Subprocessadores de Dados
Última atualização: 31 de maio de 2026
Em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD), em especial os artigos 9º, 33 e 39, e alinhada às resoluções do Conselho Federal de Psicologia (CFP Resoluções nº 001/2009 e nº 09/2024), a Bio Online (Psi Lu) atua como Operadora no tratamento de dados pessoais inseridos por psicólogas(os) contratantes (que exercem o papel legal de Controladores).
Para a correta operação, hospedagem, resiliência técnica e envio de comunicações da plataforma, a Psi Lu contrata prestadores de serviços terceiros. Antes da contratação de qualquer provedor, é realizado um processo de verificação que inclui avaliações de segurança sob as diretrizes de segurança da informação exigidas pela legislação de privacidade de dados.
Esclarece-se que ferramentas analíticas e pixels de conversão de terceiros (como Google LLC, Meta Platforms, Inc. e JivoChat) operam exclusivamente nas páginas públicas do site institucional para conversão de tráfego. Nenhum desses recursos de marketing é executado ou possui acesso a dados dentro do ambiente autenticado da aplicação clínica, resguardando o sigilo dos prontuários e dados de saúde.
| Subprocessador / Entidade | Finalidade Operacional | Local e Jurisdição | Salvaguarda / Links de Segurança |
|---|---|---|---|
Supabase, Inc. Banco de Dados e Autenticação | Armazenamento seguro de dados cadastrais e prontuários clínicos criptografados em repouso. Autenticação e gestão de sessão das psicólogas. | EUA (Hospedagem física em AWS América do Sul - Região de São Paulo, sa-east-1) | Políticas de privacidade e segurança em conformidade com a LGPD e regulamentações de transferência internacional. Políticas do Provedor → |
Cloudflare, Inc. Infraestrutura de Rede e Segurança | Hospedagem Serverless Edge Compute, rede de entrega de conteúdo (CDN), proteção contra ataques DDoS, banco de dados relacional D1 e object storage. | EUA (Tráfego e caching lógico distribuído, com pontos de presença no Brasil) | Termos de proteção de dados globais e conformidade de transferência sob o Marco Civil da Internet e a LGPD. Políticas do Provedor → |
LiveKit, Inc. Infraestrutura de Teleconsulta em Tempo Real | Provedor de infraestrutura de WebRTC para tráfego seguro de áudio e vídeo em tempo real durante sessões online (RealtimeKit). | EUA (Processamento dinâmico temporário para conexões de baixa latência) | Criptografia em trânsito ponta a ponta nas transmissões WebRTC (DTLS/SRTP) e termos padrão de segurança. Políticas do Provedor → |
Upstash, Inc. Cache e Fila de Mensageria | Serviço de banco de dados em cache (Redis), mensageria rápida e processamento de embeddings temporários. | EUA (Hospedagem em nuvem AWS na região de São Paulo, sa-east-1) | Termos e salvaguardas padrão de proteção de dados e segurança do provedor. Políticas do Provedor → |
Stripe, Inc. Processamento de Pagamentos e Faturamento | Processamento criptografado de assinaturas e transações de pagamento PJ das psicólogas contratantes. | EUA (Processamento de faturamento seguro) | Certificação de conformidade de segurança PCI-DSS Level 1 e termos de segurança globais. Políticas do Provedor → |
Resend, Inc. Mensageria e E-mails Transacionais | Envio de e-mails transacionais do sistema (lembretes de consulta, alertas de conta, redefinições de senha). | EUA (Infraestrutura de entrega de e-mails) | Políticas de privacidade e termos padrão de conformidade de dados. Políticas do Provedor → |
PostHog, Inc. Analytics de Produto e Uso da Plataforma | Análise de engajamento e usabilidade de recursos para melhoria de UX. Configurado para reter metadados de uso das psicólogas, sem coleta de dados de pacientes. | EUA / UE (Instância isolada de analytics de produto) | Termos padrão de proteção de dados e pseudonimização de identificadores. Políticas do Provedor → |
Google LLC Analytics e Métricas de Marketing (Apenas Site Público) | Coleta de métricas de tráfego de visitantes no site institucional público para conversão. Nunca roda ou coleta dados na aplicação logada das psicólogas. | EUA (Processamento estatístico de tráfego de marketing) | Termos padrão de publicidade e analytics compatíveis com a LGPD. Políticas do Provedor → |
Meta Platforms, Inc. Atribuição de Campanhas (Apenas Site Público) | Métricas de conversão de anúncios institucionais públicos (Pixel). Restrito ao site de marketing externo, sem qualquer execução no app clínico. | EUA (Atribuição estatística de campanhas) | Termos padrão de publicidade e termos globais de privacidade. Políticas do Provedor → |
JivoChat, LLC (Jivo Site Ltda) Atendimento via Chat (Apenas Site Público) | Widget de suporte técnico e comercial de visitantes no site institucional e páginas de conversão pública. | EUA / Brasil (Hospedagem em nuvem e suporte de suporte regional) | Termos padrão de privacidade sob as leis nacionais e a LGPD. Políticas do Provedor → |
Notificação de Alterações e Direito de Objeção
A Psi Lu pode atualizar esta lista periodicamente em decorrência do desenvolvimento técnico e melhorias da plataforma. As psicólogas e psicólogos cadastrados como controladores serão notificados por e-mail com antecedência mínima de 30 dias em caso de substituição ou inclusão de novos subprocessadores que processem dados clínicos, conforme amparo do Art. 39 da LGPD.
Para dúvidas jurídicas ou requisições relacionadas a esta lista, entre em contato diretamente com o nosso Encarregado de Proteção de Dados (DPO) através do e-mail oficial: dpo@psi.lu.