Voltar ao início

Conformidade LGPD

Lei Geral de Proteção de Dados — Lei nº 13.709/2018

Nosso Compromisso com a LGPD

O PsyThink foi desenvolvido com medidas técnicas e organizacionais alinhadas à Lei Geral de Proteção de Dados (LGPD), adotando princípios de privacy by design e security by design desde a concepção da sua arquitetura. O tratamento de dados pessoais é realizado com controles de acesso, governança de consentimento, auditoria e rastreabilidade.

Medidas Técnicas e Organizacionais

A plataforma implementa controles técnicos de segurança e governança de dados, incluindo criptografia, isolamento por RLS, auditoria de acesso clínico, sanitização de logs e mecanismos de consentimento versionado — em conformidade com os princípios e requisitos da LGPD.

Princípios da LGPD Aplicados

Finalidade

Tratamento para propósitos legítimos, específicos e informados ao titular, limitado ao apoio à prática clínica

Adequação

Compatibilidade do tratamento com as finalidades informadas, incluindo o uso de IA como ferramenta assistiva

Necessidade

Limitação ao mínimo necessário, com tokenização e minimização de PHI antes do processamento por IA

Livre Acesso

Garantia de consulta facilitada, com mecanismos de exportação de dados (DSAR) disponíveis na plataforma

Qualidade dos Dados

Garantia de exatidão, clareza, relevância e atualização dos dados tratados

Transparência

Disclosure do nível de influência da IA em cada saída, identificação clara de conteúdo gerado por IA

Segurança

Criptografia, RLS, RBAC, sanitização de logs e auditoria de acesso clínico implementados na plataforma

Prevenção

Classificação e resposta a incidentes, políticas de retenção e descarte automatizado de dados expirados

Bases Legais para Tratamento

Execução de Contrato (Art. 7º, V)

Tratamento necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular.

Cumprimento de Obrigação Legal (Art. 7º, II)

Tratamento necessário para o cumprimento de obrigação legal ou regulatória pelo controlador, incluindo regulamentações de saúde e proteção de dados.

Legítimo Interesse (Art. 7º, IX)

Para atender aos interesses legítimos do controlador ou de terceiro, respeitados os direitos e liberdades fundamentais do titular, incluindo segurança da plataforma e melhoria dos serviços.

Consentimento (Art. 7º, I / Art. 11, I)

Para processamento por inteligência artificial, o sistema requer consentimento explícito, versionado e revogável, com enforcement automatizado e registro auditável.

Tratamento de Dados Sensíveis de Saúde

Proteção Especial (Art. 11)

Dados pessoais sensíveis relacionados à saúde recebem proteção especial na plataforma, sendo tratados apenas:

  • Para finalidades de assistência à saúde, por profissionais devidamente habilitados
  • Sob responsabilidade do profissional de saúde, que atua como controlador dos dados clínicos
  • Com garantia de sigilo profissional e controles de acesso por ownership e RLS
  • Com tokenização e minimização de PHI no processamento por IA, e sanitização de logs para proteção de PII

Direitos dos Titulares (Art. 18)

I — Confirmação e Acesso

Confirmação da existência de tratamento e acesso aos dados, com mecanismo de exportação estruturada (DSAR)

II — Correção

Correção de dados incompletos, inexatos ou desatualizados

III — Anonimização

Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos

IV — Portabilidade

Portabilidade dos dados a outro fornecedor, via exportação estruturada disponível na plataforma

V — Eliminação

Eliminação dos dados tratados com consentimento, com mecanismos de soft-delete, anonimização de perfil e remoção de objetos de armazenamento

VI — Informação

Informação sobre compartilhamento de dados e sobre a utilização de inteligência artificial no tratamento

Medidas Técnicas e Organizacionais

Segurança da Informação

Técnicas

  • Criptografia em camada de aplicação para dados PHI críticos
  • TLS para dados em trânsito
  • Row Level Security (RLS) em mais de 30 tabelas
  • RBAC com 4 níveis de permissão (admin, médico, assistente, visualizador)
  • Sanitização e scrubbing de PHI/PII em logs de sistema
  • Headers de segurança (CSP, HSTS, proteção contra clickjacking)
  • Rate limiting por rota em endpoints sensíveis

Organizacionais

  • Governança de consentimento versionado com enforcement automatizado
  • Auditoria de acesso clínico com sanitização de metadados
  • Políticas de retenção por classe de dado com descarte automatizado
  • Classificação e resposta estruturada a incidentes
  • Lineage clínico para rastreabilidade de operações de IA
  • Tokenização de PHI antes do processamento por IA
  • Verificação de propriedade (ownership) em operações sobre dados de pacientes

Governança de Inteligência Artificial

O módulo PsyMatrix opera sob mecanismos de governança que incluem:

  • Consentimento explícito e versionado para processamento por IA, com enforcement automatizado
  • Disclosure do nível de influência da IA em cada saída gerada (assistido, gerado, alta influência)
  • Revisão clínica obrigatória para saídas classificadas como de alta influência
  • Safety notice em documentos gerados por IA, indicando necessidade de validação profissional
  • Tokenização e minimização de PHI antes do envio para modelos de linguagem
  • Gateway centralizado de IA com sanitização de inputs, telemetria e controle de custos
  • Lineage clínico completo: rastreabilidade de origem, contexto, paciente e módulos envolvidos
  • O PsyMatrix opera como CDSS (sistema de apoio à decisão clínica), nunca como sistema autônomo

Arquitetura Alinhada a Padrões Internacionais

A plataforma adota uma arquitetura de segurança e governança de dados alinhada a padrões internacionais de proteção de informações em saúde, incluindo diretrizes da LGPD e referências como a HIPAA (Health Insurance Portability and Accountability Act).

Os controles técnicos implementados — criptografia em camada de aplicação, isolamento de dados por RLS, sanitização de logs, tokenização de PHI, auditoria de acesso clínico e governança de consentimento — são compatíveis com as exigências de regulamentações internacionais de proteção de dados em saúde. A arquitetura foi construída com princípios de privacy by design e security by design, incorporando esses controles desde a concepção da plataforma.

Esta arquitetura está preparada para suportar avaliação de impacto à proteção de dados (RIPD) quando necessária, fornecendo rastreabilidade técnica, registros auditáveis e mapeamento de fluxos de dados como insumos para o processo de avaliação.

Encarregado de Proteção de Dados (DPO)

Conforme Art. 41 da LGPD, designamos um Encarregado de Proteção de Dados responsável por:

  • Aceitar reclamações e comunicações dos titulares sobre tratamento de dados
  • Prestar esclarecimentos sobre as práticas de tratamento adotadas pela plataforma
  • Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD)
  • Orientar colaboradores sobre práticas de proteção de dados e privacidade

Contato DPO:

E-mail: contact@aithinkhealth.com

Telefone: +55 (33) 99918-6555

Avaliação de Impacto (RIPD)

Conforme Art. 38 da LGPD, a plataforma está estruturada para suportar a elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), fornecendo os insumos técnicos necessários: mapeamento de fluxos de dados, registros de tratamento, controles de acesso, políticas de retenção e trilhas de auditoria.

Disponibilidade: A estrutura técnica para suporte ao RIPD está disponível e os insumos podem ser apresentados à Autoridade Nacional de Proteção de Dados (ANPD) quando solicitado.

Uso de Cookies e Tecnologias Semelhantes

Utilizamos cookies e tecnologias equivalentes estritamente necessários para o funcionamento da plataforma, incluindo autenticação de usuários, manutenção de sessões seguras e integridade das operações clínicas.

Eventualmente, cookies podem ser utilizados para fins de melhoria da experiência do usuário, análise de desempenho e segurança da aplicação, sempre respeitando os princípios de minimização de dados e privacidade por padrão (privacy by design).

Não utilizamos cookies para fins de publicidade comportamental ou compartilhamento com terceiros não essenciais.

O usuário pode, a qualquer momento, gerenciar preferências de cookies por meio das configurações do navegador, ciente de que a desativação de cookies essenciais pode impactar o funcionamento da plataforma.

Canal de Comunicação LGPD

Para exercer seus direitos, esclarecer dúvidas ou reportar incidentes relacionados à proteção de dados:

Contato Direto

AI.THINK HUBHEALTH INOVA SIMPLES (I.S.)

CNPJ: 65.540.458/0001-89

E-mail: contact@aithinkhealth.com

Telefone: +55 (33) 99918-6555

Rua Afonso Pena, 2230, Apto 404, Centro – Governador Valadares – MG, CEP: 35010-000 – Brasil

Website: www.aithinkhealth.com

Responsável técnico: Dr. Klaus Wagner Willemam — CRM 98591

Prazo de Resposta

Até 15 dias úteis conforme Art. 19 da LGPD

Prorrogável por mais 15 dias quando necessário, mediante justificativa