LGPD

Política de Privacidade

Vigência: maio de 2026 · Versão 2026-v1

1. Quem somos

O TheraTrack é desenvolvido e operado por [Nome da empresa], CNPJ [XX.XXX.XXX/XXXX-XX] ("TheraTrack", "nós", "operador"). Esta Política de Privacidade descreve como tratamos os dados pessoais coletados e processados por meio da plataforma, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).

Na relação entre as partes envolvidas no tratamento de dados:

  • Controlador dos dados: o terapeuta ou supervisor que utiliza o TheraTrack — é ele quem define as finalidades e os meios do tratamento dos dados pessoais dos seus pacientes.
  • Operador dos dados: o TheraTrack — processa os dados exclusivamente conforme as instruções do controlador e para as finalidades descritas nesta política.

2. Dados que coletamos

Para a prestação do serviço, coletamos e tratamos as seguintes categorias de dados:

Dados de conta (do terapeuta)

Nome completo, endereço de e-mail, senha (armazenada com hash bcryptjs — nunca em texto simples), função no sistema e idioma preferido.

Dados pessoais dos pacientes

Nome, data de nascimento, nomes dos responsáveis, telefone de contato, nome da escola e profissionais envolvidos.

Dados sensíveis dos pacientes (Art. 5º, II da LGPD)

Diagnóstico, pós-diagnóstico, observações clínicas, notas de evoluções terapêuticas, descrição e notas de sessões de supervisão, e metas terapêuticas. Estes dados recebem proteção adicional conforme exigido pela LGPD para dados sensíveis.

Documentos clínicos

Arquivos enviados pelo terapeuta (anamneses, protocolos, relatórios, pareceres, planos terapêuticos e outros), armazenados com segurança no Google Cloud Storage.

3. Finalidade e base legal

Os dados pessoais são tratados para as seguintes finalidades, com as respectivas bases legais da LGPD:

  • Prestação do serviço de organização clínica — base legal: execução de contrato (Art. 7º, V).
  • Tratamento de dados sensíveis de saúde dos pacientes — base legal: consentimento específico e destacado do terapeuta (Art. 11, I), obtido no momento do cadastro.
  • Cumprimento de obrigações legais, quando aplicável — base legal: Art. 7º, II.

O TheraTrack não utiliza seus dados ou os dados dos seus pacientes para fins de publicidade, marketing ou compartilhamento comercial com terceiros.

4. Dados de menores de idade (Art. 14)

Em conformidade com o Art. 14 da LGPD, o tratamento de dados pessoais de crianças e adolescentes somente é realizado no melhor interesse do menor.

Caso o terapeuta cadastre um paciente menor de idade, é de responsabilidade exclusiva do terapeuta (na qualidade de controlador dos dados) obter o consentimento específico e destacado de pelo menos um dos pais ou responsável legal, nos termos do Art. 14, §1º da LGPD.

5. Compartilhamento e suboperadores

O TheraTrack não vende, aluga nem compartilha dados pessoais com terceiros para fins comerciais.

Para a prestação do serviço, utilizamos os seguintes suboperadores:

MongoDB Atlas (MongoDB, Inc.) — banco de dados gerenciado onde são armazenados todos os dados estruturados da plataforma: contas de terapeutas, registros de pacientes, metas terapêuticas, evoluções, sessões de supervisão e quadros kanban. O cluster está hospedado na infraestrutura GCP na região southamerica-east1 (São Paulo, Brasil), mantendo os dados em território nacional. O MongoDB atua como suboperador sob Contrato de Processamento de Dados compatível com a LGPD.
Google Cloud Storage (Google LLC) — armazenamento de documentos e arquivos clínicos enviados pelo terapeuta. Os dados são armazenados na região southamerica-east1 (São Paulo, Brasil), mantendo os dados em território nacional. O Google atua como suboperador sob Contrato de Processamento de Dados compatível com a LGPD.

Nenhum outro terceiro tem acesso aos dados pessoais da conta ou aos dados clínicos dos pacientes.

6. Retenção e exclusão de dados

Os dados são retidos pelos seguintes prazos:

  • Conta ativa: dados mantidos enquanto a conta estiver ativa.
  • Após exclusão de conta: os dados são mantidos por até 30 dias (período de carência para recuperação) e, em seguida, excluídos permanentemente junto a todos os dados associados.
  • Paciente excluído: todos os dados do paciente e seus arquivos no Google Cloud Storage são excluídos imediatamente.
  • Registros de auditoria: retidos por 5 anos, em conformidade com a Resolução CFP nº 001/2009 e para fins de eventual cumprimento de obrigações perante a ANPD.

Após o prazo de retenção, os dados são excluídos de forma segura e irreversível.

7. Seus direitos como titular (Art. 18)

Nos termos do Art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

  • Acesso: confirmar a existência de tratamento e obter cópia dos dados.
  • Correção: corrigir dados incompletos, inexatos ou desatualizados.
  • Exclusão: solicitar a eliminação dos dados tratados com base em consentimento.
  • Portabilidade: receber seus dados em formato estruturado e interoperável.
  • Revogação do consentimento: retirar o consentimento a qualquer momento, sem prejuízo ao tratamento realizado anteriormente.
  • Informação sobre compartilhamento: saber com quais entidades seus dados são compartilhados.
  • Oposição: se opor a tratamento realizado em descumprimento à LGPD.

Para exercer qualquer desses direitos, entre em contato com nosso Encarregado de Dados (ver Seção 8).

8. Encarregado de Dados — DPO (Art. 41)

Em conformidade com o Art. 41 da LGPD, designamos um Encarregado de Proteção de Dados responsável por receber comunicações dos titulares, atender solicitações relacionadas à proteção de dados e manter o canal de comunicação com a ANPD.

E-mail do Encarregado: privacy@theratrack.com.br

9. Segurança (Art. 46)

Adotamos medidas técnicas e organizacionais adequadas para proteger os dados contra acessos não autorizados, destruição, perda ou alteração, incluindo:

  • Senhas armazenadas com hash bcryptjs (10 rounds) — nunca em texto simples.
  • Comunicação criptografada via HTTPS em todos os ambientes.
  • Controle de acesso por função (RBAC) — cada usuário acessa apenas seus próprios dados.
  • Isolamento multi-tenant — impossibilidade de acesso cruzado entre contas de terapeutas distintos.
  • URLs de acesso a arquivos com expiração de 1 minuto.

10. Alterações a esta política

O TheraTrack pode atualizar esta Política de Privacidade periodicamente. Quando houver alterações relevantes, notificaremos os usuários por e-mail ou mediante aviso no sistema. Quando exigido pela LGPD, solicitaremos nova confirmação de consentimento.

A versão vigente sempre estará disponível nesta página, com a data de vigência indicada no topo.

11. Lei aplicável

Esta Política de Privacidade é regida pela Lei nº 13.709/2018 (LGPD) e demais normas brasileiras aplicáveis. Para questões relacionadas a esta política, o usuário poderá, ainda, contatar diretamente a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.