Política de Privacidade
Versão 1.3 — Atualizado em 21/05/2026
Em conformidade com a LGPD (Lei 13.709/2018)
1. Controlador dos Dados
Xdiag
CNPJ: 65.483.518/0001-79
Encarregado de Dados (DPO): privacidade@xdiag.com.br
2. Dados que Coletamos
Dados pessoais comuns (cadastro)
- Email e senha (autenticação)
- Nome
- Cidade e estado
- Data de nascimento e sexo biológico
- Tipo de acesso à saúde (SUS/plano)
Dados sensíveis (durante conversas)
- Sintomas relatados
- Histórico de saúde compartilhado
- Fotos de documentos médicos
- Informações sobre medicamentos
Importante: O conteúdo dessas conversas é processado em tempo real por provedores de IA terceiros (xAI, Google e OpenAI — veja a seção 4.1) e não é armazenado permanentemente em nossos servidores. Os dados são transmitidos para esses provedores para processamento e descartados ao encerramento da sessão. Consulte o Termo de Consentimento para Dados de Saúde para mais detalhes.
Base legal: Consentimento explícito do titular (LGPD Art. 11, inciso I). O consentimento para dados sensíveis é coletado separadamente.
Dados de uso e analytics
- Histórico de transações (DiagCoins)
- Registros de consentimento (data, versão, IP)
- Dados técnicos (user agent, para auditoria)
- Eventos de uso do aplicativo (telas visitadas, funcionalidades utilizadas)
- Métricas de sessão (número de tokens, latência de respostas, tipo de conteúdo enviado — texto, imagem ou PDF)
- Logs de erros técnicos (para melhoria do serviço)
Logs e analytics registram apenas dados técnicos e operacionais. O conteúdo das conversas de saúde (sintomas, histórico, diagnósticos) não é armazenado em logs ou sistemas de analytics.
3. Finalidade do Tratamento
- Dados de cadastro: identificação, personalização do serviço
- Dados de saúde: geração de orientações personalizadas pela IA
- Dados de uso e analytics: controle de créditos, melhoria do serviço e auditoria
- Dados de consentimento: conformidade legal (LGPD)
4. Compartilhamento de Dados
4.1 Provedores de Inteligência Artificial (terceiros)
Para gerar respostas, mensagens e arquivos que você envia são transmitidos em tempo real para os seguintes provedores de IA. Todos atuam como operadores de dados sob a LGPD (Art. 5, VII) e, conforme suas políticas de uso B2B/API, não treinam modelos com os seus dados:
| Provedor | Dados enviados | Finalidade | Política |
|---|---|---|---|
| xAI (Grok) | Mensagens de texto e imagens enviadas no chat | Geração de respostas conversacionais e leitura de exames/receitas | x.ai/legal/privacy-policy |
| Google (Gemini) | Documentos PDF enviados | Extração de texto de documentos médicos (OCR estruturado) | ai.google.dev/gemini-api/terms |
| OpenAI (Whisper) | Áudios de mensagens de voz | Transcrição de áudio para texto (speech-to-text) | openai.com/policies/privacy-policy |
Os dados são processados em tempo real e descartados ao encerramento da sessão — não armazenamos as conversas em nossos servidores. Você pode revogar o consentimento a qualquer momento excluindo sua conta, conforme seção 9 desta política.
4.2 Outros parceiros operacionais
| Categoria | Dados compartilhados | Finalidade |
|---|---|---|
| Provedor de infraestrutura | Dados de cadastro e uso | Infraestrutura e banco de dados |
| Processador de pagamentos | Dados financeiros | Processamento de pagamentos (Mercado Pago, Apple e Google) |
NÃO vendemos, alugamos ou compartilhamos seus dados para fins de marketing.
5. Transferência Internacional
Seus dados podem ser processados por servidores localizados fora do Brasil. Garantimos que todos os parceiros mantêm padrões adequados de segurança conforme LGPD Art. 33.
6. Segurança
- Dados criptografados em trânsito (TLS/HTTPS)
- Dados criptografados em repouso
- Acesso restrito por políticas de segurança a nível de registro
- Autenticação segura com múltiplos fatores
- Monitoramento de acessos
7. Retenção de Dados
| Tipo de dado | Período de retenção |
|---|---|
| Dados de cadastro | Enquanto a conta estiver ativa |
| Conteúdo de conversas de saúde | Não armazenado — processado em tempo real e descartado ao fim da sessão |
| Dados de analytics e logs | 90 dias (para melhoria do serviço), depois anonimizados |
| Transações financeiras | 5 anos (obrigação fiscal — Lei 9.430/1996) |
| Registros de consentimento | 5 anos (auditoria LGPD) |
8. Seus Direitos (LGPD Art. 18)
Você tem direito a:
- Acesso: saber quais dados temos sobre você
- Correção: atualizar dados incompletos ou incorretos
- Exclusão: solicitar remoção dos seus dados
- Revogação: retirar consentimento a qualquer momento
- Portabilidade: receber seus dados em formato legível
- Informação: saber com quem seus dados são compartilhados
9. Como Exercer seus Direitos
Envie um email para privacidade@xdiag.com.br com o assunto "Direitos LGPD" e descreva sua solicitação. Responderemos em até 15 dias úteis.
Você também pode revogar consentimentos diretamente nas configurações do seu perfil na AILA.
10. Alterações nesta Política
Podemos atualizar esta política periodicamente. Mudanças significativas serão notificadas e exigirão novo aceite.
11. Exclusão de Conta
Você pode solicitar a exclusão da sua conta diretamente pelo aplicativo AILA (Perfil → Excluir conta). Após a solicitação:
- Sua conta será desativada imediatamente
- Após 7 dias, todos os dados pessoais serão excluídos permanentemente
- Dados financeiros serão anonimizados e retidos pelo período legal (5 anos)
- Durante o período de 7 dias, você pode cancelar a exclusão entrando em contato com o suporte
Documento versão 1.2 — Xdiag © 2026