1. Identificação do Controlador
| Campo | Informação |
|---|---|
| Razão Social / Nome | Ailton Carrilho da Silva Junior |
| CNPJ / CPF | 923.803.281-53 |
| Endereço | Diamantina, MG |
| Produto | Scopsy Lab — Plataforma de Treinamento Clínico |
| Website | https://www.scopsy.com.br |
| Encarregado (DPO) | Ailton Carrilho da Silva Junior |
| E-mail do Encarregado | privacidade@scopsy.com.br |
| Canal DPO (alternativo) | dpo@scopsy.com.br |
O Encarregado é a pessoa responsável por receber comunicações dos titulares de dados e da Autoridade Nacional de Proteção de Dados (ANPD).
2. Definições
| Termo | Definição |
|---|---|
| Dado pessoal | Informação relacionada a pessoa natural identificada ou identificável |
| Titular | Você — a pessoa natural a quem os dados pessoais se referem |
| Controlador | Nós — quem decide como e por que os dados são tratados |
| Operador | Empresa que trata os dados em nome do controlador (ex: Supabase, OpenAI) |
| Encarregado (DPO) | Pessoa que atua como canal entre titulares, controlador e ANPD |
| Tratamento | Qualquer operação com dados pessoais: coleta, armazenamento, uso, compartilhamento, exclusão |
| ANPD | Autoridade Nacional de Proteção de Dados — órgão público que fiscaliza a LGPD |
| Consentimento | Manifestação livre, informada e inequívoca de concordância com o tratamento |
3. Dados Pessoais Coletados
3.1 Dados de Cadastro (fornecidos por você)
| Dado | Como é coletado | Obrigatório? |
|---|---|---|
| Nome completo | Formulário de cadastro | Sim |
| Endereço de e-mail | Formulário de cadastro | Sim |
| Número de registro profissional (CRP) | Formulário de cadastro | Não (opcional) |
| Senha (armazenada em hash — nunca em texto claro) | Formulário de cadastro | Sim |
O CRP é um dado opcional, coletado para identificar profissionais já registrados. Não é compartilhado com o Conselho Federal de Psicologia nem utilizado para outros fins. Estudantes de psicologia podem utilizar a plataforma sem informar o CRP.
3.2 Dados de Uso da Plataforma (coletados automaticamente)
| Dado | Como é coletado | Obrigatório? |
|---|---|---|
| Pontuação de progresso (XP/cognits) | Uso da plataforma | Sim (funcional) |
| Sequência de dias ativos (streak) | Uso da plataforma | Sim (funcional) |
| Histórico de interações com casos clínicos | Uso da plataforma | Sim (funcional) |
| Data do último acesso | Login na plataforma | Sim (funcional) |
3.3 Dados de Pagamento
Os dados de pagamento (número de cartão, dados bancários) são processados exclusivamente pela Kiwify e nunca trafegam pelos nossos servidores. Recebemos apenas a confirmação de pagamento e o identificador de assinatura.
3.4 Dados de Analytics (com seu consentimento)
| Dado | Como é coletado | Base legal |
|---|---|---|
| Páginas visitadas, ações realizadas na plataforma | PostHog (analytics) | Consentimento (Art. 7, I) — coletado apenas com sua autorização expressa |
3.5 O que NÃO coletamos
- Dados de pacientes reais: O Scopsy Lab utiliza exclusivamente casos clínicos fictícios e pedagógicos para treinamento. Nenhum dado de paciente real é inserido, armazenado ou processado na plataforma.
- Dados de saúde de terceiros: As interações na plataforma envolvem cenários inventados, não prontuários ou informações de pessoas reais.
4. Finalidades e Bases Legais do Tratamento
| Finalidade | Dados Utilizados | Base Legal | Artigo LGPD |
|---|---|---|---|
| Criação e autenticação de conta | Nome, e-mail, senha, CRP (opcional) | Execução de contrato | Art. 7, V |
| Prestação do serviço de treinamento clínico | Histórico de interações, XP, streak | Execução de contrato | Art. 7, V |
| Identificação de credencial profissional (quando informado) | CRP (opcional) | Execução de contrato | Art. 7, V |
| Processamento de assinatura e pagamento | E-mail, plano contratado | Execução de contrato | Art. 7, V |
| Envio de e-mails transacionais | Execução de contrato | Art. 7, V | |
| Gamificação e acompanhamento de progresso | XP, streak, interações | Legítimo interesse | Art. 7, IX |
| Analytics de uso do produto | Dados de navegação | Consentimento | Art. 7, I |
5. Compartilhamento de Dados
Compartilhamos seus dados apenas com os fornecedores necessários para operar o serviço. Nunca vendemos seus dados.
| Fornecedor | País | Finalidade | Dados | Transf. Internacional |
|---|---|---|---|---|
| Supabase | EUA | Banco de dados e autenticação | Dados de cadastro e uso | Sim — cláusulas contratuais padrão |
| OpenAI | EUA | Auxílio na geração de casos fictícios e feedback pedagógico (com revisão humana por profissionais de psicologia) | Interações com cenários fictícios (sem dados pessoais identificáveis) | Sim — cláusulas contratuais padrão |
| Resend | EUA | Envio de e-mails transacionais | E-mail, nome | Sim — cláusulas contratuais padrão |
| PostHog | EUA | Analytics (somente com consentimento) | Dados de navegação e uso | Sim — cláusulas contratuais padrão |
| Kiwify | Brasil | Processamento de pagamentos | E-mail, plano | Não |
| Render | EUA | Hospedagem do servidor backend | Dados em trânsito | Sim — cláusulas contratuais padrão |
Transferência Internacional de Dados
Os fornecedores localizados nos Estados Unidos processam seus dados fora do Brasil. Essa transferência é necessária para a execução do serviço contratado (Art. 33, II e V da LGPD) e realizada com base em cláusulas contratuais padrão que garantem nível de proteção equivalente ao exigido pela LGPD.
6. Segurança dos Dados
Adotamos as seguintes medidas técnicas e organizacionais para proteger seus dados:
- Comunicação criptografada via HTTPS/TLS em todas as conexões
- Senhas armazenadas com hash bcrypt (fator de custo 12) — nunca em texto claro
- Controle de acesso por nível no banco de dados (Row Level Security — RLS)
- Tokens de autenticação JWT com expiração configurada
- Rate limiting para prevenção de ataques de força bruta
- Headers de segurança HTTP (via Helmet.js)
- Acesso ao banco de dados restrito ao time técnico essencial
- Chaves de API armazenadas em variáveis de ambiente, nunca no código-fonte
Em caso de incidente de segurança que possa afetar seus dados, você será notificado conforme exigido pelo Art. 48 da LGPD.
7. Retenção de Dados
| Categoria de Dado | Prazo de Retenção | Motivo |
|---|---|---|
| Dados de cadastro (nome, e-mail, CRP se informado) | Enquanto a conta estiver ativa | Necessário para o serviço |
| Histórico de interações e progresso | Enquanto a conta estiver ativa | Funcionalidade do serviço |
| Dados de pagamento (identificador Kiwify) | Até 5 anos após o término da assinatura | Obrigação fiscal e legal |
| Logs de aplicação | 90 dias | Segurança e diagnóstico de falhas |
| Dados de analytics (PostHog) | Conforme política da PostHog | Somente se consentimento dado |
Após o cancelamento ou exclusão da conta, todos os dados pessoais serão eliminados em até 30 dias, exceto os que devem ser retidos por obrigação legal.
8. Direitos do Titular (Art. 18 LGPD)
Você tem os seguintes direitos sobre seus dados pessoais:
| Direito | Descrição | Como exercer |
|---|---|---|
| I — Confirmação | Saber se tratamos seus dados | E-mail para o Encarregado |
| II — Acesso | Receber cópia dos seus dados | E-mail para o Encarregado |
| III — Correção | Corrigir dados incompletos ou desatualizados | Configurações da conta ou e-mail |
| IV — Anonimização/Bloqueio | Bloquear dados desnecessários ou excessivos | E-mail para o Encarregado |
| V — Portabilidade | Receber seus dados em formato estruturado | E-mail para o Encarregado |
| VI — Eliminação | Excluir sua conta e todos os seus dados | Configurações da conta |
| VII — Informação sobre compartilhamento | Saber com quem seus dados são compartilhados | Esta política (Seção 5) |
| VIII — Informação sobre não consentimento | Saber as consequências de não consentir | Esta política (Seção 4) |
| IX — Revogação do consentimento | Retirar consentimento para analytics | Configurações da conta ou e-mail |
Para exercer seus direitos: envie e-mail para privacidade@scopsy.com.br com o assunto "Direitos LGPD — [seu direito]". Responderemos em até 15 dias úteis.
Exclusão de conta: disponível diretamente na plataforma, em Configurações → Excluir minha conta. A exclusão remove todos os seus dados de forma irreversível.
9. Cookies e Tecnologias de Rastreamento
Cookies Essenciais
Utilizamos cookies estritamente necessários para o funcionamento da plataforma (autenticação, sessão). Esses cookies não requerem consentimento pois são indispensáveis ao serviço.
Cookies de Analytics (PostHog)
Com sua autorização, utilizamos o PostHog para entender como a plataforma é usada e melhorá-la. Esses cookies só são ativados após seu consentimento expresso no primeiro acesso.
Você pode revogar o consentimento a qualquer momento em Configurações da conta. Isso não afeta o funcionamento da plataforma.
10. Alterações nesta Política
Quando esta Política for atualizada de forma relevante, você será notificado por:
- E-mail para o endereço cadastrado, com antecedência mínima de 15 dias
- Aviso em destaque na plataforma no próximo acesso
O uso continuado da plataforma após a data de vigência da nova versão implica aceitação das alterações.
11. Legislação Aplicável
- Lei 13.709/2018 — Lei Geral de Proteção de Dados (LGPD)
- Lei 12.965/2014 — Marco Civil da Internet
- Lei 8.078/1990 — Código de Defesa do Consumidor (CDC)
Fica eleito o foro da comarca de Diamantina, MG para dirimir quaisquer controvérsias decorrentes desta Política, salvo disposição legal em contrário.
12. Vigência e Versão
| Campo | Valor |
|---|---|
| Versão | 1.0 |
| Data de vigência | 2026-05-02 |
| Última atualização | 2026-05-02 |