ecentia Voltar ao site

Documentos Legais

Política de Privacidade

Versão 3.0 · Vigente desde 24 de maio de 2026

POLÍTICA DE PRIVACIDADE — PLATAFORMA ONSEN

Versão: 3.0
Data de publicação: 24 de maio de 2026
Data da última atualização: 24 de maio de 2026

AVISO IMPORTANTE — DADOS A PREENCHER ANTES DA PUBLICAÇÃO

Os campos entre colchetes ([...]) devem ser preenchidos pela diretoria/jurídico da Ecentia antes da publicação. Este documento foi redigido com base na Lei Geral de Proteção de Dados (Lei nº 13.709/2018), nos regulamentos da Autoridade Nacional de Proteção de Dados (ANPD) vigentes em maio de 2026 e nos dados efetivamente coletados e tratados pelo sistema Onsen, conforme mapeamento técnico realizado no código-fonte. Recomenda-se revisão por advogado(a) com inscrição ativa na OAB antes da publicação.

1. QUEM SOMOS E POR QUE ESTA POLÍTICA EXISTE

1.1. Esta Política de Privacidade ("Política") descreve como ECENTIA DESENVOLVIMENTO E LICENCIAMENTO DE PROGRAMAS DE COMPUTADOR NÃO CUSTOMIZÁVEIS LTDA, inscrita no CNPJ sob o nº 66.667.419/0001-00, com sede em Rua Pais Leme, nº 215, Conj. 1713, Pinheiros, São Paulo/SP, CEP 05.424-150 ("Ecentia", "nós"), coleta, usa, compartilha, armazena, protege e elimina dados pessoais no contexto:

a) Da plataforma Onsen ("Plataforma"), oferecida em modelo SaaS a profissionais de psicologia;
b) Do site institucional ecentia.com.br;
c) Dos sites públicos profissionais que apontam para a infraestrutura da Ecentia, em duas hipóteses (vide cláusula 7.5 dos Termos de Uso):
- (c.1) Em domínio próprio da(o) Psicóloga(o) Contratante (ex.: www.dominiodopsicologo.com.br); ou
- (c.2) Em subdomínio preview da Ecentia no formato preview-{identificador-único}.sites.ecentia.com.br, fornecido enquanto o Contratante não apontar domínio próprio, com identificador aleatório (UUID), sem indexação em diretório, lista, ranking ou busca pública. Em ambas as hipóteses, a Ecentia atua como Operadora dos dados de Clientes e visitantes; o conteúdo, a marca visível e a relação com o Cliente final permanecem com a Psicóloga(o) Controladora, sem exibição de marca, logotipo ou sinal distintivo da Ecentia ao Cliente final.

1.2. Esta Política é parte integrante dos Termos de Uso e está alinhada à Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD), ao Marco Civil da Internet (Lei nº 12.965/2014) e às resoluções da Autoridade Nacional de Proteção de Dados (ANPD).

1.3. Os termos "dados pessoais", "dados pessoais sensíveis", "titular", "tratamento", "controlador", "operador" e "encarregado" têm os significados que lhes confere a LGPD (art. 5º).

1.4. Natureza de infraestrutura técnica. A Ecentia atua como fornecedora de infraestrutura técnica e ferramentas de apoio ao exercício profissional do Contratante (Psicóloga(o)). A Ecentia não exerce curadoria de profissionais, não mantém diretório, ranking ou busca pública de profissionais, não intermedia visivelmente a relação clínica perante o Cliente final (mesmo quando o site profissional é hospedado em subdomínio preview da Ecentia, sem marca Ecentia visível) e não desenvolve modelos próprios de inteligência artificial (vide cláusula 1.6 dos Termos de Uso v3). A Ecentia realiza verificação assíncrona automatizada do registro profissional declarado pelo Contratante junto ao Sistema Conselhos de Psicologia, conforme cláusula 4.4 dos Termos de Uso v3 e Seção 3.1.1 desta Política.

2. PAPÉIS DE CONTROLADORIA

A Ecentia atua em duas posições distintas, conforme a natureza dos dados tratados:

Categoria de dados Posição da Ecentia Posição da(o) Psicóloga(o)
Dados de cadastro, faturamento, uso e navegação da(o) Psicóloga(o) contratante Controladora Titular
Dados resultantes da verificação assíncrona do CRP junto ao CFP (consulta a base pública, registro do resultado) Controladora Titular
Dados pessoais dos Clientes (pacientes) inseridos pela(o) Psicóloga(o) na Plataforma — incluindo dados de saúde, prontuário, transcrições e anotações clínicas Operadora Controladora
Dados de visitantes do site institucional ecentia.com.br Controladora
Dados de visitantes do site público profissional em domínio próprio da Psicóloga (ex.: www.dominiodopsicologo.com.br) — formulário de agendamento, dados técnicos de navegação, identificadores de campanha Operadora Controladora
Dados de visitantes do site público profissional em subdomínio preview da Ecentia (preview-{uuid}.sites.ecentia.com.br) — formulário de agendamento, dados técnicos de navegação, identificadores de campanha Operadora (dos dados de Clientes/visitantes) e Controladora (da infraestrutura técnica do subdomínio, como DNS, TLS, logs de aplicação) Controladora (do conteúdo e da relação com o Cliente)

2.1. Esta Política descreve as práticas da Ecentia como Controladora (em relação à(ao) Psicóloga(o) Contratante e aos visitantes do site institucional ecentia.com.br) e como Operadora (em relação aos Clientes da(o) Psicóloga(o) e aos visitantes dos sites profissionais hospedados em domínio do Contratante). Como Operadora, a Ecentia trata os dados exclusivamente conforme as instruções da(o) Psicóloga(o) — Controladora, nos termos do art. 39 da LGPD.

2.2. A(O) Psicóloga(o), como Controladora dos dados de seus Clientes e dos visitantes do seu site profissional, deve disponibilizar política de privacidade própria a esses titulares, descrevendo o tratamento que realiza no exercício profissional.

3. DADOS QUE COLETAMOS

A Plataforma trata as seguintes categorias de dados, todas com finalidade específica e base legal definida (vide Seção 4):

3.1. Dados da(o) Psicóloga(o) (Contratante)

  • Identificação profissional: nome completo, nome de apresentação, pronome de tratamento, CRP, CPF, CNPJ (quando pessoa jurídica), data de nascimento (quando informada). Estes dados têm natureza declaratória, sendo informados pela(o) Psicóloga(o) sob sua exclusiva responsabilidade (vide cláusula 4.4 dos Termos de Uso).
  • Contato: e-mail, telefone, WhatsApp, Telegram (quando fornecido).
  • Redes sociais: URLs de LinkedIn, Instagram, Facebook, YouTube, TikTok, X/Twitter (apenas se preenchidas voluntariamente para uso no site público).
  • Endereço profissional: quando preenchido para o site público.
  • Credenciais e identidade: e-mail, senha (armazenada com hash criptográfico).
  • Dados recebidos de provedor de identidade: ao usar login social (Auth0/Google), a Ecentia recebe do provedor o e-mail verificado, identificador externo, nome e foto pública (quando disponíveis), conforme escopo OIDC autorizado pela(o) Psicóloga(o).
  • Tokens de autenticação OAuth/OIDC vinculados às integrações ativas (Auth0, Google Calendar etc.).
  • Configurações profissionais: valores de sessões, duração padrão, tipos de sessão oferecidos, fuso horário, regras de reagendamento.
  • Dados financeiros: ID de conta Stripe Connect, dados de assinatura (plano, ciclo, status), histórico de faturas geradas pela Plataforma; a Ecentia não armazena dados de cartão de crédito, que são tratados diretamente pela Stripe.
  • Chaves de criptografia opcional: chave pública RSA-2048 e chave privada encriptada por senha conhecida apenas pela(o) Psicóloga(o) (a Ecentia não tem acesso à senha nem à frase de recuperação BIP39 associada). A perda dessas informações torna irrecuperáveis as transcrições criptografadas, sem responsabilidade da Ecentia, conforme cláusula 4.3 dos Termos de Uso.

3.1.1. Verificação assíncrona do registro profissional (CRP)

A Ecentia realiza, na qualidade de Controladora, verificação assíncrona automatizada do número de inscrição no CRP declarado pelo Contratante, mediante consulta à base pública do Sistema Conselhos de Psicologia (CFP/CRP), no prazo aproximado de 2 (dois) a 3 (três) dias úteis contados do cadastro, conforme cláusula 4.4 dos Termos de Uso v3.

  • Dados envolvidos no tratamento: número de CRP declarado, nome do profissional, jurisdição declarada, resultado da consulta (status do registro: ativo, suspenso, cassado, não encontrado), data e hora da consulta, identificador do procedimento.
  • Finalidade exclusiva: apurar se o número declarado corresponde a registro ativo e regular; permitir a suspensão prevista em 4.4.2 dos Termos de Uso v3 em caso de irregularidade.
  • Base legal: execução de contrato (art. 7º, V, LGPD) e legítimo interesse (art. 7º, IX, LGPD — proteção da própria infraestrutura, prevenção a fraude e proteção de terceiros), precedido de LIA documentada.
  • Compartilhamento: a consulta é feita pela Ecentia diretamente à base pública do CFP/CRP, sem compartilhamento dos dados pessoais do Contratante com terceiros para esta finalidade.
  • Retenção: o resultado da verificação e seus metadados são retidos enquanto durar o contrato + 5 anos após o término, para fins probatórios em eventual fiscalização (art. 16, III, LGPD).
  • Direitos do titular: o Contratante pode, a qualquer tempo, solicitar revisão do resultado da verificação ou apresentar comprovação documental atualizada; ver cláusula 4.4.2.d dos Termos de Uso v3 quanto ao restabelecimento das funcionalidades.

3.2. Dados dos Clientes (pacientes) tratados pela Plataforma

Estes dados são tratados pela Ecentia na qualidade de Operadora, sob instrução da(o) Psicóloga(o) Controladora.

  • Identificação: nome, e-mail, telefone, data de nascimento, CPF/documento.
  • Endereço: logradouro, número, complemento, bairro, cidade, UF, CEP.
  • Dados de relacionamento: planos de atendimento contratados, histórico de sessões, valores, status de pagamento, notas do(a) Psicóloga(o) sobre o Cliente.
  • Dados pessoais sensíveis (saúde) — art. 11 da LGPD:
  • Evolução clínica (notas curtas e detalhadas, geradas manualmente ou com auxílio de IA, quando a funcionalidade for ativada pela(o) Psicóloga(o));
  • Transcrição textual de sessões de videoconferência. O áudio e vídeo brutos das sessões são processados pelo Subprocessador Whereby (vide Seção 5) e não são armazenados pela Ecentia; a Ecentia recebe e armazena apenas o texto resultante da transcrição;
  • Anotações livres;
  • Tipo de sessão (individual/casal).
  • Comunicações: lembretes automáticos de sessão (24h e 1h), confirmações de agendamento, comunicações sobre reagendamento.
  • Dados de pagamento de sessões (quando o Cliente paga via Stripe Checkout): nome, e-mail, CPF (para emissão de nota fiscal), endereço, Payment Intent ID.
  • Click IDs de Anúncios (Google Ads): gclid, wbraid, gbraid, quando o Cliente chega ao site público profissional via campanha publicitária; protocolo numérico associado. Estes dados são tratados sob operadoria, no contexto da gestão de campanhas executadas pela(o) Psicóloga(o) Controladora.

3.3. Dados de visitantes do site público profissional

O site público profissional opera, à escolha do Contratante, em uma de duas hipóteses (cláusula 7.5 dos Termos de Uso v3):

a) Em domínio de titularidade exclusiva da(o) Psicóloga(o) (ex.: www.dominiodopsicologo.com.br), apontado pelo próprio Contratante para a infraestrutura da Ecentia; ou
b) Em subdomínio preview da Ecentia no formato preview-{identificador-único}.sites.ecentia.com.br, fornecido enquanto o Contratante não apontar domínio próprio, com identificador aleatório (UUID), sem indexação em diretório, lista, ranking ou busca pública.

Em ambas as hipóteses, a Ecentia não exibe marca, sinal distintivo, logotipo, "powered by" ou conteúdo próprio ao visitante do site, atuando, em relação aos dados do Cliente/visitante, como Operadora sob instrução da(o) Psicóloga(o) Controladora.

Quando um visitante navega no site público profissional (em qualquer das hipóteses), são tratados:

  • Dados de formulário de agendamento (informados pelo próprio visitante): nome, e-mail, telefone, tipo de sessão desejado;
  • Dados técnicos de navegação: endereço IP, user-agent, páginas acessadas, referenciador (referrer), data e hora;
  • Identificadores de campanha: UTMs, click IDs do Google Ads, quando aplicáveis.

3.3.1. Distinção quanto à infraestrutura no subdomínio preview. No cenário (b) — subdomínio preview Ecentia —, embora os dados do Cliente/visitante permaneçam sob operadoria, a infraestrutura técnica do subdomínio (DNS, certificado TLS, logs de aplicação obrigatórios pelo Marco Civil da Internet) é tratada pela Ecentia como Controladora, com base legal em cumprimento de obrigação legal (art. 7º, II, LGPD — Marco Civil art. 15) e legítimo interesse (art. 7º, IX, LGPD — proteção da infraestrutura).

3.3.2. Exercício de direitos. Para dados do Cliente/visitante (formulário de agendamento, identificadores de campanha, dados de navegação no contexto da relação com a Psicóloga), o exercício de direitos deve ser dirigido à Psicóloga(o) Controladora, que poderá acionar a Ecentia (Operadora). Para dados estritamente de infraestrutura no subdomínio preview (item 3.3.1), o exercício de direitos pode ser dirigido à Ecentia (Encarregado).

3.4. Dados de visitantes do site institucional ecentia.com.br

Em relação ao site institucional ecentia.com.br, a Ecentia atua como Controladora.

  • Dados técnicos de navegação: endereço IP, user-agent, páginas acessadas, referenciador;
  • Identificadores de campanha: UTMs, click IDs (quando ativos);
  • Dados de contato fornecidos voluntariamente em formulários de prospecção, demonstração ou suporte;
  • Cookies e tecnologias semelhantes, conforme Política de Cookies.

3.5. Dados técnicos de navegação e segurança

  • Registros de acesso a aplicações de internet (IP, user-agent, data e hora) — guarda obrigatória por 6 meses, na forma do art. 15 do Marco Civil da Internet.
  • Logs de auditoria, eventos de erro, métricas de desempenho.
  • Identificadores de sessão (cookies — vide Política de Cookies).

3.6. Dados não coletados intencionalmente

A Ecentia não solicita e procura não armazenar:

  • Áudio ou vídeo brutos das sessões de videoconferência (estes permanecem no Subprocessador Whereby);
  • Dados bancários completos (esses são tratados pela Stripe);
  • Dados de cartão de crédito;
  • Imagens biométricas (impressão digital, reconhecimento facial);
  • Dados de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados genéticos, vida sexual (a menos que sejam inseridos voluntariamente em texto livre pela(o) Psicóloga(o) no contexto da evolução clínica, em cujo caso passam a integrar dados de saúde tratados sob responsabilidade da(o) Controladora).

4. POR QUE COLETAMOS (FINALIDADES E BASES LEGAIS)

A matriz abaixo apresenta, para cada finalidade, a categoria de dado tratada e a base legal correspondente conforme arts. 7º e 11 da LGPD.

# Finalidade Categoria de dado Base legal (LGPD)
1 Cadastrar e autenticar a(o) Psicóloga(o) na Plataforma Dados de identificação e credenciais da(o) Psicóloga(o) Execução de contrato (art. 7º, V)
2 Exibir publicamente, no site profissional da(o) Psicóloga(o), o nº de CRP em conformidade com a Resolução CFP nº 03/2007 (publicidade profissional) CRP declarado pela(o) Psicóloga(o) Execução de contrato (art. 7º, V); legítimo interesse do Contratante para cumprir norma profissional (art. 7º, IX)
3 Emitir notas fiscais e cumprir obrigações tributárias da Ecentia CPF/CNPJ, dados financeiros da(o) Psicóloga(o) Cumprimento de obrigação legal/tributária (art. 7º, II); execução de contrato (art. 7º, V)
4 Faturar, cobrar e processar a assinatura Dados financeiros e de identificação da(o) Psicóloga(o) Execução de contrato (art. 7º, V)
5 Operacionalizar agenda, sessões, lembretes e reagendamentos Dados de Cliente e sessão Operadora, sob instrução da(o) Controladora (art. 7º, V e art. 11, II, "a" e "f" — tutela da saúde, por profissional de saúde)
6 Armazenar prontuário e evolução clínica Dados sensíveis de saúde Operadora, sob instrução da(o) Controladora (art. 11, II, "a" e "f")
7 Gerar transcrição textual e análise por IA das sessões (funcionalidade opt-in) Dados sensíveis de saúde (transcrição) Operadora, sob instrução da(o) Controladora; consentimento específico do Cliente quando aplicável (art. 11, I) — vide item 4.2
8 Hospedar a infraestrutura do site público profissional, em domínio do Contratante, e processar agendamento online Dados de visitante e Cliente Operadora, sob instrução da(o) Controladora
9 Processar pagamentos de Cliente via Stripe Connect Dados de pagamento, identificação, endereço Execução de contrato entre Cliente e Psicóloga(o); cumprimento de obrigação legal (emissão de NF)
10 Prevenir fraudes, abusos e proteger a segurança da Plataforma Logs, IPs, eventos de uso Legítimo interesse (art. 7º, IX)
11 Atender requisições de autoridades, ordens judiciais, exercício de direitos em processos Conforme requisição Cumprimento de obrigação legal/regulatória (art. 7º, II); exercício regular de direitos em processos (art. 7º, VI)
12 Comunicar atualizações da Plataforma e do contrato à(ao) Psicóloga(o) E-mail, telefone Execução de contrato (art. 7º, V)
13 Realizar marketing de conteúdo, divulgação, eventos e prospecção (para a(o) Psicóloga(o) ou prospects do site institucional ecentia.com.br) Dados de contato Consentimento (art. 7º, I) — com opt-out simples
14 Cumprir art. 15 do Marco Civil da Internet (registros de acesso a aplicações) IP, user-agent, timestamps Cumprimento de obrigação legal (art. 7º, II)
15 Mensurar campanhas publicitárias (Google Ads, GA4) executadas em favor da(o) Psicóloga(o) Click IDs, eventos Operadora, sob instrução da(o) Controladora; cookies não essenciais exigem consentimento (vide Política de Cookies)

4.1. Sobre dados sensíveis de saúde. Em conformidade com o art. 11, II, "a" e "f" da LGPD, o tratamento de dados pessoais sensíveis para a tutela da saúde do titular é permitido sem consentimento quando realizado, exclusivamente, por profissionais de saúde, serviços de saúde ou autoridade sanitária. A Ecentia, como Operadora, trata tais dados sob a responsabilidade direta da(o) Psicóloga(o), que é a profissional de saúde Controladora.

4.2. Sobre transcrição e IA — regime de opt-in. Recursos de transcrição textual automática e análise por IA são fornecidos como funcionalidade opcional e desativada por padrão (opt-in), ativada exclusivamente por iniciativa da(o) Psicóloga(o) Controladora nas configurações da Conta. Quando ativada:

a) A Ecentia atua como intermediadora técnica de API de inteligência artificial de terceiro (atualmente Google, modelo Gemini, vide Seção 14), sem desenvolver modelo próprio nem definir prompts clínicos;
b) A(O) Psicóloga(o) deve obter consentimento livre, específico, informado e em destaque do Cliente para esse tratamento, conforme art. 11, I, da LGPD, documentando esse consentimento e mantendo termo escrito;
c) A Ecentia disponibiliza, opcionalmente, criptografia ponta-a-ponta da transcrição (RSA-2048 + AES-256-GCM) com chave controlada exclusivamente pela(o) Psicóloga(o);
d) A funcionalidade pode ser desativada a qualquer momento pela(o) Psicóloga(o).

5. COM QUEM COMPARTILHAMOS

A Ecentia compartilha dados pessoais apenas com Operadores e fornecedores estritamente necessários à prestação da Plataforma e em casos exigidos por lei.

5.1. Subprocessadores atuais

Subprocessador Finalidade Dados envolvidos Localização do tratamento Mecanismo de transferência internacional
Stripe Payments Europe, Ltd. Processamento de pagamentos (assinatura e Stripe Connect) Identificação, e-mail, CPF/CNPJ, Payment Intent IDs EUA / Irlanda Cláusulas-Padrão Contratuais da ANPD (Res. 19/2024)
Whereby AS Salas de videoconferência (áudio/vídeo brutos permanecem no Whereby) e geração de transcrição textual entregue à Plataforma Mídia (áudio/vídeo) e transcrição textual Noruega / União Europeia Cláusulas-Padrão Contratuais da ANPD (Res. 19/2024)
Google LLC Autenticação OIDC (via Auth0); Google Calendar; Google Analytics 4; Google Tag Manager; Google Ads; API de IA Gemini para análise da transcrição textual (quando a funcionalidade for ativada pela(o) Psicóloga(o)) Identificadores, e-mails, eventos de calendário, eventos de analytics, transcrições textuais enviadas para análise EUA / multiregional Cláusulas-Padrão Contratuais da ANPD (Res. 19/2024)
Sinch (Mailgun Technologies, Inc.) Envio de e-mails transacionais E-mail, nome, conteúdo da mensagem EUA Cláusulas-Padrão Contratuais da ANPD (Res. 19/2024)
Amazon Web Services, Inc. (AWS) Hospedagem e armazenamento (S3) de arquivos, transcrições, imagens, notas fiscais Conforme dado armazenado EUA Cláusulas-Padrão Contratuais da ANPD (Res. 19/2024)
Okta, Inc. (Auth0) Gerenciamento de identidade e autenticação E-mail, ID externo, tokens EUA Cláusulas-Padrão Contratuais da ANPD (Res. 19/2024)

A lista atualizada de Subprocessadores está disponível em [URL da lista de subprocessadores] e é mantida em conformidade com o art. 39 da LGPD.

5.2. Outras hipóteses de compartilhamento

  • Autoridades públicas e judiciárias: mediante requisição legal válida (ordem judicial, requisição do Ministério Público, autoridade policial nas hipóteses legais).
  • Operações societárias: em caso de fusão, aquisição, cisão, incorporação ou venda de ativos, com obrigação de manutenção das salvaguardas desta Política, observado o disposto na cláusula 18 dos Termos de Uso.
  • Defesa em juízo: para o exercício regular de direitos da Ecentia em processo judicial, administrativo ou arbitral.

5.3. Acesso interno à(ao) Controladora pelo seu próprio time

Quando a(o) Psicóloga(o) Controladora autoriza acesso à sua Conta a colaboradores, supervisores, estagiários ou outros profissionais (configuração de equipe), tais acessos ocorrem dentro da Plataforma, conforme as permissões configuradas pela própria Controladora. Isso não constitui compartilhamento externo de dados para fins do art. 39 da LGPD; a Ecentia respeita a configuração definida pelo Controlador, sendo da responsabilidade exclusiva deste a decisão sobre quem deve ter acesso e a que dados.

5.4. Não comercialização, não publicidade, não uso para IA própria

A Ecentia não vende, aluga, troca ou cede dados pessoais a terceiros para fins comerciais. A Ecentia não desenvolve modelos próprios de inteligência artificial e, portanto, não utiliza dados pessoais — sensíveis ou não — de Clientes ou Conteúdo do Contratante para treinamento, fine-tuning ou avaliação de modelos de IA. Esta declaração é fundada nos arts. 6º, I (finalidade), e 11, §4º, da LGPD, e na cláusula 11.3 dos Termos de Uso.

6. TRANSFERÊNCIA INTERNACIONAL DE DADOS

6.1. Parte do tratamento ocorre em servidores e infraestrutura localizados fora do território brasileiro, especialmente nos Estados Unidos da América e em países da União Europeia.

6.2. As transferências internacionais são realizadas com base nos arts. 33 a 36 da LGPD, principalmente por meio de Cláusulas-Padrão Contratuais aprovadas pela Resolução CD/ANPD nº 19/2024, cujo período de graça encerrou-se em 23 de agosto de 2025. Eventuais outras hipóteses do art. 33 LGPD poderão ser adotadas conforme regulamentação superveniente.

6.3. Para titulares que desejem mais informações sobre as garantias específicas adotadas, basta contatar o Encarregado (Seção 11).

7. POR QUANTO TEMPO RETEMOS OS DADOS

Categoria Prazo de retenção Fundamento
Dados cadastrais da(o) Psicóloga(o) Durante a vigência do contrato + 5 anos após o término Prazo prescricional para pretensão de reparação e exercício regular de direitos em processos administrativos, civis e tributários (LGPD, art. 16, III)
Faturas, recibos e dados fiscais da Ecentia 5 anos após emissão Legislação tributária e fiscal
Dados de Clientes inseridos pela(o) Psicóloga(o) (prontuário, evolução, transcrição) — período padrão pós-rescisão Durante a vigência + 30 dias de acesso somente-leitura para exportação. Após esse período, eliminação LGPD art. 16; cláusula 15.2 dos Termos de Uso
Dados de Clientes — retenção opcional estendida (cortesia paga) A pedido da(o) Psicóloga(o), até 24 meses adicionais de acesso somente-leitura, mediante pagamento de taxa Cláusula 15.2.1 dos Termos de Uso. A guarda do prontuário continua sendo dever exclusivo da(o) Psicóloga(o) (CFP 6/2019 — 5 anos; Lei 13.787/2018 — 20 anos)
Registros de acesso a aplicações (logs, IP, user-agent) 6 meses Marco Civil da Internet, art. 15
Comunicações de marketing Até a revogação do consentimento ou inatividade de engajamento (ausência de aberturas/cliques) por 24 meses Consentimento (LGPD art. 7º, I)
Dados relativos a litígios, requisições judiciais ou administrativas Enquanto perdurar a necessidade probatória LGPD art. 16, III
Cookies Conforme Política de Cookies Guia Orientativo ANPD (2024/2025)

7.1. Após o prazo aplicável, a Ecentia procederá à eliminação ou anonimização dos dados, ressalvado o cumprimento de obrigação legal, regulatória ou exercício regular de direitos (LGPD art. 16).

8. SEGURANÇA DA INFORMAÇÃO

8.1. A Ecentia adota medidas técnicas, administrativas e organizacionais para proteger os dados pessoais, em conformidade com os arts. 46 a 49 da LGPD, incluindo:

  • Criptografia em trânsito (TLS 1.2+);
  • Hashing de senhas (PBKDF2/scrypt/bcrypt conforme módulo);
  • Criptografia em repouso para segredos e para transcrições, quando ativada pela(o) Psicóloga(o) (RSA-2048 + AES-256-GCM, com derivação de chave via Scrypt);
  • Controle de acesso baseado em perfis e princípio do menor privilégio;
  • Logs de auditoria;
  • Segregação de ambientes (produção/desenvolvimento);
  • Backups periódicos;
  • Monitoramento contínuo;
  • Treinamento da equipe;
  • Avaliação periódica de fornecedores e cláusulas contratuais de proteção de dados.

8.2. Apesar das medidas adotadas, nenhum sistema é absolutamente imune a falhas. A Ecentia não garante segurança absoluta, mas compromete-se a investigar e mitigar quaisquer incidentes na forma da Seção 9.

9. INCIDENTES DE SEGURANÇA

9.1. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Ecentia:

a) Comunicará a Autoridade Nacional de Proteção de Dados (ANPD) no prazo de 3 (três) dias úteis contados do conhecimento, na forma do Regulamento de Comunicação de Incidente de Segurança — Resolução CD/ANPD nº 15/2024, informando: descrição da natureza dos dados afetados, número aproximado de titulares envolvidos, medidas técnicas e de segurança utilizadas, riscos relacionados, motivos de eventual atraso e medidas adotadas para reverter ou mitigar efeitos do incidente (art. 48, §1º, LGPD);
b) Comunicará os titulares afetados em prazo razoável, observada a gravidade do incidente e as orientações da ANPD, em linguagem clara e acessível, em português, contendo: (i) descrição objetiva do incidente; (ii) tipos de dados envolvidos; (iii) riscos potenciais ao titular; (iv) medidas adotadas pela Ecentia para mitigar os efeitos; (v) recomendações práticas ao titular (ex.: troca de senhas, atenção a comunicações suspeitas); (vi) canal de contato do Encarregado para esclarecimentos;
c) Comunicará a(o) Psicóloga(o) (Controladora dos dados dos Clientes) em até 24 (vinte e quatro) horas do conhecimento do incidente, fornecendo as informações necessárias para que ela cumpra suas obrigações como Controladora, conforme cláusula 9.6 dos Termos de Uso;
d) Manterá registro do incidente, das medidas adotadas e das lições aprendidas, por prazo mínimo de 5 (cinco) anos.

10. SEUS DIREITOS COMO TITULAR

Em conformidade com os arts. 18 a 22 da LGPD, você tem direito a:

Direito Descrição
Confirmação Confirmar se a Ecentia trata seus dados pessoais
Acesso Obter cópia dos dados pessoais que a Ecentia trata
Correção Corrigir dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação Solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
Portabilidade Solicitar a portabilidade de seus dados a outro fornecedor de serviço ou produto, em formatos abertos (CSV, JSON ou PDF, conforme aplicável), observados os segredos comercial e industrial, no prazo previsto na cláusula 15.2 dos Termos de Uso
Eliminação Solicitar a eliminação dos dados pessoais tratados com base em consentimento, ressalvadas as hipóteses do art. 16 da LGPD
Informação sobre compartilhamento Saber com quais entidades públicas e privadas a Ecentia compartilha seus dados
Informação sobre não consentimento Conhecer a possibilidade de não fornecer consentimento e as consequências
Revogação do consentimento Revogar consentimento previamente fornecido, sem efeito retroativo
Revisão de decisão automatizada Solicitar revisão de decisão tomada unicamente com base em tratamento automatizado de dados que afete seus interesses
Oposição Opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD

10.1. Canal único e prazo. Os direitos podem ser exercidos a qualquer tempo, gratuitamente, pelo e-mail dpo@ecentia.com.br. Solicitações serão respondidas no prazo legal (15 dias, art. 19, II, LGPD).

10.2. Verificação de identidade. A Ecentia poderá solicitar informações adicionais para confirmar a identidade do solicitante, a fim de proteger os dados contra acesso não autorizado.

10.3. Direitos de Clientes (pacientes) e visitantes do site profissional — exercício perante a Controladora. Para todos os dados dos Clientes da(o) Psicóloga(o) e dos visitantes do site público profissional (inclusive dados sensíveis de saúde, dados de identificação, dados de pagamento, dados de navegação no domínio do Contratante), o exercício de direitos deve ser dirigido diretamente à(ao) Psicóloga(o) Controladora, que é a titular do tratamento. A Ecentia, na qualidade de Operadora, atende a solicitações encaminhadas pela Controladora, nos termos do art. 39 da LGPD e do Acordo de Tratamento de Dados (DPA). Caso o titular contate diretamente a Ecentia em hipótese de operadoria, a Ecentia o orientará a buscar a Controladora, sem prejuízo de transmitir-lhe a solicitação.

11. ENCARREGADO DE TRATAMENTO DE DADOS PESSOAIS (DPO)

Em conformidade com o art. 41 da LGPD, a Ecentia designou:

  • Nome: Ricardo Baltazar Chaves
  • E-mail: dpo@ecentia.com.br
  • Endereço postal: Rua Pais Leme, nº 215, Conj. 1713, Pinheiros, São Paulo/SP, CEP 05.424-150

O Encarregado é o canal único para o exercício de direitos de titulares (em relação aos dados tratados pela Ecentia como Controladora) e para a interlocução com a ANPD.

12. COOKIES E TECNOLOGIAS SEMELHANTES

O uso de cookies e tecnologias semelhantes está descrito na Política de Cookies, parte integrante desta Política.

13. CRIANÇAS E ADOLESCENTES

13.1. A Plataforma é destinada a profissionais de psicologia maiores de idade e legalmente capazes. A Ecentia não coleta intencionalmente dados de crianças e adolescentes como titulares cadastrados na Plataforma.

13.2. Quando o Cliente da(o) Psicóloga(o) for criança ou adolescente (atendimento de psicologia infantil/adolescente), o tratamento de dados ocorrerá sob a responsabilidade da(o) Psicóloga(o) Controladora, que deverá observar o art. 14 da LGPD, o Estatuto da Criança e do Adolescente (Lei nº 8.069/1990), o Marco Legal da Primeira Infância (Lei nº 13.257/2016) e as normas do CFP, em especial:

a) Consentimento parental documentado: conforme art. 14, §1º, LGPD, o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, registrado em meio idôneo. No caso de adolescentes (12 a 18 anos), aplica-se interpretação que considere a evolução da autonomia, observado o melhor interesse;
b) Princípio do melhor interesse: todo tratamento deve ocorrer no melhor interesse da criança/adolescente (art. 14, caput, LGPD);
c) Minimização: tratar apenas o estritamente necessário para a finalidade clínica;
d) Sigilo perante o adolescente: o sigilo profissional do(a) Psicólogo(a) protege também o adolescente em relação a terceiros, incluindo, conforme o caso, os próprios responsáveis legais, observados o Código de Ética do Psicólogo e a Resolução CFP nº 6/2019;
e) Acesso pelo responsável legal: o acesso aos documentos psicológicos por responsável legal deverá ser mediado pelo(a) Psicóloga(o), que avaliará caso a caso, conforme orientação técnica do CFP.

13.3. Registro do consentimento parental. A Plataforma não oferece, no momento, recurso técnico dedicado para registro estruturado do consentimento parental. O dever de obter, armazenar e demonstrar o consentimento parental é exclusivo da(o) Psicóloga(o) Controladora, que deverá manter o registro por meios próprios e idôneos (termo escrito, sistema próprio, prontuário físico complementar etc.).

14. AUTOMATIZAÇÃO E PERFILAMENTO

14.1. Natureza da funcionalidade. A Plataforma oferece, como funcionalidade opcional e desativada por padrão (opt-in), a transcrição textual automática e a análise por inteligência artificial das transcrições, para apoiar a redação de evolução clínica. Esta funcionalidade opera como intermediadora técnica de API de inteligência artificial de terceiro (atualmente Google, modelo Gemini, vide Seção 5). A Ecentia:

a) Não desenvolve, treina, ajusta ou opera modelo próprio de inteligência artificial;
b) Não define prompts clínicos, agentes especializados ou diretrizes interpretativas — a configuração do agente e do prompt aplicáveis à prática é definida exclusivamente pela(o) Psicóloga(o) Controladora;
c) Atua exclusivamente como intermediadora técnica do tráfego entre a Plataforma e a API do fornecedor de IA;
d) Mantém vedação contratual com o fornecedor de IA quanto ao uso do Conteúdo do Contratante para treinamento, fine-tuning ou retenção além do necessário à execução do serviço (cláusula 11.3.2 dos Termos de Uso).

14.2. Apoio ao juízo clínico, não decisão automatizada. As saídas geradas pela IA são ferramenta de apoio, sujeitas ao juízo da(o) Psicóloga(o), e não constituem decisão automatizada com efeitos jurídicos sobre o Cliente. Em conformidade com o art. 20 da LGPD, qualquer titular tem direito a solicitar revisão de decisão tomada unicamente com base em tratamento automatizado que afete seus interesses, devendo essa revisão ser solicitada à(ao) Psicóloga(o) Controladora.

14.3. Ativação e consentimento. A funcionalidade só é ativada por iniciativa expressa da(o) Psicóloga(o), que deve previamente obter consentimento livre, específico, informado e em destaque do Cliente (art. 11, I, LGPD) para o processamento por IA da transcrição, conforme item 4.2 desta Política. A funcionalidade pode ser desativada a qualquer tempo.

15. ALTERAÇÕES DESTA POLÍTICA

15.1. Esta Política poderá ser alterada para refletir mudanças regulatórias, operacionais ou tecnológicas.

15.2. Alterações materiais serão comunicadas com antecedência mínima de 30 (trinta) dias corridos por e-mail e por aviso na Plataforma. Alterações decorrentes de exigência legal podem ter vigência imediata, com comunicação concomitante.

15.3. A versão vigente, sempre identificada pela data de publicação no topo, é a aplicável.

16. LEI APLICÁVEL E AUTORIDADE COMPETENTE

16.1. Esta Política rege-se pela legislação brasileira, em especial pela LGPD, pelo Marco Civil da Internet e pelas resoluções da ANPD.

16.2. Sem prejuízo do acesso ao Encarregado, qualquer titular pode peticionar diretamente à Autoridade Nacional de Proteção de Dados (ANPD), por meio do site https://www.gov.br/anpd.

17. CONTATO

  • Encarregado de Tratamento de Dados Pessoais (DPO): Ricardo Baltazar Chaves — dpo@ecentia.com.br
  • Contato geral: contato@ecentia.com.br
  • Endereço postal: Rua Pais Leme, nº 215, Conj. 1713, Pinheiros, São Paulo/SP, CEP 05.424-150

ANEXO I — FUNDAMENTOS LEGAIS UTILIZADOS

  • LGPD — Lei nº 13.709/2018, em especial arts. 5º, 6º, 7º, 9º, 11, 14, 16, 18-22, 33-36, 37, 39, 41, 46-49.
  • Resolução CD/ANPD nº 15/2024 — Regulamento de Comunicação de Incidente de Segurança (RCIS).
  • Resolução CD/ANPD nº 19/2024 — Regulamento de Transferência Internacional de Dados e Cláusulas-Padrão Contratuais.
  • Guia Orientativo ANPD — Cookies e Proteção de Dados Pessoais (22/11/2024, atualizado em 23/01/2025).
  • Marco Civil da Internet — Lei nº 12.965/2014 (art. 15: guarda de 6 meses).
  • Lei nº 13.787/2018 — Digitalização e armazenamento de prontuário do paciente (guarda 20 anos).
  • Resolução CFP nº 9/2024 — Tecnologias Digitais da Informação e Comunicação na Psicologia (revoga Resolução CFP nº 11/2018).
  • Resolução CFP nº 6/2019 — Guarda de documentos do exercício profissional do psicólogo (mínimo 5 anos).
  • Resolução CFP nº 03/2007 — Publicidade profissional do psicólogo (exibição obrigatória de CRP em peças publicitárias).
  • Resolução CFP nº 010/2005 — Código de Ética Profissional do Psicólogo (sigilo — art. 9º).
  • Estatuto da Criança e do Adolescente — Lei nº 8.069/1990.
  • Marco Legal da Primeira Infância — Lei nº 13.257/2016.
  • Código Civil — Lei nº 10.406/2002.

ANEXO II — DIFERENÇAS EM RELAÇÃO ÀS VERSÕES ANTERIORES (NÃO PARTE OPERACIONAL)

Versão 3.0 (relação à 2.0)

Alterações materiais nesta versão 3.0:

  1. Seção 1.1.c (reescrita) — Site público pode operar tanto em domínio do Contratante quanto em subdomínio preview da Ecentia (preview-{uuid}.sites.ecentia.com.br), com identificador UUID e sem indexação pública.
  2. Seção 1.4 (atualizada) — Esclarece que a invisibilidade da Ecentia ao Cliente final se mantém em ambos os cenários e introduz o regime de verificação assíncrona do CRP.
  3. Seção 2 (tabela) — Adicionadas duas linhas: uma para dados resultantes da verificação assíncrona do CRP (Ecentia como Controladora); outra para visitantes do subdomínio preview (Ecentia como Operadora dos dados do Cliente e Controladora da infraestrutura).
  4. Seção 3.1.1 (nova) — Descreve a verificação assíncrona do CRP: dados envolvidos, finalidade, base legal (execução de contrato + legítimo interesse com LIA documentada), retenção e direitos do titular.
  5. Seção 3.3 (reescrita) — Cobre as duas hipóteses de site público; novo item 3.3.1 sobre o caráter híbrido do subdomínio preview (operadoria sobre dados do Cliente, controladoria sobre infraestrutura técnica); novo item 3.3.2 esclarecendo a quem dirigir o exercício de direitos.

Versão 2.0 (relação à 1.0)

Para fins de transparência e auditoria interna, registram-se as principais alterações materiais introduzidas na versão 2.0:

  1. Seção 1.1 / 1.4 — Reposicionamento explícito da Ecentia como fornecedora de infraestrutura técnica; esclarecimento de que o site público profissional opera em domínio do Contratante, sem branding Ecentia ao Cliente final.
  2. Seção 1.2 — Removida menção ao Código de Defesa do Consumidor para evitar enquadramento consumerista desnecessário.
  3. Seção 2 (tabela) — Reclassificação dos dados de visitantes do site profissional: Ecentia atua como Operadora; Controlador = Psicóloga(o).
  4. Seção 3.1 — Inclusão da natureza declaratória dos dados profissionais; explicitação dos dados recebidos de provedor de identidade (Auth0/Google Login); aviso sobre risco da perda da senha de criptografia.
  5. Seção 3.2 — Esclarecimento de que apenas a transcrição textual é armazenada pela Ecentia; áudio/vídeo brutos permanecem no Whereby.
  6. Seção 3.3 (reescrita) — Site público profissional descrito como domínio do Contratante; Ecentia como Operadora; direitos exercidos perante a Controladora.
  7. Seção 3.4 (nova) — Separação clara dos dados do site institucional ecentia.com.br (Ecentia como Controladora).
  8. Seção 3.6 — Inclusão expressa de áudio/vídeo brutos entre os dados não armazenados pela Ecentia.
  9. Seção 4 (matriz) — Adicionadas finalidades específicas de CRP (publicidade profissional) e CPF/CNPJ (NF e identificação fiscal); ajuste da finalidade de IA para regime opt-in.
  10. Seção 4.2 — Reescrita: IA como funcionalidade opt-in, com consentimento específico do Cliente exigido do Controlador.
  11. Seção 5 (5.1, 5.3, 5.4) — Whereby descrito com clareza (mídia bruta permanece lá); inclusão de novo item sobre acesso interno por equipe do Controlador (não é compartilhamento externo); reposicionamento de "não uso para IA" como decorrência da inexistência de modelos próprios.
  12. Seção 6.2 — Atualização sobre Cláusulas-Padrão Contratuais (Resolução 19/2024); abertura para outras hipóteses do art. 33 LGPD.
  13. Seção 7 — Adicionada retenção opcional estendida (até 24 meses) prevista na 15.2.1 dos Termos v2; definição de "inatividade" para marketing como ausência de engajamento.
  14. Seção 9 — Separação correta entre prazo de comunicação à ANPD (3 dias úteis) e prazo aos titulares (prazo razoável).
  15. Seção 10.3 (reescrita) — Esclarecimento de que TODOS os dados de Clientes e visitantes do site profissional são tratados sob operadoria; direitos exercidos perante a Psicóloga Controladora.
  16. Seção 10 (tabela) — Detalhamento da portabilidade (formatos CSV/JSON/PDF, cláusula 15.2 dos Termos).
  17. Seção 13.1 — Substituição de "profissionais adultos" por "profissionais maiores de idade e legalmente capazes".
  18. Seção 13.3 (reescrita) — Removida afirmação sobre recurso técnico de registro de consentimento parental, que não existe na Plataforma; reforçado dever exclusivo da Controladora.
  19. Seção 14 (reescrita) — IA reposicionada como intermediação técnica de API de terceiro, sem modelo próprio, sem prompt clínico; explícito regime opt-in; consentimento específico do Cliente exigido da Controladora.