Acordo de Processamento de Dados

O presente Acordo de Processamento de Dados ("APD") é celebrado entre:

Controlador: A Instituição de Ensino (Universidade, Faculdade ou Escola Médica) que contrata os serviços da Henrick Serviços Médicos Ltda., doravante denominada simplesmente "Controlador" ou "Instituição".

Operador: Henrick Serviços Médicos Ltda., pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 53.363.355/0001-01, com sede na Av. Portugal, 1.148, Setor Marista, Goiânia/GO, CEP 74150-030, doravante denominada simplesmente "Operador" ou "CardioNexus".

As partes reconhecem que, no âmbito da prestação dos serviços educacionais de eletrocardiografia, o Controlador determina as finalidades e os meios do tratamento dos dados pessoais dos titulares (alunos), enquanto o Operador realiza o tratamento em nome e por instrução do Controlador, nos termos da Lei nº 13.709/2018 (LGPD).

O tratamento de dados pessoais pelo Operador, no âmbito deste APD, destina-se exclusivamente às seguintes finalidades:

2.1 Prestação do serviço educacional: • Disponibilização de casos clínicos interativos de eletrocardiografia (ECG) para aprendizado prático • Gestão de progresso acadêmico individual por aluno • Emissão de certificados educacionais com código de verificação único

2.2 Suporte pedagógico institucional: • Geração de relatórios de desempenho agregados por turma, semestre e departamento • Fornecimento de painel de controle para coordenadores pedagógicos • Atribuição de tarefas e casos obrigatórios por instrutores

2.3 Fins acessórios compatíveis: • Melhoria contínua da plataforma com dados anonimizados e agregados • Suporte técnico e resolução de incidentes

O Operador não utilizará os dados pessoais para qualquer finalidade diversa das acima descritas, salvo mediante instrução expressa e documentada do Controlador ou quando exigido por lei.

3.1 Dados de identificação dos titulares (alunos): • Nome completo • Endereço de e-mail institucional (ex.: aluno@universidade.edu.br) • Identificador único interno (UUID gerado pela plataforma)

3.2 Dados de uso e desempenho acadêmico: • Histórico de casos clínicos realizados • Pontuações e resultados por caso • Tempo de acesso e duração das sessões de estudo • Diagnósticos submetidos e comparação com gabarito • Progresso em trilhas de aprendizado

3.3 Dados de acesso e segurança: • Endereço IP (registrado em logs de auditoria) • Tipo de dispositivo e navegador (para fins de compatibilidade e segurança) • Data e horário de acessos

3.4 Ausência de dados sensíveis: O Operador NÃO coleta, trata ou armazena dados de saúde dos alunos. A plataforma é exclusivamente educacional — nenhum dado clínico real dos alunos é utilizado. Os ECGs disponíveis na plataforma são casos pedagógicos, não registros de saúde pessoal.

3.5 Menores de idade: A plataforma destina-se a estudantes maiores de 18 anos. O Controlador é responsável por garantir que alunos menores de idade não sejam cadastrados sem o devido consentimento dos responsáveis legais, conforme o art. 14 da LGPD.

O tratamento dos dados pessoais descrito neste APD encontra fundamento nas seguintes hipóteses legais:

Art. 7º, V — Execução de contrato: O tratamento é necessário para a execução do contrato de prestação de serviços educacionais celebrado entre o Operador e o Controlador, do qual os titulares (alunos) são beneficiários diretos.

Art. 7º, VI — Exercício regular de direitos: Para fins de emissão de certificados, comprovação de aproveitamento acadêmico e atendimento a obrigações perante o Controlador.

Art. 7º, IX — Legítimo interesse: Para melhoria contínua da plataforma, prevenção de fraudes e garantia da segurança dos sistemas, desde que não prevaleçam sobre os direitos e liberdades dos titulares.

Quanto a dados de crianças e adolescentes (art. 14): Aplica-se somente quando o Controlador expressamente autorizar e assumir responsabilidade pelo cadastro de menores, devendo obter consentimento específico dos responsáveis legais.

O Operador se compromete a tratar somente os dados mínimos necessários (princípio da necessidade, art. 6º, III) e a manter registros de atividades de tratamento (art. 37), disponíveis para consulta do Controlador e da ANPD quando solicitado.

O Operador implementa e mantém as seguintes medidas para proteger os dados pessoais tratados:

5.1 Controles técnicos: • Criptografia em trânsito: TLS 1.3 em todas as comunicações de rede • Criptografia em repouso: AES-256 no banco de dados e nos backups • Controle de acesso baseado em funções (RBAC) com privilégio mínimo • Autenticação multifator (2FA) disponível e recomendada para coordenadores • Tokens de sessão com expiração automática e revogação

5.2 Rastreabilidade e auditoria: • Logs de auditoria completos e imutáveis para todas as operações sobre dados pessoais • Monitoramento contínuo de acessos e anomalias • Alertas automáticos para atividades suspeitas

5.3 Continuidade e recuperação: • Backups diários com retenção de 90 dias • Redundância geográfica dos dados (hospedagem Supabase — AWS São Paulo) • Plano de recuperação de desastres (RTO < 4h, RPO < 24h)

5.4 Gestão organizacional: • Política interna de segurança da informação • Treinamento periódico da equipe sobre LGPD e proteção de dados • Contratos de confidencialidade com todos os colaboradores e subcontratados • Processo formal de gestão de incidentes de segurança

5.5 Suboperadores: O Operador utiliza os seguintes suboperadores para prestação do serviço, todos sujeitos a obrigações contratuais de proteção de dados equivalentes às deste APD: • Supabase Inc. — hospedagem de banco de dados (AWS us-east-1 / sa-east-1) • Vercel Inc. — hospedagem da aplicação web • Resend Inc. — envio de e-mails transacionais

Nos termos dos arts. 17 a 22 da LGPD, os titulares (alunos) têm os seguintes direitos, exercíveis junto ao Controlador (Instituição) ou diretamente ao Operador:

6.1 Direitos assegurados: • Confirmação e acesso: Saber se seus dados são tratados e obter cópia dos mesmos • Correção: Retificar dados incompletos, inexatos ou desatualizados • Anonimização ou bloqueio: Dos dados desnecessários, excessivos ou tratados em desconformidade • Portabilidade: Receber seus dados em formato estruturado e interoperável • Eliminação: Solicitar a exclusão de dados tratados com base em consentimento • Revogação do consentimento: A qualquer tempo, sem ônus • Oposição: Opor-se a tratamento que viole a LGPD • Revisão de decisões automatizadas: Solicitar revisão humana de decisões baseadas em tratamento automatizado

6.2 Canal de exercício de direitos: E-mail do Encarregado de Proteção de Dados (DPO): dpo@cardionexus.com.br Prazo de resposta: 15 dias úteis contados do recebimento da solicitação.

6.3 Reclamações à ANPD: Os titulares podem também apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), conforme art. 18, §1º da LGPD, pelo site: www.gov.br/anpd

7.1 Obrigações do Controlador (Instituição): • Obter base legal adequada para o tratamento (ex.: comunicar formalmente aos alunos sobre uso da plataforma) • Informar os titulares sobre o tratamento de seus dados pessoais (art. 18, I e II) • Garantir que o cadastro de alunos seja feito com dados verídicos e atualizados • Notificar o Operador imediatamente sobre solicitações de titulares que requeiram ação técnica • Designar um ponto de contato interno responsável pela gestão do uso da plataforma

7.2 Obrigações do Operador (CardioNexus): • Tratar os dados pessoais somente conforme as instruções documentadas do Controlador • Garantir a confidencialidade dos dados pessoais tratados • Implementar e manter as medidas de segurança descritas na Cláusula 5 • Notificar o Controlador em até 72 horas após tomar conhecimento de incidente de segurança que possa afetar dados pessoais (art. 48) • Fornecer relatório de impacto à proteção de dados (RIPD) quando solicitado pelo Controlador ou pela ANPD • Cooperar com auditorias e inspeções conduzidas pelo Controlador ou por autoridade competente • Não subcontratar novos suboperadores sem informar o Controlador com antecedência de 30 dias

8.1 Vigência: Este APD entra em vigor na data de aceite pelo Controlador e permanecerá vigente pelo mesmo período do contrato de prestação de serviços educacionais ao qual está vinculado.

8.2 Rescisão: Qualquer das partes pode rescindir este APD mediante notificação escrita com antecedência mínima de 30 dias, sem prejuízo das obrigações de confidencialidade e do cumprimento dos direitos dos titulares.

8.3 Tratamento dos dados após rescisão: • O Operador cessará o tratamento de novos dados imediatamente após a rescisão • Os dados pessoais serão mantidos por até 30 dias após a rescisão para fins de migração e portabilidade • Após esse prazo, os dados serão anonimizados ou excluídos de forma segura e irreversível, à escolha do Controlador • O Operador emitirá ao Controlador um certificado de eliminação ou anonimização dos dados, conforme solicitado

8.4 Sobrevivência: As obrigações de confidencialidade, as disposições sobre responsabilidade e os direitos dos titulares sobrevivem à rescisão deste APD por um período de 5 anos.

9.1 Responsabilidade solidária: O Controlador e o Operador respondem solidariamente pelos danos causados aos titulares em decorrência do tratamento de dados pessoais, nos termos do art. 42 da LGPD.

9.2 Isenção do Operador: O Operador não será responsabilizado quando provar que: • Não realizou o tratamento de dados pessoais que lhe é atribuído • Não houve violação à legislação de proteção de dados • O dano é decorrente de culpa exclusiva do Controlador ou do titular (art. 43 da LGPD)

9.3 Limitação de responsabilidade contratual: Sem prejuízo das disposições legais, a responsabilidade do Operador por danos contratuais limita-se ao valor total pago pelo Controlador nos 12 meses anteriores ao evento causador do dano.

9.4 Lei aplicável e foro: Este APD é regido pela legislação brasileira, em especial pela LGPD (Lei nº 13.709/2018). Fica eleito o foro da Comarca de Goiânia/GO para dirimir quaisquer controvérsias.

Este Acordo de Processamento de Dados é aceito pelas partes por meio de:

10.1 Assinatura eletrônica: O Controlador manifesta seu aceite por meio da assinatura eletrônica realizada na plataforma CardioNexus, com registro de data, hora, endereço de e-mail e IP do signatário, conforme a Medida Provisória nº 2.200-2/2001 e a Lei nº 14.063/2020.

10.2 Validade jurídica: A assinatura eletrônica realizada na plataforma tem plena validade jurídica e produz os mesmos efeitos legais de uma assinatura manuscrita, nos termos da legislação brasileira vigente.

10.3 Operador: Henrick Serviços Médicos Ltda. CNPJ: 53.363.355/0001-01 Av. Portugal, 1.148, Setor Marista, Goiânia/GO, CEP 74150-030 E-mail: juridico@cardionexus.com.br DPO: dpo@cardionexus.com.br

10.4 Controlador: A ser preenchido pelo representante legal da Instituição de Ensino no momento da assinatura eletrônica.