PRIVACIDADE

Política de Privacidade.

Última atualização: 18/05/2026 · Versão 2.1

1. Quem somos — Controlador dos dados

A plataforma Sintonia é operada por:

ECO GESTAO FINANCEIRA ADMINISTRATIVA E AUTOMACAO DE PROCESSOS LTDA

CNPJ: 58.353.805/0001-07

Doravante denominada SINTONIA.

2. Disponibilidade desta política

Esta Política de Privacidade está disponível em /politica-de-privacidade e pode ser acessada a qualquer momento sem necessidade de cadastro. Antes de criar uma conta, o usuário é convidado a ler este documento integralmente.

3. Veracidade das informações

O usuário é responsável pela veracidade e atualidade das informações cadastradas na plataforma. O Sintonia não verifica a autenticidade dos dados inseridos e não responde por imprecisões fornecidas pelo próprio usuário.

4. Definições

  • Dados pessoais: informações que identificam ou tornam identificável uma pessoa natural (nome, e-mail, CPF, telefone etc.).
  • Dados sensíveis: dados sobre saúde, vida sexual, genética, biometria, filiação sindical, opinião política ou crença religiosa, tratados com proteção reforçada pela LGPD (art. 11).
  • Titular: pessoa a quem os dados se referem.
  • Controlador: quem decide sobre o tratamento dos dados (o Sintonia).
  • Tratamento: qualquer operação realizada com dados pessoais (coleta, armazenamento, uso, transmissão, exclusão etc.).

5. Dados coletados

O Sintonia coleta apenas os dados estritamente necessários para o funcionamento da plataforma.

5.1 Dados de profissionais (psicólogos):

  • Nome completo e CRP
  • E-mail e senha (hash — nunca armazenamos senhas em texto claro)
  • Telefone e número do WhatsApp
  • Valor padrão de sessão e preferências de recebimento
  • Dados de assinatura e faturamento
  • Credenciais OAuth Google (tokens criptografados, sem acesso ao conteúdo do Drive)

5.2 Dados de pacientes inseridos pelo profissional:

  • Nome, e-mail, CPF, data de nascimento, telefone e endereço
  • Plano de saúde e modalidade de atendimento
  • Informações de sessões e pagamentos
  • Recados e mensagens operacionais deixados pelo paciente na recepção digital do WhatsApp — armazenados como tarefa de retorno, não como conteúdo clínico

5.3 Dados de interessados que entram em contato pelo WhatsApp:

Quando uma pessoa que ainda não é paciente contata o profissional pela recepção digital do WhatsApp, tratamos o mínimo necessário para que o profissional possa retornar:

  • Nome informado e número de telefone (WhatsApp)
  • O conteúdo do recado deixado

5.4 Dados que NÃO coletamos:

  • Prontuários clínicos, anotações terapêuticas ou conteúdos de sessão
  • Documentos armazenados no Google Drive do profissional
  • Dados bancários completos (número de conta, agência)

Recados operacionais deixados via WhatsApp são tarefas de retorno — não conteúdo clínico — e podem ser excluídos pelo profissional a qualquer momento. O conteúdo clínico que o profissional registra por WhatsApp (texto ou voz) não é armazenado em nossos servidores: é apenas trânsito de entrada até o Google Drive do profissional (vide seções 6 e 7).

6. Subprocessadores e infraestrutura

O Sintonia opera sobre uma cadeia de fornecedores especializados, contratados sob acordos que asseguram confidencialidade, segurança da informação e conformidade com a LGPD. Cada subprocessador é utilizado para finalidade específica e estritamente necessária.

6.1 Infraestrutura e armazenamento

  • Supabase — banco de dados PostgreSQL gerenciado, autenticação e armazenamento de objetos. Isolamento por Row Level Security (RLS) garante que cada usuário acessa apenas seus próprios dados. Senhas armazenadas com hash bcrypt via Supabase Auth.
  • Vercel — hospedagem do frontend e edge functions, com TLS obrigatório e proteção contra ataques de borda.

6.2 Comunicação e mensageria

  • Resend — envio de e-mails transacionais: confirmações de cadastro, redefinição de senha, recibos, lembretes operacionais e comunicados da plataforma. Os destinatários e os conteúdos são limitados ao estritamente necessário para a operação clínica.
  • WhatsApp Business API (Meta Platforms) — automação oficial de mensagens, lembretes, confirmações e cobrança; recepção e atendimento de mensagens iniciadas por pacientes e interessados; e registro de evolução clínica enviado pelo próprio profissional. Tudo via número verificado e em conformidade com as políticas da Meta.

6.3 Pagamentos

  • Stripe — processamento de cartões e gestão de assinaturas, com certificação PCI DSS. Dados de cartão não trafegam nem são armazenados em servidores do Sintonia.

6.4 Integrações autorizadas pelo usuário

  • Google APIs (Calendar, Drive, Docs, Login) — conexão via OAuth com escopos mínimos (drive.file: acesso apenas a arquivos criados pelo Sintonia). Pode ser revogada a qualquer momento nas configurações da conta Google do usuário.

6.5 Transcrição de voz (apoio ao registro clínico)

  • Groq — transcrição automática de áudios enviados pelo profissional via WhatsApp para apoio ao registro clínico (voz → texto). O áudio é processado de forma transitória, exclusivamente para gerar a transcrição, sob orientação contratual de não-retenção e não-uso para treinamento de modelos. O texto resultante é gravado no Google Drive do profissional; o Sintonia não armazena o áudio nem a transcrição em seus servidores.

Todas as comunicações entre o Sintonia e seus subprocessadores utilizam criptografia em trânsito (TLS 1.2+). Inclusões, substituições ou remoções de subprocessadores são refletidas nesta seção; alterações materiais são comunicadas com antecedência mínima de 30 dias por e-mail e na própria plataforma.

7. Usos permitidos e expressamente proibidos

O Sintonia utiliza seus dados para:

  • Autenticação e acesso à plataforma
  • Gestão de pacientes e agendamentos
  • Controle financeiro e cobrança
  • Envio de lembretes automáticos por e-mail e WhatsApp
  • Recepção e atendimento automatizado de pacientes e interessados via WhatsApp
  • Transcrição de áudios enviados pelo profissional para apoio ao registro clínico, sem retenção pelo provedor
  • Comunicação operacional e suporte
  • Melhoria contínua dos serviços com dados agregados e anônimos

É expressamente proibido pelo Sintonia:

  • Vender dados pessoais a terceiros sob qualquer forma
  • Usar dados de pacientes para treinar modelos de inteligência artificial sem consentimento explícito e específico do titular
  • Compartilhar dados clínicos com finalidades não previstas nesta política
  • Usar os dados para discriminação de qualquer natureza

8. Compartilhamento de dados

Dados são compartilhados apenas com fornecedores essenciais à operação (listados na seção 6) e somente na medida necessária. Todos os fornecedores são contratualmente obrigados a tratar os dados com segurança e confidencialidade.

O Sintonia não vende, aluga nem compartilha dados pessoais para fins de marketing de terceiros.

9. Medidas de segurança

  • Criptografia em trânsito (TLS 1.2+) em todas as comunicações
  • Row Level Security (RLS) no banco de dados
  • Autenticação em dois fatores (2FA) disponível para todos os usuários
  • Tokens OAuth armazenados criptografados
  • Logs de auditoria para operações críticas
  • Acesso administrativo restrito por função (RBAC)

Em caso de incidente de segurança que possa afetar dados pessoais, notificaremos os usuários e a ANPD conforme os prazos legais aplicáveis.

10. Retenção de dados

Os dados são mantidos pelo tempo necessário para prestação dos serviços e cumprimento de obrigações legais:

  • Dados de conta ativa: enquanto a conta estiver ativa
  • Após encerramento da conta: até 3 anos, salvo obrigação legal que exija prazo maior
  • Dados fiscais e financeiros: conforme legislação tributária aplicável (5 a 10 anos)

Após o prazo, os dados são excluídos ou anonimizados de forma irreversível.

11. Direitos do titular

Em conformidade com o art. 18 da LGPD, o titular pode solicitar a qualquer momento:

  • Confirmação da existência de tratamento
  • Acesso aos dados pessoais
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários
  • Portabilidade dos dados (exportação em JSON disponível na plataforma)
  • Revogação do consentimento
  • Informação sobre compartilhamento com terceiros

Solicitações serão respondidas em até 5 dias úteis. Em casos complexos, o prazo pode ser estendido com justificativa.

Para exercer seus direitos: privacidade@sintoniapsi.com.br

12. Uso de APIs do Google

A integração com Google Calendar, Drive, Docs e Meet ocorre somente mediante autorização explícita do usuário com escopos mínimos (drive.file — acesso apenas a arquivos criados pelo Sintonia, não ao Drive completo).

Os dados recebidos via Google APIs são usados exclusivamente para criar, atualizar e remover eventos de sessão na agenda do profissional.

O uso está em conformidade com a Google API Services User Data Policy, incluindo os requisitos de Limited Use. O acesso pode ser revogado a qualquer momento nas configurações de segurança da conta Google.

13. Alterações desta política

Esta política pode ser atualizada periodicamente. Em caso de alterações relevantes, notificaremos os usuários ativos por e-mail e exibiremos aviso na plataforma.

O uso continuado da plataforma após 30 dias da notificação implica aceitação das alterações.

14. Encarregado de dados (DPO)

Responsável pelo tratamento de dados pessoais no Sintonia:

Encarregado de Proteção de Dados

E-mail: privacidade@sintoniapsi.com.br