Política de Privacidade

A Psileve é uma plataforma SaaS de gestão para psicólogos. Em relação aos dados:

• Dados dos profissionais cadastrados (psicólogos, recepcionistas, administradores): a Psileve é Controladora.
• Dados dos pacientes: o psicólogo/clínica é o Controlador e a Psileve é Operadora (LGPD, Art. 39) — tratamos esses dados apenas sob instrução do profissional e para operar o serviço.

De profissionais cadastrados (você):

• Nome, e-mail, telefone, CPF ou CNPJ.
• CRP (Conselho Regional de Psicologia), cidade/UF e fuso horário, quando informados.
• Credenciais de acesso (senha e PIN armazenados com hash; segredos de 2FA cifrados).
• Endereço de IP, data/hora e identificação do dispositivo (segurança e trilhas de auditoria).
• Dados de cobrança da assinatura (o cartão é tokenizado pelo gateway — não armazenamos o número).

De pacientes (registrados pelos profissionais):

• Nome, e-mail, telefone, CPF, data de nascimento, cidade.
• Contato de rede de apoio (opcional).
• Histórico de sessões e agendamentos.
• Dados de saúde (sensíveis): conteúdo do prontuário clínico, anamnese, evoluções, planos, relatórios e encaminhamentos — criptografados em repouso.
• Histórico financeiro, recibos e meio de pagamento padrão.

• Execução de contrato: para fornecer o serviço contratado (gestão, cobrança, comunicações).
• Consentimento: aceite explícito no cadastro, registrado com data, hora, IP e versão dos documentos.
• Cumprimento de obrigação legal/regulatória: retenção de prontuários (Resolução CFP nº 001/2009), obrigações fiscais, atendimento a autoridades.
• Tutela da saúde (Art. 11, II, "f"): para o tratamento de dados sensíveis dos pacientes, em procedimento realizado por profissional de saúde.
• Legítimo interesse: segurança da plataforma e prevenção a fraude, sempre ponderado com seus direitos.

• Operar, manter e melhorar a Plataforma.
• Autenticar e autorizar acessos, e proteger as contas.
• Enviar comunicações aos pacientes em nome do profissional (e-mail e WhatsApp).
• Processar pagamentos da assinatura e das cobranças.
• Gerar trilhas de auditoria para segurança e conformidade.
• Cumprir obrigações legais e responder a autoridades competentes.

Não usamos o conteúdo de prontuários para qualquer finalidade fora da operação do serviço, nem para treinar modelos, publicidade ou perfilamento.

Compartilhamos dados apenas com operadores essenciais à entrega do serviço, no mínimo necessário:

• Mercado Pago (Brasil): processamento de pagamentos — nome, e-mail, telefone, CPF do pagador.
• Provedor de WhatsApp: envio de mensagens aos pacientes em nome do profissional.
• Provedor de e-mail transacional: confirmações, cobranças e códigos de segurança.
• Provedor de infraestrutura e armazenamento em nuvem: hospedagem do banco de dados, dos arquivos (documentos) e dos backups criptografados.

Não comercializamos dados pessoais. Compartilhamento adicional só ocorre por obrigação legal, ordem judicial ou requisição de autoridade competente. A lista de operadores pode ser atualizada; mudanças relevantes serão comunicadas.

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256-GCM) para prontuários, documentos e credenciais sensíveis.
• Senhas e PIN armazenados com hash (bcrypt); segredos de 2FA cifrados.
• PIN dedicado para acesso ao prontuário, separado da senha de login; verificação em dois fatores (2FA) opcional.
• Isolamento por conta (tenant): cada clínica enxerga apenas os próprios dados.
• Trilhas de auditoria de acesso, criação, edição e exclusão de prontuários.
• Limitação de taxa (rate limiting) e detecção de tentativas de força bruta.
• Backups diários criptografados, com retenção mínima de 30 dias.

Nenhum sistema é 100% imune. Mantemos medidas técnicas e administrativas compatíveis com o risco, e o profissional contribui para a segurança ao proteger suas credenciais.

• Prontuários: mínimo de 5 anos após o último atendimento (Resolução CFP nº 001/2009).
• Dados financeiros/fiscais: 5 anos.
• Logs de acesso (Marco Civil): mínimo de 6 meses.
• Backups: 30 dias rotativos.
• Após esses prazos, os dados são anonimizados ou eliminados, salvo obrigação legal de manutenção.

A qualquer momento você pode solicitar:

• Confirmação da existência de tratamento.
• Acesso aos dados que mantemos.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
• Portabilidade — exportação em formato estruturado (JSON).
• Eliminação dos dados tratados com base em consentimento, observadas as obrigações legais de retenção.
• Informação sobre uso compartilhado e sobre a possibilidade de não consentir.
• Revogação do consentimento, ciente de que isso pode impossibilitar a continuidade do serviço.

Para exercer qualquer direito, escreva para [email protected] — respondemos em até 15 dias. Você também pode peticionar à ANPD (Autoridade Nacional de Proteção de Dados). Pedidos de pacientes devem, em regra, ser dirigidos ao profissional (Controlador); a Psileve auxilia o profissional a atendê-los.

Quando o paciente for criança ou adolescente, o profissional (Controlador) é responsável por obter o consentimento de pelo menos um dos pais ou do responsável legal, no melhor interesse do menor (LGPD, Art. 14), e por tratar esses dados de forma especialmente protegida.

A Psileve não realiza decisões unicamente automatizadas que afetem interesses dos titulares, nem perfilamento de pacientes. As automações existentes (lembretes, geração de cobranças) são operacionais e configuradas pelo profissional.

Usamos um cookie de sessão (JWT) estritamente necessário para autenticar você na Plataforma — httpOnly, secure e SameSite. Não usamos cookies de rastreamento, perfilamento ou publicidade.

A infraestrutura é hospedada preferencialmente em território brasileiro. Quando, por necessidade operacional, houver transferência internacional de dados, garantimos que o destino ofereça grau de proteção compatível com a LGPD (Art. 33), por meio de cláusulas e salvaguardas adequadas.

Na hipótese de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos o profissional (Controlador) e, no que couber, a ANPD e os titulares, em prazo razoável, conforme a LGPD (Art. 48).

Contato do Encarregado pelo Tratamento de Dados Pessoais:
[email protected]

Mudanças materiais serão comunicadas com no mínimo 30 dias de antecedência por e-mail e/ou na Plataforma, podendo exigir novo aceite no próximo acesso. A versão e a data no topo indicam a vigência.