Legal
Política de Privacidade
Última atualização: maio de 2025
1. Introdução
A Kyro trata dados pessoais com responsabilidade e em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018). Esta política descreve como coletamos, utilizamos, armazenamos e protegemos as informações relacionadas ao uso da nossa plataforma.
Os dados de saúde dos pacientes processados pela plataforma pertencem à clínica cliente (Controladora). A Kyro atua exclusivamente como Operadora, nos limites do contrato firmado.
2. Dados Tratados e Finalidades
O tratamento de dados está restrito às seguintes finalidades:
Análise de guias de atendimento em formato XML para identificação de inconsistências e prevenção de glosas — base legal: execução de contrato, art. 7º, V, e art. 11, II, "a", da LGPD.
Armazenamento das regras e condições contratuais firmadas entre a clínica e as operadoras de saúde — base legal: execução de contrato, art. 7º, V, da LGPD.
Aprimoramento de modelos de inteligência artificial, mediante uso exclusivo de dados submetidos previamente a processo de anonimização irreversível — base legal: art. 12 da LGPD.
É vedado à Kyro utilizar os dados para venda, compartilhamento ou cessão a qualquer finalidade além das expressamente previstas.
3. Anonimização para Treinamento de Modelos
Antes de qualquer uso de dados para treinamento de inteligência artificial, a Kyro realiza anonimização técnica irreversível, suprimindo ou transformando, no mínimo:
Nome completo do paciente
CPF e demais documentos de identificação
Data de nascimento
Número de carteirinha do plano de saúde
Endereço e dados de contato
Qualquer outro campo que permita identificação direta ou indireta do titular
Os dados utilizados para treinamento são compostos exclusivamente por informações clínicas e financeiras de caráter genérico: código do procedimento (TUSS/AMB), código de diagnóstico (CID), valores faturados e glosados, e código da operadora.
4. Retenção e Exclusão
XMLs das guias de atendimento: excluídos permanentemente após a conclusão de cada análise.
Regras contratuais com operadoras: retidos pelo prazo do contrato acrescido de 90 dias.
Dados anonimizados: retidos por prazo indeterminado, por não constituírem dados pessoais nos termos do art. 12 da LGPD.
Ao término do contrato, todos os dados pessoais são excluídos em até 30 dias, com emissão de comprovante quando solicitado.
5. Infraestrutura e Transferência Internacional
A Kyro utiliza a Amazon Web Services (AWS) como suboperadora. Os dados são processados na região us-east-1 (Estados Unidos), configurando transferência internacional nos termos do art. 33 da LGPD, respaldada por Cláusulas Contratuais Padrão.
A AWS mantém os seguintes padrões de conformidade: ISO/IEC 27001, ISO/IEC 27701, SOC 1, SOC 2, SOC 3, PCI DSS e GDPR.
As garantias da transferência incluem:
Limitação de finalidade: uso exclusivo para as finalidades descritas nesta política.
Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
Notificação de incidentes em até 72 horas após ciência do ocorrido.
6. Medidas de Segurança
A Kyro adota as seguintes medidas técnicas e administrativas:
Criptografia de dados em trânsito com TLS 1.2 ou superior.
Criptografia de dados em repouso com AES-256.
Autenticação multifator (MFA) para acesso aos sistemas.
Controle de acesso baseado em funções (RBAC) com revisão periódica.
Monitoramento contínuo de acessos com logs de auditoria.
Programa de gestão de vulnerabilidades e atualização periódica de sistemas.
7. Direitos dos Titulares
Nos termos do art. 18 da LGPD, os titulares dos dados têm direito a: confirmação da existência de tratamento, acesso, correção, anonimização, eliminação, portabilidade e informação sobre compartilhamento com terceiros.
A clínica cliente (Controladora) é responsável por garantir o exercício desses direitos. Solicitações encaminhadas diretamente à Kyro serão redirecionadas à Controladora em até 5 dias úteis.
8. Contato
Para exercer seus direitos ou esclarecer dúvidas sobre esta política, entre em contato pelo e-mail contato@kyro.com.br.