Política de Privacidade

1. Controlador dos Dados

O controlador responsável pelo tratamento dos seus dados pessoais é:

Para fins da LGPD, o terapeuta assinante da plataforma atua como controlador dos dados de saúde dos seus pacientes, e a Nova Era Technology atua como operadora, tratando esses dados exclusivamente em nome e conforme as instruções do controlador, respeitando as obrigações contratuais e legais aplicáveis.

2. Dados Coletados

Coletamos diferentes categorias de dados dependendo da relação que você mantém conosco:

2.1 Dados do terapeuta (assinante da plataforma)

• Dados de identificação: nome completo, CPF/CNPJ, número de registro profissional (CRT, CRP, IBRATH, CONEFITO ou similar).
• Dados de contato: endereço de e-mail, número de WhatsApp, telefone, endereço da clínica.
• Dados financeiros: dados de pagamento processados via Asaas (PIX, cartão, boleto) ou Stripe — não armazenamos dados de cartão em nossos servidores.
• Dados de uso da plataforma: logs de acesso, endereço IP, agente de navegador, ações realizadas no sistema (auditoria), horários de sessão.
• Preferências e configurações: modalidades terapêuticas cadastradas, horários de agenda, templates de anamnese e protocolos.

2.2 Dados dos pacientes (inseridos pelo terapeuta — dados sensíveis de saúde)

O TerapiaOS é um prontuário clínico-energético. Os dados abaixo são inseridos pelo terapeuta (controlador) no sistema e são considerados dados sensíveis pela LGPD (Art. 5º, II):

• Identificação: nome completo, data de nascimento, CPF (opcional), gênero, foto (opcional).
• Contato: e-mail, WhatsApp, telefone, endereço.
• Anamnese holística: histórico de saúde, queixas, condições físicas, emocionais, mentais, energéticas e espirituais.
• Registros de sessões: evoluções clínicas, prescrições de florais, chakras registrados, pontos de acupuntura/auriculoterapia, protocolos energéticos aplicados, observações do terapeuta.
• Mapa radiestésico: testemunhos energéticos e objetivos de harmonização (quando aplicável à modalidade).
• Documentos anexados: laudos, exames, imagens antes/depois, termos de consentimento assinados digitalmente.
• Dados financeiros do paciente: histórico de pagamentos de sessões, planos de atendimento.

2.3 Dados coletados automaticamente

• Endereço IP e geolocalização aproximada (país/estado).
• Tipo e versão do navegador e sistema operacional.
• Páginas acessadas, tempo de sessão e eventos de interação.
• Logs de erros e exceções para fins de manutenção e segurança.

3. Finalidade do Tratamento

Tratamos seus dados exclusivamente para as seguintes finalidades:

• Prestação do serviço: criação e manutenção da conta, acesso ao prontuário clínico-energético, agenda, notificações via e-mail e WhatsApp, emissão de notas fiscais e processamento de pagamentos.
• Segurança e integridade: prevenção de fraudes, autenticação de usuários, audit log imutável de acessos e modificações em dados de saúde, monitoramento de segurança.
• Comunicação: envio de confirmações de cadastro, recuperação de senha, alertas de segurança, informações sobre planos e atualizações da plataforma. Comunicações de marketing são enviadas apenas com consentimento prévio e podem ser canceladas a qualquer momento.
• Melhoria do produto: análise de uso agregado e anonimizado para aprimorar funcionalidades, identificar falhas técnicas e priorizar o roadmap de desenvolvimento.
• Cumprimento de obrigações legais: atendimento a determinações judiciais, regulatórias ou da Autoridade Nacional de Proteção de Dados (ANPD).
• Exercício regular de direitos: defesa em processos administrativos, judiciais ou arbitrais.

4. Base Legal para o Tratamento

Todo tratamento de dados realizado pela Nova Era Technology possui base legal expressa na LGPD:

4.1 Dados comuns do assinante (Art. 7º LGPD)

• Art. 7º, V — Execução de contrato: tratamento necessário para a prestação dos serviços contratados pelo terapeuta assinante (cadastro, agenda, prontuário, cobrança).
• Art. 7º, I — Consentimento: envio de comunicações de marketing e e-mails informativos não relacionados diretamente ao serviço contratado.
• Art. 7º, IX — Legítimo interesse: ações de segurança da plataforma, prevenção a fraudes, auditoria de acessos e análise estatística agregada para melhoria do produto, sempre respeitando os direitos e expectativas dos titulares.
• Art. 7º, II — Cumprimento de obrigação legal: retenção de dados fiscais, contábeis e de comunicação conforme legislação tributária e trabalhista brasileira.

4.2 Dados sensíveis de saúde dos pacientes (Art. 11 LGPD)

Dados de saúde são considerados dados sensíveis pela LGPD e exigem bases legais específicas:

• Art. 11, I — Consentimento específico e em destaque: o terapeuta deve obter consentimento expresso do paciente antes de inserir seus dados de saúde no sistema, mediante termo de consentimento livre e esclarecido disponível na plataforma (assinatura digital em canvas com metadados auditáveis).
• Art. 11, II "a" — Cumprimento de obrigação legal: manutenção de prontuários conforme exigido pelos conselhos profissionais aplicáveis (CFP, CFBIO, COFEN, IBRATH).
• Art. 11, II "f" — Tutela da saúde: tratamento por profissional de saúde habilitado, com objetivo de prevenção ou diagnóstico, tratamento ou gestão de serviços de saúde.

5. Compartilhamento de Dados

Não vendemos, alugamos nem comercializamos seus dados ou os dados dos seus pacientes com terceiros. O compartilhamento ocorre exclusivamente com os sub-processadores listados abaixo, contratados para viabilizar a operação da plataforma, todos vinculados por cláusulas contratuais de proteção de dados compatíveis com a LGPD:

Para sub-processadores localizados fora do Brasil (Cloudflare, Resend, Google), a transferência internacional de dados é realizada com base nas Cláusulas-Padrão Contratuais da ANPD (Resolução CD/ANPD nº 19/2024, vigente desde 23 de agosto de 2025), garantindo nível de proteção equivalente ao exigido pela LGPD.

Podemos compartilhar dados com autoridades públicas competentes quando exigido por lei, ordem judicial, requisição administrativa da ANPD ou para exercício regular de nossos direitos em processo judicial ou arbitral.

6. Retenção de Dados

Os dados são mantidos pelo tempo estritamente necessário para cumprir as finalidades para as quais foram coletados, observadas as obrigações legais e regulatórias aplicáveis:

• Prontuários de pacientes: mantidos por até 5 anos após a última sessão registrada, conforme orientação do Conselho Federal de Psicologia (Resolução CFP 001/2009), salvo disposição mais restritiva do conselho profissional da modalidade praticada pelo terapeuta. Após esse prazo, os dados são anonimizados (não deletados fisicamente), preservando a integridade do prontuário para fins de auditoria e cumprimento legal, sem possibilitar a reidentificação do titular.
• Dados da conta do terapeuta: mantidos enquanto a conta estiver ativa e por até 5 anos após o encerramento da assinatura, para fins de cumprimento de obrigações fiscais, contábeis e legais.
• Logs de acesso e auditoria: mantidos por 2 anos, para fins de segurança, investigação de incidentes e cumprimento de eventuais obrigações regulatórias.
• Dados financeiros e fiscais: mantidos por 5 anos conforme exigências do Código Tributário Nacional (Art. 173) e legislação fiscal aplicável.
• Consentimentos registrados: mantidos por toda a vigência da relação com o titular e por até 5 anos após o seu encerramento, como prova do cumprimento das obrigações legais.

Ao final dos prazos de retenção, os dados são eliminados ou anonimizados de forma segura e irreversível, utilizando técnicas que inviabilizam a reidentificação dos titulares.

7. Direitos dos Titulares de Dados

Nos termos do Art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

Para exercer qualquer um desses direitos, você pode:

• Enviar solicitação ao DPO pelo e-mail [email protected];
• Utilizar o formulário disponível em /contato;
• Acessar as configurações da sua conta na área de "Privacidade e Dados" (para titulares com conta ativa).

Atenderemos sua solicitação no prazo de 15 (quinze) dias corridos a contar do recebimento. Em casos de maior complexidade, podemos estender esse prazo por até 30 dias adicionais, comunicando você previamente. O atendimento aos direitos é gratuito, salvo quando as solicitações forem manifestamente infundadas, excessivas ou repetitivas.

Caso entenda que seus direitos não foram atendidos de forma satisfatória, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) por meio do portal www.gov.br/anpd.

8. Segurança da Informação

Adotamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais tratados contra acesso não autorizado, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito:

• Criptografia em repouso: todos os dados armazenados no banco D1 (Cloudflare) e no storage R2 são criptografados com AES-256.
• Criptografia em trânsito: toda comunicação entre clientes e servidores é protegida por TLS 1.3, o protocolo de segurança de camada de transporte mais moderno disponível.
• Controle de Acesso Baseado em Papéis (RBAC): cinco níveis de acesso granular (Dono da Conta, Administrador, Terapeuta, Recepção e Visualizador), garantindo que cada usuário acesse exclusivamente os dados necessários para suas funções. Terapeutas só visualizam os prontuários dos seus próprios pacientes.
• Audit log imutável: toda criação, leitura, edição ou exclusão de prontuários e dados sensíveis gera um registro de auditoria com timestamp, identificação do usuário, ação realizada e endereço IP — em tabela append-only que não pode ser modificada ou apagada.
• Autenticação segura: suporte a autenticação multifator (MFA), tokens JWT com expiração curta, bloqueio automático após tentativas de acesso inválidas e política de senhas fortes.
• Backups criptografados: backups automáticos do banco de dados realizados periodicamente, armazenados de forma criptografada com testes de restauração mensais para garantir a integridade dos dados.
• Isolamento multi-tenant: os dados de cada consultório são logicamente isolados portenant_id em todas as tabelas, com verificação de isolamento em nível de aplicação a cada requisição processada no edge.
• Proteção de rede: proteção contra ataques DDoS, firewalls de aplicação web (WAF) e monitoramento contínuo de segurança fornecidos pela infraestrutura Cloudflare.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados no prazo de 72 horas após a ciência do incidente, conforme exigido pela LGPD. Para mais detalhes técnicos sobre nossa arquitetura de segurança, acesse nossa página de segurança e LGPD.

9. Cookies e Tecnologias Semelhantes

Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma. Não utilizamos cookies de rastreamento de terceiros, pixels de publicidade ou ferramentas de analytics que enviem dados a terceiros sem o seu consentimento.

Os cookies que utilizamos servem exclusivamente para:

• Sessão de autenticação: cookie __Secure-terapiaos-session (httpOnly, Secure, SameSite=Strict) — armazena o token de sessão criptografado para manter você autenticado enquanto utiliza a plataforma. Expiração: 8 horas ou ao fechar o navegador.
• Preferências de interface: cookie de armazenamento local para salvar preferências como idioma, tema e configurações de exibição — nunca enviado a terceiros.
• Segurança (CSRF): token de proteção contra ataques de falsificação de requisição entre sites, presente em todos os formulários da plataforma.

Como utilizamos apenas cookies necessários, não exibimos banner de consentimento de cookies para a operação básica da plataforma. Caso futuramente adicionemos cookies de analytics ou marketing, implementaremos banner de opt-in com opções granulares em destaque igual, conforme exigido pela LGPD e boas práticas da ANPD.

10. Menores de Idade

O TerapiaOS é uma plataforma destinada exclusivamente a profissionais maiores de 18 anos. Não coletamos intencionalmente dados pessoais de menores de 18 anos como assinantes ou usuários diretos da plataforma.

No que se refere aos dados de pacientes inseridos pelos terapeutas: caso o terapeuta atenda pacientes menores de 18 anos, a inserção desses dados no sistema deve ser realizada com o consentimento específico dos pais ou responsáveis legais, nos termos do Art. 14 da LGPD. O TerapiaOS disponibiliza modelo de termo de consentimento para responsáveis legais na seção de documentos da plataforma.

Se tomarmos conhecimento de que coletamos dados de menores sem o consentimento adequado dos responsáveis, excluiremos esses dados imediatamente.

11. Alterações desta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, novas exigências legais ou melhorias nos nossos serviços. Quando realizarmos alterações relevantes, notificaremos você por e-mail e/ou por aviso em destaque na plataforma, com antecedência mínima de 15 dias antes da entrada em vigor das novas regras.

A data da última atualização desta política é indicada no topo deste documento. Recomendamos que você revise esta página periodicamente. O uso continuado da plataforma após a entrada em vigor das alterações será considerado como aceite das novas condições. Caso não concorde com as alterações, você pode encerrar sua conta antes da data de vigência das mudanças.

O histórico de versões anteriores desta política está disponível mediante solicitação ao DPO.

12. Contato e Encarregado de Dados (DPO)

Para exercer seus direitos, esclarecer dúvidas, fazer solicitações ou reclamações relacionadas ao tratamento de dados pessoais, entre em contato com nosso Encarregado de Dados:

Ao entrar em contato, informe: nome completo, e-mail cadastrado na plataforma (se aplicável), descrição detalhada da solicitação e documentação de identidade quando necessário para verificação. Todas as solicitações são registradas e acompanhadas até a resolução.