: 01 de Janeiro de 2027
1. INTRODUÇÃO
A Xtory Inteligência Artificial Ltda (“Xtory”, “nós”, “nosso” ou “nossa”), inscrita no CNPJ 63.736.468/0001-69, com sede na R Laplace, 44, APT 111 BLOCO A – Brooklin Paulista, São Paulo, SP, CEP 04.622-000, Brasil, está comprometida com a proteção da privacidade e dos dados pessoais de todos os indivíduos que interagem com nossa Plataforma.
Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) e demais regulamentações aplicáveis.
Aplicação: Esta política aplica-se a:
- Pacientes de instituições de saúde parceiras cujos dados são processados pela Plataforma Xtory
- Profissionais de saúde (médicos, enfermeiros, técnicos) que utilizam a Plataforma
- Funcionários administrativos de instituições de saúde parceiras
- Colaboradores da Xtory (funcionários, contratados, consultores)
- Visitantes do website www.xtory.ai
2. DEFINIÇÕES
Para os fins desta Política:
- Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável (LGPD Art. 5, I)
- Dados Pessoais Sensíveis: Dados sobre saúde, biometria, origem racial/étnica, convicção religiosa, etc. (LGPD Art. 5, II)
- PHI (Protected Health Information): Dados pessoais sensíveis de saúde de pacientes
- Titular de Dados: Pessoa natural a quem se referem os dados pessoais (LGPD Art. 5, V)
- Tratamento: Toda operação com dados pessoais (coleta, armazenamento, compartilhamento, etc.) (LGPD Art. 5, X)
- Controlador: Instituição de saúde parceira (hospital, clínica, laboratório), responsável pelas decisões sobre o tratamento de dados pessoais de seus pacientes (LGPD Art. 5, VI)
- Operador: Xtory, que processa dados pessoais em nome e sob instruções do Controlador (instituição de saúde) (LGPD Art. 5, VII)
- Encarregado (DPO): Alexandre Aguilar Santos, responsável por comunicação com titulares e ANPD (LGPD Art. 5, VIII)
2.1 Papel da Xtory como Operadora (LGPD Art. 5, VII)
A Xtory atua como Operadora de dados pessoais no contexto do processamento de dados de pacientes de instituições de saúde parceiras:
| Aspecto | Controlador (Hospital) | Operador (Xtory) |
|---|---|---|
| Relação com Paciente | Direta (atendimento, consentimento) | Indireta (sem contato com paciente) |
| Decisão sobre Tratamento | Define finalidades e meios | Executa instruções do Controlador |
| Responsabilidade LGPD | Principal (Art. 42) | Solidária quando descumpre obrigações |
| Base Legal | Obtém consentimento ou aplica base legal | Processa sob contrato com Controlador |
| Direitos dos Titulares | Recebe e responde solicitações | Auxilia Controlador no atendimento |
Nota: Para dados de colaboradores da própria Xtory e visitantes do website, a Xtory atua como Controladora.
3. DADOS PESSOAIS QUE COLETAMOS
3.1 Dados de Pacientes (via Instituições de Saúde Parceiras)
A Xtory processa os seguintes dados pessoais sensíveis de saúde (PHI/HIPAA):
A) Dados de Identificação:
- Nome completo, data de nascimento, idade
- CPF, RG, CNS (Cartão Nacional de Saúde)
- Endereço residencial, telefone, email
B) Dados Clínicos:
- Diagnósticos, sintomas, sinais vitais
- Histórico médico, alergias, medicamentos
- Resultados de exames laboratoriais e de imagem
- Procedimentos médicos realizados (cirurgias, tratamentos)
- Dados fisiológicos e gráficos:
- Eletrocardiogramas (ECG) – formas de onda
- Eletroencefalogramas (EEG)
- Dados de telemetria e monitoramento contínuo
- Monitores multiparamétricos (SpO2, PA, FC)
- Gráficos de tendências fisiológicas
- Formas de onda de ventiladores e monitores
C) Documentação Médica:
- Prontuários eletrônicos (EHR/PEP)
- Notas de evolução médica, prescrições
- Laudos médicos, relatórios, sumários de alta
- Documentos clínicos não estruturados (texto)
- Documentação multimídia:
- Gravações de áudio (ditados médicos, consultas por áudio, notas de voz)
- Vídeos médicos (cirúrgicos, procedimentais, teleconsultas, monitoramento)
- Imagens médicas com vídeo (ultrassom, ecocardiogramas)
D) Dados Administrativos e Financeiros:
- Dados de internação hospitalar
- Informações de convênios/planos de saúde
- Autorizações de procedimentos e códigos de autorização
- Dados financeiros detalhados:
- Faturamento detalhado e contas médicas
- Cobranças e reembolsos de seguros
- Processamento de pagamentos
- Alocação de custos por procedimento
- Reconciliação financeira
- Auditorias de faturamento
- Gestão do ciclo de receita (revenue cycle)
3.2 Dados de Profissionais de Saúde
A Xtory processa dados de profissionais de saúde (médicos, enfermeiros, técnicos) registrados nos sistemas hospitalares (EHR/PEP), utilizando os mesmos processos de IA aplicados aos dados de pacientes:
A) Dados de Identificação Profissional:
- Nome, CRM, CPF, especialidades médicas
- Credenciais profissionais
B) Dados de Atividade Profissional:
- Registros de atendimentos realizados
- Prescrições emitidas, procedimentos realizados
- Logs de uso da Plataforma Xtory
C) Documentação Profissional (incluindo multimídia):
- Notas clínicas, ditados médicos, relatórios (texto, áudio, vídeo)
- Dados fisiológicos e gráficos interpretados (ECG, EEG, telemetria)
- Registros de procedimentos (incluindo vídeos cirúrgicos, procedimentais)
3.3 Dados de Colaboradores da Xtory
- Dados de identificação (nome, CPF, RG, endereço)
- Dados de contato (email, telefone)
- Dados bancários (para pagamento de salários)
- Dados profissionais (CV, qualificações)
- Dados de acesso a sistemas (logs, credenciais)
3.4 Dados de Visitantes do Website
- Dados de navegação (endereço IP, cookies)
- Dados de formulários de contato (nome, email, mensagem)
4. FINALIDADES DO TRATAMENTO DE DADOS
4.1 Finalidades para Dados de Pacientes
A Xtory processa dados de pacientes para as seguintes finalidades:
-
Automação de Workflows Hospitalares por IA:
- Processamento e análise de documentação médica (texto, áudio, vídeo)
- Abstração de dados de prontuários eletrônicos (EHR data abstraction)
- Codificação clínica e administrativa (DRG, CID-10, CID-11, TUSS, CBHPM)
- Extração e estruturação de dados não estruturados e multimídia
- Processamento de dados fisiológicos gráficos (ECG, EEG, telemetria, monitores)
-
Suporte à Decisão Clínica e Administrativa:
- Análise preditiva para gestão hospitalar
- Conformidade regulatória e análise de qualidade assistencial
- Otimização de processos clínicos e administrativos
-
Integração e Interoperabilidade:
- Integração com sistemas hospitalares (EHR, PEP, HIS, RIS, PACS, Data Lakes)
- Processamento via modelos de Inteligência Artificial (LLM e outros)
-
Pesquisa e Desenvolvimento (Dados Anonimizados):
- Treinamento e refinamento de modelos de IA utilizando dados anonimizados/desidentificados (LGPD Art. 12 e 13)
- Desenvolvimento e aprimoramento de produtos da Plataforma Xtory
4.2 Base Legal (LGPD Art. 7 e 11)
O tratamento de dados pessoais pela Xtory fundamenta-se nas seguintes bases legais:
| Base Legal | Aplicação | Artigo LGPD |
|---|---|---|
| Execução de contrato | Processamento necessário para execução de contrato com instituições de saúde | Art. 7, V |
| Cumprimento de obrigação legal | Regulamentações de saúde (ANS, CFM, Ministério da Saúde) | Art. 7, II |
| Exercício regular de direitos | Defesa em processos judiciais ou administrativos | Art. 7, VI |
| Tutela da saúde | Procedimentos realizados por profissionais de saúde via Plataforma | Art. 11, II, f |
| Consentimento | Quando exigido por lei ou quando não aplicáveis outras bases legais | Art. 7, I |
5. COMPARTILHAMENTO DE DADOS PESSOAIS
5.1 Com Quem Compartilhamos
A Xtory pode compartilhar dados pessoais com:
A) Instituições de Saúde Parceiras:
- Hospitais, clínicas, laboratórios que contratam a Plataforma Xtory
- Compartilhamento: Resultados de processamento de IA (códigos DRG, análises)
B) Provedores de Infraestrutura de Nuvem:
- DuploCloud (plataforma DevOpSec sobre AWS/Azure/GCP)
- Amazon Web Services (AWS), Microsoft Azure, ou Google Cloud Platform
- Função: Armazenamento seguro e processamento de dados
- Certificações: ISO 27001, SOC 2, HIPAA-eligible
C) Prestadores de Serviços:
- Provedores de serviços de TI, segurança da informação, auditoria
- Todos submetidos a obrigações de confidencialidade e proteção de dados
D) Autoridades Governamentais:
- ANPD (Autoridade Nacional de Proteção de Dados)
- Autoridades judiciais, regulatórias ou de saúde (quando legalmente requerido)
5.2 Não Compartilhamos com Terceiros para Fins Comerciais
A Xtory NÃO vende, aluga ou comercializa dados pessoais de pacientes, profissionais de saúde ou colaboradores para terceiros para fins de marketing ou publicidade.
6. TRANSFERÊNCIA INTERNACIONAL DE DADOS
6.1 Transferência Brasil → EUA
A Xtory realiza transferências internacionais de dados do Brasil para os Estados Unidos para processamento por modelos de Inteligência Artificial (LLM).
Salvaguardas Implementadas (LGPD Art. 33):
-
Standard Contractual Clauses (SCC):
- Cláusulas contratuais padrão entre Xtory Brasil (exportador) ↔ Xtory Inc. EUA (importador)
- Documento: DP.2_Standard_Contractual_Clauses_Brasil_USA
-
Medidas Técnicas de Segurança:
- Armazenamento primário: Dados PHI/HIPAA armazenados persistentemente no Brasil (AWS/Azure/GCP – regiões brasileiras via DuploCloud)
- Transferência transitória: Dados enviados aos EUA apenas quando necessário para inferência de IA
- Processamento em memória: Dados processados em memória RAM (sem armazenamento persistente nos EUA)
- Criptografia: TLS 1.3 em trânsito + AES-256 em repouso
- Retorno imediato: Resultados processados retornam ao Brasil
-
Anonimização:
- Dados anonimizados/desidentificados podem ser armazenados nos EUA para treinamento de modelos de IA (LGPD Art. 12)
Documento Completo: DP.2_Salvaguardas_Transferencia_Internacional
7. SEGURANÇA DOS DADOS PESSOAIS
A Xtory implementa medidas técnicas e administrativas de segurança para proteger dados pessoais contra acesso não autorizado, destruição, perda, alteração ou divulgação (LGPD Art. 46):
7.1 Medidas Técnicas
| Medida | Descrição |
|---|---|
| Criptografia | AES-256 (at-rest) + TLS 1.3 (in-transit) |
| Autenticação Multifator (MFA) | Obrigatória para todos os acessos a sistemas críticos |
| Controle de Acesso (RBAC) | Princípio de menor privilégio via DuploCloud IAM |
| Monitoramento 24/7 | Logs de auditoria via cloud provider (AWS CloudTrail, Azure Monitor, GCP Cloud Logging) |
| Backup Criptografado | Backups automáticos com retenção multi-região |
| Segregação de Funções | Desenvolvedores não podem publicar em produção sem aprovação CTO |
7.2 Medidas Administrativas
| Medida | Descrição |
|---|---|
| Confidencialidade (CIIA) | Todos os colaboradores assinam acordo de confidencialidade |
| Treinamento LGPD | Treinamento obrigatório para colaboradores (implementação: Q1 2026) |
| Gestão de Incidentes | Plano de resposta a incidentes com notificação à ANPD em até 72 horas |
| Revisão de Acessos | Revisão trimestral de acessos de usuários |
| Offboarding Seguro | Revogação de acessos em até 24 horas após desligamento |
Documentos Relacionados:
- AC.2_Segregacao_Funcoes_Policy
- IR.1_Incident_Response_Plan
- PS.2_Termination_Offboarding_Procedure
8. RETENÇÃO DE DADOS PESSOAIS
8.1 Prazos de Retenção
| Tipo de Dado | Prazo de Retenção | Base Legal |
|---|---|---|
| Dados de Pacientes (PHI/HIPAA) | Mínimo 20 anos após último atendimento | CFM Resolução 1.821/2007 (prontuários) |
| Dados de Profissionais de Saúde | Durante relação contratual + 5 anos | Prazo prescricional trabalhista |
| Dados de Colaboradores | Durante relação de trabalho + 5-10 anos | CLT + Código Civil Art. 205 |
| Logs de Auditoria | 2 anos | Boas práticas de segurança |
| Dados Anonimizados | Indefinidamente | LGPD Art. 12 (dados anonimizados não são dados pessoais) |
8.2 Eliminação de Dados
Após o término dos prazos legais de retenção, os dados pessoais são eliminados de forma segura (LGPD Art. 16):
- Dados digitais: Exclusão segura com sanitização (wipe)
- Backups: Eliminados após expiração do período de retenção
9. DIREITOS DOS TITULARES DE DADOS (LGPD ART. 18)
Os titulares de dados pessoais têm os seguintes direitos:
9.1 Direitos Garantidos
| Direito | Descrição |
|---|---|
| Confirmação e Acesso | Confirmar se a Xtory processa seus dados e obter cópia |
| Correção | Solicitar correção de dados incompletos, inexatos ou desatualizados |
| Anonimização, Bloqueio ou Eliminação | Solicitar anonimização ou eliminação de dados desnecessários ou excessivos |
| Portabilidade | Receber dados em formato estruturado e interoperável |
| Informação sobre Compartilhamento | Saber com quais entidades públicas e privadas seus dados são compartilhados |
| Informação sobre Não Consentimento | Ser informado sobre consequências de não fornecer consentimento |
| Revogação de Consentimento | Revogar consentimento a qualquer momento (quando aplicável) |
| Oposição ao Tratamento | Opor-se a tratamento realizado sem necessidade de consentimento |
| Revisão de Decisões Automatizadas | Solicitar revisão de decisões tomadas exclusivamente por processamento automatizado |
9.2 Como Exercer Seus Direitos
Canal de Contato:
- Email do DPO: dpo@xtory.ai
- Encarregado (DPO): Alexandre Aguilar Santos, OAB/MG 207.609
- Endereço: R Laplace, 44, APT 111 BLOCO A – Brooklin Paulista, São Paulo, SP, CEP 04.622-000
Prazo de Resposta: 15 dias úteis (ANPD Resolução CD/ANPD nº 2/2022)
Procedimento:
- Envie email para dpo@xtory.ai descrevendo sua solicitação
- Forneça informações para validar sua identidade (CPF, nome completo)
- Aguarde resposta em até 15 dias úteis
Documento Completo: DP.12_Data_Subject_Rights_Channel
9.3 Reclamação à ANPD
Se não estiver satisfeito com nossa resposta, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):
- Website: www.gov.br/anpd
- Canal de atendimento: através do website da ANPD
10. COOKIES E TECNOLOGIAS DE RASTREAMENTO
10.1 Uso de Cookies no Website
O website www.xtory.ai utiliza cookies para:
- Cookies Essenciais: Funcionamento básico do site (autenticação, preferências)
- Cookies Analíticos: Google Analytics para entender uso do site (dados agregados)
Gerenciamento de Cookies:
Você pode desabilitar cookies nas configurações do seu navegador. Isso pode afetar algumas funcionalidades do website.
10.2 Não Fazemos Rastreamento para Publicidade
A Xtory NÃO utiliza cookies para publicidade direcionada ou rastreamento entre sites.
11. PRIVACIDADE DE CRIANÇAS E ADOLESCENTES
A Plataforma Xtory pode processar dados de pacientes menores de 18 anos através de instituições de saúde parceiras.
Proteção Especial (LGPD Art. 14):
| Faixa Etária | Requisito LGPD | Responsável |
|---|---|---|
| Crianças (< 12 anos) | Consentimento específico obrigatório de pelo menos um dos pais ou responsável legal (Art. 14, §1º) | Controlador (Hospital) |
| Adolescentes (12-17 anos) | Tratamento no melhor interesse, sem exigência expressa de consentimento parental | Controlador (Hospital) |
Obrigações e Responsabilidades:
-
Instituição de Saúde (Controlador):
- Obter consentimento parental específico para crianças (< 12 anos) – OBRIGATÓRIO por lei
- Garantir que tratamento seja no melhor interesse do menor
- Manter registro do consentimento obtido
-
Xtory (Operador):
- Processar dados de menores assumindo que o Controlador obteve os consentimentos necessários
- Aplicar proteção máxima a todos os dados de menores
- Auxiliar o Controlador no atendimento a solicitações de pais/responsáveis
Nota: A obrigação de obter consentimento parental para crianças é do Controlador (hospital). A Xtory, como Operadora, processa dados já coletados pelo hospital.
12. ALTERAÇÕES NESTA POLÍTICA DE PRIVACIDADE
Esta Política de Privacidade pode ser atualizada periodicamente para refletir:
- Mudanças nas práticas de tratamento de dados
- Atualizações na legislação (LGPD, regulamentações ANPD)
- Novas funcionalidades da Plataforma Xtory
Notificação de Alterações:
- Alterações materiais serão comunicadas via email ou aviso no website
- Data da última atualização sempre indicada no topo desta Política
- Versões anteriores disponíveis mediante solicitação ao DPO
Revisão Anual: Esta Política é revisada anualmente (próxima revisão: Janeiro 2027)
13. CONTATO E ENCARREGADO DE DADOS (DPO)
Para dúvidas, solicitações ou reclamações sobre privacidade e proteção de dados:
Encarregado de Dados (DPO):
- Nome: Alexandre Aguilar Santos
- OAB/MG: 207.609
- Email: dpo@xtory.ai
- Endereço: R Laplace, 44, APT 111 BLOCO A – Brooklin Paulista, São Paulo, SP, CEP 04.622-000, Brasil
Xtory Inteligência Artificial Ltda:
- CNPJ: 63.736.468/0001-69
- Website: www.xtory.ai
- Email Geral: contato@xtory.ai
14. LEGISLAÇÃO APLICÁVEL
Esta Política de Privacidade é regida pela legislação brasileira, em especial:
- Lei Geral de Proteção de Dados (LGPD) – Lei 13.709/2018
- Marco Civil da Internet – Lei 12.965/2014
- Código de Defesa do Consumidor – Lei 8.078/1990
- Resoluções da ANPD (Autoridade Nacional de Proteção de Dados)
Foro: Foro da Comarca de São Paulo/SP para dirimir quaisquer controvérsias.
15. CONFORMIDADE COM PARCEIROS DE SAÚDE
Esta política atende aos requisitos típicos de segurança de parceiros hospitalares e clientes de saúde relacionados à proteção de dados pessoais e privacidade.
Evidência:
- Este documento (DP.1_Privacy_Policy_LGPD)
- Publicado em: www.xtory.ai/privacy
- Aprovado pela Diretoria da Xtory
- Revisado pelo DPO (Alexandre Aguilar Santos)
16. APROVAÇÃO E VIGÊNCIA
Aprovado por:
Roger Daglius Dias
President
Xtory Inteligência Artificial Ltda
Data: 01/01/2026
Alexandre Aguilar Santos
Encarregado de Dados (DPO)
OAB/MG 207.609
Data: 01/01/2026
Documento Controlado – Xtory Inteligência Artificial Ltda
CNPJ: 63.736.468/0001-69
Endereço: R Laplace, 44, APT 111 BLOCO A – Brooklin Paulista, São Paulo, SP, CEP 04.622-000, Brasil
Classificação: Público
Versão: 1.0
Data de Vigência: 01 de Janeiro de 2026