Política de Privacidade

1. Conceitos importantes

Para facilitar a leitura, alguns termos usados ao longo deste documento têm o significado abaixo:

LGPD

Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), que regula o tratamento de dados pessoais no Brasil.

Dado pessoal

Qualquer informação que identifique ou possa identificar uma pessoa natural, como nome, CPF, e-mail ou endereço.

Dado pessoal sensível

Categoria especial de dado pessoal que exige proteção reforçada — inclui dados sobre saúde, origem racial, convicção religiosa, vida sexual, dados genéticos e biométricos (LGPD art. 5º, II).

Titular

A pessoa natural a quem os dados pessoais se referem (paciente, responsável, terapeuta, administrador da clínica).

Tratamento

Qualquer operação realizada com dados pessoais — coletar, armazenar, consultar, usar, compartilhar, modificar, excluir, etc.

Controlador

Quem decide o que coletar e por quê. No Passos ABA, somos Controladores dos dados dos usuários cadastrados (terapeutas e clínicas).

Operador

Quem trata os dados em nome do Controlador, seguindo suas instruções. Para os dados dos pacientes, o Passos ABA atua como Operador — quem decide é o profissional ou a clínica.

Anonimização

Processo que retira de um dado a possibilidade de associação a uma pessoa identificável. Dado anonimizado deixa de ser dado pessoal.

ANPD

Autoridade Nacional de Proteção de Dados — órgão federal responsável por fiscalizar e aplicar a LGPD.

2. Quem trata os dados e em quais papéis

O Passos ABA é operado por Rafael Felipe Domingues Vieira, CPF 413.771.038-46, com endereço em Rua Bandeirante Clemente Álvares, 124, Jardim Soberano, Salto/SP, CEP 13.323-806.

Em relação aos usuários cadastrados (terapeutas, profissionais, administradores de clínica), o Passos ABA atua como Controlador: nós decidimos o que coletar e por quê.

Em relação aos dados dos pacientes e de seus responsáveis inseridos pelos usuários, o Passos ABA atua como Operador: o usuário (profissional ou clínica) é o Controlador desses dados e decide sobre sua coleta, uso e compartilhamento. Nós processamos tais dados exclusivamente segundo as instruções do Controlador, para viabilizar o funcionamento do serviço.

3. Encarregado pelo Tratamento de Dados (DPO)

Canal oficial para qualquer assunto relacionado a privacidade e proteção de dados:

privacidade@passosaba.com.br

4. Dados que coletamos

a) De usuários (profissionais/clínicas)

• Nome, e-mail, senha (armazenada com hash criptográfico — nunca em texto claro);
• Dados do plano e histórico de assinatura;
• Logs técnicos: endereço IP, user-agent, data/hora de acesso, sessões ativas;
• Registros de aceite de Termos e Política (versão, IP, user-agent, carimbo de tempo).

b) De pacientes (inseridos pelos usuários)

• Dados pessoais comuns: nome, data de nascimento, endereço, escola;
• Dados pessoais sensíveis (LGPD art. 5º, II): diagnóstico principal e secundário, dados relacionados à saúde comportamental;
• Dados dos responsáveis legais: nome, telefone, e-mail, CPF, grau de parentesco;
• Registros de sessão: data, horário, notas clínicas, resultados de treinos.

A maior parte dos pacientes cadastrados é criança ou adolescente. O tratamento desses dados ocorre sob responsabilidade do Controlador (profissional/clínica), sempre em melhor interesse do menor (LGPD art. 14) e com consentimento ou autorização dos responsáveis legais.

5. Bases legais e finalidades

6. Compartilhamento com terceiros

Podemos compartilhar dados estritamente com fornecedores contratados para operar o serviço (sub-operadores), sempre sob acordo que garante o mesmo nível de proteção previsto aqui. Não vendemos dados a terceiros em nenhuma hipótese.

Sub-operadores atuais:

• Hospedagem da aplicação: Vercel, Inc. (Estados Unidos) para o frontend; Hostinger International Ltd. (Lituânia, servidor físico no Brasil) para o backend e API.
• Banco de dados: PostgreSQL hospedado em servidor próprio na Hostinger International Ltd. (infraestrutura localizada no Brasil).
• Processamento de pagamentos: Asaas Cobranças S.A. (Brasil)
• E-mail transacional: Resend, Inc. (Estados Unidos), com processamento na região de São Paulo (sa-east-1). Utilizado exclusivamente para envio de e-mails operacionais — atualmente, redefinição de senha. Os dados compartilhados são limitados ao endereço de e-mail do titular e ao corpo da mensagem.

Nenhum dado é compartilhado para fins publicitários ou de perfilamento comercial.

7. Transferência internacional de dados

Alguns dos fornecedores acima podem operar infraestrutura fora do território brasileiro. Quando isso ocorrer, a transferência será feita nos termos do art. 33 da LGPD, com base em cláusulas contratuais específicas ou garantias equivalentes de proteção.

8. Retenção e exclusão

• Contas ativas: mantemos os dados enquanto a conta existir e for usada.
• Contas canceladas: dados ficam acessíveis por 30 dias para exportação. Após esse prazo, são excluídos definitivamente dos sistemas de produção.
• Registros fiscais, contábeis e trilhas de auditoria: preservados pelo prazo legalmente exigido (p. ex. 5 anos — art. 195 CTN), mesmo após a exclusão da conta.
• Backups: dados podem persistir em backups por até 90 dias após a exclusão, apenas para fins de recuperação de desastre.

9. Seus direitos como titular

Nos termos do art. 18 da LGPD, você pode solicitar a qualquer momento:

• confirmação da existência de tratamento;
• acesso aos seus dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
• portabilidade dos dados;
• eliminação dos dados tratados com base em consentimento;
• informação sobre com quem compartilhamos seus dados;
• revogação do consentimento;
• petição à ANPD em relação aos seus dados pessoais (LGPD art. 18, IV);
• revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses (LGPD art. 20).

Para exercer qualquer um desses direitos, escreva para privacidade@passosaba.com.br. Respondemos em até 15 dias.

Se os dados de interesse forem de pacientes, o pedido deve ser encaminhado ao profissional/clínica que os cadastrou (Controlador). Nós, como Operador, só executamos pedidos vindos do Controlador.

10. Segurança

Adotamos medidas técnicas e organizacionais compatíveis com a natureza dos dados:

• senhas armazenadas com hash (bcrypt);
• comunicação em HTTPS/TLS;
• isolamento estrito por tenant (cada cliente acessa apenas seus próprios dados);
• controle de acesso baseado em papéis (ADMIN / THERAPIST / RESPONSIBLE);
• proteção contra ataques comuns (rate-limit, helmet, validação de ownership);
• registros de auditoria de eventos sensíveis.

11. Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, nos termos do art. 48 da LGPD.

12. Cookies e tecnologias similares

Utilizamos apenas cookies estritamente necessários para manter sua sessão de login (armazenamento local do token JWT). Não empregamos cookies de rastreamento publicitário nem analytics de terceiros nesta versão do produto.

Caso passemos a utilizar ferramentas analíticas, esta Política será atualizada e você será avisado previamente.

13. Alterações nesta Política

Podemos atualizar esta Política a qualquer momento. Alterações materiais serão comunicadas com antecedência mínima de 15 dias por e-mail ou aviso na plataforma. Cada versão é identificada por data ("Versão 2026-04-27" acima).