Documento legal

Política de Privacidade

Como tratamos dados pessoais e dados sensíveis de saúde no Pousio.

Vigência: 22 de maio de 2026 · Versão 1.1

Esta Política descreve como o Pousio coleta, usa, armazena, compartilha e protege dados pessoais tratados no uso da plataforma, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD).

O Pousio é uma ferramenta de gestão usada por profissionais da psicologia. Em relação aos dados de pacientes, o profissional (assinante) é o controlador dos dados e o Pousio atua como operador, tratando dados estritamente sob instrução do assinante.

1. Quem é o controlador

O serviço Pousio é operado pelo Grupo AKTE, com canal de contato em pousio.psi@gmail.com. Para assuntos relacionados a privacidade e LGPD, utilize pousio.psi@gmail.com.

2. Dados que coletamos

2.1. Dados do assinante (profissional)

Nome, e-mail, telefone, CPF/CNPJ
Número de registro profissional (CRP), quando aplicável
Credenciais de acesso (senha armazenada com hash)
Dados de pagamento processados por provedor terceiro (não armazenamos número completo de cartão)
Identificadores técnicos: IP, tipo de dispositivo, navegador, logs de acesso e auditoria
Dados de autenticação federada quando o assinante opta por entrar com Google (nome, e-mail e identificador da conta Google)

2.2. Dados de pacientes (inseridos pelo assinante)

O assinante pode inserir, sob sua responsabilidade como controlador:

Identificação: nome, contato, data de nascimento, documentos
Dados de agendamento, financeiros e contratuais do atendimento
Dados sensíveis de saúde: anotações de sessão, evolução clínica, hipóteses, encaminhamentos, anexos

3. Bases legais

Execução de contrato (art. 7º, V) — para prestar o serviço ao assinante
Cumprimento de obrigação legal (art. 7º, II) — fiscal, tributária e regulatória
Legítimo interesse (art. 7º, IX) — segurança, prevenção a fraude e melhoria do produto
Consentimento (art. 7º, I e art. 11, I) — quando necessário, especialmente para dados sensíveis tratados sob responsabilidade do assinante perante o paciente

4. Finalidades

Disponibilizar a plataforma, autenticar usuários e operar funcionalidades (agenda, prontuário, financeiro, mensagens)
Cobrar assinaturas e emitir documentos fiscais
Enviar comunicações operacionais e de suporte
Garantir segurança, integridade e auditoria
Cumprir obrigações legais e atender autoridades competentes

5. Compartilhamento

Compartilhamos dados apenas com operadores estritamente necessários à prestação do serviço, sob contrato e cláusulas de proteção:

Infraestrutura de nuvem e banco de dados — hospedagem e backup
Provedor de pagamento — processamento da assinatura
Provedor de e-mail transacional — confirmações, recuperação de senha, avisos
API de mensageria WhatsApp — quando o assinante habilita lembretes e confirmações
Google (OAuth e Google Calendar API) — para login federado e sincronização de sessões com a agenda do assinante (ver seção 5.1)
Autoridades públicas — mediante requisição legal

Não vendemos dados pessoais. Não usamos dados de pacientes para treinamento de modelos de IA.

5.1. Uso de Google APIs (Google Calendar e Login com Google)

Quando o assinante conecta sua conta Google ao Pousio, solicitamos consentimento para os seguintes escopos OAuth, todos com finalidade estritamente operacional:

https://www.googleapis.com/auth/userinfo.email — obter o endereço de e-mail da conta Google para identificar o assinante no login federado.
https://www.googleapis.com/auth/userinfo.profile — obter nome e identificador público do perfil para preencher o cadastro do assinante.
https://www.googleapis.com/auth/calendar.events — criar, ler, atualizar e excluir exclusivamente os eventos correspondentes às sessões agendadas pelo assinante no Pousio, no calendário escolhido por ele. Esse escopo é usado para: (i) refletir no Google Calendar as sessões criadas, remarcadas ou canceladas dentro do Pousio; (ii) gerar e anexar automaticamente links do Google Meet às sessões virtuais; (iii) evitar duplicidade entre o calendário do Pousio e o Google Calendar. O Pousio não lê, modifica ou apaga eventos que não foram criados por ele.

O assinante pode desconectar a conta Google a qualquer momento em Configurações → Google Calendar → Desconectar. A desconexão revoga os tokens de acesso e remove do Google Calendar os eventos criados pelo Pousio.

Política de Uso Limitado — Google API Services User Data Policy. O uso e a transferência, pelo Pousio, de informações recebidas de Google APIs aderem à Google API Services User Data Policy, incluindo seus requisitos de Uso Limitado (Limited Use). Em particular: (a) usamos os dados obtidos via Google APIs apenas para prover as funcionalidades visíveis ao usuário descritas acima; (b) não transferimos esses dados a terceiros, exceto quando estritamente necessário para prover ou melhorar essas funcionalidades, para cumprir lei aplicável, ou no contexto de uma fusão/aquisição com proteção contínua equivalente; (c) não usamos esses dados para publicidade, incluindo publicidade segmentada ou retargeting; (d) não permitimos que humanos leiam esses dados, exceto (i) com consentimento explícito do assinante, (ii) para fins de segurança, (iii) para cumprir lei aplicável, ou (iv) quando os dados estiverem agregados e anonimizados para fins de operação interna; (e) não usamos esses dados para treinar modelos de inteligência artificial generalistas ou de terceiros.

6. Cookies e tecnologias similares

Utilizamos cookies estritamente necessários (sessão, preferências, segurança) e cookies analíticos agregados. O usuário pode controlar cookies nas configurações do navegador. Cookies necessários não podem ser desativados sem prejuízo do funcionamento.

7. Retenção

Dados de cadastro: durante a vigência da assinatura e até o prazo legal aplicável após o encerramento
Dados de pacientes e prontuário: pelo prazo determinado pela Resolução CFP nº 01/2009 (mínimo de 5 anos), salvo determinação legal diversa
Logs de acesso: 6 meses, conforme art. 15 do Marco Civil da Internet
Documentos fiscais: pelo prazo legal aplicável

8. Segurança

Transporte criptografado (TLS) em todas as conexões
Senhas armazenadas com hash forte
Controles de acesso por papel e segregação por clínica
Backups regulares e rotinas de recuperação
Registros de auditoria de operações sensíveis

Incidentes de segurança relevantes são comunicados à ANPD e aos titulares afetados conforme art. 48 da LGPD.

9. Direitos do titular

Nos termos do art. 18 da LGPD, o titular pode solicitar:

Confirmação da existência de tratamento
Acesso aos dados
Correção de dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
Portabilidade
Eliminação dos dados tratados com consentimento
Informação sobre compartilhamento
Revogação do consentimento

Pacientes devem direcionar pedidos relativos a dados clínicos diretamente ao profissional que os atende — o Pousio atua como operador e somente executa instruções do controlador.

Solicitações ao Pousio podem ser feitas em pousio.psi@gmail.com.

10. Transferência internacional

Alguns operadores podem processar dados fora do Brasil. Nesses casos, exigimos garantias contratuais e cláusulas-padrão compatíveis com o art. 33 da LGPD.

11. Alterações

Esta Política pode ser atualizada para refletir mudanças legais, técnicas ou de produto. A versão vigente é sempre a publicada nesta página. Alterações materiais serão comunicadas aos assinantes por e-mail ou aviso na plataforma.

12. Contato

Dúvidas, solicitações de titular ou reclamações: pousio.psi@gmail.com. Encarregado pelo tratamento de dados (DPO): a indicar mediante demanda, conforme art. 41 da LGPD.