Política de Privacidade

O Sinthoma é um prontuário eletrônico para psicólogos e psicanalistas. Esta política descreve como tratamos dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e com as Resoluções do Conselho Federal de Psicologia, em especial as Resoluções CFP nº 01/2009 (documentos escritos), nº 13/2022 (prontuário digital), nº 11/2018 (atendimento online) e nº 010/2005 (Código de Ética).

A identificação completa do controlador está ao final desta página.

Em relação aos dados do profissional (nome, e-mail, CRP, dados de cobrança), o Sinthoma é controlador.

Em relação aos dados dos pacientes, o psicólogo cadastrado é o controlador e o Sinthoma atua como operador (LGPD, art. 5º, VII), tratando os dados em nome e segundo as instruções do profissional. Este enquadramento é detalhado no Termo de Uso.

Em atendimento ao art. 41 da LGPD, indicamos como Encarregado:

• Nome: Rômulo Carvalho
• E-mail: dpo@sinthoma.com.br

Coletamos apenas o que é necessário para a prestação do serviço:

• Cadastro do profissional: nome, e-mail, CRP, abordagem clínica, telefone (opcional).
• Cobrança: dados financeiros tratados pelo Stripe (não armazenamos número de cartão).
• Conteúdo clínico inserido pelo profissional: prontuários, sessões, anotações, transcrições, áudio (opcional), escalas.
• Dados pessoais de pacientes cadastrados pelo profissional: nome, contato, data de nascimento, CPF (opcional para emissão de recibo).
• Logs técnicos: IP, user-agent, timestamps de acesso (retidos por até 6 meses para segurança).
• Cookies e analytics de produto: cookies essenciais de sessão são sempre necessários; analytics (Vercel Analytics e PostHog) só carregam após consentimento no banner de cookies.

• Execução de contrato (art. 7º, V) — para o cadastro do profissional e operação do serviço.
• Cumprimento de obrigação legal/regulatória (art. 7º, II) — guarda do prontuário (Resoluções CFP nº 01/2009 e nº 13/2022, mínimo 5 anos).
• Consentimento específico do titular (art. 11, I) para dados sensíveis de saúde — coletado pelo profissional perante o paciente.
• Tutela da saúde (art. 11, II, “f”) — para tratamento de dados de saúde por profissional sujeito a sigilo.
• Legítimo interesse (art. 7º, IX) — para segurança, antifraude e melhoria do serviço, sem prejuízo dos direitos do titular.

O Sinthoma utiliza modelos da Anthropic (Claude) e, opcionalmente, da OpenAI (Whisper) para transcrição de áudio e geração de notas clínicas. Antes de qualquer envio, aplicamos pseudonimização: nome do paciente, CPF, RG, telefone, endereço e demais identificadores diretos são substituídos por marcadores. As requisições usam cabeçalhos de zero retenção (quando suportado pelo provedor) e os dados não são utilizados para treinar modelos. O uso de IA depende de consentimento específico do paciente, registrado pelo profissional.

Para prestar o serviço, contratamos os seguintes sub-operadores (com cláusulas de proteção de dados):

• Supabase — banco de dados e autenticação (região São Paulo / sa-east-1).
• Vercel — hospedagem e edge network.
• Anthropic — análise clínica por IA (Claude), com zero retenção.
• OpenAI — transcrição de áudio (Whisper), zero retenção via API.
• Stripe — pagamentos.
• Daily.co — vídeo de teleconsulta.
• Z-API — envio de lembretes via WhatsApp.
• Resend — envio de e-mails transacionais.
• Sentry — monitoramento de erros (com PII redigida, sede nos EUA, SCC).
• PostHog — analytics de produto (eventos pseudonimizados, sem captura de conteúdo clínico). Sede nos EUA, SCC compatível com a LGPD. Só após consentimento no banner de cookies.
• Vercel Analytics — métricas de tráfego agregadas (sem cookies, sem PII). Só após consentimento.

Alguns sub-operadores podem armazenar dados fora do Brasil. Nesses casos, há cláusulas contratuais padrão e/ou nível de proteção compatível com a LGPD (art. 33).

Aplicamos criptografia em trânsito (TLS 1.2+), Row Level Security no banco, hash-chain em audit log, autenticação multifator (2FA) opcional, isolamento de tenants, monitoramento contínuo, política de senha forte e rotação de chaves. Reportamos incidentes relevantes à ANPD e aos titulares afetados conforme art. 48 da LGPD.

• Prontuários e documentos clínicos: pelo menos 5 anos após o último atendimento, conforme Resoluções CFP nº 13/2022 e nº 01/2009.
• Dados cadastrais do profissional: durante a vigência da conta + 5 anos para obrigações fiscais e regulatórias.
• Logs técnicos: até 6 meses.
• Backups: até 30 dias após exclusão lógica.

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• Portabilidade dos dados (exportação em formato estruturado);
• Eliminação dos dados tratados com base em consentimento (ressalvadas hipóteses legais de guarda);
• Informação sobre entidades com as quais houve uso compartilhado;
• Informação sobre a possibilidade de não consentir e suas consequências;
• Revogação do consentimento.

Para exercer qualquer um desses direitos, escreva ao DPO em dpo@sinthoma.com.br. Responderemos em até 15 dias.

Você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelo canal oficial gov.br/anpd.

Na teleconsulta por videoconferência, o atendimento observa a Resolução CFP nº 11/2018 (atendimento mediado por tecnologias) e, quando aplicável, a nº 04/2020 (avaliação psicológica online), exigindo cadastro do profissional no sistema e-Psi do CFP. A sala é criptografada ponta a ponta (WebRTC/SRTP) via Daily.co e não há gravação automática.

Cookies estritamente necessários (sessão, autenticação, balanceamento de carga) são carregados sempre — não podem ser desativados. Analytics de produto (PostHog) e métricas de tráfego (Vercel Analytics) só carregam após o aceite no toggle “Analytics” do banner de cookies. Você pode revogar o consentimento a qualquer momento reabrindo o banner ou limpando o item sinthoma_cookie_consent do navegador.

Esta política pode ser atualizada para refletir mudanças legais ou do serviço. Mudanças materiais serão notificadas por e-mail ao profissional cadastrado.