Psi Lu
EntrarCriar Conta

Política de Privacidade

Última atualização: 31 de maio de 2026

1. Quem somos e o que esta política cobre

Esta Política de Privacidade regula o tratamento de dados pessoais pela Bio Online, CNPJ 55.801.770/0001-25, sediada em Maringá, Paraná, Brasil, que opera a plataforma Psi Lu.

A Psi Lu é uma plataforma de infraestrutura clínica para psicólogas e psicólogos. Nosso modelo é B2B2C: atendemos profissionais da psicologia que, por sua vez, utilizam a plataforma para gerir o cuidado com seus pacientes.

Esta política se aplica a todos os titulares que interagem com nossos serviços: psicólogas(os) cadastradas(os), pacientes cujos dados são inseridos na plataforma e visitantes do site institucional.

Está em conformidade com a Lei nº 13.709/2018 (LGPD), a Lei nº 12.965/2014 (Marco Civil da Internet), a Lei nº 13.787/2018 (Prontuário Eletrônico), o Código de Ética Profissional do Psicólogo (2005), as Resoluções CFP nº 001/2009 e nº 09/2024, e demais regulamentações aplicáveis.

2. Definições e papéis (controlador vs operador)

A LGPD distingue dois papéis no tratamento de dados pessoais. Na Psi Lu, esses papéis são definidos conforme abaixo:

  • Controlador: é quem decide o que fazer com os dados. Para os dados de pacientes, o psicólogo é o controlador — é ele quem define quais informações registrar, por quanto tempo manter e com quem compartilhar, no exercício de sua autonomia profissional e sob as normas do CFP.
  • Operador: é quem processa os dados em nome do controlador. A Psi Lu atua como operadora, processando os dados exclusivamente conforme as instruções do psicólogo e dentro dos limites desta política e do contrato de prestação de serviços.
  • Para os dados cadastrais do próprio psicólogo (nome, CPF, CRP, dados de pagamento), a Psi Lu atua como controladora, conforme detalhado na seção 4.

Na prática: você, psicóloga, decide o que registrar sobre seus pacientes. A Psi Lu fornece a infraestrutura segura para que você exerça sua prática com tranquilidade. Não acessamos seus prontuários para finalidades próprias.

3. Dados coletados

3.1. Dados do Psicólogo (controlados pela Psi Lu)

Coletamos os dados necessários para criar e manter sua conta:

  • Identificação: nome completo, CPF, data de nascimento, gênero
  • Contato: e-mail, telefone
  • Profissional: CRP, abordagem terapêutica, número do CNES (quando aplicável)
  • Endereço profissional: país, estado, cidade, logradouro
  • Redes sociais: Instagram, TikTok, website (quando fornecidos voluntariamente)
  • Dados de pagamento: processados exclusivamente pelo Stripe. A Psi Lu não armazena números de cartão, códigos de segurança ou qualquer dado sensível de pagamento
  • Dados de acesso: endereço IP, agente do usuário, data e hora de login

3.2. Dados de Pacientes (controlados pelo psicólogo)

O psicólogo pode cadastrar os seguintes dados de seus pacientes no exercício de sua atividade profissional:

  • Identificação: nome, apelido, CPF, data de nascimento, gênero
  • Contato: telefone, e-mail
  • Endereço completo
  • Contato de emergência
  • Informações demográficas: raça, orientação sexual, religião, ocupação
  • Documentos clínicos: prontuários, anotações de sessão, evoluções, planos terapêuticos, laudos, testes psicológicos

Importante: os documentos clínicos contêm dados sensíveis nos termos do Art. 5º, II da LGPD. Todo o conteúdo é protegido com criptografia em trânsito via TLS e em repouso com AES-256.

3.3. O que NÃO coletamos

  • Conteúdo de sessões de terapia sem consentimento explícito do paciente
  • Dados de navegação em sites de terceiros
  • Localização geográfica precisa em tempo real
  • Contatos da agenda do dispositivo
  • Informações não essenciais à prestação do serviço contratado

4. Finalidade e bases legais

Cada atividade de tratamento tem uma finalidade específica e uma base legal correspondente, conforme a LGPD:

Dados do Psicólogo

  • Prestação dos serviços contratados — execução de contrato (Art. 7º, V)
  • Autenticação e segurança da conta — legítimo interesse (Art. 7º, IX)
  • Processamento de pagamentos — execução de contrato (Art. 7º, V)
  • Comunicações transacionais sobre a plataforma — execução de contrato (Art. 7º, V)
  • Comunicações de marketing — consentimento (Art. 7º, I), com possibilidade de revogação a qualquer momento
  • Cumprimento de obrigações legais e regulatórias — obrigação legal (Art. 7º, II), incluindo retenção de documentos fiscais perante a Receita Federal

Dados de Pacientes

  • Registro e manutenção de prontuário psicológico — tutela da saúde (Art. 11, II, "f"), em procedimento realizado por profissional de saúde
  • Retenção do prontuário pelo prazo legal — obrigação legal (Art. 11, II, "a"), conforme Resolução CFP nº 001/2009 e Lei nº 13.787/2018
  • Compartilhamento com supervisores ou interconsultores — mediante consentimento do paciente (Art. 11, I), obtido pelo psicólogo controlador

A base legal de tutela da saúde (Art. 11, II, "f") é a mais adequada para o tratamento de dados clínicos por plataformas de saúde, pois não condiciona o atendimento ao consentimento — o que preserva o direito do paciente ao cuidado. O consentimento é utilizado para finalidades acessórias, como compartilhamento com terceiros ou uso de dados para pesquisa, quando aplicável.

5. Segurança e criptografia

A Psi Lu adota medidas técnicas e organizacionais para proteger os dados contra acesso não autorizado, destruição, perda, alteração ou divulgação indevida:

  • Criptografia em trânsito: TLS 1.3 em toda comunicação entre cliente e servidor. Certificados renovados automaticamente.
  • Criptografia em repouso: AES-256 aplicada aos dados armazenados em banco de dados e object storage.
  • Controle de acesso: autenticação com senha criptografada (bcrypt), sessões com expiração automática após inatividade.
  • Logs de auditoria: registro imutável de todos os acessos a dados sensíveis, incluindo identificação do usuário, data, hora e ação realizada.
  • Backups criptografados: cópias diárias armazenadas em infraestrutura separada, também com criptografia AES-256.
  • Segregação de ambientes: os dados de produção são isolados logicamente de ambientes de teste ou desenvolvimento.
  • Monitoramento contínuo: sistema de detecção de anomalias e tentativas de acesso suspeitas, com alertas em tempo real.

Nossa infraestrutura é inteiramente baseada na Cloudflare (edge global, 100+ data centers) e Supabase (PostgreSQL). Todos os subprocessadores são contratualmente vinculados a obrigações de proteção de dados equivalentes às nossas.

6. Compartilhamento de dados

A Psi Lu não comercializa, aluga ou cede dados pessoais para terceiros. O compartilhamento ocorre apenas nas seguintes hipóteses:

  • Subprocessadores essenciais: prestadores de serviço que processam dados em nosso nome para operação da plataforma (hospedagem, banco de dados, pagamentos, e-mails transacionais, analytics). Todos firmam contrato com cláusulas de proteção de dados e estão listados em nossa página de subprocessadores.
  • Obrigação legal: quando exigido por lei, ordem judicial ou requisição de autoridade competente, respeitados os limites do sigilo profissional e da LGPD.
  • Consentimento expresso do titular: mediante autorização específica e informada para finalidades determinadas.
  • Proteção de direitos: para defender direitos da Psi Lu em processo judicial ou administrativo.

Dados clínicos de pacientes nunca são compartilhados com anunciantes, redes sociais, provedores de IA externos ou qualquer finalidade alheia à prestação do serviço.

7. Retenção e eliminação de dados

Os prazos de retenção variam conforme a natureza do dado e a obrigação legal aplicável:

  • Prontuário psicológico digital: mínimo de 5 anos após o último atendimento, conforme Resolução CFP nº 001/2009. Recomendamos a retenção pelo período de 20 anos a contar do último registro, conforme prática consolidada dos CRPs e Lei nº 13.787/2018.
  • Prontuário de pacientes menores de idade: até o paciente completar 25 anos ou 5 anos após o último atendimento, o que for maior (CFP nº 001/2009).
  • Dados contratuais e fiscais do psicólogo: 5 anos após o encerramento da conta, conforme Código Tributário Nacional (Art. 173).
  • Logs de auditoria: 6 meses, conforme Marco Civil da Internet (Art. 15).
  • Backups: 90 dias após a exclusão dos dados originais.
  • Dados cadastrais não fiscais: eliminados em até 90 dias após solicitação de exclusão da conta, respeitados os prazos de guarda acima.

Quando o paciente solicitar a eliminação de dados e houver obrigação legal de retenção (ex.: prazo do prontuário), informaremos a base legal que impede a exclusão imediata e o prazo restante de guarda.

8. Direitos do titular (LGPD Art. 18)

A LGPD garante nove direitos ao titular dos dados. Você pode exercê-los a qualquer momento, sem custo:

  • Confirmação da existência de tratamento (Art. 18, I): saber se tratamos dados seus.
  • Acesso aos dados (Art. 18, II): consultar todos os dados pessoais que temos sobre você.
  • Correção (Art. 18, III): corrigir dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação (Art. 18, IV): solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade (Art. 18, V): receber seus dados em formato estruturado e interoperável, ou solicitar a transferência para outro fornecedor.
  • Eliminação (Art. 18, VI): solicitar a exclusão de dados tratados com consentimento, observadas as exceções legais (retenção por obrigação legal ou regulatória).
  • Informação sobre compartilhamento (Art. 18, VII): saber com quais entidades públicas e privadas compartilhamos seus dados.
  • Informação sobre consequências do não consentimento (Art. 18, VIII): ser informado sobre a possibilidade de não fornecer consentimento e as respectivas consequências.
  • Revogação do consentimento (Art. 18, IX): revogar seu consentimento a qualquer momento, mediante manifestação expressa e gratuita.

Para exercer seus direitos, entre em contato com nosso Encarregado (DPO) pelo e-mail: dpo@psi.lu. Responderemos em até 15 dias úteis, conforme prazo recomendado pela ANPD e Art. 19 da LGPD.

9. Transferência internacional de dados

Parte da infraestrutura da Psi Lu utiliza provedores localizados nos Estados Unidos (Cloudflare, Supabase, Upstash, Stripe). Isso configura transferência internacional de dados nos termos dos Arts. 33 a 36 da LGPD.

Para garantir nível adequado de proteção, adotamos as seguintes salvaguardas:

  • Todos os subprocessadores firmam contratos com cláusulas-padrão contratuais reconhecidas pela ANPD (Resolução CD/ANPD nº 19/2024) ou equivalentes.
  • Dados clínicos são transmitidos e armazenados com criptografia AES-256, independentemente da jurisdição.
  • Avaliamos regularmente o grau de proteção oferecido pelos países de destino e a conformidade dos provedores com a LGPD.

A lista completa de subprocessadores, com localização e finalidade, está disponível em nossa página de subprocessadores.

10. Menores de idade

A plataforma Psi Lu é destinada a psicólogas e psicólogos maiores de 18 anos. O atendimento clínico de menores de idade pode ser registrado na plataforma pelo psicólogo responsável, que é o controlador dos dados. Cabe ao psicólogo obter o consentimento dos pais ou responsáveis legais, conforme Art. 14 da LGPD e as diretrizes do Código de Ética do CFP.

11. Cookies e tecnologias de rastreamento

A Psi Lu utiliza as seguintes categorias de cookies:

  • Essenciais: necessários para o funcionamento da plataforma, autenticação e segurança. Não podem ser desativados.
  • Analytics: PostHog (auto-hospedado em proxy próprio) para compreender padrões de uso e melhorar a experiência. Dados anonimizados, sem rastreamento entre sites.
  • Publicidade: Google Ads, Meta Pixel e TikTok Pixel para campanhas de marketing. Apenas para visitantes do site institucional, nunca para usuários logados na plataforma.

Você pode gerenciar suas preferências de cookies a qualquer momento. Cookies não essenciais exigem consentimento prévio. Dados clínicos de pacientes nunca são utilizados para finalidades de marketing ou publicidade.

12. Comunicação de incidente de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Psi Lu compromete-se a:

  • Notificar a Autoridade Nacional de Proteção de Dados (ANPD) em até 72 horas após a confirmação técnica do incidente, conforme Art. 48 da LGPD e Resolução CD/ANPD nº 15/2024.
  • Comunicar os titulares afetados sem demora indevida, com informações claras sobre a natureza do incidente, dados potencialmente afetados, medidas adotadas e recomendações.
  • Manter registro interno completo do incidente, incluindo cronologia, impacto, medidas corretivas e lições aprendidas.

Canal dedicado para notificação de incidentes: incidente@psi.lu.

13. Encarregado de Proteção de Dados (DPO)

Nosso Encarregado de Proteção de Dados (DPO) é o canal de comunicação com titulares e com a ANPD:

  • E-mail: dpo@psi.lu
  • Incidentes de segurança: incidente@psi.lu
  • Prazo de resposta: até 15 dias úteis para solicitações de titulares

14. Responsabilidades do psicólogo como controlador

Ao utilizar a Psi Lu para registrar dados de pacientes, o psicólogo assume as responsabilidades de controlador nos termos da LGPD, devendo:

  • Obter o consentimento dos pacientes para o tratamento de dados quando a base legal aplicável assim exigir, especialmente para compartilhamento com terceiros (supervisores, interconsultores).
  • Informar os pacientes sobre o uso de tecnologias digitais na prática clínica, incluindo armazenamento em nuvem e, quando aplicável, uso de IA como ferramenta de apoio (Resolução CFP nº 09/2024).
  • Manter a confidencialidade de suas credenciais de acesso e notificar a Psi Lu imediatamente em caso de comprometimento.
  • Cumprir as disposições do Código de Ética do CFP, as Resoluções do Conselho Federal de Psicologia e a LGPD no exercício de sua prática.
  • Atender solicitações de titulares relacionadas ao exercício de direitos LGPD sobre os dados que controla.

15. Alterações desta política

Esta Política de Privacidade pode ser atualizada para refletir mudanças legais, regulatórias, operacionais ou na nossa infraestrutura. Alterações significativas serão comunicadas com pelo menos 30 dias de antecedência por e-mail e/ou notificação na plataforma. O histórico de versões está disponível mediante solicitação ao DPO.

16. Legislação aplicável e foro

Esta política é regida pelas leis brasileiras, especialmente:

  • Lei nº 13.709/2018 (LGPD)
  • Lei nº 13.787/2018 (Prontuário Eletrônico)
  • Lei nº 12.965/2014 (Marco Civil da Internet)
  • Código de Ética Profissional do Psicólogo (2005)
  • Resoluções CFP nº 001/2009, nº 09/2024 e demais aplicáveis
  • Resolução CD/ANPD nº 02/2022 (agentes de pequeno porte)
  • Resolução CD/ANPD nº 19/2024 (transferência internacional)

Fica eleito o foro da Comarca de Maringá, Paraná, para dirimir controvérsias decorrentes desta política, sem prejuízo da faculdade do consumidor de demandar no foro de seu domicílio (Art. 101, I do CDC).

17. Contato

Para dúvidas, solicitações relacionadas a esta política ou exercício de direitos LGPD, entre em contato com nosso Encarregado (DPO): dpo@psi.lu.

Para questões comerciais ou suporte: contato@psi.lu.