Política de Privacidade
Última atualização: junho de 2026
Em conformidade com a Lei 13.709/2018 (LGPD)
1. Controlador dos Dados
O GesTerapeuta é o controlador dos dados pessoais das contas de terapeuta e de cliente criadas diretamente na plataforma. Para questões relacionadas à privacidade, entre em contato pelo e-mail cognify.org@gmail.com.
2. Dados Coletados
2.1 Dados do Terapeuta (usuário profissional)
- Nome completo — identificação na plataforma e no diretório público
- E-mail — autenticação e comunicações
- CPF — armazenado exclusivamente como hash criptográfico irreversível (SHA-256), para impedir duplicidade de cadastros trial; nunca é legível. Apenas é compartilhado com a Asaas (controladora dos pagamentos) no momento da assinatura de um plano
- Telefone — contato opcional, informado pelo próprio usuário
- Dados de perfil público — foto, biografia, áreas de atuação, cidade/estado, modalidade e tipos de sessão, quando o terapeuta opta por aparecer no diretório
- Dados de uso — logs de acesso (IP, user agent) para segurança e auditoria
- Dados de pagamento — referência de assinatura e histórico de cobranças; dados de cartão são tratados exclusivamente pela Asaas
2.2 Dados do Cliente (conta no portal gratuito)
Quando um cliente se cadastra diretamente no portal para buscar terapeutas e agendar sessões, coletamos:
- Nome, e-mail e telefone — identificação, autenticação e contato
- Histórico de agendamentos e avaliações — sessões marcadas e notas atribuídas
- Mensagens — conteúdo das conversas trocadas com terapeutas pela plataforma
- Dados de uso — logs de acesso para segurança
Para esses dados, o GesTerapeuta atua como controlador.
2.3 Dados de Clientes inseridos pelo Terapeuta
Os terapeutas inserem na plataforma dados de seus próprios clientes (nome, e-mail, telefone, data de nascimento, fichas de anamnese, observações clínicas, dados financeiros). Para estes dados, o terapeuta é o controlador e o responsável por obter o consentimento dos seus clientes conforme a LGPD. O GesTerapeuta atua como operador, armazenando e processando esses dados exclusivamente a serviço do terapeuta.
3. Base Legal para o Tratamento
O tratamento dos dados é realizado com as seguintes bases legais previstas no art. 7º da LGPD:
- Execução de contrato (art. 7º, V) — para prover as funcionalidades contratadas
- Consentimento (art. 7º, I) — para envio de comunicações de marketing e novidades
- Legítimo interesse (art. 7º, IX) — para segurança, prevenção a fraudes e melhorias do serviço
- Obrigação legal (art. 7º, II) — para cumprimento de obrigações fiscais e regulatórias
4. Finalidade do Tratamento
- Criar e manter sua conta e autenticar seu acesso
- Conectar clientes e terapeutas por meio do diretório público e do agendamento
- Viabilizar a troca de mensagens entre clientes e terapeutas e o canal de suporte
- Exibir e calcular avaliações de atendimentos
- Processar pagamentos de assinatura (terapeutas)
- Enviar notificações transacionais (confirmações, lembretes de sessão, alertas de segurança)
- Detectar e prevenir fraudes e abusos
- Cumprir obrigações legais e regulatórias
- Aprimorar o serviço com base em dados agregados e anonimizados
5. Compartilhamento de Dados
Seus dados não são vendidos ou cedidos a terceiros para fins comerciais. Compartilhamos dados apenas com os seguintes fornecedores, estritamente necessários para operar o serviço:
- Asaas — processamento de pagamentos (nome, CPF, e-mail, dados de cobrança)
- Resend — envio de e-mails transacionais (e-mail, nome)
- Railway — hospedagem do banco de dados (dados armazenados criptografados em trânsito via TLS)
Adicionalmente, ao agendar uma sessão ou iniciar uma conversa, os dados de contato e identificação necessários são compartilhados entre o cliente e o terapeuta envolvidos, para viabilizar o atendimento. Todos os fornecedores são contratualmente obrigados a tratar os dados conforme a LGPD e com finalidade restrita ao serviço prestado.
6. Retenção e Eliminação de Dados
Os dados são mantidos enquanto a conta estiver ativa. Tanto terapeutas quanto clientes podem solicitar a exclusão da própria conta diretamente na plataforma. Ao excluir uma conta de terapeuta, os dados da conta são removidos e os registros de seus clientes são anonimizados. Dados pessoais remanescentes são eliminados ou anonimizados em até 90 dias, salvo obrigação legal de retenção (ex.: dados fiscais, mantidos por 5 anos conforme a legislação tributária brasileira).
Logs de auditoria de segurança são mantidos por até 12 meses.
7. Segurança dos Dados
Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:
- Comunicação cifrada via TLS/HTTPS em todas as requisições
- Senhas armazenadas com hash bcrypt (fator de custo 12)
- CPF armazenado exclusivamente como hash SHA-256 irreversível
- Tokens de sessão com expiração automática e rotação
- Log de auditoria para ações sensíveis (login, acesso a fichas clínicas, mensagens)
- Controle de acesso que restringe cada usuário aos seus próprios dados e conversas
- Acesso ao banco de dados restrito a conexões autenticadas via TLS
8. Seus Direitos (LGPD, art. 18)
Como titular de dados, você tem os seguintes direitos, exercíveis mediante solicitação pelo e-mail de privacidade ou, quando disponível, diretamente nas configurações da sua conta:
- Confirmação e acesso — saber quais dados temos sobre você
- Correção — atualizar dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação — de dados desnecessários ou tratados em desconformidade
- Portabilidade — receber seus dados em formato estruturado
- Eliminação — excluir sua conta e os dados tratados com base em consentimento, inclusive de forma autônoma pela plataforma
- Revogação do consentimento — a qualquer tempo, sem prejuízo ao tratamento já realizado
- Informação — sobre entidades com quem compartilhamos seus dados
Atenderemos sua solicitação em até 15 dias corridos.
9. Cookies
Utilizamos cookies estritamente necessários para manter sua sessão autenticada (cookie refresh_token, HttpOnly, Secure). Não utilizamos cookies de rastreamento ou publicidade. Não há integração com redes de anúncios.
10. Transferência Internacional
Os dados podem ser processados em servidores localizados fora do Brasil pelos fornecedores listados na seção 5. Nesses casos, exigimos contratualmente que o nível de proteção seja equivalente ao da LGPD, em conformidade com o art. 33 da Lei 13.709/2018.
11. Contato e Encarregado (DPO)
Para exercer seus direitos ou tirar dúvidas sobre o tratamento de dados, entre em contato com nosso encarregado pelo e-mail cognify.org@gmail.com. Você também pode registrar reclamações perante a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.
12. Atualizações desta Política
Esta Política pode ser atualizada para refletir mudanças no serviço ou na legislação. Notificaremos usuários ativos por e-mail antes de alterações materiais entrarem em vigor.