Termo de Tratamento de Dados (DPA)

• Controlador: o profissional psicólogo ou a clínica titular da conta, que decide sobre as finalidades e os meios do tratamento dos dados dos pacientes.
• Operador: a Psileve, que trata os dados dos pacientes exclusivamente em nome e sob as instruções do Controlador, para operar a Plataforma (LGPD, Art. 5º, VII).

Quanto aos dados de cadastro do próprio profissional, a Psileve é Controladora (ver a Política de Privacidade).

• Objeto: tratamento de dados pessoais de pacientes necessário ao funcionamento da Plataforma.
• Natureza: coleta, armazenamento, organização, consulta, uso, transmissão (para comunicações e pagamentos), criptografia e eliminação.
• Finalidade: cadastro de pacientes, agendamento, prontuário clínico, cobranças/recibos e comunicação com pacientes — conforme configurado pelo Controlador.
• Duração: enquanto vigente a conta, observados os prazos legais de retenção.

• Titulares: pacientes do Controlador e seus contatos de rede de apoio.
• Dados de identificação e contato: nome, e-mail, telefone, CPF, data de nascimento, cidade.
• Dados sensíveis de saúde: conteúdo de prontuário, anamnese, evoluções, planos, relatórios e encaminhamentos.
• Dados de agenda e financeiros: sessões, agendamentos, cobranças, recibos e meio de pagamento.

A Psileve compromete-se a:

• tratar os dados apenas conforme as instruções do Controlador e as funções da Plataforma, salvo obrigação legal;
• não usar os dados para finalidades próprias, nem compartilhá-los fora do previsto neste Termo;
• manter confidencialidade e impor dever de sigilo a quem tenha acesso;
• adotar medidas de segurança técnicas e administrativas adequadas (seção 6);
• auxiliar o Controlador no atendimento aos titulares e às autoridades (seções 7 e 8);
• manter registro das operações de tratamento que realizar.

As instruções do Controlador são dadas por meio da configuração e do uso da Plataforma (ex.: cadastrar paciente, ativar canais de comunicação, gerar cobrança, exportar ou excluir dados). O Controlador é responsável pela licitude das instruções e por possuir base legal para o tratamento. Se uma instrução parecer violar a lei, a Psileve poderá comunicá-lo e deixar de executá-la.

A Psileve mantém medidas compatíveis com o risco, incluindo criptografia em trânsito e em repouso (AES-256-GCM para prontuários e documentos), hash de senhas/PIN, isolamento por conta (tenant), trilhas de auditoria, controle de acesso, limitação de taxa e backups criptografados. Detalhes na Política de Privacidade — Segurança.

O Controlador autoriza a Psileve a contratar suboperadores para a prestação do serviço, exigindo deles obrigações de proteção de dados compatíveis com este Termo. Suboperadores atuais:

• Mercado Pago: processamento de pagamentos.
• Provedor de WhatsApp: envio de mensagens aos pacientes.
• Provedor de e-mail transacional: envio de e-mails.
• Provedor de infraestrutura/armazenamento em nuvem: hospedagem de banco, arquivos e backups.

Mudanças relevantes na lista serão comunicadas, podendo o Controlador opor-se por motivo legítimo de proteção de dados.

A Psileve disponibiliza ferramentas para que o Controlador atenda aos direitos dos pacientes (acesso, correção, exportação/portabilidade e eliminação). Caso receba um pedido diretamente de um paciente, a Psileve o encaminhará ao Controlador, salvo determinação legal em contrário.

A Psileve comunicará ao Controlador, sem demora indevida, qualquer incidente de segurança que envolva os dados tratados sob este Termo, fornecendo as informações necessárias para que o Controlador cumpra seus deveres perante a ANPD e os titulares (LGPD, Art. 48).

Encerrada a relação, o Controlador poderá exportar os dados antes da eliminação. A Psileve eliminará ou anonimizará os dados tratados, salvo a parcela cuja guarda seja exigida por lei (ex.: prontuários por 5 anos, dados fiscais), que permanecerá protegida pelo prazo legal e então será eliminada.

A Psileve disponibilizará ao Controlador, mediante solicitação razoável e sob confidencialidade, as informações necessárias para demonstrar o cumprimento das obrigações deste Termo, preservada a segurança e a privacidade dos demais clientes.

Eventuais transferências internacionais observarão a LGPD (Art. 33), com salvaguardas adequadas e grau de proteção compatível, conforme a Política de Privacidade.

Cada parte responde por suas obrigações na medida de sua atuação (LGPD, Art. 42). O Controlador responde pela base legal e licitude do tratamento dos dados dos pacientes; a Psileve responde por tratar os dados conforme este Termo e por suas medidas de segurança, observada a limitação de responsabilidade dos Termos de Uso.

Este Termo vigora enquanto durar a conta e a guarda legal dos dados. Prevalece sobre eventuais conflitos quanto ao tratamento de dados de pacientes. As demais condições seguem os Termos de Uso.

Assuntos de proteção de dados e Encarregado (DPO): [email protected].