1. Compromisso com a Privacidade
A AI.THINK HUBHEALTH INOVA SIMPLES (I.S.), desenvolvedora do PsyThink, está comprometida com a proteção da privacidade e segurança dos dados pessoais de seus usuários e dos pacientes atendidos através da plataforma. A plataforma foi projetada com princípios de privacy by design e security by design, incorporando controles técnicos desde a sua arquitetura.
Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos e protegemos as informações pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e com referências internacionais de proteção de dados em saúde, incluindo princípios da HIPAA (Health Insurance Portability and Accountability Act).
2. Dados Coletados
Dados do Profissional
- •Nome completo e informações de contato
- •Número de registro profissional (CRM, CRP ou equivalente)
- •Especialidade e área de atuação
- •Dados de faturamento e pagamento
- •Registros de acesso, uso da plataforma e preferências
Dados Clínicos de Pacientes
Importante: Dados clínicos de pacientes são processados exclusivamente sob instrução e responsabilidade do profissional de saúde, que atua como controlador dos dados conforme a LGPD. A plataforma opera como operadora de dados nessa relação.
- •Informações clínicas inseridas pelo profissional (anamnese, exame mental, histórico)
- •Transcrições de consultas (quando autorizadas pelo profissional)
- •Dados de escalas psiquiátricas e instrumentos de avaliação
- •Documentos e saídas clínicas geradas com apoio de IA (sujeitas a revisão humana)
- •Context packs e artefatos clínicos associados ao paciente
Metadados Técnicos
A plataforma coleta metadados técnicos necessários para operação, segurança e auditoria, incluindo logs de acesso, identificadores de sessão e informações de dispositivo. Esses metadados passam por processos de sanitização para remoção de informações pessoais identificáveis antes do armazenamento em logs de sistema.
3. Finalidades do Tratamento
Prestação de Serviços Clínicos
Fornecer funcionalidades de apoio à decisão clínica, documentação e geração de conteúdo assistido por IA através do PsyMatrix
Processamento por Inteligência Artificial
Utilização do PsyMatrix para geração de sinais clínicos, sugestões, análises e documentação de apoio, sempre sob revisão do profissional e mediante consentimento explícito
Suporte e Melhoria
Aprimorar funcionalidades, resolver problemas técnicos e fornecer assistência, utilizando dados agregados e anonimizados quando aplicável
Conformidade Legal
Cumprir obrigações legais e regulamentares aplicáveis, incluindo manutenção de registros auditáveis e resposta a solicitações de autoridades competentes
4. Bases Legais (LGPD)
Execução de Contrato
Processamento necessário para execução do contrato de prestação de serviços entre o profissional e a plataforma
Legítimo Interesse
Melhoria dos serviços, segurança da plataforma e desenvolvimento de funcionalidades, respeitando os direitos e liberdades dos titulares
Cumprimento de Obrigação Legal
Atendimento a requisitos legais e regulamentares aplicáveis, incluindo regulamentações de saúde e proteção de dados
Consentimento
Para processamento por inteligência artificial, o sistema requer consentimento explícito, versionado e revogável do profissional, com enforcement automatizado
5. Medidas de Segurança
Criptografia e Proteção de Dados
Criptografia em camada de aplicação para dados clínicos críticos (PHI), com criptografia em trânsito (TLS) e em repouso na infraestrutura. Tokenização e minimização de PHI antes do processamento por IA.
Controle de Acesso e Isolamento
Row Level Security (RLS) em mais de 30 tabelas no banco de dados, controle de acesso baseado em papéis (RBAC) com 4 níveis de permissão, e verificação de propriedade (ownership) em todas as operações sobre dados de pacientes.
Auditoria de Acesso Clínico
Registro auditável de acessos e operações clínicas, com sanitização de metadados que impede o registro de conteúdo sensível (transcrições, notas clínicas, prompts) em trilhas de auditoria.
Sanitização de Logs
Mecanismos de scrubbing para remoção de PHI/PII de logs de sistema, incluindo redação de CPF, e-mails, telefones, datas de nascimento, tokens e chaves de API.
6. Compartilhamento de Dados
Política de Não Compartilhamento
Não vendemos, alugamos ou compartilhamos dados pessoais ou clínicos com terceiros para fins comerciais.
Exceções limitadas: Compartilhamento apenas quando estritamente exigido por lei, ordem judicial, ou para proteção de direitos, propriedade ou segurança. O processamento por IA ocorre através de gateway centralizado com sanitização prévia dos dados.
7. Seus Direitos (LGPD)
Acesso
Confirmar a existência de tratamento e acessar seus dados pessoais. A plataforma disponibiliza mecanismo de exportação de dados (DSAR).
Correção
Corrigir dados incompletos, inexatos ou desatualizados
Eliminação
Solicitar a exclusão de dados. A plataforma implementa mecanismo de exclusão com soft-delete, anonimização de perfil e remoção de objetos de armazenamento.
Portabilidade
Solicitar a exportação estruturada dos seus dados para portabilidade a outro fornecedor
8. Retenção de Dados
A plataforma implementa políticas de retenção diferenciadas por classe de dado, com mecanismos automatizados de descarte:
Áudio de sessões (PsyNote): 30 dias
Logs de auditoria: 365 dias
Dados de faturamento: 5 anos (conforme legislação fiscal)
Logs de sistema: 30 dias
Documentos clínicos: Conforme determinação do profissional e regulamentações aplicáveis (CFM e demais órgãos competentes)
O descarte de dados expirados é executado por processo automatizado, com registro auditável de cada operação de purga.
9. Uso de Inteligência Artificial
O PsyMatrix processa dados clínicos para geração de documentação e apoio à decisão. O processamento por IA inclui as seguintes medidas de proteção:
- •Consentimento explícito e versionado do profissional, com enforcement automatizado antes de qualquer operação de IA
- •Tokenização e minimização de PHI antes do envio para processamento por modelos de linguagem
- •Sanitização de inputs para remoção de padrões de dados pessoais identificáveis (CPF, e-mail, telefone, endereços)
- •Gateway centralizado de IA com telemetria de uso, controle de custos e limites de requisições
- •Disclosure do nível de influência da IA em cada saída gerada, com revisão clínica obrigatória para saídas de alta influência
- •Lineage clínico completo: rastreabilidade da origem, contexto, paciente e módulos de IA envolvidos, sem exposição de PHI
- •Aviso de segurança (safety notice) em documentos gerados por IA, indicando a necessidade de validação profissional
10. Arquitetura Alinhada a Padrões Internacionais
A plataforma adota uma arquitetura de segurança e governança de dados alinhada a padrões internacionais de proteção de informações em saúde, incluindo diretrizes da LGPD (Lei nº 13.709/2018) e referências como a HIPAA (Health Insurance Portability and Accountability Act). Os controles técnicos implementados — como criptografia em camada de aplicação, isolamento de dados por RLS, sanitização de logs, tokenização de PHI e auditoria de acesso clínico — são compatíveis com as exigências de regulamentações internacionais de proteção de dados em saúde.
A arquitetura foi construída com princípios de privacy by design e security by design, incorporando controles de acesso, governança de consentimento, rastreabilidade e mecanismos de resposta a incidentes desde a concepção da plataforma.
11. Contato — Encarregado de Dados
Para exercer seus direitos ou esclarecer dúvidas sobre esta Política de Privacidade, entre em contato:
AI.THINK HUBHEALTH INOVA SIMPLES (I.S.)
CNPJ: 65.540.458/0001-89
Website: www.aithinkhealth.com
E-mail: contact@aithinkhealth.com
Telefone: +55 (33) 99918-6555
Responsável técnico: Dr. Klaus Wagner Willemam — CRM 98591