Ψ
EvoPsi

Legal · LGPD

Política de Privacidade

Última atualização: 20 de maio de 2026 · Em conformidade com a Lei 13.709/2018 (LGPD)

1. Controlador de dados

O controlador dos dados pessoais tratados nesta plataforma é a Codiva Tech (codivatech.com), empresa desenvolvedora e operadora da plataforma EvoPsi (evopsi.com.br).

Para exercer seus direitos ou tirar dúvidas sobre privacidade, entre em contato com nosso encarregado (DPO) pelo e-mail: privacidade@evopsi.com.br

2. Dados coletados e finalidades

Coletamos apenas os dados estritamente necessários para a prestação do serviço. A tabela abaixo detalha cada categoria:

CategoriaDadoFinalidade
CadastroNome, e-mail, CRP, cidade, abordagem terapêuticaCriação e manutenção da conta; personalização da IA clínica
SessõesÁudio da sessão, transcrição, notas clínicasTranscrição automática; geração de análise clínica e prontuário
PacientesNome, e-mail, telefone, dados de anamneseGestão clínica; lembretes e comunicação com o paciente
Dados de saúdeEscalas (BDI, GAD-7, PHQ-9…), check-ins de humor, anotações clínicasSuporte ao acompanhamento terapêutico — dado sensível (Art. 11 LGPD)
PagamentoProcessado pela Stripe Inc. — a EvoPsi não armazena dados de cartãoCobrança de planos pagos
Uso da plataformaEndereço IP, agente de usuário, trilha de auditoriaSegurança, detecção de fraudes, conformidade LGPD Art. 46
Google CalendarTokens de acesso OAuth 2.0 (criptografados)Integração opcional de agenda e Google Meet

3. Bases legais (Art. 7 e Art. 11 da LGPD)

Todo tratamento de dados realizado pela EvoPsi possui base legal específica:

  • Execução de contrato (Art. 7, V): dados de cadastro e de sessões são necessários para que o serviço contratado funcione
  • Consentimento (Art. 7, I e Art. 11, I): dados sensíveis de saúde dos pacientes são tratados com base no consentimento explícito obtido pelo psicólogo no momento da criação do paciente na plataforma
  • Legítimo interesse (Art. 7, IX): logs de auditoria e dados de uso para segurança e prevenção de fraudes
  • Obrigação legal (Art. 7, II): manutenção de registros exigida pela Resolução CFP 01/2009 sobre prontuários psicológicos

4. Criptografia e segurança

A EvoPsi adota as seguintes medidas técnicas para proteção dos dados clínicos:

  • Criptografia em repouso (AES-256-GCM): todos os dados sensíveis — nome do paciente, e-mail, telefone, transcrições, notas clínicas e anamneses — são criptografados com chave e IV únicos por campo antes de serem armazenados
  • Criptografia em trânsito: toda comunicação entre cliente e servidor utiliza TLS 1.2+
  • Anonimização pré-IA: antes de qualquer dado ser enviado aos modelos de inteligência artificial, os nomes de pacientes são substituídos por identificadores genéricos ([PACIENTE])
  • Trilha de auditoria: cada operação de criação, leitura, edição ou exclusão de dados é registrada com timestamp, IP e agente do usuário
  • Controle de acesso: cada psicólogo acessa apenas seus próprios dados; autenticação via JWT com expiração configurável

5. Compartilhamento com terceiros

A EvoPsi não vende dados. O compartilhamento com terceiros ocorre apenas com os prestadores de serviço abaixo, todos sob obrigação contratual de confidencialidade:

FornecedorFinalidadeDados compartilhados
Anthropic (Claude)Análise clínica por IATranscrições anonimizadas
OpenAI (Whisper)Transcrição de áudioArquivo de áudio da sessão
Amazon Web ServicesArmazenamento de arquivos de áudioÁudios de sessão (criptografados em repouso)
Stripe Inc.Processamento de pagamentosE-mail e dados de cobrança
ResendEnvio de e-mails transacionaisE-mail e nome do destinatário
Google LLCCalendar e Meet (apenas se integrado)Tokens OAuth; título e horário do evento

Transferência internacional: Anthropic, OpenAI, AWS, Stripe e Google operam em servidores nos EUA e/ou UE. O compartilhamento ocorre sob as cláusulas contratuais padrão reconhecidas pela ANPD e pelas normas de adequação vigentes.

6. Retenção de dados

  • Dados de conta e clínicos: mantidos enquanto a conta estiver ativa e por até 5 anos após o encerramento, em cumprimento ao prazo recomendado pelo CFP para conservação de prontuários (Resolução 01/2009)
  • Áudios de sessão: excluídos dos servidores ativos após a transcrição ser concluída. O prazo máximo de retenção é de 30 dias para fins de reprocessamento
  • Logs de auditoria: 5 anos, conforme exigência da LGPD Art. 46
  • Após cancelamento da conta: os dados ficam disponíveis para exportação por 30 dias; após esse período são excluídos definitivamente dos servidores ativos

7. Seus direitos (Art. 18 da LGPD)

Como titular de dados, você tem os seguintes direitos, exercíveis a qualquer momento pelo e-mail privacidade@evopsi.com.br:

  • Confirmação e acesso: confirmar se tratamos seus dados e acessá-los
  • Correção: corrigir dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade com a LGPD
  • Portabilidade (Art. 18, V): receber seus dados clínicos em formato estruturado — disponível pela função de Exportação LGPD dentro da plataforma
  • Informação sobre compartilhamento: saber com quais entidades compartilhamos seus dados
  • Revogação do consentimento: revogar consentimento a qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente
  • Oposição: opor-se ao tratamento realizado com fundamento em legítimo interesse

Respondemos a todas as solicitações em até 15 dias úteis.

8. Cookies e rastreamento

A EvoPsi utiliza apenas cookies estritamente necessários para manter a sessão autenticada do usuário (token JWT armazenado em localStorage). Não utilizamos cookies de rastreamento publicitário de terceiros.

9. Menores de idade

A EvoPsi é destinada exclusivamente a profissionais de saúde. Não coletamos intencionalmente dados de menores de 18 anos. Dados de pacientes menores, quando inseridos pelo psicólogo responsável no exercício de sua atividade clínica, são tratados sob o mesmo nível de proteção descrito nesta política.

10. Alterações desta política

Podemos atualizar esta Política periodicamente. Notificaremos por e-mail sobre mudanças significativas com pelo menos 15 dias de antecedência. A versão sempre vigente é a publicada nesta página, com a data de atualização indicada no topo.

11. Contato e encarregado (DPO)

Para exercer direitos ou reportar incidentes de privacidade:

Você também pode registrar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

Ver também: Termos de Uso →