Pular para o conteúdo

Políticas de Privacidade

1. Introdução e Definições

Esta Política explica como coletamos, usamos, armazenamos e protegemos suas informações pessoais ao usar nossa plataforma (web e apps).

Ao utilizar os serviços, você concorda com as práticas aqui descritas.

Não vendemos dados pessoais e não utilizamos cookies de marketing no APP.

Definições:

  • Usuário: qualquer pessoa que utilize a plataforma, seja terapeuta ou paciente.
  • Terapeuta: profissional de saúde cadastrado para oferecer serviços na plataforma.
  • Paciente: pessoa que recebe atendimento e acessa registros compartilhados por terapeutas.

2. Categorias de Dados Coletados

2.1 Dados de Cadastro

  • Profissionais: nome, CPF, e-mail, telefone, registro profissional e área de atuação.
  • Pacientes: nome, dados de contato e dados de saúde (históricos, diagnósticos e anotações clínicas) fornecidos pelo terapeuta; coletados somente com consentimento explícito e destacado.
  • Dados Sensíveis: dados de saúde são considerados sensíveis, exigindo consentimento específico e podendo ser revogado a qualquer momento.

2.2 Dados de Uso da Plataforma

  • Tipo de dispositivo, sistema operacional, IP, data/hora de acesso, páginas visitadas e ações realizadas.
  • Logs de Acesso: mantidos por até 6 meses para auditoria e investigação de incidentes.

2.3 Dados de Comunicação

  • Mensagens e comentários trocados entre pacientes e terapeutas.

2.4 Dados de Agendamento

  • Datas e horários de consultas e atendimentos criados na plataforma.

2.5 Assinatura Digital e Certificados do Usuário

  • Conteúdo: quando o(a) Terapeuta habilita a assinatura digital, podemos armazenar um certificado digital de sua titularidade (por exemplo, A1) e metadados mínimos (ex.: emissor, vencimento) estritamente necessários para viabilizar a assinatura e auditoria.
  • Finalidade: assinatura de documentos gerados na plataforma e manutenção de trilhas de auditoria (quem assinou, quando e qual documento).
  • Consentimento e responsabilidade: ao enviar o certificado, o(a) Terapeuta declara ser titular, manter o sigilo das senhas e zelar por sua validade/revogação.

3. Finalidades e Bases Legais

3.1 Finalidades Operacionais

  • Criação e manutenção de contas, agendamento, registro de atendimentos e comunicação entre usuários.

3.2 Comunicação e Suporte

  • Envio de notificações, alertas de segurança, mensagens administrativas e atendimento via e-mail/WhatsApp.

3.3 Melhoria de Serviço

  • Análise de uso para otimização de funcionalidades, performance e desenvolvimento de novas funcionalidades.

3.4 Futuras Funcionalidades

  • Possibilidade futura de serviços adicionais pagos; condições comunicadas previamente em atualização desta Política.

3.5 Bases Legais

  • Execução de Contrato: prestação dos serviços contratados.
  • Obrigação Legal: cumprimento de exigências fiscais, contábeis, regulatórias e prestação de informações à ANPD se necessário.
  • Consentimento: para comunicações promocionais e compartilhamento com terceiros (quando aplicável).

4. Segurança e Proteção de Dados

  • Criptografia: dados em trânsito e repouso criptografados por TLS e AES-256.
  • Controle de Acesso: restrito a colaboradores autorizados; recomendamos uso de autenticação multifator (MFA).
  • Privacidade por Design: adotamos princípios de minimização de dados e acesso com base em necessidade, garantindo que a coleta e o processamento sejam limitados ao mínimo necessário.
  • Monitoramento e Auditoria: testes periódicos de vulnerabilidades, revisões de logs de acesso por até 6 meses e registro de todas as ações de acesso a dados sensíveis para auditoria.
  • Notificação de Incidentes: em caso de violação de dados, notificaremos titulares e a ANPD em até 72 horas, conforme art. 48 da LGPD.
  • Treinamento: equipe capacitada em LGPD e boas práticas de segurança.
  • Gestão de Chaves e Certificados: certificados digitais e segredos associados são armazenados criptografados em repouso, acessados apenas em memória volátil durante a operação de assinatura e protegidos por controles de acesso (RBAC) e cofre/gerenciador de chaves.
  • Auditoria de Assinaturas e Integrações: operações de assinatura e integrações (ex.: Google Calendar, WhatsApp/SMS) geram logs com carimbo de data/hora, usuário e contexto do evento.

5. Compartilhamento de Dados

5.1 Interno

  • Equipes de TI, suporte e produto, apenas para operação, segurança e melhoria contínua.

5.2 Terceiros

  • Fornecedores de Infraestrutura: AWS, serviços de e-mail, cláusulas contratuais padrão e certificações (ISO 27001, GDPR).
  • Parceiros de Segurança: consultores para auditorias e monitoramento.
  • Mensageria (WhatsApp/SMS): provedores de envio atuam como operadores/suboperadores, sob contrato e obrigações de confidencialidade, apenas para viabilizar o envio de lembretes.

5.3 Profissionais de Saúde

  • Terapeutas podem compartilhar registros e dados de pacientes com outros profissionais, familiares ou cuidadores, mediante consentimento prévio e documentado do paciente.
  • Responsabilidade do Terapeuta: obter e registrar autorizações e comunicar ao paciente sobre os compartilhamentos.
  • Anonimização/Pseudonimização: quando aplicável, adotamos técnicas para minimizar dados pessoais em relatórios analíticos.

5.4 Sem Venda de Dados

  • Não comercializamos nem vendemos dados de usuários ou pacientes.

6. Integrações com Terceiros (Google OAuth/Google Calendar, WhatsApp e SMS)

6.1 Escopo e opcionalidade

A integração com o Google Calendar e com provedores de mensageria (WhatsApp/SMS) é opcional e ocorre mediante autorização do Usuário. Sem a sua autorização, não acessamos dados dessas integrações.

6.2 Dados acessados

Para o Google Calendar, poderemos tratar eventos (criação, atualização, cancelamento; leitura quando necessária à conciliação) e o e-mail Google do Usuário para identificação e vinculação. Para mensageria, tratamos número de telefone, identificadores de agendamento e conteúdos mínimos do lembrete.

6.3 Escopos e finalidades (princípio do menor privilégio)

  • https://www.googleapis.com/auth/calendar.events — criar, editar, cancelar e (quando necessário) ler eventos para sincronização.
  • https://www.googleapis.com/auth/userinfo.email — obter o e-mail da conta Google para identificação e vinculação.

Minimização de escopos: solicitamos apenas os escopos estritamente necessários para as funcionalidades ativadas pelo Usuário.

6.4 Uso e transferência (Limited Use)

  • O uso e a transferência de informações recebidas das APIs do Google obedecem à Google API Services User Data Policy, incluindo os requisitos de Limited Use.
  • Usamos os dados exclusivamente para fornecer ou melhorar funcionalidades visíveis ao usuário (sincronização e conciliação de eventos).
  • Não vendemos dados, não utilizamos para publicidade/segmentação e não treinamos modelos de IA de propósito geral com esses dados.
  • Não transferimos dados a terceiros, exceto suboperadores essenciais (infra/segurança/suporte) sob contrato e confidencialidade, por exigência legal ou com seu consentimento.
  • Acesso humano é excepcional (ex.: suporte técnico), minimizado, registrado em log e, quando possível, mediante sua solicitação.

6.5 Armazenamento de tokens e segurança

  • Tokens e segredos OAuth são armazenados de forma segura e criptografada.
  • Aplicamos controles de acesso baseados em função (RBAC) e o princípio da necessidade-de-conhecimento.
  • Mantemos apenas metadados mínimos para observabilidade e auditoria técnica (sem conteúdo sensível além do necessário).

6.6 Revogação do acesso

  • Você pode desconectar a integração:
  • A revogação invalida imediatamente os tokens associados.

6.7 Retenção e exclusão

  • Ao desconectar, removemos tokens/credenciais vinculados à integração.
  • Caches técnicos estritamente necessários são eliminados em até 30 (trinta) dias, salvo obrigação legal ou defesa de direitos.
  • Eventos já criados/alterados na sua conta Google permanecem sob sua gestão direta no Google Calendar.

6.8 Boas práticas de privacidade

  • Para proteger a privacidade de pacientes, evite inserir dados clínicos sensíveis em títulos/descrições de eventos sincronizados com o Google Calendar; utilize títulos genéricos e notas internas quando disponível.

6.9 Integração com WhatsApp e SMS

  • Dados tratados: número de telefone, identificadores de agendamento e conteúdo mínimo do lembrete (sem informações clínicas sensíveis).
  • Consentimento/opt-in: envio condicionado a opt-in válido do titular quando exigido; disponibilizamos opt-out simples (“SAIR” / “STOP”) e respeitamos preferências imediatamente.
  • Regras de envio: respeito a políticas de mensageria (ex.: janelas/templates do WhatsApp Business) e normas locais (ex.: horários/anti-spam), com possibilidade de limitação/suspensão em caso de abuso ou reclamações.
  • Suboperadores: provedores de mensageria atuam como operadores/suboperadores sob contrato e confidencialidade, apenas para viabilizar o envio.
  • Retenção: guardamos metadados dos envios (data/hora, status) pelo período necessário à auditoria e suporte; o conteúdo é minimizado e não é utilizado para publicidade.
  • Segurança: tráfego protegido por TLS; autenticações e webhooks com verificação/assinatura quando aplicável.

7. Retenção e Exclusão de Dados

  • Dados mantidos enquanto a conta estiver ativa e pelo prazo legal subsequente para obrigações fiscais e regulatórias.
  • Exceção: dados necessários a investigações judiciais ou processos regulatórios podem ser retidos além dos prazos gerais, conforme art. 15 da LGPD.
  • Após o término da retenção, dados são anonimizados ou excluídos de sistemas ativos; backups são limpos conforme cronograma de retenção.

8. Direitos dos Titulares

Acesso, correção, exclusão, portabilidade, oposição, limitação do tratamento e retirada de consentimento, conforme arts. 18 a 21 da LGPD.

Para exercer direitos, contate nosso DPO.

9. Transferências Internacionais

  • Dados podem ser transferidos para servidores AWS no Brasil e exterior.
  • Protegidos por cláusulas contratuais padrão e certificações.
  • Consentimento prévio para países sem adequação legal.

10. Cookies e Tecnologias Semelhantes

  • No APP: utilizamos apenas cookies essenciais e de desempenho; não usamos cookies de marketing.
  • No Website: podemos usar cookies de marketing e rastreamento de terceiros, mediante consentimento prévio do usuário, gerenciado por banner de consentimento.
  • Gerenciamento pelo navegador ou pela ferramenta de consentimento; bloqueio completo pode afetar funcionalidades.

11. Alterações nesta Política

  • Podemos atualizar esta Política; mudanças que impactem tratamento de dados pessoais serão comunicadas com aviso prévio de 30 dias e, se necessário, novo consentimento.
  • Data de vigência indicada no topo; uso continuado após alterações implica aceitação.

12. Contato e Encarregado (DPO)

Razão Social: MAIS TERAPIAS SOLUÇÕES PARA INTERNET LTDA (CNPJ: 57.622.658/0001-52)
Endereço: Rua dos Navegantes, 481 – Estreito – Florianópolis/SC
DPO: [email protected]
E-mail Geral: [email protected]
Telefone: (48) 99192-4310

Adendo de atualização (Outubro/2025): Seção 6 ampliada para WhatsApp/SMS; inclusão da Seção 2.5 (Assinatura Digital e Certificados do Usuário); reforços de criptografia/auditoria na Seção 4; e escopos do Google reduzidos para calendar.events e userinfo.email, com princípio de minimização de escopos explicitado em 6.3.