← Voltar para o início

Política de Privacidade

Última atualização: 13 de abril de 2026

Esta Política está em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018). A Catarsia opera com dados de saúde (dados pessoais sensíveis), exigindo o mais alto nível de cuidado e transparência.

1. Controlador dos Dados

O controlador dos dados pessoais tratados nesta plataforma é a Catarsia Tecnologia Ltda. (CNPJ em constituição), com sede em Santos/SP, Brasil.

Encarregado de Proteção de Dados (DPO): privacidade@catarsia.com.br

2. Dados que Coletamos

2.1 Dados do Profissional (você)

  • Nome completo e e-mail (cadastro)
  • Número de registro no CFP
  • Dados de endereço do consultório
  • Informações de pagamento (processadas por Stripe/Pagar.me — não armazenamos dados de cartão)
  • Logs de acesso (IP, user-agent, timestamps) para segurança

2.2 Dados dos Pacientes (inseridos por você)

Atenção — Dados Sensíveis: Dados de saúde são classificados como dados pessoais sensíveis pelo Art. 5º, II da LGPD. Você, como psicólogo responsável, é o operador desses dados perante seus pacientes e deve obter o consentimento informado deles.

  • Dados de identificação (nome, data de nascimento, endereço, contatos)
  • Anamnese clínica (histórico de saúde, saúde mental, histórico familiar)
  • Anotações de sessões (criptografadas em repouso com AES-256)
  • Resumos gerados por IA (criptografados em repouso com AES-256)
  • Registros financeiros vinculados às sessões

3. Finalidade e Base Legal do Tratamento

FinalidadeBase Legal (LGPD)
Prestação do serviço contratadoArt. 7º, V — execução de contrato
Processamento de pagamentosArt. 7º, V — execução de contrato
Armazenamento de prontuáriosArt. 7º, II — obrigação legal (CFM/CFP)
Dados sensíveis de saúde dos pacientesArt. 11, I — consentimento do paciente (obtido pelo profissional)
IA para briefing e resumosArt. 7º, IX — legítimo interesse do profissional
Envio de comunicações transacionaisArt. 7º, V — execução de contrato
Melhorias no produto (dados anonimizados)Art. 7º, IX — legítimo interesse

4. Compartilhamento de Dados

A Catarsia não vende dados de usuários ou pacientes. O compartilhamento ocorre apenas com:

  • Supabase (Supabase Inc.): infraestrutura de banco de dados e autenticação — servidores na região sa-east-1 (São Paulo).
  • Anthropic (Claude API): processamento de IA para briefing — apenas texto das anotações, sem dados identificadores de pacientes.
  • Stripe / Pagar.me: processamento de pagamentos — regidos pelas políticas próprias de cada processador.
  • Resend: envio de e-mails transacionais (confirmações, recuperação de senha).
  • Railway / Vercel: hospedagem do backend e frontend em servidores no Brasil ou EUA com cláusulas de proteção de dados.
  • Autoridades públicas: quando exigido por lei ou ordem judicial.

5. Segurança dos Dados

  • Todas as comunicações usam HTTPS/TLS 1.2+.
  • Anotações clínicas e resumos de IA são criptografados com AES-256 (Fernet) em repouso. As chaves de criptografia são armazenadas no Supabase Vault, isoladas por tenant.
  • Isolamento multi-tenant via Row Level Security (RLS) nativo do PostgreSQL — nenhum profissional acessa dados de outro.
  • Autenticação via JWT com expiração curta (Supabase Auth).
  • Monitoramento de erros e anomalias via Sentry.

Em caso de incidente de segurança que afete dados pessoais, a ANPD e os usuários afetados serão notificados nos prazos estabelecidos pela LGPD (Art. 48).

6. Retenção e Exclusão de Dados

  • Dados de pacientes são retidos por no mínimo 5 anos após o encerramento da terapia, conforme Resolução CFP nº 01/2009 (prontuário eletrônico).
  • Dados financeiros são retidos por 5 anos para fins fiscais (Código Tributário Nacional).
  • Após o encerramento da conta, você pode solicitar a exportação ou exclusão dos dados. A exclusão será efetivada respeitando os prazos de retenção obrigatórios acima.
  • Logs de acesso são mantidos por 6 meses (Marco Civil da Internet, Art. 15).

7. Seus Direitos como Titular (LGPD Art. 18)

Você tem os seguintes direitos em relação aos seus dados pessoais (dados do profissional):

  • Acesso: confirmação de que tratamos seus dados e acesso à cópia.
  • Correção: correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização / Exclusão: eliminação de dados desnecessários ou tratados em desconformidade, respeitados os prazos legais.
  • Portabilidade: exportação dos seus dados em formato estruturado (CSV/JSON) pelo painel de configurações.
  • Oposição: revogação do consentimento para tratamentos baseados nessa base legal.
  • Informação: esclarecimentos sobre compartilhamento e finalidades.

Para exercer seus direitos, entre em contato com nosso DPO: privacidade@catarsia.com.br. Respondemos em até 15 dias úteis.

8. Cookies e Rastreamento

A Catarsia usa apenas cookies estritamente necessários para o funcionamento da autenticação (sessão JWT via Supabase). Não utilizamos cookies de rastreamento, publicidade ou analytics de terceiros.

9. Transferência Internacional

Alguns de nossos prestadores de serviço (Anthropic, Stripe, Vercel) podem processar dados nos EUA. Essas transferências são amparadas por cláusulas contratuais padrão e mecanismos de adequação reconhecidos pela ANPD, garantindo nível de proteção equivalente ao exigido pela LGPD (Art. 33).

10. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Alterações materiais serão comunicadas por e-mail com pelo menos 15 dias de antecedência. O uso continuado do Serviço após a vigência das novas regras constitui aceite.

11. Contato

DPO / Encarregado de Dados: privacidade@catarsia.com.br
Suporte geral: suporte@catarsia.com.br
ANPD: Autoridade Nacional de Proteção de Dados — www.gov.br/anpd

Termos de Uso · Início