1. Nosso Compromisso com sua Privacidade
Na Sentirz, sua privacidade e o sigilo de suas informações de saúde mental são nossa prioridade máxima. Esta política detalha como coletamos, protegemos, utilizamos e compartilhamos seus dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), o Código de Ética Profissional do Psicólogo (Resolução CFP nº 10/2005) e a Resolução CFP nº 11/2018 sobre atendimento psicológico online.
2. Controlador de Dados e Encarregado (DPO)
Nos termos da LGPD, a Sentirz Tecnologia em Saúde LTDA é a controladora dos seus dados pessoais. O encarregado pela proteção de dados pessoais (DPO) pode ser contatado através do e-mail:
📧 Encarregado de Dados (DPO): privacidade@sentirz.com.br
3. Dados que Coletamos
Coletamos apenas as informações estritamente necessárias para a prestação de nossos serviços (princípio da necessidade — LGPD Art. 6º, III):
3.1. Dados Pessoais
- Dados de Cadastro: Nome completo, e-mail, telefone, CPF e data de nascimento.
- Dados de Pagamento: Processados pelo Stripe (PCI-DSS nível 1). Não armazenamos dados completos de cartão em nossos servidores.
- Dados de Uso: Logs de acesso, horários de sessão e preferências de navegação (para melhoria do serviço).
3.2. Dados Sensíveis de Saúde (LGPD Art. 11)
⚠️ Tratamos dados sensíveis de saúde com consentimento explícito específico (LGPD Art. 11, I) e mediante obrigação legal regulatória (LGPD Art. 11, II, "a").
- Prontuários e Evoluções: Anotações clínicas registradas pelo seu psicólogo durante o tratamento. Visíveis apenas para o profissional responsável.
- Diário Emocional: Registros de humor e emoções (preenchimento voluntário pelo paciente).
- Anamnese: Histórico familiar, medicações em uso e hipóteses diagnósticas.
- Vídeo e Áudio: Sessões de vídeo são criptografadas em trânsito via Daily.co e NÃO são gravadas ou armazenadas.
4. Base Legal para Tratamento
Tratamos seus dados com base nas seguintes hipóteses da LGPD:
| Tipo de Dado | Base Legal (LGPD) | Finalidade |
|---|---|---|
| Dados de cadastro | Art. 7º, V — Execução de contrato | Criar e gerenciar sua conta |
| Dados de saúde | Art. 11, I — Consentimento específico | Atendimento psicológico |
| Prontuários | Art. 11, II, "a" — Obrigação regulatória | Guarda obrigatória (Resolução CFP 001/2009) |
| Dados de pagamento | Art. 7º, V — Execução de contrato | Processar pagamentos de sessões |
| Dados de uso | Art. 7º, IX — Legítimo interesse | Melhorar a experiência do produto |
5. Como Protegemos seus Dados
Utilizamos medidas técnicas e organizacionais alinhadas ao estado da arte em segurança da informação:
- Criptografia em trânsito: TLS 1.3 para todas as comunicações (HTTPS obrigatório com HSTS).
- Criptografia em repouso: Dados sensíveis de saúde (prontuários, evoluções, anamnese) são criptografados com AES-256-GCM antes de serem armazenados no banco de dados.
- Controle de Acesso: Row Level Security (RLS) no Supabase garantindo que apenas você e seu psicólogo acessem seus dados clínicos.
- Rate Limiting: Proteção contra ataques de força bruta com limitação por IP e por conta, com fallback em memória.
- Content Security Policy (CSP): Prevenção contra ataques XSS via nonce dinâmico.
- Monitoramento: Logs de auditoria imutáveis para rastrear acesso a dados sensíveis.
- Sanitização de Input: Todo input do usuário é sanitizado antes de ser processado para prevenir injeção de código.
6. Retenção e Eliminação de Dados
| Tipo de Dado | Período de Retenção | Fundamento |
|---|---|---|
| Dados de cadastro | Enquanto a conta estiver ativa | Execução de contrato |
| Prontuários/Evoluções | Mínimo 5 anos após último atendimento | Resolução CFP 001/2009 |
| Registros financeiros | 5 anos | Código Tributário Nacional |
| Diário emocional | Enquanto a conta estiver ativa | Consentimento do titular |
| Logs de auditoria | 5 anos | Legítimo interesse / compliance |
Ao solicitar a exclusão da conta, seus dados pessoais são removidos imediatamente. Registros clínicos são anonimizados (não eliminados) para cumprir a obrigação legal de guarda.
7. Seus Direitos como Titular (LGPD Art. 18)
Você pode exercer os seguintes direitos a qualquer momento:
- Acesso: Solicitar uma cópia de todos os dados que mantemos sobre você.
- Correção: Corrigir dados incompletos, inexatos ou desatualizados.
- Exclusão: Solicitar a eliminação dos seus dados pessoais (disponível em Configurações → Excluir Conta).
- Portabilidade: Solicitar a transferência dos seus dados para outro fornecedor.
- Revogação do Consentimento: Revogar o consentimento para tratamento de dados sensíveis a qualquer momento.
- Oposição: Opor-se ao tratamento baseado em legítimo interesse.
- Informação: Ser informado sobre entidades públicas ou privadas com as quais compartilhamos seus dados.
Para exercer qualquer direito, entre em contato via privacidade@sentirz.com.br ou diretamente nas configurações da sua conta. Respondemos dentro de 15 dias úteis.
8. Compartilhamento de Dados
Nunca vendemos seus dados para terceiros. O compartilhamento ocorre apenas com operadores essenciais para a prestação do serviço:
- Stripe Inc.: Processamento de pagamentos (PCI-DSS nível 1).
- Supabase Inc.: Banco de dados e autenticação (SOC 2 Type II).
- Daily.co: Infraestrutura de vídeo (criptografia end-to-end).
- Resend: Envio de e-mails transacionais (confirmações, lembretes).
- Sentry: Monitoramento de erros (dados pessoais são filtrados antes do envio).
- Vercel: Hospedagem e CDN (SOC 2 Type II).
Todos os operadores possuem cláusulas contratuais de proteção de dados e estão em conformidade com frameworks internacionais equivalentes à LGPD (GDPR, CCPA).
9. Transferência Internacional de Dados
Alguns de nossos operadores podem processar dados fora do Brasil (LGPD Art. 33). A transferência é permitida porque:
- Os países de destino possuem legislação compatível (GDPR na Europa).
- Os operadores oferecem garantias contratuais de proteção equivalente (Standard Contractual Clauses).
- Dados sensíveis de saúde são criptografados antes da transferência.
10. Cookies e Tecnologias de Rastreamento
Utilizamos cookies estritamente necessários para:
- Autenticação: Manter sua sessão ativa de forma segura (Supabase Auth).
- Preferência de idioma: Lembrar sua escolha de idioma (pt/es).
- Analytics: Vercel Analytics e Speed Insights para métricas agregadas de performance (sem dados pessoais identificáveis).
Não utilizamos cookies de publicidade, remarketing ou rastreamento comportamental.
11. Dados de Menores de Idade
O atendimento psicológico de menores de 18 anos deve ser autorizado pelo responsável legal, conforme Art. 14 da LGPD. O consentimento do responsável é coletado durante o processo de cadastro quando a data de nascimento indicar menor de idade.
12. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, seguimos o procedimento previsto no Art. 48 da LGPD:
- Comunicação à ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoável.
- Notificação aos titulares afetados com descrição do incidente e medidas adotadas.
- Registro interno do incidente e ações corretivas.
13. Alterações nesta Política
Reservamo-nos o direito de atualizar esta política para refletir mudanças em nossas práticas ou em requisitos legais. Alterações significativas serão comunicadas por e-mail ou notificação na plataforma com 30 dias de antecedência.