LGPD

Política de Privacidade

Vigência: maio de 2026 · Versão 2026-v1 Effective: May 2026 · Version 2026-v1

1. Quem somos

O TheraTrack é desenvolvido e operado por [Nome da empresa], CNPJ [XX.XXX.XXX/XXXX-XX] ("TheraTrack", "nós", "operador"). Esta Política de Privacidade descreve como tratamos os dados pessoais coletados e processados por meio da plataforma, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).

Na relação entre as partes envolvidas no tratamento de dados:

Controlador dos dados: o terapeuta ou supervisor que utiliza o TheraTrack — é ele quem define as finalidades e os meios do tratamento dos dados pessoais dos seus pacientes.
Operador dos dados: o TheraTrack — processa os dados exclusivamente conforme as instruções do controlador e para as finalidades descritas nesta política.

2. Dados que coletamos

Para a prestação do serviço, coletamos e tratamos as seguintes categorias de dados:

Dados de conta (do terapeuta)

Nome completo, endereço de e-mail, senha (armazenada com hash bcryptjs — nunca em texto simples), função no sistema e idioma preferido.

Dados pessoais dos pacientes

Nome, data de nascimento, nomes dos responsáveis, telefone de contato, nome da escola e profissionais envolvidos.

Dados sensíveis dos pacientes (Art. 5º, II da LGPD)

Diagnóstico, pós-diagnóstico, observações clínicas, notas de evoluções terapêuticas, descrição e notas de sessões de supervisão, e metas terapêuticas. Estes dados recebem proteção adicional conforme exigido pela LGPD para dados sensíveis.

Documentos clínicos

Arquivos enviados pelo terapeuta (anamneses, protocolos, relatórios, pareceres, planos terapêuticos e outros), armazenados com segurança no Google Cloud Storage.

3. Finalidade e base legal

Os dados pessoais são tratados para as seguintes finalidades, com as respectivas bases legais da LGPD:

Prestação do serviço de organização clínica — base legal: execução de contrato (Art. 7º, V).
Tratamento de dados sensíveis de saúde dos pacientes — base legal: consentimento específico e destacado do terapeuta (Art. 11, I), obtido no momento do cadastro.
Cumprimento de obrigações legais, quando aplicável — base legal: Art. 7º, II.

O TheraTrack não utiliza seus dados ou os dados dos seus pacientes para fins de publicidade, marketing ou compartilhamento comercial com terceiros.

4. Dados de menores de idade (Art. 14)

Em conformidade com o Art. 14 da LGPD, o tratamento de dados pessoais de crianças e adolescentes somente é realizado no melhor interesse do menor.

Caso o terapeuta cadastre um paciente menor de idade, é de responsabilidade exclusiva do terapeuta (na qualidade de controlador dos dados) obter o consentimento específico e destacado de pelo menos um dos pais ou responsável legal, nos termos do Art. 14, §1º da LGPD.

5. Compartilhamento e suboperadores

O TheraTrack não vende, aluga nem compartilha dados pessoais com terceiros para fins comerciais.

Para a prestação do serviço, utilizamos os seguintes suboperadores:

MongoDB Atlas (MongoDB, Inc.) — banco de dados gerenciado onde são armazenados todos os dados estruturados da plataforma: contas de terapeutas, registros de pacientes, metas terapêuticas, evoluções, sessões de supervisão e quadros kanban. O cluster está hospedado na infraestrutura GCP na região southamerica-east1 (São Paulo, Brasil), mantendo os dados em território nacional. O MongoDB atua como suboperador sob Contrato de Processamento de Dados compatível com a LGPD.

Google Cloud Storage (Google LLC) — armazenamento de documentos e arquivos clínicos enviados pelo terapeuta. Os dados são armazenados na região southamerica-east1 (São Paulo, Brasil), mantendo os dados em território nacional. O Google atua como suboperador sob Contrato de Processamento de Dados compatível com a LGPD.

Nenhum outro terceiro tem acesso aos dados pessoais da conta ou aos dados clínicos dos pacientes.

6. Retenção e exclusão de dados

Os dados são retidos pelos seguintes prazos:

Conta ativa: dados mantidos enquanto a conta estiver ativa.
Após exclusão de conta: os dados são mantidos por até 30 dias (período de carência para recuperação) e, em seguida, excluídos permanentemente junto a todos os dados associados.
Paciente excluído: todos os dados do paciente e seus arquivos no Google Cloud Storage são excluídos imediatamente.
Registros de auditoria: retidos por 5 anos, em conformidade com a Resolução CFP nº 001/2009 e para fins de eventual cumprimento de obrigações perante a ANPD.

Após o prazo de retenção, os dados são excluídos de forma segura e irreversível.

7. Seus direitos como titular (Art. 18)

Nos termos do Art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

Acesso: confirmar a existência de tratamento e obter cópia dos dados.
Correção: corrigir dados incompletos, inexatos ou desatualizados.
Exclusão: solicitar a eliminação dos dados tratados com base em consentimento.
Portabilidade: receber seus dados em formato estruturado e interoperável.
Revogação do consentimento: retirar o consentimento a qualquer momento, sem prejuízo ao tratamento realizado anteriormente.
Informação sobre compartilhamento: saber com quais entidades seus dados são compartilhados.
Oposição: se opor a tratamento realizado em descumprimento à LGPD.

Para exercer qualquer desses direitos, entre em contato com nosso Encarregado de Dados (ver Seção 8).

8. Encarregado de Dados — DPO (Art. 41)

Em conformidade com o Art. 41 da LGPD, designamos um Encarregado de Proteção de Dados responsável por receber comunicações dos titulares, atender solicitações relacionadas à proteção de dados e manter o canal de comunicação com a ANPD.

E-mail do Encarregado: privacy@theratrack.com.br

9. Segurança (Art. 46)

Adotamos medidas técnicas e organizacionais adequadas para proteger os dados contra acessos não autorizados, destruição, perda ou alteração, incluindo:

Senhas armazenadas com hash bcryptjs (10 rounds) — nunca em texto simples.
Comunicação criptografada via HTTPS em todos os ambientes.
Controle de acesso por função (RBAC) — cada usuário acessa apenas seus próprios dados.
Isolamento multi-tenant — impossibilidade de acesso cruzado entre contas de terapeutas distintos.
URLs de acesso a arquivos com expiração de 1 minuto.

10. Alterações a esta política

O TheraTrack pode atualizar esta Política de Privacidade periodicamente. Quando houver alterações relevantes, notificaremos os usuários por e-mail ou mediante aviso no sistema. Quando exigido pela LGPD, solicitaremos nova confirmação de consentimento.

A versão vigente sempre estará disponível nesta página, com a data de vigência indicada no topo.

11. Lei aplicável

Esta Política de Privacidade é regida pela Lei nº 13.709/2018 (LGPD) e demais normas brasileiras aplicáveis. Para questões relacionadas a esta política, o usuário poderá, ainda, contatar diretamente a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

1. Who we are

TheraTrack is developed and operated by [Company Name], CNPJ [XX.XXX.XXX/XXXX-XX] ("TheraTrack", "we", "processor"). This Privacy Policy describes how we handle personal data collected and processed through the platform, in compliance with Brazil's General Data Protection Law (LGPD — Law nº 13.709/2018).

Regarding the roles of parties involved in data processing:

Data Controller: the therapist or supervisor using TheraTrack — they define the purposes and means of processing their patients' personal data.
Data Processor: TheraTrack — processes data solely in accordance with the controller's instructions and for the purposes described in this policy.

2. Data we collect

To provide the service, we collect and process the following categories of data:

Account data (therapist)

Full name, email address, password (stored as a bcryptjs hash — never in plain text), system role and preferred language.

Patient personal data

Name, date of birth, responsible party names, contact phone, school name and involved professionals.

Patient sensitive data (LGPD Art. 5, II)

Diagnosis, post-diagnosis, clinical observations, therapeutic evolution notes, supervision session descriptions and notes, and therapeutic goals. These fields receive the additional safeguards required by LGPD for sensitive health data.

Clinical documents

Files uploaded by the therapist (assessments, protocols, reports, professional opinions, therapeutic plans and others), stored securely in Google Cloud Storage.

3. Purpose and legal basis

Personal data is processed for the following purposes, under the corresponding LGPD legal bases:

Providing the clinical organization service — legal basis: contract performance (Art. 7, V).
Processing sensitive patient health data — legal basis: specific and prominent consent from the therapist (Art. 11, I), collected at account registration.
Compliance with legal obligations, when applicable — legal basis: Art. 7, II.

TheraTrack does not use your data or your patients' data for advertising, marketing, or any commercial sharing with third parties.

4. Data of minors (Art. 14)

In accordance with LGPD Art. 14, the processing of personal data of children and adolescents is carried out solely in the best interest of the minor.

If the therapist registers a minor patient, it is the therapist's exclusive responsibility (as data controller) to obtain specific and prominent consent from at least one parent or legal guardian, as required by LGPD Art. 14, §1.

5. Data sharing and sub-processors

TheraTrack does not sell, rent or share personal data with third parties for commercial purposes.

To deliver the service, we use the following sub-processors:

MongoDB Atlas (MongoDB, Inc.) — managed database where all structured platform data is stored: therapist accounts, patient records, therapeutic goals, evolutions, supervision sessions and kanban boards. The cluster is hosted on GCP infrastructure in the southamerica-east1 (São Paulo, Brazil) region, keeping data within Brazilian territory. MongoDB acts as a sub-processor under a Data Processing Addendum compatible with LGPD.

Google Cloud Storage (Google LLC) — storage of clinical documents and files uploaded by the therapist. Data is stored in the southamerica-east1 (São Paulo, Brazil) region, keeping data within Brazilian territory. Google acts as a sub-processor under a Data Processing Addendum compatible with LGPD.

No other third party has access to account personal data or patients' clinical data.

6. Data retention and deletion

Data is retained for the following periods:

Active account: data retained while the account is active.
After account deletion: data is kept for up to 30 days (recovery grace period) then permanently deleted along with all associated data.
Deleted patient: all patient data and their files in Google Cloud Storage are deleted immediately.
Audit logs: retained for 5 years, in accordance with CFP Resolution 001/2009 and to meet any potential obligations before the ANPD.

After the retention period, data is deleted securely and irreversibly.

7. Your rights as a data subject (Art. 18)

Under LGPD Art. 18, you have the following rights regarding your personal data:

Access: confirm the existence of processing and obtain a copy of your data.
Correction: correct incomplete, inaccurate or outdated data.
Deletion: request deletion of data processed on the basis of consent.
Portability: receive your data in a structured, interoperable format.
Consent withdrawal: withdraw consent at any time, without affecting processing carried out previously.
Information about sharing: know which entities your data is shared with.
Objection: object to processing carried out in non-compliance with LGPD.

To exercise any of these rights, contact our Data Protection Officer (see Section 8).

8. Data Protection Officer — DPO (Art. 41)

In compliance with LGPD Art. 41, we have designated a Data Protection Officer responsible for receiving communications from data subjects, handling data protection requests and maintaining the communication channel with the ANPD.

DPO email: privacy@theratrack.com.br

9. Security (Art. 46)

We adopt appropriate technical and organizational measures to protect data against unauthorized access, destruction, loss or alteration, including:

Passwords stored as bcryptjs hash (10 rounds) — never in plain text.
Encrypted communication via HTTPS in all environments.
Role-based access control (RBAC) — each user can only access their own data.
Multi-tenant isolation — no cross-account data access between different therapist accounts.
File access URLs that expire after 1 minute.

10. Changes to this policy

TheraTrack may update this Privacy Policy periodically. When material changes occur, we will notify users by email or via an in-app notice. Where required by LGPD, we will request fresh consent confirmation.

The current version is always available on this page, with the effective date shown at the top.

11. Applicable law

This Privacy Policy is governed by Law nº 13.709/2018 (LGPD) and other applicable Brazilian regulations. For matters related to this policy, users may also contact the National Data Protection Authority (ANPD) at gov.br/anpd.