LGPD — Lei Geral de Proteção de Dados

O SessioFlow opera em conformidade com a Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais. Esta página complementa a Política de privacidade e esclarece como os princípios da LGPD se aplicam à plataforma e ao uso que o psicólogo faz dela com seus pacientes.

Atuamos como controlador em relação aos dados dos psicólogos contratantes e como operador em relação aos dados de pacientes inseridos por eles na plataforma.

Nome: João Lucas Telles
E-mail: sessioflow.contato@gmail.com

O DPO é o canal oficial para titulares de dados exercerem seus direitos, para autoridades de proteção de dados e para qualquer comunicação relacionada à LGPD.

O SessioFlow trata dados pessoais com fundamento nas seguintes bases legais previstas no artigo 7º da LGPD:

• Execução de contrato: cadastro, autenticação, processamento de pagamento e prestação do serviço contratado.
• Consentimento: envio de comunicações de marketing, participação em pesquisas e funcionalidades opcionais.
• Legítimo interesse: segurança da informação, prevenção a fraude, melhoria do produto e análise de uso agregada.
• Obrigação legal ou regulatória: emissão de notas fiscais, atendimento a requisições de autoridades e cumprimento de ordens judiciais.

O psicólogo é o controlador dos dados dos seus pacientes e deve observar:

• Coletar consentimento informado e específico para o tratamento de dados pessoais e sensíveis dos pacientes, deixando claro que parte dessas informações será registrada em sistema digital.
• Não compartilhar dados clínicos fora do SessioFlow por canais não seguros (e-mail pessoal, mensageiros não criptografados, armazenamento em nuvem pessoal etc.).
• Utilizar a função de anonimização ao encerrar o tratamento ou quando o paciente exercer o direito ao esquecimento. A anonimização remove dados pessoais identificáveis e os prontuários vinculados.
• Manter o acesso à conta restrito a si próprio. O compartilhamento de credenciais é proibido pelos Termos de uso e pode caracterizar descumprimento de dever de sigilo.
• Atender prontamente os direitos de acesso, correção e exclusão solicitados pelos pacientes, exportando ou removendo dados pela plataforma quando necessário.

Conforme o artigo 18 da LGPD, todo titular pode requisitar:

• Confirmação da existência de tratamento.
• Acesso aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.
• Portabilidade dos dados a outro fornecedor de serviço.
• Eliminação dos dados pessoais tratados com base no consentimento.
• Informação sobre entidades públicas e privadas com as quais o SessioFlow compartilha dados.
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
• Revogação do consentimento, a qualquer tempo.

Para exercer qualquer um desses direitos, envie um e-mail para o DPO em sessioflow.contato@gmail.com com o assunto “LGPD — Direito do titular”. A resposta é enviada em até 15 dias.

Se você é paciente de um psicólogo que utiliza o SessioFlow, a solicitação deve ser feita diretamente ao seu psicólogo, que é o controlador dos seus dados clínicos. Podemos auxiliar a operacionalizar a solicitação mediante autorização do controlador.

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, o SessioFlow se compromete a:

• Notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em até 72 horas após a identificação do incidente, conforme o artigo 48 da LGPD.
• Descrever a natureza dos dados afetados, os titulares envolvidos, as medidas técnicas e de segurança adotadas e os riscos relacionados.
• Implementar medidas para reverter ou mitigar os efeitos do incidente.

A plataforma oferece duas operações distintas:

• Anonimização do paciente: remove o vínculo entre os registros e a pessoa natural identificável. Dados de prontuário ligados ao paciente são excluídos em cascata. Informações estatísticas agregadas podem ser preservadas.
• Exclusão da conta do psicólogo: após o cancelamento e o período de 30 dias de exportação, todos os dados vinculados à conta são excluídos definitivamente, exceto registros mantidos por obrigação legal (notas fiscais, por exemplo).

O SessioFlow utiliza os seguintes subprocessadores para a operação da plataforma. Todos são vinculados por contratos com cláusulas de proteção de dados:

• Supabase: banco de dados PostgreSQL e autenticação. Servidores em região da AWS.
• Vercel: hospedagem da aplicação e funções de borda.
• Asaas: processamento de pagamentos e assinaturas.
• Anthropic: modelo de linguagem usado no assistente de IA, sob acordo que proíbe uso dos dados para treinamento.

A lista é atualizada sempre que houver inclusão ou substituição de subprocessador.

Encarregado: João Lucas Telles
E-mail: sessioflow.contato@gmail.com
Atendimento em dias úteis, das 9h às 18h (horário de Brasília).