← Documentos legais

Política de Privacidade — visitantes públicos

Versão pública 0.1 · Atualizado em 20 de maio de 2026

Esta política descreve como o Lastreo trata dados de visitantes do site público (https://lastreo.com incluindo /docs-public/, /dashboard/ e /sandbox/).

Importante: esta política não cobre dados de pacientes ou médicos integrados via API. Esses dados ficam sob o regime do DPA entre Lastreo (operador) e o Cliente contratante (controlador). Esta política trata apenas de pessoas que visitam o site público ou usam o dashboard como administradores do cliente B2B.

1. Quem somos

Lastreo é um produto B2B de tecnologia médica operado por Olympos Group SAS (sociedade por ações simplificada constituída segundo as leis da República Oriental do Uruguai, RUT 220801580010). Infraestrutura técnica em território brasileiro (servidor em Oracle Cloud São Paulo). Contato para questões de privacidade e Encarregado pelo tratamento de dados (DPO interino): [email protected].

2. O que coletamos de visitantes públicos

Ao navegar nas páginas públicas (/docs-public/, este site, etc.), coletamos via logs do servidor web:

Não usamos cookies de rastreamento, analytics de terceiros (Google Analytics, etc.) ou pixels de remarketing. O site é estático sem JavaScript de tracking. O único storage no navegador é localStorage no /dashboard/ para armazenar o token JWT de autenticação — limpo no logout ou após expiração.

3. O que coletamos de usuários do dashboard B2B

Usuários com role client_admin que usam https://lastreo.com/dashboard/ têm:

4. Base legal (LGPD)

Tratamos os dados de visitantes com base em:

5. Compartilhamento

Não vendemos, alugamos ou compartilhamos dados de visitantes. Sub-operadores (Google para entrega de email SMTP, Oracle Cloud para hospedagem) estão listados publicamente em /api/v1/subprocessors.

6. Seus direitos

Conforme LGPD Art. 18, você pode solicitar a qualquer momento:

Solicitações: email para [email protected]. Resposta em até 15 dias úteis (ANPD recomenda).

7. Segurança

Field-level encryption (Fernet AES-128) em PII sensível no banco. TLS em trânsito (HTTPS público + TLSv1.3 backend↔postgres). Backup encriptado at-rest (AES-256-CBC). Audit log universal append-only via trigger PostgreSQL. Error tracking 100% in-house (sem Sentry SaaS).

8. Alterações

Alterações materiais nesta política são publicadas nesta página com nova data e, se você for usuário do dashboard, comunicadas por email.