Índice
Última atualização: 26 de maio de 2026 | Vigência: a partir da data de publicação
1 Quem somos (Controlador de Dados)
O PsicoCAIXA é um sistema de gestão financeira e clínica desenvolvido e operado por:
| Razão Social | LM SOLUCOES DIGITAIS LTDA |
|---|---|
| CNPJ | 48.218.271/0001-44 |
| contato@psicocaixa.com.br | |
| Site | https://psicocaixa.com.br |
Para fins da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), a LM SOLUCOES DIGITAIS LTDA atua como controladora dos dados dos usuários (psicólogos) e como operadora dos dados dos pacientes cadastrados pelo psicólogo usuário.
2 Dados coletados
2.1 Dados do psicólogo (usuário)
| Dado | Quando coletado |
|---|---|
| Nome completo | Cadastro |
| Cadastro e autenticação | |
| Senha (hash bcrypt) | Cadastro |
| CPF | Configuração da conta |
| CRP (registro profissional) | Configuração da conta |
| Telefone | Configuração da conta |
| Endereço | Configuração da conta |
| Chave PIX | Configuração de cobranças |
| Certificado digital (.pfx) | Integração Receita Saúde |
| Tokens Google (OAuth) | Integração Google Calendar |
| Dados de pagamento (cartão) | Assinatura — processado pelo gateway |
| Logs de acesso (IP, horário) | Automaticamente ao usar o sistema |
2.2 Dados dos pacientes (inseridos pelo psicólogo)
| Dado | Finalidade |
|---|---|
| Nome completo | Identificação |
| CPF | Receita Saúde, relatórios fiscais |
| Telefone | Envio de lembretes e cobranças via WhatsApp |
| Comunicação opcional | |
| Datas e horários de consultas | Agenda, relatórios |
| Valores das sessões | Cobranças, Carnê Leão, Receita Saúde |
| Anotações clínicas | Inseridas pelo psicólogo, não processadas por nós |
Importante: Os dados dos pacientes são inseridos exclusivamente pelo psicólogo. A LM SOLUCOES DIGITAIS LTDA atua como operadora desses dados — não os acessa para fins próprios, não os compartilha com terceiros sem instrução do psicólogo, e não os utiliza para publicidade ou análise.
3 Finalidade e base legal
| Finalidade | Base legal (LGPD) |
|---|---|
| Prestação do serviço contratado (gestão financeira e clínica) | Art. 7º, V — execução de contrato |
| Emissão de recibos na Receita Saúde | Art. 7º, V — execução de contrato; Art. 11, II — saúde |
| Processamento de pagamentos (assinatura) | Art. 7º, V — execução de contrato |
| Envio de lembretes e cobranças via WhatsApp | Art. 7º, V — execução de contrato (a pedido do usuário) |
| Cumprimento de obrigações legais (fiscal, contábil) | Art. 7º, II — obrigação legal |
| Prevenção a fraudes e segurança | Art. 7º, IX — legítimo interesse |
| Comunicações sobre o produto (novidades, suporte) | Art. 7º, IX — legítimo interesse |
4 Dados sensíveis de saúde
O PsicoCAIXA pode armazenar dados que se enquadram como dados sensíveis conforme o Art. 5º, II da LGPD, especificamente dados relacionados à saúde dos pacientes (datas de atendimento psicológico, diagnósticos em anotações).
Esses dados são tratados com as seguintes salvaguardas adicionais:
- Criptografia em trânsito (HTTPS/TLS 1.2+) e em repouso
- Acesso restrito exclusivamente ao psicólogo titular da conta
- Não são utilizados para treinar modelos de IA ou qualquer finalidade secundária
- O psicólogo é o responsável legal pelo sigilo profissional (CFP — Código de Ética do Psicólogo)
A base legal para o tratamento de dados de saúde é o Art. 11, II, "f" da LGPD: "tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária", operacionalizado pelo psicólogo titular da conta.
5 Compartilhamento de dados
Não vendemos dados. Compartilhamos apenas nos seguintes casos:
5.1 Suboperadores necessários para o serviço
| Empresa | Finalidade | País |
|---|---|---|
| Amazon Web Services (AWS) | Infraestrutura de servidores e banco de dados | Brasil |
| Receita Federal do Brasil | Emissão de recibos Receita Saúde (a pedido do usuário) | Brasil |
| Google LLC | Integração Google Calendar (a pedido do usuário, via OAuth) | EUA * |
| Evolution API / WhatsApp | Envio de mensagens (a pedido do usuário) | Brasil / EUA * |
| Gateway de pagamentos | Processamento de assinaturas | Brasil |
| Groq Inc. | Processamento do chat de suporte (mensagens de dúvidas) | EUA * |
* Transferências internacionais realizadas com garantias adequadas conforme Art. 33 da LGPD (cláusulas contratuais padrão ou adequação da jurisdição).
5.2 Por exigência legal
Podemos divulgar dados quando exigido por lei, ordem judicial ou autoridade competente.
6 Retenção e exclusão de dados
| Tipo de dado | Prazo de retenção |
|---|---|
| Dados da conta e consultas | Enquanto a conta estiver ativa + 5 anos após encerramento (obrigação fiscal) |
| Logs de acesso | 6 meses (após, excluídos automaticamente) |
| Dados de pagamento | Conforme regulamentação financeira — até 5 anos |
| Tokens de integração (Google, WhatsApp) | Excluídos imediatamente ao desconectar a integração |
| Certificado digital | Excluído ao solicitar desativação da Receita Saúde |
| Backups | Rotacionados a cada 30 dias |
Ao cancelar a conta, os dados pessoais são anonimizados ou excluídos no prazo de 90 dias, exceto quando a retenção for obrigatória por lei.
7 Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados:
- Criptografia em trânsito: HTTPS com TLS 1.2+ em todas as comunicações
- Autenticação: Senhas armazenadas com hash bcrypt (fator de custo 10); tokens JWT com expiração
- Isolamento de dados: Arquitetura multi-tenant — cada psicólogo acessa apenas seus próprios dados
- Infraestrutura: Servidores em datacenter certificado, com firewall e monitoramento contínuo
- Backups: Realizados diariamente com retenção de 30 dias
- Acesso interno: Acesso à produção restrito a pessoal autorizado, com autenticação por chave SSH
Em caso de incidente de segurança com potencial impacto para os titulares, notificaremos a ANPD e os usuários afetados no prazo legalmente exigido (Art. 48 da LGPD).
8 Seus direitos (LGPD Art. 18)
Como titular de dados, você tem os seguintes direitos:
| Direito | Como exercer |
|---|---|
| Confirmação e acesso aos seus dados | Configurações → Privacidade ou e-mail ao DPO |
| Correção de dados incompletos ou incorretos | Diretamente nas Configurações ou e-mail ao DPO |
| Anonimização, bloqueio ou eliminação | E-mail ao DPO — prazo de 15 dias |
| Portabilidade dos dados | Solicitação por e-mail ao DPO |
| Revogação do consentimento | A qualquer momento, nas Configurações |
| Informação sobre compartilhamento | Previsto nesta política; dúvidas: e-mail ao DPO |
| Oposição ao tratamento | E-mail ao DPO |
| Reclamação à ANPD | https://www.gov.br/anpd |
O psicólogo também pode registrar e gerenciar solicitações de titulares (seus pacientes) diretamente no sistema em Configurações → Privacidade (LGPD).
10 Menores de idade
O PsicoCAIXA é destinado exclusivamente a psicólogos profissionais registrados no CFP. Não coletamos intencionalmente dados de menores de 18 anos como usuários do sistema.
Dados de pacientes menores de idade podem ser inseridos pelo psicólogo no âmbito do atendimento clínico, sob responsabilidade exclusiva do profissional, observadas as normas do CFP e do ECA.
11 Uso de Dados do Google (Google API Services)
Conformidade com a Política de Dados do Usuário dos Serviços de API do Google: O uso pelo PsicoCAIXA das informações recebidas das APIs do Google está em conformidade com a Política de Dados do Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado.
11.1 Quais dados do Google são coletados
Quando o usuário conecta sua conta Google ao PsicoCAIXA (integração opcional com Google Calendar), o sistema solicita autorização de acesso com o escopo:
| Escopo OAuth | O que permite |
|---|---|
https://www.googleapis.com/auth/calendar.events | Criar, editar e excluir eventos no Google Calendar do usuário |
Os seguintes dados são armazenados após a autorização:
- Access token e refresh token do Google OAuth — para manter a integração ativa sem exigir novo login
- IDs de eventos criados no Google Calendar — para permitir atualização e exclusão sincronizados
O PsicoCAIXA não acessa e-mails, contatos, arquivos do Drive, histórico de navegação, nem qualquer outro dado da conta Google além do calendário.
11.2 Como os dados do Google são utilizados
Os dados do Google são utilizados exclusivamente para:
- Criar eventos de consulta no Google Calendar do próprio usuário quando uma consulta é agendada no PsicoCAIXA
- Atualizar eventos quando data, hora ou dados da consulta são alterados
- Excluir eventos quando uma consulta é cancelada
- Importar eventos do Google Calendar para o PsicoCAIXA (a pedido explícito do usuário)
Os dados do Google não são usados para publicidade, análise de comportamento, treinamento de modelos de IA, ou qualquer finalidade além da sincronização de agenda descrita acima.
11.3 Compartilhamento de dados do Google
Os tokens e dados obtidos via Google OAuth não são compartilhados, vendidos, transferidos ou divulgados a terceiros, exceto:
- À própria API do Google Calendar, para executar as operações de sincronização autorizadas pelo usuário
- À infraestrutura de servidores (AWS) onde o sistema é hospedado — sob contrato de processamento de dados
11.4 Proteção dos dados do Google
- Tokens OAuth armazenados de forma criptografada no banco de dados
- Transmissão exclusivamente via HTTPS/TLS
- Acesso restrito apenas ao servidor de backend do PsicoCAIXA, nunca exposto ao frontend
- Tokens de refresh rotacionados automaticamente pelo Google
11.5 Retenção e exclusão de dados do Google
Os tokens OAuth do Google são:
- Excluídos imediatamente quando o usuário desconecta a integração em Configurações → Integrações → Google Calendar → "Desconectar"
- Revogados na API do Google no momento da desconexão, invalidando o acesso
- Excluídos junto com a conta caso o usuário cancele sua assinatura do PsicoCAIXA
O usuário também pode revogar o acesso a qualquer momento diretamente em myaccount.google.com/permissions.
13 Alterações nesta política
Esta política pode ser atualizada periodicamente. Quando houver alterações relevantes, notificaremos os usuários por e-mail e/ou aviso no sistema com antecedência mínima de 15 dias. A data da última atualização está sempre indicada no topo desta página.
O uso continuado do serviço após o prazo de notificação implica aceitação das novas condições.
14 Contato e Encarregado (DPO)
Para exercer seus direitos ou esclarecer dúvidas sobre privacidade:
| Canal | privacidade@psicocaixa.com.br |
|---|---|
| Assunto sugerido | "[LGPD] — [seu direito ou dúvida]" |
| Prazo de resposta | 15 dias corridos (Art. 19 da LGPD) |
| Empresa | LM SOLUCOES DIGITAIS LTDA — CNPJ 48.218.271/0001-44 |
| Autoridade supervisora | ANPD — Autoridade Nacional de Proteção de Dados |