Política de Privacidade

Última atualização: 05/07/2026 · Versão 0.1 (minuta)

MINUTA — documento ainda não revisado por advogado. Este texto descreve fielmente os controles técnicos e de tratamento de dados hoje implementados na Plataforma, mas não constitui aconselhamento jurídico e não deve ser publicado para usuários reais antes de revisão formal por advogado especializado em LGPD e dados de saúde.

1. Introdução e papéis

Esta Política descreve como o MENTIS trata dados pessoais no âmbito da Plataforma, em conformidade com a Lei nº 13.709/2018 (LGPD). Para os dados cadastrais da sua conta (nome, e-mail, CRP), o MENTIS atua como controlador. Para os dados de pacientes e demais dados clínicos que você insere na Plataforma, o profissional/clínica contratante é o controlador e o MENTIS atua como operador, tratando esses dados apenas conforme as instruções técnicas necessárias para operar a Plataforma.

2. Dados que coletamos

  • Dados da conta profissional: nome, e-mail, telefone, registro profissional (CRP), papel/permissões na organização.
  • Dados de pacientes (inseridos pelo profissional): identificação, contato, e dados sensíveis de saúde (art. 5º, II, e art. 11 da LGPD) registrados em prontuário — anamnese, evolução, hipóteses diagnósticas, documentos clínicos.
  • Dados financeiros da clínica (lançamentos, recibos) — não incluem dados de cartão de crédito ou conta bancária de pacientes.
  • Dados de uso e segurança: logs de acesso, endereço IP, dispositivo/navegador, trilha de auditoria de ações realizadas na Plataforma (obrigatória para rastreabilidade e segurança).
  • Cookies estritamente técnicos (sessão/autenticação). Não utilizamos cookies de publicidade ou rastreamento de terceiros.

3. Base legal para o tratamento

Tratamos dados cadastrais para execução de contrato (art. 7º, V). Os dados sensíveis de pacientes são tratados pelo profissional/clínica (controlador) com base no consentimento do titular obtido por ele, na tutela da saúde em procedimento realizado por profissional de saúde (art. 11, II, "f"), ou em obrigação legal/regulatória(guarda de prontuário conforme normas do CFP). Dados de auditoria/segurança são tratados com base no legítimo interesse em proteger a Plataforma e seus usuários (art. 7º, IX).

4. Como usamos os dados

  • viabilizar as funcionalidades da Plataforma (agenda, prontuário, financeiro, relatórios);
  • autenticação, segurança e prevenção a fraude/acesso indevido;
  • envio de comunicações operacionais essenciais (ex.: lembretes de sessão, redefinição de senha) — não enviamos e-mail de marketing sem consentimento específico;
  • cumprimento de obrigações legais e atendimento a requisições de autoridades competentes.

5. Compartilhamento de dados

Não vendemos dados pessoais. Compartilhamos dados apenas com:

  • provedores de infraestrutura essenciais à operação (hospedagem, envio de e-mail transacional), sob contrato e obrigação de confidencialidade;
  • autoridades públicas, quando exigido por lei, ordem judicial ou requisição regulatória (ex.: CFP/CRP, autoridade de proteção de dados).

Hoje, todos os provedores de infraestrutura utilizados estão localizados no Brasil; não há transferência internacional de dados neste momento. [MINUTA — atualizar caso isso mude, com base legal específica para transferência internacional, art. 33 LGPD.]

6. Segurança

Medidas técnicas e organizacionais hoje implementadas:

  • criptografia de campos clínicos sensíveis em repouso (AES-256-GCM), com chaves por organização;
  • criptografia em trânsito (TLS);
  • isolamento lógico entre clínicas (Row-Level Security no banco de dados) — uma organização nunca acessa dados de outra;
  • autenticação com senha (hash Argon2id) e autenticação multifator (MFA/2FA) opcional;
  • trilha de auditoria append-only (encadeada por hash) de ações sensíveis;
  • controle de acesso por papel (psicólogo, recepção, administração) com permissões mínimas necessárias.

7. Retenção e eliminação

Dados de prontuário são mantidos pelo prazo exigido pelas normas do CFP e pela legislação aplicável a registros de saúde, mesmo após o encerramento da conta, salvo determinação legal ou solicitação de eliminação pelo titular quando juridicamente possível. Dados cadastrais e de conta são eliminados ou anonimizados após o encerramento da conta, ressalvada a guarda mínima exigida por lei (ex.: obrigações fiscais, defesa em processos).

8. Seus direitos (titular de dados)

Nos termos do art. 18 da LGPD, o titular pode solicitar: confirmação da existência de tratamento, acesso aos dados, correção de dados incompletos/desatualizados, anonimização/bloqueio/eliminação de dados desnecessários ou tratados em desconformidade, portabilidade, informação sobre compartilhamento e revogação do consentimento.

Se você é paciente: seus dados de prontuário são controlados pelo profissional/clínica que o atende — solicite diretamente a ele o exercício desses direitos. O MENTIS oferece ao profissional as ferramentas técnicas (exportação e anonimização) para atender a essas solicitações.

Se você é profissional/clínica: pode exportar ou solicitar a eliminação dos dados da sua conta a qualquer momento pelas Configurações da Plataforma ou pelo contato abaixo.

9. Encarregado de Proteção de Dados (DPO)

[PREENCHER — nome/contato do Encarregado de Proteção de Dados designado, conforme art. 41 da LGPD, antes da operação comercial da Plataforma.]

10. Alterações desta política

Podemos atualizar esta Política periodicamente. Alterações materiais serão comunicadas por e-mail ou aviso na Plataforma com antecedência razoável.

11. Contato

Dúvidas sobre esta Política ou solicitações relativas a dados pessoais: [PREENCHER — e-mail de contato/DPO].