AcolherClínica protegida
InícioSegurança & éticaPrivacidadeTermos
Entrar
Política de Privacidade

Como tratamos seus dados no Acolher.

Versão 1.0.0. Esta política explica como o Acolher coleta, usa, armazena e compartilha dados pessoais e sensíveis (saúde mental) conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD), as Resoluções do Conselho Federal de Psicologia (CFP) e o Código de Defesa do Consumidor.

1. Quem somos

O Acolher é um serviço de gestão clínica psicanalítica desenvolvido por CCSS Tech LTDA, inscrita no CNPJ 67.277.428/0001-57, com sede em São Paulo/SP. Atuamos como operador dos dados clínicos que o profissional cadastra (o profissional é o controlador do prontuário que ele cria) e como controlador dos dados cadastrais e financeiros da assinatura do serviço.

2. Encarregado de Dados (DPO)

Caio Cesar Silva Santos — dpo@acolher.app.br. Você pode contatar o encarregado para exercer qualquer direito previsto na LGPD ou esclarecer dúvidas sobre tratamento de dados.

3. Dados que tratamos

  • Cadastro do profissional/cliente: nome, e-mail, telefone (opcional), dados de pagamento processados pelo provedor (cartão ou Pix) — não armazenamos dados de cartão.
  • Cadastro do paciente: nome, contatos, data de nascimento, demanda inicial, anamnese, evoluções clínicas, diário, documentos psicológicos. Todos são criptografados com AES-256-GCM antes de persistir.
  • Operacionais: logs de acesso (IP cifrado por HMAC), trilha de auditoria, tentativas de login, lembretes enviados.

4. Finalidades e bases legais

As finalidades detalhadas e bases legais correspondentes constam do Registro de Operações de Tratamento (ROPA) da CCSS Tech. Em resumo:

  • Manter prontuário clínico — Art. 11 II (f) (tutela da saúde, em procedimento por profissional de saúde)
  • Continuidade do tratamento — Art. 11 II (f) (tutela da saúde)
  • Faturamento e cobrança — Art. 7 V (execução de contrato)
  • Segurança, auditoria e Marco Civil — Art. 7 II + IX
  • Apoio teórico por IA governada — Art. 11 I (consentimento específico)

5. Compartilhamento e transferência internacional

Não vendemos dados. Compartilhamos apenas com operadores técnicos sob contrato de processamento de dados (DPA), com cláusulas-padrão quando há transferência para fora do Brasil:

  • Vercel Inc. (EUA) — hospedagem e funções serverless
  • Neon Inc. (EUA) — banco PostgreSQL gerenciado
  • Upstash Inc. (EUA) — Redis para rate limit (sem dados pessoais; apenas hashes HMAC)
  • Resend Inc. (EUA) — envio de e-mail transacional
  • Anthropic PBC (EUA) — modelos de IA para marketing, resumo financeiro e busca teórica externa. Não recebe dados pessoais de pacientes: apenas textos de marketing, números agregados do mês e nomes de escolas/autores informados pelo profissional.
  • ASAAS (BR) — provedor de pagamento (cartão e Pix)
  • Replicate Inc. (EUA) — geração de imagens para marketing (não recebe dados de pacientes)
  • Google LLC (EUA) — sincronização opcional de agenda (Google Calendar), apenas se o profissional conectar

Base legal da transferência: LGPD Art. 33 V (cláusulas contratuais específicas e DPA assinado).

Integração com Google Calendar. Se o profissional optar por conectar sua conta Google, o Acolher usa a API do Google Calendar (escopo calendar.events) exclusivamente para criar, atualizar e excluir, na agenda do próprio profissional, os eventos das sessões: data e horário, nome do paciente no título, modalidade, status e link de vídeo, quando houver. Nenhum conteúdo clínico (notas, prontuário, transcrições, documentos) é enviado ao Google, e o Acolher não lê nem importa eventos já existentes da agenda. Armazenamos, criptografados, os tokens de acesso concedidos, o e-mail da conta Google conectada e o identificador da agenda. A conexão pode ser desfeita a qualquer momento em Configurações → Integrações de agenda, o que exclui os tokens armazenados; o acesso também pode ser revogado na própria conta Google. O uso de informações recebidas das APIs do Google segue a Política de Dados do Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado (Limited Use).

6. Retenção e descarte

  • Prontuário clínico: no mínimo 5 anos após o último atendimento (paciente adulto) ou 20 anos (menor de idade), conforme Resoluções CFP nº 001/2009 e nº 06/2019.
  • Logs de acesso: mínimo 6 meses (Marco Civil Art. 15), máximo 1 ano operacional.
  • Cadastro/financeiro: 5 anos após o término do contrato (CDC + obrigações fiscais).

7. Seus direitos (LGPD Art. 18)

Você pode, a qualquer momento, solicitar:

  • Confirmação da existência de tratamento
  • Acesso aos seus dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários
  • Portabilidade dos dados
  • Eliminação de dados tratados com base em consentimento
  • Informação sobre compartilhamento
  • Revogação de consentimento

Para exercer qualquer direito, abra uma solicitação em seu portal (para pacientes) ou contate diretamente o DPO via dpo@acolher.app.br. Prazo de resposta: 15 dias corridos (LGPD Art. 19).

8. Segurança

Aplicamos as práticas reconhecidas pelo setor: criptografia de campos sensíveis com AES-256-GCM, TLS obrigatório em trânsito, trilha de auditoria com cadeia HMAC encadeada, isolamento por linha (Row Level Security) por consultório, MFA com códigos TOTP e bloqueio progressivo após tentativas falhas. Detalhes operacionais constam de Segurança e Ética.

9. Comunicação de incidente

Em caso de incidente de segurança que possa acarretar risco ou dano relevante, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme LGPD Art. 48.

10. Atualizações desta política

Esta política pode ser atualizada para refletir mudanças regulatórias ou operacionais. Versionamos cada revisão e mantemos o aceite vinculado à versão em vigor na data do consentimento.

Versão 1.0.0 · Termos de Uso · Segurança e Ética
AcolherAcolher

Plataforma clínica para psicanalistas e psicólogos com privacidade desde o desenho.

PlataformaSegurança & éticaPrivacidadeTermos
CCSS TechCCSS Tech LTDASão Paulo/SP · BrasilCNPJ 67.277.428/0001-57
© 2026 CCSS Tech LTDA. Todos os direitos reservados.