imerApp

Política de Proteção de Dados

Última atualização: maio de 2026 · versão 2.0

Esta política descreve as medidas técnicas e administrativas adotadas pelo imerApp para proteger os dados pessoais tratados em nossa plataforma, em conformidade com a LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), o Código de Defesa do Consumidor (Lei nº 8.078/1990), o Estatuto do Idoso (Lei nº 10.741/2003) e a Lei de Acesso à Informação (Lei nº 12.527/2011).

1. Governança e Papéis na LGPD

O imerApp atua em diferentes papéis dependendo da natureza do dado e da operação de tratamento, conforme estabelecido pelo Art. 5º da LGPD:

  • imerApp como Operador: na maior parte das operações, as Instituições de Ensino parceiras e as Instituições de Longa Permanência para Idosos (ILPIs, Asilos, Clínicas de Repouso) figuram como Controladoras dos dados, responsáveis pelas decisões sobre o tratamento de dados de alunos, idosos residentes, responsáveis e corpo técnico. O imerApp atua estritamente como Operador, processando os dados sob as instruções e limites contratuais estabelecidos com a instituição cliente.
  • imerApp como Controlador: o imerApp figurará como Controlador apenas nos dados cadastrais dos administradores das instituições, dados de faturamento das licenças do software, leads comerciais e dados de navegação técnica em seu site institucional.
  • Instrumentos de Governança: Registro das Operações de Tratamento (ROPA) mantido atualizado e Relatório de Impacto à Proteção de Dados Pessoais (DPIA) obrigatoriamente estruturado para as funcionalidades que envolvam dados de populações hipervulneráveis (menores de idade e idosos institucionalizados), com foco especial em dados de saúde. Programa de treinamento anual obrigatório focado em sigilo médico e assistencial para toda a equipe interna.

2. Encarregado pelo Tratamento de Dados Pessoais (DPO)

Em conformidade com o Art. 41 da LGPD, o imerApp possui um canal de comunicação exclusivo para atender às demandas dos titulares, dos Controladores e da Autoridade Nacional de Proteção de Dados (ANPD):

  • Encarregado (DPO) Designado: dpo@imerapp.com.br.
  • Atribuições do DPO: receber reclamações e comunicações dos titulares, prestar esclarecimentos, acolher requisições judiciais ou administrativas e orientar os colaboradores e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

3. Dados Coletados, Finalidades e Bases Legais

Em estrita observância ao princípio da necessidade (Art. 6º, V, LGPD), o imerApp coleta apenas o mínimo necessário para a prestação dos seus serviços educacionais e de gestão de cuidados. O quadro abaixo detalha o escopo do tratamento:

Categoria do Titular Dados Coletados Finalidade do Tratamento Base Legal (LGPD)
Responsáveis, Familiares e Curadores Nome completo, CPF, e-mail, telefone, vínculo familiar com o aluno ou com o idoso residente, e dados de autenticação. Identificação, segurança no controle de acesso físico e digital às instituições, envio de comunicados oficiais, pedagógicos ou de evolução clínica. Execução de Contrato (Art. 7º, V) ou Legítimo Interesse (Art. 7º, IX).
Alunos (crianças e adolescentes) Nome completo, data de nascimento, turma, foto de perfil, registros de presença, notas e rotina diária. Viabilizar a agenda digital, acompanhamento pedagógico, segurança na entrada e saída da instituição e relatórios internos. Consentimento específico e em destaque fornecido por pelo menos um dos pais ou responsável legal (Art. 14, §1º).
Idosos residentes (Asilos, ILPIs) Nome completo, data de nascimento, RG/CPF, foto de perfil, dados de saúde (prontuário de cuidados, rotina de medicação, alergias, restrições cognitivas, histórico médico e relatórios de cuidadores e enfermeiros). Gestão da rotina assistencial, controle de administração de medicamentos, acompanhamento de saúde diário, alertas de intercorrências e relatórios de evolução para a família. Tutela da Saúde (Art. 11, II, "f") para os dados sensíveis de saúde e Execução de Contrato (Art. 7º, V).
Professores, cuidadores e profissionais de saúde Nome completo, e-mail corporativo, CPF, registro profissional (CRM, COREN, etc., se aplicável), cargo e logs de alteração. Viabilizar a gestão das atividades, registro de evoluções clínicas e pedagógicas, e auditoria de segurança das informações inseridas. Execução de Contrato e Cumprimento de Obrigação Trabalhista (Art. 7º, V e II).
Dados técnicos (todos) Endereço IP, data e hora de acesso, tipo de dispositivo, sistema operacional e identificadores únicos de push (FCM Tokens). Cumprimento de obrigação legal e garantia da segurança e estabilidade da aplicação contra fraudes ou acessos indevidos. Cumprimento de Obrigação Legal, Marco Civil da Internet (Art. 7º, II).

4. Arquitetura de Segurança da Informação

O imerApp adota medidas técnicas, organizacionais e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão:

  • Isolamento de Dados (Multi-tenant): separação lógica rígida por Row Level Security (RLS) diretamente na camada de banco de dados Postgres (Supabase), impedindo o vazamento cross-instituição mesmo na ocorrência de eventuais falhas na camada de aplicação. Este isolamento impede terminantemente que dados médicos de uma ILPI sejam acessados por outra, ou dados de uma escola por outra.
  • Criptografia: implementação de criptografia em trânsito utilizando protocolo TLS 1.2 (ou superior) e criptografia em repouso por meio do padrão AES-256, garantindo o estrito sigilo de históricos escolares e prontuários.
  • Autenticação e Autorização: exigência de políticas de senha forte (mínimo de 10 caracteres) integrada à validação por JSON Web Tokens (JWT) para o consumo de APIs. Controle granular de permissões baseado em papéis (RBAC), assegurando que apenas profissionais de saúde e cuidadores autorizados tenham acesso aos dados médicos dos idosos, e professores aos dados dos alunos correspondentes.
  • Tokens de Dispositivo: tokens de notificação push (FCM) rotacionáveis por sessão e passíveis de invalidação imediata em caso de perda ou furto do dispositivo móvel do cuidador ou professor.

5. Uso de Cookies e Tecnologias de Rastreamento

  • Cookies estritamente necessários: o imerApp utiliza cookies e tokens de sessão estritamente para fins técnicos, autenticação de usuários, manutenção de login ativo na plataforma e fins de segurança.
  • Vedações a cookies de terceiros: dentro das aplicações logadas (painel do professor ou cuidador e app dos pais ou responsáveis), não são utilizados cookies de rastreamento comercial, publicidade direcionada (ad-tracking) ou ferramentas de terceiros que possam violar a privacidade dos dados de menores ou idosos.
  • Cookies estatísticos (site institucional): no site público institucional, podem ser coletados dados analíticos anonimizados (como páginas mais visitadas) unicamente para melhoria da experiência de navegação do usuário.

6. Compartilhamento de Dados e Terceiros (Operadores)

  • Compartilhamento técnico restrito: o compartilhamento de dados ocorre unicamente com operadores de infraestrutura técnica homologados (hospedagem, banco de dados, gateways de e-mail e SMS, push notifications e observabilidade), devidamente vinculados a acordos de processamento de dados (DPAs) rígidos e em conformidade com a LGPD. A lista atualizada é disponibilizada mediante solicitação ao DPO.
  • Vedação ao compartilhamento comercial: é expressamente proibido o compartilhamento, a cessão ou a comercialização de dados pedagógicos de menores e de dados de saúde de idosos com indústrias farmacêuticas, operadoras de planos de saúde, agências de publicidade ou qualquer outra entidade terceirizada.
  • Responsabilidade perante o Consumidor: em linha com o Código de Defesa do Consumidor, o imerApp responde de forma objetiva por eventuais incidentes de segurança decorrentes de falhas técnicas ou operacionais provocadas por seus subcontratados (operadores) no escopo da prestação do serviço.

7. Transferência Internacional de Dados

  • Hipóteses legais: o imerApp utiliza serviços de nuvem de primeira linha (como Supabase e Fly.io) que, embora configurados para o armazenamento preferencial em datacenters localizados no Brasil (como sa-east-1 e gru), podem envolver redundância, backups replicados ou infraestrutura global de rede de provedores sediados no exterior (como EUA e União Europeia).
  • Garantias jurídicas: essas transferências são fundamentadas com base no Art. 33, I da LGPD, direcionadas para países que proporcionem grau de proteção de dados pessoais adequado ao previsto na lei brasileira, ou amparadas por cláusulas contratuais padrão (Standard Contractual Clauses, SCCs) e salvaguardas que assegurem o mesmo nível de segurança exigido nacionalmente.

8. Armazenamento, Retenção e Descarte Seguro

  • Localização dos dados: todos os dados são armazenados em datacenters de alta confiabilidade localizados em solo nacional, com rotinas automatizadas de backups diários e criptografados.
  • Dados operacionais ativos: mantidos durante todo o período de vigência contratual entre a Instituição (Escola ou ILPI) e o imerApp, ou enquanto a conta do usuário final permanecer ativa.
  • Logs de acesso à aplicação (Marco Civil): armazenados sob sigilo absoluto pelo prazo inafastável de 6 meses (Art. 15 da Lei nº 12.965/14). Por constituir uma obrigação legal de guarda, estes registros não serão excluídos antes do prazo legal, mesmo diante de solicitações de exclusão de conta pelo titular.
  • Dados pós-desligamento (menores e idosos): após o encerramento do vínculo com a plataforma, os dados de menores serão eliminados em até 30 dias. Para os idosos residentes em ILPIs, o imerApp observará os prazos regulamentares específicos de guarda de prontuários de saúde exigidos pela Vigilância Sanitária e legislações médicas aplicáveis ao Controlador, procedendo ao descarte automatizado e seguro imediatamente após o término do período legal de guarda.
  • Registros fiscais e contábeis: retidos pelo prazo de 5 anos para atendimento a obrigações tributárias.

9. Proteção de Populações Hipervulneráveis (Privacy by Design)

  • Dignidade e Privacidade: em conformidade com a LGPD e o Estatuto do Idoso, o imerApp aplica o conceito de Privacy by Design para mitigar os riscos decorrentes do tratamento de dados de vulneráveis. Os dados de saúde de idosos institucionalizados e os dados pedagógicos de menores nunca serão objeto de perfilamento comercial ou publicidade comportamental.
  • Acessibilidade: a plataforma compromete-se a manter interfaces simplificadas, inclusivas e acessíveis para que titulares idosos que utilizem o sistema possam exercer seus direitos informacionais com autonomia, mitigando barreiras digitais.

10. Resposta a Incidentes

O plano corporativo de resposta a incidentes de segurança da informação segue o fluxo formal:

  1. Detecção: monitoramento contínuo 24x7 das APIs e bancos de dados com gatilhos automatizados para comportamento anômalo.
  2. Contenção: isolamento imediato do vetor de ataque, suspensão temporária de conexões afetadas e revogação em lote de credenciais e chaves JWT comprometidas.
  3. Erradicação e Recuperação: aplicação de patches corretivos na aplicação e, se aplicável, restauração segregada de backups em ambiente seguro e auditado.
  4. Notificação: comunicação formal e imediata à ANPD, às instituições controladoras e aos titulares afetados (ou seus curadores e pais) sempre que o incidente envolver dados sensíveis de saúde ou dados de menores, dado o elevado risco de dano à dignidade humana (Art. 48 da LGPD).
  5. Pós-Incidente: elaboração de relatório técnico de lições aprendidas e atualização das matrizes de risco.

11. Direitos dos Titulares e Fluxo de Atendimento

As requisições previstas no Art. 18 da LGPD deverão ser direcionadas ao canal oficial do DPO ou via formulário dedicado no painel logado da plataforma, observando os seguintes critérios:

  • Validação Cadastral e Representação Legal: confirmação rigorosa da identidade do solicitante em até 3 dias úteis. No caso de idosos sob regime de curatela ou interdição, ou menores de idade, será exigida a comprovação documental do poder de representação legal antes da disponibilização de qualquer dado, visando coibir fraudes ou engenharia social.
  • Prazos de Atendimento: a confirmação de existência de tratamento ou a consulta simplificada aos dados pessoais será fornecida imediatamente. Pedidos complexos que demandem uma declaração clara e completa (incluindo o histórico de prontuários e notas em formato interoperável para fins de portabilidade) serão atendidos no prazo máximo de 15 dias corridos, de forma integralmente gratuita.
  • Justificativa de Negativas: caso o pedido encontre óbice legal (como a retenção obrigatória de logs pelo MCI), o imerApp apresentará fundamentação técnica e jurídica expressa, e indicará os canais para eventual recurso perante a ANPD.

12. Interface com o Setor Público e Lei de Acesso à Informação (LAI)

Sempre que o imerApp atuar na condição de fornecedor ou operador de dados para órgãos públicos, autarquias ou instituições (de ensino ou saúde) vinculadas à Administração Pública, aplicar-se-ão as seguintes regras de harmonização entre a LAI (Lei nº 12.527/11) e a LGPD:

  • Sigilo de Prontuários e Informações Pessoais: em estrito cumprimento ao Art. 31 da LAI, os dados relativos à saúde, intimidade e vida privada dos idosos residentes e alunos possuem acesso restrito e estão expressamente blindados contra qualquer tipo de consulta pública baseada na LAI, Portais de Transparência ou pedidos de terceiros.
  • Métricas de Transparência Ativa: quaisquer dados fornecidos para fins de fiscalização ou prestação de contas governamental limitar-se-ão ao fornecimento de indicadores estatísticos agregados ou informações estritamente anonimizadas.
  • Preservação do Segredo de Negócio: a arquitetura lógica do sistema, códigos-fonte e metodologias de segurança do imerApp permanecem protegidos por sigilo comercial e industrial, sendo classificados como imunes a pedidos da LAI.

13. Auditoria e Notificação de Alterações

  • Melhoria contínua: a eficácia dos controles de segurança e privacidade aqui descritos é validada por meio de auditorias internas trimestrais conduzidas pela equipe de governança.
  • Notificação de alterações: em estrita observância à boa-fé exigida pelo Código de Defesa do Consumidor, modificações relevantes nesta política que impliquem em alterações substanciais na finalidade do tratamento de dados serão comunicadas aos usuários e instituições com no mínimo 15 dias de antecedência de sua vigência.

14. Demandas Judiciais e Requisições de Dados

Acesso por ordem judicial: conforme as diretrizes protetivas do Marco Civil da Internet, dados cadastrais históricos, registros de prontuário e rotina, e logs de conexão coletados pelo imerApp não serão disponibilizados de forma administrativa a terceiros ou autoridades, salvo mediante a apresentação formal de ordem judicial específica e válida expedida pelo juízo competente.

Contato

Dúvidas, sugestões e reclamações: dpo@imerapp.com.br.