Política de Privacidade
Versão 1.1 — Atualizado em 13/03/2026
Em conformidade com a LGPD (Lei 13.709/2018)
1. Controlador dos Dados
Xdiag
CNPJ: 65.483.518/0001-79
Encarregado de Dados (DPO): privacidade@xdiag.com.br
2. Dados que Coletamos
Dados pessoais comuns (cadastro)
- Email e senha (autenticação)
- Nome
- Cidade e estado
- Data de nascimento e sexo biológico
- Tipo de acesso à saúde (SUS/plano)
Dados sensíveis (durante conversas)
- Sintomas relatados
- Histórico de saúde compartilhado
- Fotos de documentos médicos
- Informações sobre medicamentos
Base legal: Consentimento explícito do titular (LGPD Art. 11, inciso I). O consentimento para dados sensíveis é coletado separadamente.
Dados de uso e analytics
- Histórico de transações (DiagCoins)
- Registros de consentimento (data, versão, IP)
- Dados técnicos (user agent, para auditoria)
- Eventos de uso do aplicativo (telas visitadas, funcionalidades utilizadas)
- Métricas de sessão (duração, latência de respostas)
- Logs de erros técnicos (para melhoria do serviço)
3. Finalidade do Tratamento
- Dados de cadastro: identificação, personalização do serviço
- Dados de saúde: geração de orientações personalizadas pela IA
- Dados de uso e analytics: controle de créditos, melhoria do serviço e auditoria
- Dados de consentimento: conformidade legal (LGPD)
4. Compartilhamento de Dados
| Parceiro | Dados compartilhados | Finalidade |
|---|---|---|
| xAI (Grok) | Conteúdo das conversas (pseudonimizado, sem dados de identificação pessoal) | Processamento de IA — operador de dados conforme LGPD Art. 5, VII |
| Google (Gemini) | Conteúdo de documentos PDF enviados (sem identificação) | Extração de texto de documentos médicos |
| Supabase | Dados de cadastro e uso | Infraestrutura e banco de dados |
| Gateway de pagamento | Dados financeiros | Processamento de pagamentos |
NÃO vendemos, alugamos ou compartilhamos seus dados para fins de marketing.
5. Transferência Internacional
Seus dados podem ser processados por servidores fora do Brasil (xAI nos EUA, Supabase na AWS). Garantimos que esses parceiros mantêm padrões adequados de segurança conforme LGPD Art. 33.
6. Segurança
- Dados criptografados em trânsito (TLS/HTTPS)
- Dados criptografados em repouso
- Acesso restrito por RLS (Row Level Security)
- Autenticação segura via Supabase Auth
- Monitoramento de acessos
7. Retenção de Dados
| Tipo de dado | Período de retenção |
|---|---|
| Dados de cadastro | Enquanto a conta estiver ativa |
| Dados de saúde (conversas) | Enquanto a conta estiver ativa — excluídos em até 7 dias após solicitação de exclusão de conta |
| Dados de analytics e logs | 90 dias (para melhoria do serviço), depois anonimizados |
| Transações financeiras | 5 anos (obrigação fiscal — Lei 9.430/1996) |
| Registros de consentimento | 5 anos (auditoria LGPD) |
8. Seus Direitos (LGPD Art. 18)
Você tem direito a:
- Acesso: saber quais dados temos sobre você
- Correção: atualizar dados incompletos ou incorretos
- Exclusão: solicitar remoção dos seus dados
- Revogação: retirar consentimento a qualquer momento
- Portabilidade: receber seus dados em formato legível
- Informação: saber com quem seus dados são compartilhados
9. Como Exercer seus Direitos
Envie um email para privacidade@xdiag.com.br com o assunto "Direitos LGPD" e descreva sua solicitação. Responderemos em até 15 dias úteis.
Você também pode revogar consentimentos diretamente nas configurações do seu perfil na AILA.
10. Alterações nesta Política
Podemos atualizar esta política periodicamente. Mudanças significativas serão notificadas e exigirão novo aceite.
11. Exclusão de Conta
Você pode solicitar a exclusão da sua conta diretamente pelo aplicativo AILA (Perfil → Excluir conta). Após a solicitação:
- Sua conta será desativada imediatamente
- Após 7 dias, todos os dados pessoais serão excluídos permanentemente
- Dados financeiros serão anonimizados e retidos pelo período legal (5 anos)
- Durante o período de 7 dias, você pode cancelar a exclusão entrando em contato com o suporte
Documento versão 1.1 — Xdiag © 2026