Política de Privacidade
1. Controladores e Operadores
A psidobem adota o modelo de duplo controle previsto na LGPD para dados tratados na plataforma:
- Psidobem Inova Simples (I.S.) atua como controladora de plataforma para os dados necessários à prestação do serviço (autenticação, assinatura, suporte, telemetria) e como operadora clínica para os dados de saúde tratados sob instrução do terapeuta.
- Terapeuta atua como controlador clínico dos dados de seus pacientes, sendo responsável pelas decisões sobre finalidade, base legal e tempo de retenção dos dados clínicos.
O Acordo de Processamento de Dados (DPA) que rege a relação entre psidobem e terapeuta está na cláusula 6.4 dos Termos de Uso.
2. Quem Somos
Psidobem Inova Simples (I.S.), CNPJ 58.164.448/0001-20 Sede: Brasil Encarregado de Proteção de Dados (DPO): app@psidobem.com Prazo de resposta: 15 dias úteis
3. Quais Dados Coletamos
Coletamos as seguintes categorias de dados, conforme o papel do usuário:
Identificação e contato
- Nome completo, CPF, e-mail, telefone, data de nascimento
- Número de CRP (terapeutas)
Dados de saúde (pacientes)
- Registros de sessão, anotações clínicas, histórico terapêutico
- Diário emocional (quando utilizado pelo paciente)
Financeiros
- Dados de assinatura do terapeuta (plano, histórico de pagamentos via Stripe)
- Dados de cobrança ao paciente gerenciados pelo terapeuta (valores, datas)
- Não armazenamos dados de cartão de crédito do paciente; pagamentos são processados diretamente pelo terapeuta fora da plataforma
Dados de calendário externo (opcional)
- Eventos do Google Calendar do usuário (título, data, horário, participantes, descrição) — coletados somente mediante autorização OAuth explícita do titular; a integração é opcional e pode ser revogada a qualquer momento
Técnicos
- Logs de acesso, endereço IP, tipo de dispositivo, sistema operacional
- Stack traces e logs de erro (via Sentry)
- Metadados de sessão de videochamada (duração, conexão P2P — conteúdo não armazenado)
- Endereço IP, user agent e data/hora de acesso ao link de cobrança (invoice), para fins de prova de entrega — demonstrar que o link foi visualizado pelo paciente. Base legal: legítimo interesse do controlador (art. 10 LGPD), para resolução de disputas contratuais. Esses dados são acessíveis ao terapeuta responsável pela cobrança.
Dados de uso
- Ações realizadas na plataforma, funcionalidades acessadas, frequência de uso (dados agregados e anonimizados para melhoria do produto)
4. Como Seus Dados Chegam até Nós
- Cadastro: informações fornecidas pelo usuário no momento do registro na plataforma.
- Uso da plataforma: dados gerados pelo uso das funcionalidades (registros clínicos, agendamentos, mensagens de IA, videochamadas).
- Integração com Supabase Auth: autenticação gerida pelo Supabase, que coleta e-mail e credenciais para controle de acesso.
- Integração com Google Calendar (opcional): mediante autorização OAuth explícita do usuário, a psidobem acessa eventos do Google Calendar para exibição de disponibilidade e criação de eventos de sessão. O usuário pode revogar o acesso a qualquer momento nas configurações da conta ou diretamente na sua Conta Google.
- Telemetria técnica: dados de erro e desempenho coletados automaticamente pelo Sentry para diagnóstico de falhas.
5. Finalidades e Bases Legais
| # | Finalidade | Categoria de Dado | Controlador | Base Legal |
|---|---|---|---|---|
| 1 | Autenticação e controle de acesso | Identificação, credenciais | psidobem | Art. 7º V (contrato) |
| 2 | Prestação dos serviços de agendamento | Identificação, agenda | psidobem | Art. 7º V |
| 3 | Registro clínico (prontuário) | Saúde | Terapeuta | Art. 11 II "f" (profissional de saúde) |
| 4 | Geração de resumo de sessão via IA | Saúde (redatado) | Terapeuta / psidobem operador | Art. 11 II "f" + Art. 11 I (consentimento) |
| 5 | Chat IA assistente clínico | Saúde (redatado) | Terapeuta / psidobem operador | Art. 11 II "f" + Art. 11 I |
| 6 | Insights clínicos via IA | Saúde (redatado) | Terapeuta / psidobem operador | Art. 11 II "f" + Art. 11 I |
| 7 | Cobranças e faturamento (paciente) | Identificação, financeiro | Terapeuta | Art. 7º V |
| 8 | Assinatura da plataforma (terapeuta) | Identificação, financeiro | psidobem | Art. 7º V |
| 9 | Comunicação sobre a conta | Identificação, contato | psidobem | Art. 7º V |
| 10 | Suporte ao cliente | Identificação, contato | psidobem | Art. 7º IX (legítimo interesse) |
| 11 | Prevenção de fraude e segurança | Técnico, identificação | psidobem | Art. 7º IX |
| 12 | Telemetria de erros (Sentry) | Técnico (logs, stack traces) | psidobem | Art. 7º IX |
| 13 | Logs de auditoria interna | Identificação, ação | psidobem | Art. 7º IX |
| 14 | Cumprimento de obrigação legal | Todos os aplicáveis | psidobem / Terapeuta | Art. 7º II (obrigação legal) |
| 15 | Videochamada integrada | Conexão P2P — dados não armazenados | psidobem | Art. 7º V |
| 16 | Notificações push (lembretes, agenda) | Identificação, agenda | psidobem | Art. 7º V |
| 17 | Diário emocional do paciente | Saúde | psidobem (operador) | Art. 11 I (consentimento explícito) |
| 18 | Exportação de dados (DSAR) | Todos | psidobem / Terapeuta | Art. 7º II + Art. 18 |
| 19 | Melhoria e desenvolvimento do produto (dados agregados, sem identificação) | Técnico, agregado | psidobem | Art. 7º IX |
| 20 | Integração com Google Calendar (quando autorizado pelo usuário) | Dados de calendário externo (eventos, horários, participantes) | psidobem | Art. 7º I (consentimento — via OAuth) |
6. Subprocessadores e Parceiros
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Supabase Inc. | Banco de dados e autenticação | EUA |
| Google LLC (Google Cloud Platform) | Infraestrutura de API, armazenamento de arquivos e inteligência artificial | EUA |
| Stripe Inc. | Processamento da assinatura do terapeuta | Global |
| Functional Software Inc. (Sentry) | Telemetria de erros | EUA |
| Google LLC (Firebase Hosting) | Servir frontends estáticos | CDN global |
| Google LLC (Google Calendar API) | Acesso ao calendário do usuário para exibição de disponibilidade e criação de eventos de sessão — apenas quando autorizado via OAuth | EUA |
7. Dados Obtidos via APIs do Google
Esta seção descreve o tratamento dos dados obtidos por meio das APIs do Google (Google Calendar), em conformidade com a Google API Services User Data Policy, incluindo os requisitos de uso limitado (Limited Use).
Dados acessados: Mediante autorização OAuth explícita do usuário, a psidobem acessa eventos do Google Calendar (título, data, horário, participantes, descrição) exclusivamente para:
- exibir a disponibilidade do terapeuta na agenda da plataforma; e
- criar e sincronizar eventos de sessão terapêutica no calendário do usuário.
Com quem os dados do Google são compartilhados:
Os dados obtidos via Google Calendar não são vendidos, cedidos nem transferidos a terceiros, exceto nos casos estritamente necessários para a prestação do serviço:
| Destinatário | Finalidade |
|---|---|
| Google LLC (Google Cloud Platform) | Infraestrutura onde a API da psidobem é executada |
| Supabase Inc. | Banco de dados onde eventos sincronizados são armazenados |
Nenhum dado do Google Calendar é compartilhado com parceiros, anunciantes ou qualquer outro terceiro além dos listados acima.
Limitação de uso: Os dados do Google Calendar são usados estritamente para as finalidades autorizadas no momento da concessão de acesso OAuth. Não são utilizados para fins publicitários, de marketing, criação de perfis comportamentais ou treinamento de modelos de inteligência artificial.
Treinamento de IA: Os dados obtidos via Google APIs não são utilizados para treinar modelos de IA ou aprendizado de máquina, próprios ou de terceiros.
Revogação: O acesso pode ser revogado a qualquer momento nas configurações da conta ou em myaccount.google.com/permissions. Após a revogação, a psidobem não acessa novos dados do calendário. Dados previamente sincronizados podem ser excluídos mediante solicitação ao DPO (app@psidobem.com).
8. Transferência Internacional de Dados
Dados pessoais tratados pela psidobem e por seus subprocessadores são armazenados em servidores localizados nos Estados Unidos da América.
Tais transferências são realizadas com fundamento no Art. 33 da LGPD, com base em:
- Cláusulas contratuais padrão (Standard Contractual Clauses) firmadas com os subprocessadores;
- Certificações de conformidade e adequação dos provedores (ex: ISO 27001, SOC 2 Type II).
9. Uso da Inteligência Artificial
As funcionalidades de IA da plataforma (resumo de sessão, insights clínicos, chat assistente) utilizam serviços de inteligência artificial do Google Cloud, hospedados nos EUA.
Antes do envio de qualquer conteúdo ao modelo, uma camada técnica realiza a redação de identificadores — remoção de nomes, CPF, e-mail e demais dados que permitam identificar diretamente o paciente ou o terapeuta cadastrados na plataforma. O modelo não processa esses dados identificáveis.
Responsabilidade do terapeuta pelo conteúdo inputado: a redação automática cobre apenas os identificadores conhecidos pela plataforma. O terapeuta é responsável por não incluir dados pessoais de terceiros (familiares, outras pessoas mencionadas em sessão) em campos que serão processados pela IA, uma vez que a plataforma não tem como identificar e redigir essas informações automaticamente.
Os outputs gerados pela IA (resumos, insights, mensagens de chat) são armazenados no prontuário do paciente, sob responsabilidade e controle do terapeuta. A IA não toma decisões clínicas autônomas.
10. Retenção de Dados
| Categoria | Retenção Operacional | Pós-exclusão da Conta | Base |
|---|---|---|---|
| Prontuário clínico (sessões, notas, resumos) | Vigência do vínculo terapêutico | 20 anos | Resolução CFP 001/2009 |
| Dados financeiros / fiscais | Vigência do contrato | 5 anos | Código Tributário Nacional |
| Dados cadastrais (nome, e-mail, CPF) | Vigência da conta | 30 dias (anonimização) | LGPD Art. 16 |
| Logs de segurança e acesso | 90 dias corridos | — | Art. 7º IX (legítimo interesse) |
| Audit log de aceite legal | Vigência da conta | 5 anos | Art. 7º II (obrigação legal) |
11. Direitos dos Titulares
Nos termos do Art. 18 da LGPD, o titular tem direito a:
- Acesso: saber quais dados são tratados e como;
- Correção: retificar dados incompletos, inexatos ou desatualizados;
- Anonimização ou bloqueio: de dados desnecessários ou tratados em desconformidade com a lei;
- Eliminação: de dados tratados com base no consentimento, ressalvadas as obrigações legais de retenção;
- Portabilidade: receber seus dados em formato estruturado;
- Revogação do consentimento: a qualquer momento, sem prejuízo da licitude do tratamento anterior;
- Informação: sobre compartilhamento com terceiros;
- Oposição: ao tratamento baseado em legítimo interesse.
Canal: app@psidobem.com Prazo de resposta: 15 dias úteis
12. Como Exercer Seus Direitos
A forma de exercer os direitos varia conforme o tipo de dado:
- Dados clínicos (prontuário, registros de sessão): o controlador é o terapeuta. O paciente deve solicitar diretamente ao seu terapeuta. A psidobem, como operadora, repassa as solicitações ao terapeuta responsável.
- Dados de plataforma e conta (cadastro, histórico de acesso, assinatura): o controlador é a psidobem. Solicitar via e-mail app@psidobem.com.
13. Segurança
A psidobem adota medidas técnicas e organizacionais para proteger os dados:
- Criptografia em trânsito via TLS 1.2 ou superior em todas as comunicações;
- Autenticação tokenizada via Supabase Auth (JWT), sem armazenamento de senhas em texto puro;
- Controle de acesso por perfil (terapeuta, paciente);
- Redação de identificadores antes do envio de dados à IA;
- Monitoramento de erros e anomalias via Sentry.
14. Menores de Idade
O acesso de pacientes menores de idade à plataforma requer autorização e supervisão de responsável legal. O responsável deve realizar o cadastro e consentir com o tratamento de dados de saúde em nome do menor.
15. Alterações desta Política
A psidobem pode atualizar esta Política de Privacidade a qualquer momento, notificando os usuários com antecedência mínima de 30 dias por e-mail e/ou aviso no aplicativo. A nova versão exige re-aceite para continuidade do uso da plataforma. A versão e a data de atualização constam no cabeçalho deste documento.
16. Cookies
A plataforma utiliza apenas cookies funcionais de sessão necessários para a autenticação do usuário via Supabase Auth.
Não utilizamos cookies de rastreamento, publicidade comportamental ou analytics de terceiros. Não há compartilhamento de dados de navegação com redes de publicidade.
17. Contato e Encarregado
Para questões sobre privacidade, proteção de dados ou exercício de direitos:
E-mail: app@psidobem.com Prazo de resposta: 15 dias úteis
Caso não haja resposta satisfatória, o titular pode registrar reclamação perante a ANPD (Autoridade Nacional de Proteção de Dados): https://www.gov.br/anpd