Documento em revisão jurídica. Este texto é um esboço para validação interna e ainda não substitui uma versão revisada por advogado. Contate dpo@astroeus.com em caso de dúvidas.

Política de Privacidade

Última atualização: v1.0-piloto — 1 de junho de 2026

A Astroeus respeita sua privacidade e a dos pacientes/clientes atendidos pelos profissionais que usam a plataforma. Esta política explica como tratamos dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 — LGPD), com a Lei 13.787/2018 (prontuário eletrônico), com as Resoluções CFP 001/2009 e 011/2018 (psicologia), com a Resolução COFFITO 415/2012 (terapia ocupacional) e demais normas profissionais aplicáveis.

1. Identificação do operador

Razão social: Astroeus (denominação comercial; razão social e CNPJ em processo de formalização — atualizaremos esta Política tão logo o registro fique concluído).

Site oficial: https://astroeus.com

Aplicativo: https://app.astroeus.com

DPO / Encarregado pelo Tratamento de Dados: Fernando Medeiros Lima.

Contato DPO: dpo@astroeus.com (canal exclusivo para assuntos LGPD).

Contato comercial: astroeus@astroeus.com.

2. Papéis LGPD

A Astroeus atua como OPERADORA dos dados pessoais sob comando do profissional contratante (psicólogo(a) ou terapeuta autônomo(a)), que é o(a) CONTROLADOR(A) dos dados dos pacientes/clientes que atende.

Para o paciente: o(a) controlador(a) dos seus dados clínicos é o(a) profissional que você contratou — não a Astroeus. Ele(a) está nominalmente identificado(a) no contrato e no TCLE que você assinou no ato do cadastro (cópia enviada ao seu email). Se precisar localizar o(a) controlador(a) e não tiver mais o documento, escreva para o nosso DPO em dpo@astroeus.com — nós encaminharemos.

Para o profissional: ao contratar a Astroeus você é Controlador dos dados dos seus pacientes/clientes e a Astroeus é sua Operadora. As obrigações de cada parte estão detalhadas no Acordo de Processamento de Dados (DPA) e nos Termos de Uso.

3. Bases legais por finalidade — matriz

Em cumprimento ao Art. 6º I (finalidade) e Art. 9º (informação ao titular) da LGPD, e atendendo às orientações da Reg. ANPD 4/2024 (Guia de Tratamento), apresentamos cada operação que realizamos com a respectiva base legal, categoria de dado e prazo de retenção.

3.1. Operações como Operadora (em nome do(a) profissional)

OperaçãoCategoriaBase legalRetenção
Cadastro do paciente (identificação + contato)Pessoal comumExecução de contrato (Art. 7º V) + obrigação legal CFP/COFFITO (Art. 7º II)20 anos pós-último atendimento
CPF do paciente (recibo + identificação contratual)Pessoal comumObrigação legal (Art. 7º II — IN RFB 459/2004 + CFP Res. 9/2024 art. 4º)5 anos fiscais (recibos) + 20 anos prontuário
Evolução clínica / prontuárioSensível — saúdeTutela da saúde (Art. 11 II f, "a", "g")20 anos (Lei 13.787 + CFP 001/2009)
Áudio bruto de sessão (insumo IA)Sensível — saúdeTutela da saúde + consentimento específico (autorização IA)Descartado imediatamente após assinatura da evolução; máximo 7 dias mesmo sem assinatura
Transcrição + geração de evolução por IASensível — saúdeConsentimento específico (Art. 11 I + Art. 33 VIII) com transferência internacional documentadaDescartado pós-assinatura; conteúdo permanece como evolução assinada (20 anos)
Dados de menores (paciente + responsável legal)Sensível + Art. 14Melhor interesse do(a) menor + tutela da saúde (Art. 11 II f) + consentimento do responsável (Art. 14 §1º)20 anos pós-último atendimento
Agendamento, cobrança PIX, reciboPessoal comum + financeiraExecução de contrato (Art. 7º V) + obrigação fiscal (Art. 7º II)5 anos fiscais
Mensagens transacionais (email/WhatsApp lembrete)Pessoal comumExecução de contrato (Art. 7º V)Logs de envio: 12 meses
Pesquisa pós-sessão (NPS + comentário voluntário)Pessoal comum (até desidentificação)Consentimento opcional (Cláusula A — Art. 8º §4)Vínculo removido após processamento; categoria + nota agregada permanecem anonimizadas indefinidamente

3.2. Operações como Controladora (próprias da Astroeus)

OperaçãoCategoriaBase legalRetenção
Cadastro do profissional (CPF, CRP/CREFITO, email, telefone)Pessoal comumExecução de contrato (Art. 7º V)Até encerramento da conta + 5 anos fiscais
Cobrança da assinatura SaaSPessoal + financeiraExecução de contrato + obrigação fiscal5 anos fiscais
Logs de acesso, métricas de uso, telemetriaPessoal comum + técnicaLegítimo interesse (Art. 7º IX — segurança, debugging)12 meses (Sentry e PostHog)
Comunicações comerciais opcionais (newsletter)EmailConsentimento (Art. 7º I)Até revogação
Cookies analíticosComportamentalConsentimento (Art. 7º I) via bannerAté revogação ou 12 meses

4. Quais dados tratamos — detalhamento

4.1. Do profissional (controlador-cliente)

  • Nome completo, e-mail, telefone, cidade/UF
  • CPF/CNPJ e endereço comercial (para emissão fiscal)
  • Registro profissional: CRP (psicólogos), CREFITO (terapeutas ocupacionais), ou autoidentificação (terapeutas não conselhistas)
  • Dados de cobrança e tributários
  • Logs de acesso e métricas de uso da plataforma

4.2. Do paciente/cliente

  • Identificação: nome, CPF ou passaporte (alternativa para estrangeiros), data de nascimento, contato. CPF é solicitado para emissão de recibo (IN RFB 459/2004) e identificação contratual (CFP Res. 9/2024 art. 4º).
  • Dados clínicos (sensíveis): evoluções, prontuário completo, eventual áudio de sessão (sempre descartado após o profissional assinar a evolução).
  • Histórico operacional: sessões, pagamentos, recibos, mensagens transacionais enviadas.

4.3. De pacientes menores e seus responsáveis legais

Quando o(a) paciente é menor de 18 anos, coletamos também os dados do(a) responsável legal (CPF, contato, parentesco) e — para adolescentes (12 a 17 anos), em conformidade com a Resolução CFP 13/2022 — colhemos também a anuência informada do(a) próprio(a) adolescente, com texto adaptado à sua compreensão. Em ambos os casos, o tratamento observa o princípio do melhor interesse previsto no Art. 14 §1º da LGPD e no ECA.

5. Sub-operadores (Art. 39 LGPD)

Para operar a plataforma, contratamos os seguintes sub-operadores. Todos estão vinculados por DPA com cláusulas LGPD e, quando aplicável, Cláusulas-Padrão Contratuais para transferência internacional (Reg. ANPD 17/2024). Cópias dos DPAs assinados são mantidas em arquivo legal interno e podem ser auditadas pelo(a) profissional-Controlador mediante solicitação ao DPO (/dpo).

No piloto fechado atual, a lista efetivamente em uso compreende os primeiros 9 sub-operadores (Supabase, Vercel, Render, Anthropic, OpenAI, Resend, Sentry, PostHog, Cloudflare). Asaas e Meta (WhatsApp Cloud API) aparecem na tabela como referência de roadmap, mas estão desligados nesta fase — sem contrato, sem subconta, sem DPA executado — e só passam a operar quando reativarmos pagamentos e mensageria via WhatsApp na Fatia 9.

Sub-operadorFinalidadePaísDPA
Supabase (Supabase, Inc.)Banco de dados, autenticação, armazenamentoBrasil (AWS sa-east-1, São Paulo)Executado em 26/05/2026
Vercel (Vercel, Inc.)Hospedagem do aplicativo web e cron internoEUAExecutado em maio/2026
Render (Render Services, Inc.)Worker em background (pipeline IA)EUAExecutado em maio/2026
Anthropic (Anthropic, PBC)LLM Claude para geração estruturada de evoluçõesEUAExecutado em maio/2026 (Zero Data Retention solicitado)
OpenAI (OpenAI, L.L.C.)Whisper para transcrição de áudio de sessãoEUAExecutado em maio/2026 (no-train default)
Resend (Resend, Inc.)Envio de e-mails transacionaisEUAExecutado em maio/2026
Sentry (Functional Software, Inc.)Monitoramento de erros e exceçõesUE (organização configurada em região europeia) — com sanitizador de PII server-side adicionalExecutado em maio/2026
PostHog (PostHog, Inc.)Analytics de produto (consentido via banner)UE (Frankfurt) — escolha consciente; tráfego confirmado em eu.i.posthog.comExecutado em maio/2026
Cloudflare (Cloudflare, Inc.)DNS, proxy (apex), WAF, proteção DDoSEUA com PoPs globais (inclui Brasil — Guarulhos)Executado em maio/2026
Asaas (Asaas Gestão Financeira)Meios de pagamento e emissão fiscalBrasilInativo no piloto fechado — sem contrato, sem subconta, sem DPA. Será ativado e contratualizado na Fatia 9 (Pagamentos)
Meta (WhatsApp Cloud API)Envio de mensagens via WhatsApp BusinessIrlanda → EUAInativo no piloto fechado — sem Business Account verificado, sem DPA. Será ativado na Fatia 9 (Mensageria)

A lista é mantida atualizada — o(a) Usuário-Controlador é notificado com antecedência mínima de 30 dias antes da adição de qualquer novo sub-operador (Art. 39 V).

6. Transferência internacional de dados

Tratamento doméstico (Brasil): Supabase opera em AWS São Paulo (sa-east-1) — o banco de dados com o prontuário clínico e os buckets de Storage permanecem no Brasil em repouso. Não há transferência internacional para essa parte do tratamento.

União Europeia (Reg. 33 V LGPD — Cláusulas-Padrão):Sentry e PostHog operam em região europeia. A UE não foi declarada "país com nível adequado" pela ANPD até esta data, então o instrumento aplicável continua sendo Cláusulas-Padrão Contratuais nos respectivos DPAs.

Estados Unidos: Anthropic, OpenAI, Vercel, Render, Resend e Cloudflare armazenam ou processam dados nos EUA. A transferência ocorre com fundamento em uma das hipóteses do Art. 33 da LGPD:

  • Cláusulas Contratuais Padrão aprovadas pela ANPD (Reg. 17/2024), incorporadas aos DPAs com cada sub-operador (Art. 33 II + Art. 35 II) — modelo nacional, com cláusulas de confidencialidade, segurança, comunicação de incidente e obrigações solidárias do operador internacional.
  • Consentimento específico e em destaque do titular (Art. 33 VIII) — para o uso de IA, o paciente assina autorização separada que menciona nominalmente Anthropic e OpenAI, o destino Estados Unidos, o uso de Cláusulas-Padrão, o descarte do áudio após assinatura e o direito de revogação a qualquer tempo sem prejuízo do atendimento.

Risco residual reconhecido: mesmo sob cláusulas contratuais robustas, dados em servidores americanos estão sujeitos à jurisdição dos EUA (CLOUD Act 2018, FISA). Mitigamos esse risco com (i) descarte automático de áudio, (ii) minimização do conteúdo enviado, (iii) cláusula contratual de não-armazenamento no DPA com Anthropic e OpenAI, mas não há solução técnica que elimine completamente esse risco. Decisão do paciente é informada por meio do consentimento de IA, e o profissional sempre tem a opção manual.

7. Retenção por categoria de dado e profissional

CategoriaProfissionalPrazoFundamento
Prontuário (evoluções)Psicólogo(a)20 anos pós-último atendimentoLei 13.787/2018 + CFP Res. 001/2009
Terapeuta ocupacional20 anos pós-último atendimentoLei 13.787/2018 + COFFITO Res. 415/2012
Terapeuta sem conselho20 anos pós-último atendimentoBoa prática contratual (modo conservador — ADR-002 da Astroeus). Pode ser ajustado em revisão LGPD futura.
Áudio bruto de sessãoTodosImediatamente após assinatura da evolução; máximo 7 dias mesmo sem assinaturaD36 PRD + minimização (Art. 6º III)
Recibos e dados fiscaisTodos5 anosDecreto 9.580/2018 + IN RFB 459/2004
Dados cadastrais do profissionaln/aAté encerramento da conta + 5 anos fiscaisArt. 16 II LGPD (cumprimento de obrigação legal)
Logs de acesso e métricas de uson/a12 mesesMarco Civil da Internet (Art. 15) + retenção configurada nas ferramentas
Pesquisas pós-sessão (após desidentificação)n/aIndefinido, em forma anonimizada e agregadaConsentimento Cláusula A (Art. 7º I + Art. 12 LGPD — dados anonimizados)

8. Seus direitos como titular (Art. 18 LGPD)

A qualquer momento, você pode exercer os seguintes direitos previstos na LGPD:

  • I — Confirmação da existência de tratamento
  • II — Acesso aos seus dados
  • III — Correção de dados incompletos, inexatos ou desatualizados
  • IV — Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • V — Portabilidade dos dados para outro fornecedor
  • VI — Eliminação dos dados tratados com consentimento
  • VII — Informação sobre entidades com as quais compartilhamos seus dados
  • VIII — Informação sobre a possibilidade de não fornecer consentimento e as consequências
  • IX — Revogação do consentimento a qualquer tempo (Art. 8º §5º)

Como exercer: escreva ao DPO em dpo@astroeus.com. SLA: até 15 dias úteis para confirmação/acesso, até 30 dias corridos para os demais direitos. O exercício de direitos é gratuito.

Procedimento detalhado: ver Como exercer seus direitos LGPD (página dedicada com formulário público).

8.1. Limites legais ao direito de eliminação

⚠️ Importante: dados clínicos do prontuário (evoluções, registros de sessão) são mantidos por 20 anos após o último atendimento, por exigência da Lei 13.787/2018 e da Resolução CFP 001/2009 (ou normas equivalentes para outras profissões de saúde). Esse prazo prevalece sobre o direito ao apagamento (LGPD Art. 16 II — cumprimento de obrigação legal).

Mesmo assim, você pode exigir a pseudonimização dos seus dados de identificação (nome, CPF, contato) durante esse período. Quando o(a) profissional encerra o uso da Astroeus, o processo é o seguinte:

  1. O(a) profissional recebe um pacote ZIP com a íntegra do prontuário (PDFs assinados, JSON com metadados, hash chain) e o conserva pelos 20 anos sob sua exclusiva responsabilidade (Termo de Guarda).
  2. A Astroeus, após confirmar a entrega e expirar uma janela de carência, zera os conteúdos das evoluções no nosso banco, preservando apenas hash + metadata para fins de integridade verificável.
  3. PII (nome, CPF, telefone, email, endereço) é apagada/pseudonimizada em cascata na base de dados, com comprovante hash entregue ao profissional.

Detalhes técnicos: ver ADR-005. Importante: essa pseudonimização é tecnicamente reversível por backup do Supabase (retenção atual: 7 dias). Para apagamento absoluto, é necessária a expiração do ciclo de backup. Comunicaremos ao titular quando o purge tiver sido concluído nos backups (D+7 do evento de pseudonimização).

9. Decisões automatizadas e Inteligência Artificial (Art. 20)

A Astroeus oferece dois pontos onde IA atua sobre dados pessoais:

  • Geração de evolução clínica: a partir de áudio (transcrito por Whisper) ou de texto curto digitado pelo(a) profissional, o Claude (Anthropic) produz um rascunho estruturado. A decisão clínica final é sempre humana — o(a) profissional lê, edita e assina cada evolução antes do registro definitivo. Nenhuma evolução é vinculada ao prontuário sem assinatura humana.
  • Termômetro de sentimento (pesquisa pós-sessão): quando o paciente consente na Cláusula A, comentários textuais são classificados automaticamente em 4 categorias (elogio, sugestão, reclamação sobre atendimento, reclamação técnica), apenas para fins agregados e desidentificados. O vínculo com a identidade do paciente é removido na mesma operação da categorização.

Em ambos os casos, você tem o direito de solicitar revisão humana adicional ou esclarecimento sobre qualquer decisão automatizada (LGPD Art. 20), bem como o direito de revogar a autorização de IA a qualquer tempo sem prejuízo no atendimento.

10. Segurança da informação

Aplicamos controles técnicos e organizacionais proporcionais ao risco, em conformidade com o Art. 46 da LGPD:

  • Criptografia em trânsito: TLS 1.2+ em todas as conexões (apex e app.astroeus.com).
  • Criptografia em repouso: recursos padrão do Supabase (AWS RDS com encryption at rest gerenciada pela AWS) e do Supabase Storage (S3 SSE). Confirmação técnica documentada em relatório interno de segurança.
  • Isolamento por tenant: Row-Level Security (RLS) ativa em todas as tabelas com dados de cliente. Política de RLS dupla (JWT + email autoritativo) impede acesso cross-tenant.
  • Append-only no prontuário: evoluções, contratos, TCLE e autorizações usam triggers que bloqueiam alteração após assinatura. Integridade verificável via hash chain SHA-256.
  • Auditoria de acessos: toda leitura de evolução fica registrada em tabela auditoria imutável (com quem, quando, em qual sessão).
  • Proteção contra abuso: Cloudflare WAF + DDoS no apex astroeus.com; no subdomínio autenticado app.astroeus.com, atualmente DNS-only por compat com server actions longas, com proteção via rate limiting na origem (Vercel). Roadmap inclui ligar proxy Cloudflare no app. em conjunto com plano Pro.
  • Sanitização de logs (PII): antes de enviar erros ao Sentry, todos os payloads passam por sanitizador server-side que redige CPF, telefone, email e cabeçalhos de autenticação.
  • Plano de resposta a incidentes (Art. 48): runbook documentado com SLA de 3 dias úteis para notificação à ANPD quando houver risco ou dano relevante.

11. Cookies e tecnologias similares

Usamos cookies essenciais para autenticação e funcionamento da plataforma (sem necessidade de consentimento, Art. 7º V — execução de contrato). Cookies de analytics (PostHog) só são ativados após seu consentimento explícito via banner.

12. Comunicação de incidentes

Em caso de incidente de segurança que envolva risco ou dano relevante aos titulares (Art. 48 LGPD + Reg. ANPD 15/2023):

  • Comunicaremos à ANPD em até 3 dias úteis;
  • Comunicaremos aos titulares afetados em prazo proporcional à urgência;
  • Manteremos o site atualizado com nota informativa enquanto o incidente estiver aberto.

13. Alterações nesta Política

Esta Política é versionada. Mudanças relevantes serão comunicadas com pelo menos 30 dias de antecedência via email e aviso no aplicativo. A versão vigente fica sempre disponível em astroeus.com/privacidade.

Durante o piloto fechado, qualquer mudança material nesta Política será comunicada diretamente à profissional-controladora por email e aviso no aplicativo, sem prejuízo da regra geral de 30 dias para mudanças relevantes.

14. Histórico de versões

  • v1.0-piloto — 2026-06-01: versão única para piloto interno fechado. Substitui drafts internos anteriores (rotulados v1.0, v2.0 e v2.1 entre maio e início de junho de 2026) que nunca passaram por revisão jurídica formal — numeração reiniciada para refletir o status real de maturidade. Conteúdo consolidado a partir das Rodadas 1 a 5 da revisão LGPD interna pré-Fatia 10 (DPAs executados com 9 sub-operadores; matriz finalidade × base × categoria × retenção; classificação Supabase em Brasil sa-east-1; Sentry e PostHog em UE; demais em EUA com Cláusulas-Padrão ANPD 17/2024). Próxima revisão prevista: contratação de advogado LGPD-saúde antes da abertura para o primeiro cliente externo pagante.

15. Status e ressalvas (versão piloto)

Esta Política é redigida no contexto de um piloto interno fechado, com a participação de uma única profissional controladora previamente vinculada à equipe Astroeus. O escopo do piloto compreende as funcionalidades de prontuário eletrônico, agenda, geração de evoluções com auxílio de IA e lembretes por e-mail.

Funcionalidades intencionalmente desligadas no piloto:

  • Cobrança via Asaas (subconta BaaS + PIX dinâmico + NF-e): não contratada. A cobrança ocorre fora do aplicativo, por PIX manual direto na chave da profissional, sem intermediação do Astroeus.
  • Mensageria via WhatsApp Cloud API (Meta): Business Account ainda não verificado. Toda comunicação transacional ocorre por e-mail (Resend).

Sobre o texto desta Política: foi redigido pela equipe Astroeus, com base em literatura LGPD/ANPD pública e em revisões técnicas internas. Ainda não passou por revisão de advogado especializado em LGPD-saúde. Está prevista uma revisão jurídica formal antes da abertura para qualquer cliente externo pagante. Lacunas, erros ou dúvidas devem ser reportados ao DPO em dpo@astroeus.com.