Política de Privacidade

Última atualização: 07 de abril de 2026·LGPD — Lei 13.709/2018

1. Identificação do Controlador

O presente site é operado por Dr. Charles Gonçalves, Médico Ortopedista e Traumatologista, especialista em cirurgia de joelho, ombro e medicina esportiva, inscrito no CRM-AP sob o n.º 1356 (RQE 735) e no CRM-CE sob o n.º 27388 (RQE 16361), com consultórios em:

  • Macapá (AP): Av. Acelino de Leão, 926 — Prédio A, Bairro Trem, CEP 68901-092. Tel.: (96) 99151-5838.
  • Fortaleza (CE): Rua Cel. Linhares, 950 — Sala 1003, 10.º andar, Aldeota, CEP 60170-075. Tel.: (85) 98520-6127.

Para fins da Lei 13.709/2018 (LGPD), o Dr. Charles Gonçalves é o controlador dos dados pessoais tratados por meio deste site.

2. Encarregado de Dados (DPO)

O canal de contato para exercício de direitos e dúvidas sobre proteção de dados é o formulário disponível na página Contato, com o assunto “Dados Pessoais / LGPD”. Garantimos resposta em até 15 dias úteis.

3. Dados Pessoais Coletados

3.1 Formulários de Contato e Agendamento

Ao preencher os formulários deste site, coletamos os seguintes dados:

  • Nome completo — identificação do solicitante.
  • Número de telefone / WhatsApp — retorno para agendamento.
  • Endereço de e-mail — comunicação e confirmação.
  • Dúvida ou mensagem — quando fornecida voluntariamente no formulário “Pergunte ao Doutor”.
  • Tipo de consulta e localidade — direcionamento do atendimento.
  • User-agent do navegador — identificação técnica para segurança e prevenção de envios automatizados.

Importante: o conteúdo das mensagens é transmitido à equipe clínica via e-mail seguro (AWS SES) e nunca é enviado a plataformas de marketing ou publicidade.

3.2 Dados de Navegação (Cookies e GTM)

Com seu consentimento, coletamos dados de navegação por meio do Google Tag Manager. Veja a seção 7 para detalhes.

3.3 Dados Técnicos de Segurança

O endereço IP é utilizado em memória volátil do servidor para controle de taxa de envio (rate limiting) — máximo de 10 minutos, sem persistência em disco ou banco de dados.

4. Finalidade e Base Legal do Tratamento

FinalidadeBase Legal (LGPD Art. 7)
Triagem e agendamento — notificação clínica via AWS SES à equipe do consultórioInciso II — Execução de procedimentos preliminares à prestação de serviços de saúde
Responder a dúvidas e mensagens do formulárioInciso I — Consentimento; Inciso IX — Legítimo interesse
Análise de tráfego e melhoria do site (GTM / GA4)Inciso I — Consentimento (aceitação do banner de cookies)
Remarketing e anúncios personalizados (Meta / Google) — somente quando o usuário marca o checkbox de marketingInciso I — Consentimento explícito e específico (checkbox opcional e independente)
Segurança, prevenção de fraudes e spamInciso IX — Legítimo interesse

5. Compartilhamento de Dados e Sub-Processadores

Os dados coletados podem ser compartilhados com os seguintes destinatários:

  • Amazon Web Services, Inc. (AWS SES) — envio do e-mail clínico à equipe. Processamento obrigatório (LGPD Art. 7, II). O conteúdo das mensagens nunca é transmitido a plataformas de marketing.
  • Google LLC (Google Tag Manager) — ativo somente após aceitação de cookies. Quando o usuário autoriza marketing, o GTM recebe via Data Layer apenas os campos de e-mail e telefone em formato SHA-256 hash (criptografia unidirecional) — irreversível. Nome, mensagem e dados clínicos nunca são incluídos.
  • Meta Platforms, Inc. (Facebook / Instagram Ads) — destinatário condicional. Dados hashed (SHA-256) encaminhados pelo GTM somente com consentimento de marketing (LGPD Art. 7, I).
  • Google LLC (Google Ads / GA4 Enhanced Conversions) — destinatário condicional, nas mesmas condições acima.

Não vendemos, cedemos ou comercializamos seus dados com terceiros para fins de marketing sem consentimento explícito.

6. Transferência Internacional de Dados

AWS, Google LLC e Meta Platforms, Inc. estão sediadas nos EUA. A transferência ocorre com base em cláusulas contratuais padrão e mecanismos do Art. 33 da LGPD. Para Meta e Google (marketing), a transferência depende do consentimento explícito do titular (Art. 33, VIII).

7. Cookies e GTM Data Layer

7.1 Cookies Essenciais

Cookies técnicos necessários para o funcionamento do site (segurança de sessão, prevenção de CSRF). Não requerem consentimento.

7.2 Cookies de Análise (Google Tag Manager)

O GTM é ativado somente após consentimento explícito no banner de cookies exibido na primeira visita. O GTM em si não define cookies — ele orquestra scripts (GA4, tags de conversão) que podem definir cookies próprios conforme as políticas de cada plataforma.

7.3 GTM Data Layer e Dados Hashed

Quando o usuário aceita cookies e marca o checkbox de marketing no formulário, o site envia ao GTM (via window.dataLayer) o evento generate_lead contendo:

  • user_data.em — e-mail em hash SHA-256 (64 caracteres hexadecimais, irreversível).
  • user_data.ph — telefone em hash SHA-256 (apenas dígitos, antes do hash).

Nenhum dado em texto simples (nome, mensagem, diagnóstico) é incluído. O hash é computado no navegador do usuário antes de ser inserido no Data Layer.

7.4 Gerenciamento de Preferências

Você pode revogar o consentimento de cookies a qualquer momento limpando o armazenamento local do navegador. A recusa não prejudica o acesso ao conteúdo do site.

8. Retenção dos Dados

  • Dados administrativos de contato e agendamento (nome, e-mail, telefone, localidade, tipo de consulta): até 5 (cinco) anos, compatível com o prazo de prescrição civil (Código Civil, Art. 206). Esses dados são de natureza administrativa e não constituem prontuário médico.
  • Prontuários médicos eletrônicos: mantidos pelo consultório em sistema clínico separado, por no mínimo 20 (vinte) anos após a última consulta (Resolução CFM n.º 2.336/2023 e Código de Ética Médica). Este site não armazena prontuários; eles são gerenciados exclusivamente no ambiente clínico controlado.
  • Dúvidas / mensagens médicas transmitidas por e-mail: retidas conforme a política da caixa de entrada clínica (máximo 5 anos). O conteúdo clínico relevante é registrado no prontuário pelo profissional responsável.
  • Dados analíticos (Google Analytics 4): até 14 meses, conforme a política de retenção do Google.
  • Dados de rate limiting (endereço IP): até 10 minutos em memória volátil, sem persistência.

9. Direitos do Titular

Nos termos do Art. 18 da LGPD, você tem direito a:

  • Confirmação da existência de tratamento de seus dados;
  • Acesso aos dados que possuímos sobre você;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD;
  • Portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa;
  • Eliminação dos dados tratados com base em consentimento, salvo exceções legais;
  • Informação sobre as entidades com as quais compartilhamos seus dados;
  • Revogação do consentimento a qualquer momento, sem prejuízo da licitude do tratamento anterior;
  • Oposição ao tratamento realizado com fundamento em bases legais diversas do consentimento.

Para exercer qualquer desses direitos, entre em contato pela página Contato com o assunto “Dados Pessoais / LGPD”. Responderemos em até 15 dias úteis.

10. Segurança

Adotamos as seguintes medidas técnicas e organizacionais:

  • Transmissão de dados via HTTPS (TLS 1.2+);
  • Cabeçalhos HTTP de segurança: HSTS, X-Frame-Options (DENY), X-Content-Type-Options (nosniff), Referrer-Policy, Permissions-Policy e Content-Security-Policy;
  • Validação e sanitização de todos os dados recebidos no servidor;
  • Controle de taxa de envio (rate limiting) — máximo 5 envios por IP a cada 10 minutos;
  • Hashing SHA-256 de dados pessoais antes de qualquer transmissão a plataformas de marketing, computado no navegador do usuário.

11. Links para Sites Externos

Este site pode conter links para sites de terceiros (Google Maps, Instagram, Facebook, WhatsApp). Esta Política aplica-se exclusivamente a este site. Recomendamos a leitura das políticas de privacidade dos sites externos antes de fornecer seus dados.

12. Alterações desta Política

Podemos atualizar esta Política periodicamente. A data da última atualização é indicada no topo da página. Alterações relevantes serão comunicadas por aviso na página inicial.

13. Contato, Reclamações e DPO

Para dúvidas, exercício de direitos ou reclamações, utilize o formulário na página Contato com o assunto “Dados Pessoais / LGPD”.

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.

Esta Política foi elaborada em conformidade com a Lei 13.709/2018 (LGPD), o Marco Civil da Internet (Lei 12.965/2014), as orientações da ANPD, e as Resoluções CFM n.º 2.336/2023 e n.º 2.217/2018.