Vacina Web — Termos de Uso e Política de Privacidade

Versão 2.0 — Última atualização: maio de 2026

1. Definições

• Vacina Web / Serviço: plataforma web para organização pessoal do histórico de vacinação (registro, consulta, geração de PDF).
• Usuário / Titular: pessoa física que cria conta e utiliza o Serviço.
• Controlador: responsável pelas decisões de tratamento dos dados pessoais no Vacina Web (Igor Pereira — contato ao final).
• Operador: empresa que trata dados por conta do Controlador — no caso, Google LLC (Firebase).
• Dado pessoal sensível: nos termos da LGPD (Art. 5-II), dado relacionado à saúde. O histórico de vacinação é classificado como dado sensível.
• LGPD: Lei Geral de Proteção de Dados (Lei nº 13.709/2018), aplicável a todos os titulares que usem o Serviço no Brasil.
• GDPR: Regulamento Geral sobre Proteção de Dados (UE 2016/679), aplicável a titulares residentes na União Europeia.
• ANPD: Autoridade Nacional de Proteção de Dados (Brasil).
• DPO / Encarregado: responsável por receber solicitações de titulares e comunicar-se com a ANPD.

2. Natureza do serviço

O Vacina Web fornece ferramentas de organização pessoal. Não há integração com sistemas governamentais (ex.: Conecte SUS). Os documentos gerados (PDFs) são exclusivamente pessoais e informativos — não têm validade oficial perante qualquer órgão público ou privado.

O Serviço é gratuito, sem fins lucrativos. Não monetizamos dados, não exibimos anúncios e não realizamos publicidade comportamental.

3. Dados coletados e finalidades

3.1 Dados de cadastro

• Obrigatórios: nome completo e e-mail.
• Opcionais: CPF, data de nascimento, sexo, nome da mãe, CNS (Cartão Nacional de Saúde), plano de saúde.
• Finalidade: identificação do usuário, personalização do PDF, prestação do Serviço.

3.2 Dados de saúde (sensíveis — LGPD Art. 11)

• Nome da vacina, data de aplicação, dose, lote, profissional responsável, observações.
• Finalidade: organização do histórico pessoal de vacinação, geração de relatórios e PDFs.
• Esses dados só são tratados mediante consentimento específico e destacado fornecido no ato do cadastro (LGPD Art. 11-I).

3.3 Dados técnicos mínimos

• Metadados de operação: data de criação/alteração de registros, identificadores técnicos (UID Firebase), carimbos de data/hora.
• Logs de segurança: tentativas de 2FA, eventos de autenticação, logs de deleção e revogação de consentimento (para fins de auditoria e atendimento de obrigações legais).
• Não coletamos: localização, histórico de navegação além do necessário para operar o Serviço, dados de dispositivo além do indispensável para segurança.

4. Proteção e criptografia de dados

Adotamos privacy by design (LGPD Art. 46, GDPR Art. 25). As principais medidas técnicas implementadas são:

• Criptografia de campos sensíveis (AES-256-GCM): CPF e CNS são criptografados server-side com algoritmo AES-256-GCM (IV aleatório por operação, autenticação de integridade via auth tag) antes de serem persistidos no Firestore. Nunca são armazenados em texto puro. A chave de criptografia permanece exclusivamente no servidor.
• Cookies HttpOnly e Secure: o token de sessão é armazenado em cookie httpOnly, secure e sameSite=strict, impedindo acesso por JavaScript do browser e ataques CSRF.
• Autenticação de dois fatores (2FA): disponível opcionalmente via TOTP (aplicativos como Google Authenticator). Operações destrutivas (revogação de consentimento) exigem re-autenticação com senha e, se ativo, o código do autenticador.
• Verificação anti-bot (Cloudflare Turnstile): formulários de cadastro e login são protegidos contra bots e ataques de força bruta.
• Rate limiting: tentativas excessivas de 2FA são bloqueadas automaticamente por janela de tempo.
• Log de auditoria: eventos como deleção de conta, revogação e re-aceitação de consentimento são registrados com UID, e-mail e timestamp para fins de rastreabilidade.
• Tráfego criptografado (TLS): toda comunicação entre browser e servidor utiliza HTTPS/TLS.

Nenhum sistema é 100% seguro. Em caso de incidente, adotaremos o procedimento descrito na seção 9 (Incidentes de Segurança).

5. Bases legais para o tratamento

5.1 LGPD (Lei nº 13.709/2018)

• Consentimento específico e destacado (Art. 7-I e Art. 11-I): para tratamento do histórico de vacinação e demais dados de saúde.
• Execução de contrato (Art. 7-V): para operações necessárias à prestação do Serviço (autenticação, armazenamento de nome e e-mail).
• Legítimo interesse (Art. 7-IX): para segurança do sistema, prevenção a fraudes e integridade do Serviço, sempre respeitando os direitos e liberdades do titular.
• Cumprimento de obrigação legal (Art. 7-II): quando aplicável por determinação judicial ou regulatória.

5.2 GDPR — Titulares na União Europeia (Regulamento UE 2016/679)

Para titulares residentes na UE, o tratamento se baseia em:

• Consentimento explícito (Art. 6-1-a e Art. 9-2-a): para dados de saúde.
• Execução de contrato (Art. 6-1-b): para operar a conta do usuário.
• Interesses legítimos (Art. 6-1-f): para segurança e integridade do sistema.

O Vacina Web não está estabelecido na UE. Caso você seja residente europeu e utilize o Serviço, seus dados são transferidos para os servidores do Firebase (Google LLC, EUA) com base nas Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia, conforme o DPA do Google Firebase.

6. Consentimento e revogação

6.1 Como o consentimento é obtido

No ato do cadastro, apresentamos um bloco destacado (fundo âmbar) com um checkbox separado e obrigatório para o consentimento ao tratamento dos dados de saúde — em conformidade com a exigência de consentimento "específico e destacado" da LGPD Art. 11. O consentimento geral aos Termos de Uso é coletado em checkbox separado.

O sistema registra no banco de dados: a data/hora exata do consentimento (sensitiveDataConsentAt), a versão da política vigente (sensitiveDataConsentVersion) e o UID do titular — criando uma trilha de auditoria rastreável.

6.2 Como revogar o consentimento

Você pode revogar seu consentimento a qualquer momento em Editar Perfil → Revogar consentimento. O processo exige:

1. Confirmação da sua senha.
2. Se você tiver o 2FA ativo: inserção do código de 6 dígitos do seu aplicativo autenticador.

Essa verificação dupla protege contra revogações acidentais ou não autorizadas.

Após a revogação, você pode re-aceitar o consentimento a qualquer momento em Editar Perfil. Neste caso, os dados anteriores não são restaurados — você começa um novo histórico do zero.

7. Seus direitos como titular (LGPD Art. 18 / GDPR Arts. 15–22)

Você tem os seguintes direitos, que podem ser exercidos diretamente no Serviço ou via contato com o DPO:

Titulares europeus podem ainda registrar reclamação junto à autoridade supervisora do seu país (ex.: CNIL na França, BfDI na Alemanha, ICO no Reino Unido). Titulares brasileiros podem registrar reclamação junto à ANPD (www.gov.br/anpd).

8. Compartilhamento e transferência de dados

Não vendemos, não alugamos e não compartilhamos seus dados pessoais com terceiros para fins comerciais ou de marketing.

O único operador que acessa os dados é o Firebase (Google LLC), que provê a infraestrutura de banco de dados e autenticação. A Google atua como operador contratado e está sujeita ao nosso DPA e às políticas de privacidade do Google Cloud. Seus dados podem ser armazenados em servidores fora do Brasil (incluindo EUA), sendo aplicáveis as salvaguardas da LGPD (Art. 33-34) e, para titulares europeus, as SCCs do GDPR.

O Cloudflare é usado para proteção anti-bot (Turnstile) — processa somente tokens anônimos de verificação, sem acesso a dados pessoais do usuário.

9. Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano ao titular:

• LGPD (Art. 48): o Controlador comunicará a ANPD e os titulares afetados em prazo razoável, com informações sobre a natureza dos dados, medidas de mitigação adotadas e canais de contato.
• GDPR (Art. 33): para titulares europeus, a notificação à autoridade supervisora competente ocorrerá em até 72 horas após a ciência do incidente.
• A comunicação aos titulares afetados indicará: quais dados foram comprometidos, qual o risco potencial e as medidas adotadas ou recomendadas.

10. Retenção e descarte de dados

Os dados são mantidos enquanto a conta estiver ativa. Após a exclusão da conta ou revogação do consentimento:

• Os dados são apagados imediatamente dos registros ativos do Firestore.
• Dados residuais em backups automáticos do Firebase são eliminados conforme os ciclos técnicos do provedor (geralmente até 30 dias).
• Logs de auditoria (registro de deleção, revogação de consentimento) podem ser retidos por até 5 anos para cumprimento de obrigações legais, contendo apenas UID, e-mail (quando disponível) e timestamp — sem dados de saúde.

11. Cookies e tecnologias similares

Utilizamos apenas cookies estritamente necessários para o funcionamento do Serviço:

• firebaseIdToken — token de sessão autenticada. Obrigatório para manter o login. Configurado como httpOnly, secure e sameSite=strict.
• cookie_consent — registra que você aceitou o aviso de cookies. Não contém dados pessoais.

Não utilizamos cookies de publicidade, rastreamento, analytics ou terceiros. Consulte a Política de Cookies para detalhes.

12. Responsabilidade do usuário

Você é integralmente responsável por: (i) inserir apenas dados verídicos que lhe pertençam; (ii) manter suas credenciais em sigilo; (iii) não inserir dados de terceiros sem autorização; (iv) todo uso que fizer dos documentos gerados.

O Vacina Web não valida, não certifica e não atesta a veracidade das informações inseridas. PDFs gerados não têm validade oficial perante nenhuma instituição.

13. Contato, Encarregado (DPO) e reclamações

• E-mail do DPO / privacidade: contato@igorpereira.com.br
• Controlador: Vacina Web (responsável: Igor Pereira)
• ANPD (Brasil): www.gov.br/anpd

Solicitações de exercício de direitos, dúvidas ou reclamações devem ser enviadas ao e-mail do DPO. Por segurança, podemos solicitar comprovação de identidade antes de atender ao pedido.

14. Alterações nestes Termos

Podemos atualizar estes Termos a qualquer momento. Alterações materiais serão comunicadas por aviso no site ou e-mail cadastrado. O uso continuado após a entrada em vigor das alterações implica concordância. A versão vigente é sempre a disponível nesta página, identificada pela data de atualização no topo.

15. Lei aplicável e foro

Estes Termos são regidos pelas leis brasileiras, especialmente a LGPD (Lei nº 13.709/2018). Fica eleito o Foro da Comarca de São Paulo/SP para dirimir litígios, salvo competência legal diversa. Para titulares europeus, aplicam-se adicionalmente as disposições do GDPR e a competência das autoridades supervisoras locais.