Política de Privacidade
Última atualização: 21 de fevereiro de 2026
Identificação do Controlador de Dados
Razão Social: Fabricio Dematte Consultoria em Tecnologia da Informação LTDA ME
CNPJ: 42.517.798/0001-93
Endereço: R. Padre Teixeira, 1010 — São Carlos, SP — Brasil
Encarregado de Dados (DPO): [email protected]
Contato geral: [email protected]
Esta Política está em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018) e demais regulamentações aplicáveis ao tratamento de dados sensíveis de saúde no Brasil.
O PsicoPilot é uma plataforma de gestão de consultório para psicólogos. Esta Política descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais — e os dados de pacientes que você registra na plataforma.
Dados sensíveis de saúde: O PsicoPilot processa dados classificados como dados pessoais sensíveis pela LGPD (art. 5º, II) — incluindo informações sobre saúde mental, registros clínicos e notas de sessão. Esses dados recebem proteção adicional conforme descrito nesta Política.
1. Dados Pessoais Coletados
1.1 Dados do Profissional (Você)
- Cadastro: Nome, e-mail, telefone, CRP, foto de perfil
- Autenticação: Credenciais de acesso (senha criptografada com bcrypt), tokens OAuth (Google)
- Financeiro: Dados de assinatura, histórico de pagamentos (processados via Stripe e RevenueCat)
- Uso: Endereço IP, tipo de navegador, páginas visitadas, horários de acesso
1.2 Dados de Pacientes (Registrados por Você)
- Identificação: Nome completo, CPF, data de nascimento, telefone, e-mail
- Saúde (dados sensíveis): Prontuários clínicos, notas de sessão, anamnese, avaliações psicológicas, diagnósticos
- Agendamento: Histórico de consultas, status de presença, pagamentos por sessão
- Comunicação: Lembretes enviados via WhatsApp e e-mail
Responsabilidade compartilhada: Você, como profissional de saúde, é o controlador dos dados dos seus pacientes. O PsicoPilot atua como operador (art. 5º, VII da LGPD), processando dados exclusivamente conforme suas instruções e para a prestação do serviço.
2. Bases Legais para o Tratamento
Tratamos dados pessoais com fundamento nas seguintes bases legais da LGPD (art. 7º e art. 11):
- Consentimento (art. 7º, I / art. 11, I): Para funcionalidades opcionais como geração de prontuário por IA, integrações com Google e WhatsApp, e lembretes automatizados.
- Execução de contrato (art. 7º, V): Para fornecer o serviço contratado — gestão de agenda, pacientes e prontuários.
- Obrigação legal (art. 7º, II): Retenção de registros clínicos conforme exigido pelo CFP (Conselho Federal de Psicologia) e legislação de saúde.
- Tutela da saúde (art. 11, II, f): Para tratamento de dados sensíveis de saúde em procedimentos realizados por profissional de saúde habilitado.
- Legítimo interesse (art. 7º, IX): Para melhorias no serviço, segurança da plataforma e comunicações operacionais.
3. Finalidades do Tratamento
- Fornecer e manter a plataforma (agenda, prontuários, financeiro)
- Gerenciar sua conta e autenticação
- Processar pagamentos e assinaturas
- Enviar lembretes de consulta via WhatsApp e/ou e-mail (quando habilitado)
- Gerar rascunhos de prontuário por IA (somente com consentimento explícito)
- Comunicações operacionais (atualizações de serviço, alertas de segurança)
- Cumprir obrigações legais e regulatórias
4. Compartilhamento com Terceiros (Operadores)
Compartilhamos dados pessoais exclusivamente com os seguintes operadores, na medida necessária para a prestação do serviço:
| Operador | Finalidade | Localização |
|---|
| Supabase (AWS) | Banco de dados, autenticação, armazenamento | sa-east-1 (São Paulo) |
| Vercel | Hospedagem da aplicação web | CDN global (edge: GRU) |
| Google Cloud (Gemini API) | Geração de prontuário por IA (opt-in) | EUA |
| Stripe | Processamento de pagamentos | EUA / Irlanda |
| RevenueCat | Gestão de assinaturas (web e mobile) | EUA |
| Meta (WhatsApp Business API) | Envio de lembretes de consulta (opt-in) | EUA / Irlanda |
| Google (OAuth / Meet) | Autenticação e videochamadas | EUA |
| Twilio | Verificação por SMS (OTP) | EUA |
Transferência internacional: Alguns operadores processam dados fora do Brasil. Essas transferências são realizadas com base no art. 33 da LGPD, utilizando cláusulas contratuais padrão e garantias adequadas de proteção de dados.
5. Processamento por Inteligência Artificial
O PsicoPilot oferece, como funcionalidade opcional e sujeita a consentimento explícito, a geração assistida de prontuários clínicos utilizando o modelo Google Gemini.
- Modelo utilizado: Google Gemini 2.5 Pro, via Google Cloud Vertex AI / Gemini API
- Dados processados: Transcrições de sessões realizadas via Google Meet
- Armazenamento pela Google: Conforme a política da Gemini API, os dados enviados via API não são utilizados para treinar modelos e não são retidos pela Google após o processamento
- Resultado: O conteúdo gerado é sempre um rascunho que requer revisão e aprovação profissional antes de ser salvo como registro definitivo
- Revogação: Você pode desativar esta funcionalidade a qualquer momento na seção Integrações do painel
6. Retenção de Dados
| Tipo de dado | Período de retenção | Fundamento |
|---|
| Dados da conta | Enquanto a conta estiver ativa | Execução de contrato |
| Prontuários clínicos | Mínimo 5 anos após último atendimento (CFP) | Obrigação legal / regulatória |
| Dados financeiros | 5 anos (legislação tributária) | Obrigação legal |
| Logs de acesso | 6 meses (Marco Civil da Internet) | Obrigação legal |
| Dados de uso / analytics | 26 meses (anonimizados) | Legítimo interesse |
Após o encerramento da conta, dados pessoais não sujeitos a obrigação legal de retenção serão eliminados em até 30 dias. Prontuários clínicos podem ser exportados antes da exclusão.
7. Segurança dos Dados
- Criptografia em trânsito: Todas as comunicações utilizam TLS 1.2+ (HTTPS)
- Criptografia em repouso: Banco de dados criptografado via AES-256 (Supabase / AWS)
- Controle de acesso: Row Level Security (RLS) — cada profissional acessa exclusivamente seus próprios dados
- Autenticação: Senhas com hash bcrypt, suporte a OTP e OAuth 2.0
- Infraestrutura: Dados armazenados na região sa-east-1 (São Paulo) da AWS
- Tokens de integração: Armazenados de forma segura, criptografados no banco de dados
8. Seus Direitos (LGPD — Art. 18)
Conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018), você tem direito a:
- Confirmação e acesso (art. 18, I e II): Solicitar confirmação da existência de tratamento e acesso aos seus dados.
- Correção (art. 18, III): Solicitar a correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação (art. 18, IV): De dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade (art. 18, V): Solicitar a portabilidade dos dados a outro fornecedor de serviço (exportação em formato estruturado).
- Eliminação (art. 18, VI): Solicitar a eliminação dos dados tratados com base no consentimento.
- Informação sobre compartilhamento (art. 18, VII): Saber com quais entidades seus dados são compartilhados.
- Revogação do consentimento (art. 18, IX): Revogar consentimento a qualquer momento, sem comprometer tratamento anterior.
- Oposição (art. 18, §2º): Opor-se ao tratamento realizado com base em hipótese diferente do consentimento, em caso de descumprimento.
Para exercer qualquer direito, envie solicitação para [email protected]. Responderemos em até 15 dias úteis conforme previsto na legislação.
9. Integração com Google
9.1 Google OAuth e Google Meet
O PsicoPilot oferece integração opcional com serviços do Google. Ao conectar sua conta Google, você nos autoriza a acessar:
- Informações básicas do perfil: Nome e e-mail para autenticação
- Google Meet: Criação de links de videochamada para consultas
- Google Drive (opcional): Acesso a transcrições de reuniões para geração de prontuário por IA
9.2 Armazenamento de Tokens
Armazenamos refresh tokens de forma segura e criptografada. Esses tokens são utilizados exclusivamente para manter a integração ativa e podem ser revogados a qualquer momento em Integrações → Google → Desconectar ou diretamente em myaccount.google.com/permissions.
9.3 Google API Services User Data Policy
O uso de dados das APIs do Google pelo PsicoPilot segue a Política de Dados do Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado.
10. Cookies
Utilizamos os seguintes tipos de cookies:
- Estritamente necessários: Autenticação de sessão, preferências de tema (claro/escuro), token CSRF
- Analytics (opt-in): Google Analytics 4 para compreensão de uso agregado — dados anonimizados
Você pode gerenciar cookies nas configurações do seu navegador. A desativação de cookies essenciais pode impedir o funcionamento da plataforma.
11. Menores de Idade
O PsicoPilot é destinado a profissionais de psicologia. Não coletamos intencionalmente dados de menores de 18 anos como usuários da plataforma. Dados de pacientes menores de idade registrados pelo profissional são de responsabilidade do profissional, que deve obter o consentimento específico do responsável legal conforme art. 14 da LGPD.
12. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Em caso de alterações significativas, notificaremos pelo e-mail cadastrado e/ou por aviso na plataforma com pelo menos 15 dias de antecedência. O uso continuado após a vigência das alterações constitui aceitação da versão atualizada.
13. Contato
Para dúvidas sobre esta Política, tratamento de dados ou exercício de direitos:
Caso entenda que o tratamento de dados realizado pelo PsicoPilot viola a LGPD, você tem o direito de peticionar à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.
Para informações sobre conformidade com as normas do Conselho Federal de Psicologia, consulte nosso Aviso de Conformidade CFP/CRP.