iaSaúdeGOV — Política de Privacidade e Termos de Uso

Prefeitura Municipal de Dias d'Ávila · Secretaria Municipal de Saúde

Início › Política de Privacidade
Documento elaborado em conformidade com a Lei nº 13.709/2018 (LGPD) Este documento descreve como o sistema iaSaúdeGOV coleta, utiliza, armazena e protege dados pessoais, em observância às diretrizes da Autoridade Nacional de Proteção de Dados (ANPD) e às normativas do Tribunal de Contas do Estado da Bahia (TCE-BA).
📅 Versão: 1.0 — Março de 2026 📋 Última revisão: 20/03/2026 ⚖️ Base legal: Lei nº 13.709/2018 (LGPD)
1

Identificação do Controlador

Art. 5º, VI LGPD

O Controlador dos dados pessoais tratados no sistema iaSaúdeGOV é:

Entidade Prefeitura Municipal de Dias d'Ávila
Secretaria Responsável Secretaria Municipal de Saúde (SESAU)
CNPJ 12.284.122/0001-36
Endereço Praça da Prefeitura, s/n — Centro, Dias d'Ávila — BA, CEP 42.850-000
Telefone (71) 3648-3600
E-mail Institucional saude@diasdavila.ba.gov.br
Sistema iaSaúdeGOV — Sistema de Gestão em Saúde Municipal com Inteligência Artificial
Ambiente Servidor local (VPS própria) — dados armazenados no Brasil
2

Dados Coletados e Finalidade

Art. 6º LGPD

O sistema iaSaúdeGOV coleta exclusivamente os dados necessários para o exercício de suas funções institucionais, em estrita observância ao princípio da necessidade (art. 6º, III, LGPD). A tabela abaixo detalha cada categoria de dados, sua finalidade e base legal:

Categoria de Dado Dados Coletados Finalidade Base Legal (Art. 6º)
Dados de Acesso ao Sistema Nome completo, e-mail funcional, perfil de acesso (cargo/função) Autenticação, controle de acesso por perfil e responsabilização de ações no sistema Inciso II — Cumprimento de obrigação legal; Inciso III — Execução de políticas públicas
Dados Epidemiológicos Indicadores de saúde agregados (produção de consultas, cobertura vacinal, internações) — sem identificação individual Planejamento em saúde, elaboração do Plano Municipal de Saúde (PMS) e relatórios ao SIOPS/BNAFAR Inciso III — Execução de políticas públicas de saúde
Dados de Processos Judiciais ⚠ CATEGORIA ESPECIAL Autor da ação, pedido judicial, natureza da demanda, dados de saúde vinculados à demanda (art. 11) Gestão jurídica de demandas de saúde; acompanhamento de prazos e cumprimento de decisões judiciais Inciso VI — Exercício regular de direitos em processo judicial; Art. 11, II, "f" — Tutela da saúde
Dados Financeiros e Orçamentários Valores de execução orçamentária, empenhos, fornecedores (dados de pessoa jurídica), dotações por programa Transparência pública, planejamento orçamentário, prestação de contas ao TCE-BA e ao SIOPS Inciso II — Cumprimento de obrigação legal; Inciso III — Execução de políticas públicas
Logs de Acesso e Auditoria Endereço IP, horário de acesso, ações realizadas no sistema, identificador do usuário Segurança da informação, detecção de acessos não autorizados, auditoria de conformidade e prestação de contas Inciso II — Cumprimento de obrigação legal (TCE-BA); Inciso IX — Legítimo interesse do controlador público
Princípio da Minimização (Art. 6º, III, LGPD) O sistema coleta apenas os dados estritamente necessários para cada finalidade declarada. Dados epidemiológicos são sempre tratados de forma agregada e anonimizada, sem possibilidade de identificação individual dos pacientes.
3

Base Legal de Cada Tratamento

Art. 6º e 7º LGPD

Nos termos da LGPD, todo tratamento de dados pessoais deve estar fundamentado em ao menos uma base legal. As bases aplicáveis ao iaSaúdeGOV são:

Base Legal Fundamento Aplicação no Sistema
Art. 6º, II Cumprimento de obrigação legal ou regulatória Registros de acesso exigidos pelo TCE-BA; prestação de contas ao SIOPS; obrigações do FMS perante o CNS
Art. 6º, III Execução de políticas públicas previstas em leis ou regulamentos Gestão do SUS municipal, planejamento do PMS, acompanhamento de metas de saúde conforme Lei nº 8.080/1990
Art. 6º, VI Exercício regular de direitos em processo judicial, administrativo ou arbitral Gerenciamento de demandas judiciais de saúde (mandados, liminares, ações de fornecimento de medicamentos)
Art. 11, II, "f" Tutela da saúde, em procedimento realizado por profissionais de saúde ou autoridades sanitárias Tratamento de dados sensíveis de saúde vinculados a processos judiciais, mediante controles reforçados de segurança
Dispensa de consentimento para entes públicos (Art. 7º, III, LGPD) Por se tratar de órgão público municipal exercendo função de gestão do SUS, o tratamento de dados pessoais comuns para execução de políticas públicas independe de consentimento dos titulares, nos termos do art. 7º, III, da LGPD.
4

Dados de Categoria Especial (Dados Sensíveis)

Art. 11 LGPD

O iaSaúdeGOV trata, no módulo de Demandas Judiciais, dados que se enquadram como dados pessoais sensíveis na modalidade "dados de saúde" (art. 5º, II e art. 11, LGPD). O tratamento é realizado sob controles de segurança reforçados:

⚠ Atenção — Dados Sensíveis (Art. 11) Dados de saúde constantes em processos judiciais (diagnósticos, medicamentos pleiteados, condições clínicas) são tratados com base no art. 11, II, "f" (tutela da saúde), com acesso restrito apenas a perfis autorizados (admin_master, gestor, gestor_regulação).
Medida de Proteção Especificação Técnica
Criptografia em repouso AES-256-GCM — campos sensíveis criptografados no banco de dados PostgreSQL
Criptografia em trânsito TLS 1.3 em todas as comunicações entre cliente e servidor
Controle de acesso RBAC (Role-Based Access Control) — acesso por perfil com autenticação JWT e 2FA obrigatório para gestores
Registro de acesso Todo acesso a dados sensíveis é registrado em log de auditoria imutável com carimbo de tempo
Anonimização para IA Dados de saúde são anonimizados antes de qualquer envio a serviços de IA externos (Groq/Anthropic)
5

Compartilhamento e Transferência Internacional de Dados

Art. 33 a 36 LGPD

O iaSaúdeGOV utiliza serviços de inteligência artificial para análise e geração de relatórios. A tabela abaixo detalha os operadores e os mecanismos de salvaguarda adotados:

Operador / Terceiro País Finalidade Dados Compartilhados Salvaguarda
Groq Inc. 🇺🇸 EUA Análise de dados por LLM (modelo de linguagem); geração de relatórios e insights de gestão Apenas dados ANONIMIZADOS — sem nome, CPF, e-mail, IP ou qualquer identificador pessoal Anonimização prévia (art. 12 LGPD); sem possibilidade de reidentificação
Anthropic PBC 🇺🇸 EUA Assistência por IA (Claude API) — quando ativo; análise contextual de documentos Apenas dados ANONIMIZADOS — textos de gestão sem vinculação a pessoas identificadas Anonimização prévia (art. 12 LGPD); sem possibilidade de reidentificação
Garantia de não transferência de dados identificáveis Nenhum dado pessoal identificável (nome, CPF, e-mail, endereço, diagnóstico vinculado a pessoa) é enviado a serviços externos. O módulo de IA aplica pipeline de anonimização antes de qualquer chamada de API externa. Não há compartilhamento de dados com empresas privadas para fins comerciais ou publicitários.

Quanto a outros órgãos públicos: dados agregados de saúde são compartilhados com o Ministério da Saúde (SIOPS, e-SUS), Secretaria Estadual de Saúde da Bahia (SESAB) e TCE-BA, nos termos de suas obrigações legais (art. 6º, II, LGPD).

6

Direitos do Titular de Dados

Art. 18 LGPD

Nos termos do art. 18 da LGPD, os titulares de dados pessoais possuem os seguintes direitos, exercíveis mediante solicitação ao Encarregado (DPO):

🔍 Acesso
Confirmar a existência de tratamento e acessar cópia dos seus dados pessoais (art. 18, I e II)
✏️ Correção
Solicitar correção de dados incompletos, inexatos ou desatualizados (art. 18, III)
🗑️ Eliminação
Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários (art. 18, IV)
📦 Portabilidade
Requerer a portabilidade dos dados a outro fornecedor de serviço (art. 18, V)
📋 Informação
Obter informação sobre entidades públicas e privadas com as quais seus dados foram compartilhados (art. 18, VI)
⚖️ Revisão
Solicitar revisão de decisões automatizadas tomadas com base em seus dados (art. 18, § 1º)
🚫 Oposição
Opor-se ao tratamento quando não houver conformidade com a LGPD (art. 18, § 2º)
📞 Reclamação
Peticionar à ANPD (Autoridade Nacional de Proteção de Dados) em caso de não atendimento (art. 18, § 1º)
Como exercer seus direitos Para exercer qualquer dos direitos acima, acesse a página Meus Dados no sistema ou entre em contato com o Encarregado de Dados (DPO) pelos canais indicados na Seção 7. O prazo de resposta é de até 15 dias úteis.

Observação: Alguns direitos (como eliminação) podem ser limitados quando o tratamento for necessário ao cumprimento de obrigação legal ou execução de políticas públicas, nos termos do art. 18, § 3º e § 4º da LGPD. Nesses casos, o titular será informado e orientado sobre as alternativas disponíveis.

7

Encarregado de Dados (DPO)

Art. 41 LGPD

Nos termos do art. 41 da LGPD, o Controlador designou um Encarregado de Dados (Data Protection Officer — DPO), responsável por atuar como canal de comunicação entre o Controlador, os titulares de dados e a ANPD:

👤

Nome do Encarregado: Secretário(a) Municipal de Saúde

E-mail: iasaudegov@gmail.com

Telefone: (71) 3648-3600

Horário de atendimento: Segunda a sexta-feira, das 8h às 17h

O Encarregado também pode ser contactado diretamente pelo formulário na página Meus Dados.

8

Medidas de Segurança

Art. 46 e 49 LGPD

O iaSaúdeGOV implementa medidas técnicas e organizacionais adequadas à proteção dos dados pessoais tratados, em conformidade com o art. 46 da LGPD e com o estado da arte em segurança da informação:

🔐
Autenticação JWT
Tokens com expiração de 1h; refresh token httpOnly de 7 dias
📱
2FA Obrigatório
Autenticação em duas etapas (TOTP/Google Authenticator) para todos os gestores
🛡️
AES-256-GCM
Criptografia de dados sensíveis em repouso no banco de dados
🔒
TLS 1.3
Todas as comunicações cifradas em trânsito via HTTPS
📋
Log de Auditoria
Registro imutável de todas as ações com carimbo de data/hora
Inatividade
Sessão encerrada automaticamente após 30 minutos de inatividade
💾
Backup
Backups automáticos diários com retenção de 30 dias
👥
RBAC
Controle de acesso baseado em perfis — cada usuário acessa apenas o necessário

Em caso de incidente de segurança que resulte em risco ou dano relevante aos titulares, a Prefeitura notificará a ANPD e os titulares afetados no prazo máximo de 72 horas, conforme art. 48 da LGPD.

9

Prazo de Retenção e Eliminação de Dados

Art. 15 e 16 LGPD

Os dados são retidos pelo tempo necessário ao cumprimento das finalidades declaradas e das obrigações legais aplicáveis. Após o prazo, são eliminados ou anonimizados de forma segura (art. 16, LGPD):

  • Logs de acesso e auditoria
    Registros de IP, horário, ações — obrigação TCE-BA e CGU
    5 anos
  • Dados de planejamento em saúde
    Indicadores do PMS, metas, relatórios de gestão
    Vigência do PMS + 5 anos
  • Dados de processos judiciais
    Dados sensíveis de saúde vinculados a demandas judiciais
    Prescrição + 5 anos
  • Dados financeiros e orçamentários
    Empenhos, execução orçamentária — obrigação Lei 8.666/1993 e Lei 14.133/2021
    10 anos
  • Dados de acesso de usuários
    Cadastro de servidores com acesso ao sistema (nome, e-mail, perfil)
    Enquanto vínculo ativo + 1 ano
10

Cookies e Armazenamento de Sessão

Art. 6º, I LGPD — Finalidade

O iaSaúdeGOV utiliza mecanismos mínimos de armazenamento local, exclusivamente para fins de autenticação e segurança da sessão:

Mecanismo Dados Armazenados Duração Finalidade
sessionStorage Token de acesso JWT (access token) Sessão do navegador — eliminado automaticamente ao fechar a aba/browser Autenticação de requisições à API durante a sessão ativa
Cookie httpOnly Refresh token (opaco, sem dados pessoais) 7 dias — renovado a cada autenticação bem-sucedida Renovação segura do access token sem reautentica­ção constante; marcado como Secure e SameSite=Strict
Sem rastreamento O sistema não utiliza cookies de rastreamento, publicidade, analytics de terceiros (Google Analytics, Facebook Pixel, etc.) nem qualquer mecanismo de perfilamento comportamental. Os únicos cookies utilizados são estritamente necessários ao funcionamento seguro do sistema.
11

Alterações nesta Política

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças no sistema, na legislação aplicável ou nas práticas de tratamento de dados. Alterações relevantes serão comunicadas aos usuários do sistema por meio de aviso na tela de login e no painel principal.

A data de vigência e a versão do documento estão indicadas no topo desta página. A versão consolidada mais recente sempre estará disponível em /politica-privacidade.html.

12

Lei Aplicável e Foro

Esta Política de Privacidade é regida pelas leis brasileiras, em especial pela Lei nº 13.709/2018 (LGPD), Lei nº 8.080/1990 (Lei Orgânica da Saúde), Lei nº 12.527/2011 (Lei de Acesso à Informação) e regulamentos da Autoridade Nacional de Proteção de Dados (ANPD).

Para questões não resolvidas pelo canal do DPO, fica eleito o foro da Comarca de Dias d'Ávila — BA, com ressalva das competências da ANPD e dos órgãos de controle externo (TCE-BA, CGU).