Voltar para a página inicial

Política de Privacidade

Versão 1.1 · Última atualização: 25 de junho de 2026

THERACLAVIS SAÚDE MENTAL LTDA., inscrita no CNPJ sob o nº 60.939.062/0001-95, com sede na Av. Paulista, 2064, Conj. 21, Center 3 Offices, Bela Vista, São Paulo/SP, CEP 01.310-928, responsável pela plataforma TheraClin (a “Contratada”).

1. Objeto e Aplicação

Esta Política descreve como a Contratada trata dados pessoais no contexto da plataforma TheraClin (theraclin.com.br), em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e o Marco Civil da Internet (Lei nº 12.965/2014). Alcança toda pessoa que acesse, se cadastre ou utilize a Plataforma e integra os Termos de Uso. Diante da sensibilidade dos dados de saúde, a Contratada adota cuidado redobrado em seu tratamento.

2. Definições e Papéis

  • Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável.
  • Dados Pessoais Sensíveis: informações sobre saúde, entre outras (art. 5º, II, da LGPD). Os registros clínicos e as respostas a instrumentos dos Pacientes são dados sensíveis de saúde.
  • Controlador / Operador: respectivamente, quem decide sobre o tratamento e quem o executa por conta do Controlador.

Papéis no tratamento. Quanto aos dados dos Pacientes, o profissional (Contratante) é o Controlador — define quais dados coletar e para qual finalidade clínica — e a TheraClin é a Operadora, tratando-os conforme as instruções do profissional e a legislação. Quanto aos dados cadastrais do próprio profissional (cadastro, cobrança, uso da Plataforma), a TheraClin atua como Controladora. A licitude do tratamento dos dados clínicos, inclusive a obtenção de consentimento quando exigível e a guarda do sigilo profissional, recai sobre o profissional, como Controlador.

3. Dados Tratados

3.1 Dados do profissional

  • Nome completo, e-mail e telefone
  • CPF e número de inscrição em conselho profissional (CRP, CRM, etc.), quando aplicável
  • Endereço e dados necessários à emissão de documentos fiscais

3.2 Dados de Pacientes (inseridos pelo profissional)

Por conta e instrução do profissional, a Plataforma trata dados de Pacientes que podem compreender nome, contato, data de nascimento, histórico de atendimentos, anotações clínicas, respostas a instrumentos e demais informações de saúde — classificadas como dados pessoais sensíveis —, além de informações financeiras referentes à relação entre profissional e Paciente.

3.3 Dados coletados automaticamente

  • Endereço IP, informações de dispositivo e navegador, sistema operacional
  • Datas e horários de acesso, registros (logs) e dados de navegação
  • Cookies e dados de telemetria (ver Seção 8)

4. Finalidades e Bases Legais

  • Execução do contrato (art. 7º, V): criação e manutenção de contas, prestação dos serviços, processamento de pagamentos e suporte.
  • Cumprimento de obrigação legal ou regulatória (art. 7º, II): emissão de documentos fiscais, guarda de registros e resposta a requisições de autoridades.
  • Legítimo interesse (art. 7º, IX): segurança da informação, prevenção a fraudes, análises estatísticas agregadas e melhoria contínua, com salvaguardas aos direitos dos titulares.
  • Consentimento (art. 7º, I): comunicações de marketing e demais situações em que o consentimento seja a base adequada, revogável a qualquer tempo.

4.1 Dados sensíveis de saúde

Os dados de saúde dos Pacientes são tratados pela Contratada na qualidade de Operadora, por instrução do profissional. A base legal é eleita pelo profissional (Controlador), em geral a tutela da saúde em procedimento conduzido por profissionais de saúde (art. 11, II, “f”, da LGPD) ou o consentimento específico e destacado do titular (art. 11, I). A Contratada não destina os dados de saúde dos Pacientes a finalidades próprias, comerciais ou publicitárias.

4.2 Tratamento por Inteligência Artificial

A Plataforma oferece funcionalidades de inteligência artificial (IA) que auxiliam o profissional — transcrição de áudio das sessões, geração de insights e análise de instrumentos. Para isso, conteúdo clínico inserido pelo profissional (áudio, anotações, respostas a instrumentos e escores) é processado por provedores de IA contratados como sub-operadores (ver Seção 5). Esse tratamento ocorre exclusivamente para a prestação dos serviços, sob a responsabilidade do profissional (Controlador), e não configura decisão automatizada apta a produzir efeitos jurídicos sem intervenção humana. A Contratada não utiliza dados sensíveis de Pacientes para treinar modelos de IA, próprios ou de terceiros, admitido apenas o emprego de dados agregados e anonimizados. Os resultados de IA têm função de apoio, podem conter imprecisões e devem sempre ser validados pelo profissional. É facultado ao titular pedir revisão de tratamentos automatizados (art. 20 da LGPD).

5. Compartilhamento e Sub-operadores

A Contratada não comercializa dados pessoais. O compartilhamento ocorre somente quando indispensável à prestação dos serviços ou por imposição legal, com sub-operadores vinculados a contratos que lhes impõem deveres de segurança e confidencialidade:

  • Infraestrutura e armazenamento em nuvem (Hetzner) e CDN/segurança (Cloudflare);
  • Gateway de pagamento (Stripe) e emissão fiscal (Asaas);
  • Provedores de IA (ex.: OpenAI), apenas quando o profissional ativa as funcionalidades de IA descritas na Seção 4.2;
  • Envio de e-mails transacionais (Resend);
  • Integração opcional com o Google Calendar, quando ativada (Seção 7);
  • Autoridades públicas, policiais ou judiciais, quando exigido por lei ou ordem competente;
  • Operações societárias (fusão, aquisição), preservadas a proteção dos dados e a continuidade desta Política.

As informações empregadas em estatísticas ou no aperfeiçoamento da Plataforma são previamente anonimizadas, de modo a inviabilizar a identificação dos titulares. O profissional será avisado de alterações significativas na lista de sub-operadores com antecedência razoável.

6. Direitos do Titular (LGPD Art. 18)

Mediante requisição, assegura-se ao titular:

  • Confirmação da existência de tratamento e acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
  • Portabilidade a outro fornecedor, resguardados os segredos comercial e industrial;
  • Eliminação dos dados tratados com base no consentimento, ressalvada a guarda obrigatória;
  • Informação sobre compartilhamentos e sobre a faculdade de não consentir;
  • Revogação do consentimento.

O titular pode exercer seus direitos pelo e-mail privacidade@theraclin.com.br. Tratando-se de dados de Paciente, o pedido deve ser dirigido ao profissional (Controlador), a quem incumbe atendê-lo prioritariamente; a Contratada, como Operadora, prestará o apoio necessário.

7. Integração com Serviços Google

A TheraClin oferece integrações opcionais com serviços do Google que requerem autorização explícita do usuário via OAuth 2.0.

7.1 Login com Google

A autenticação da Plataforma é intermediada pelo Keycloak (provedor de identidade). Quando você opta por entrar com sua Conta Google, o Google fornece ao Keycloak seu nome, endereço de e-mail e foto de perfil pública (escopos openid, email e profile), usados exclusivamente para autenticação e identificação dentro da Plataforma. As credenciais ficam sob a guarda do Keycloak, não da TheraClin.

7.2 Google Calendar

Ao conectar o Google Calendar em Configurações > Integrações, solicitamos apenas o escopo calendar.events, usado para:

  • Detectar conflitos de horário ao agendar uma sessão, lendo eventos existentes. Eventos pré-existentes nunca são modificados ou excluídos.
  • Criar, atualizar e excluir os eventos das sessões agendadas no TheraClin, em uma agenda do Google escolhida por você. Modificamos apenas os eventos criados pela própria Plataforma (identificados por marcador interno).

Os dados obtidos via APIs Google são usados exclusivamente para as finalidades acima, guardados com criptografia em trânsito (TLS) e em repouso, e não são compartilhados com terceiros nem usados para publicidade ou treinamento de modelos de IA. Você pode desconectar a qualquer momento em Configurações > Integrações — revogamos o token, paramos a sincronização e excluímos as referências aos seus dados Google — ou diretamente em myaccount.google.com/permissions.

O uso e a transferência das informações recebidas das APIs do Google pelo TheraClin cumprem a Google API Services User Data Policy, incluindo os requisitos de Limited Use.

8. Cookies e Telemetria

A Plataforma utiliza cookies para viabilizar seu funcionamento, manter a sessão autenticada e memorizar preferências. Podem ser usados cookies necessários, de funcionalidade e analíticos. Você pode administrar ou bloquear cookies nas configurações do navegador, ciente de que o bloqueio de cookies necessários pode comprometer funcionalidades.

Monitoramento de erros e desempenho. Nas áreas autenticadas da Plataforma, utilizamos o serviço Sentry para rastreamento de erros e monitoramento de desempenho, com base no legítimo interesse de segurança e confiabilidade (art. 7º, IX). O Sentry pode coletar relatórios de erro, métricas de desempenho e gravações de sessão com mascaramento de texto e mídia para proteger informações pessoais; esses dados são transmitidos aos servidores do Sentry e retidos conforme a política do provedor (em geral, até cerca de 90 dias). O Sentry não é ativado nas páginas públicas (institucionais e legais) para visitantes não autenticados.

Mapas de calor e análise de navegação. Nas páginas públicas (institucionais e de marketing), utilizamos o Microsoft Clarity como operador para análise comportamental anônima — mapas de calor (heatmaps) e gravações de sessão (replays) com mascaramento automático de texto e campos de formulário —, com base no consentimento do visitante (art. 7º, I). O serviço é ativado apenas após o aceite de cookies e exclusivamente fora das áreas autenticadas: nenhum dado de prontuário ou de Paciente é coletado. Os dados são tratados pela Microsoft e retidos conforme a política do provedor.

9. Armazenamento, Localização e Segurança

Localização e transferência internacional. Os dados são armazenados e processados em infraestrutura de nuvem que pode estar localizada fora do Brasil. Eventuais transferências internacionais observam os arts. 33 a 36 da LGPD, com garantias apropriadas (jurisdição de proteção adequada e/ou cláusulas contratuais específicas de proteção de dados) para assegurar nível de proteção compatível com a legislação brasileira.

Medidas de segurança. Adotamos medidas técnicas e administrativas para proteger os dados contra acesso não autorizado, perda, alteração ou destruição, entre elas:

  • Criptografia dos dados sensíveis em repouso e TLS para dados em trânsito;
  • Autenticação via Keycloak (OAuth 2.0 / OpenID Connect) e controle de acesso por perfis;
  • Trilha de auditoria, monitoramento contínuo e detecção de anomalias;
  • Backups periódicos criptografados e revisão periódica de vulnerabilidades.

10. Incidentes de Segurança

Diante de incidente de segurança capaz de gerar risco ou dano relevante aos titulares, a Contratada comunicará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares atingidos em prazo razoável, nos termos do art. 48 da LGPD. Quando estiver na posição de Operadora, dará ciência ao profissional (Controlador) para que este adote as medidas cabíveis.

11. Retenção e Eliminação

  • Conta ativa: os dados são retidos enquanto a conta estiver ativa e o serviço em uso.
  • Registros clínicos: conservados pelos prazos mínimos de guarda exigidos da categoria profissional — guarda mínima de 20 (vinte) anos para prontuários médicos (regulamentação do CFM) e os prazos do CFP para registros psicológicos. A definição do prazo aplicável compete ao profissional, como Controlador dos dados do Paciente.
  • Dados financeiros: retidos pelo prazo exigido pela legislação tributária e fiscal.

Cumprida a finalidade ou encerrada a relação, e respeitados os prazos legais, os dados são eliminados de forma segura ou anonimizados. A Contratada poderá conservar os dados estritamente necessários ao exercício regular de direitos.

12. Alterações desta Política

Esta Política poderá ser atualizada para acompanhar mudanças legais ou operacionais. Havendo alterações relevantes, os usuários serão avisados pelos canais oficiais ou pelo e-mail cadastrado. Recomenda-se a consulta periódica a este documento.

13. Encarregado (DPO) e Contato

A Contratada designa Encarregado(a) pelo Tratamento de Dados (DPO) como canal de comunicação entre a Contratada, os titulares e a ANPD. Para dúvidas, solicitações ou exercício de direitos:

THERACLAVIS SAÚDE MENTAL LTDA.

CNPJ 60.939.062/0001-95

Encarregado (DPO) / Privacidade: privacidade@theraclin.com.br

Contato geral: contato@theraclin.com.br