Política de privacidade.

O Registro é operado por Bruno Luiz Ozório, pessoa física, musicoterapeuta, sediado em Serra Grande, Bahia. Contato pelo WhatsApp +55 27 99888-3828 ou pelo email sonoros.arte@gmail.com.

A plataforma é hospedada na Vercel (Estados Unidos) e usa o banco de dados Neon Postgres (Estados Unidos) com criptografia em repouso. A autenticação é provida pelo Clerk, com certificação SOC 2 Type II.

Pra dúvidas sobre seus dados, fale direto comigo pelos contatos acima.

A LGPD divide quem trata dado em controlador e operador. No Registro a divisão é simples:

O Registro cuida dos seus dados de cadastro (nome, email, uso da plataforma) como controlador.

Você, terapeuta, é quem decide quais dados clínicos entram aqui e por quanto tempo. O Registro guarda e processa esses dados em seu nome, como operador. Funciona como uma estante segura pra suas fichas: a estante é nossa, os documentos são seus.

Do terapeuta: nome, endereço de email e senha (esta gerenciada pelo Clerk, jamais armazenada em texto puro no nosso banco).

Do paciente, inseridos pelo terapeuta: dados pessoais comuns (nome, data de nascimento, contato, responsável legal, escola) e dados pessoais sensíveis de saúde (anamnese, plano terapêutico, evolução clínica, observações, diagnóstico, medicação). Estes últimos recebem proteção reforçada pela LGPD.

Pra você, terapeuta: o aceite que você dá ao entrar no Registro (Art. 7º, I da LGPD) e o contrato de uso (Art. 7º, V).

Pros dados clínicos dos pacientes: a tutela da saúde realizada por profissional habilitado (Art. 11º, II, "f" da LGPD). Essa é a hipótese prevista em lei justamente pra atendimento clínico, como o seu.

• Operar o sistema clínico para o terapeuta.
• Fornecer suporte técnico quando solicitado.
• Realizar backups regulares e garantir segurança.
• Enviar comunicações operacionais relacionadas à conta.

Não usamos dados clínicos para fins comerciais, treinamento de inteligência artificial, perfilhamento ou qualquer outro propósito alheio à operação do serviço.

Compartilhamos apenas com prestadores técnicos estritamente necessários à operação:

• Clerk (autenticação), processa nome, email e senha do terapeuta.
• Vercel (hospedagem), processa requisições em trânsito.
• Neon Postgres (banco de dados), armazena os dados com criptografia em repouso.

Nenhum dado é vendido, cedido ou compartilhado com terceiros para fins comerciais, marketing ou análise externa.

A transferência de dados para provedores nos Estados Unidos é realizada com base em garantias contratuais adequadas de proteção, conforme Art. 33º da LGPD. Políticas dos provedores: clerk.com/legal/privacy, vercel.com/legal/privacy, neon.tech/privacy.

• Enquanto a conta do terapeuta estiver ativa, todos os dados ficam disponíveis a ele.
• Após exclusão da conta, os dados são apagados do banco principal em até 30 dias.
• Backups podem reter dados por janela adicional conforme política do provedor de banco, e são apagados ao final dessa janela.
• Logs operacionais (acessos, erros técnicos) são mantidos por até 12 meses para fins de auditoria e diagnóstico.

Conforme Art. 18º da LGPD, você tem direito a:

• Confirmar se tratamos seus dados.
• Acessar os dados que mantemos sobre você.
• Corrigir dados incompletos ou desatualizados.
• Solicitar eliminação dos dados.
• Solicitar portabilidade dos dados a outro fornecedor.
• Opor-se ao tratamento.
• Revogar consentimento a qualquer momento, sem prejuízo de tratamentos já realizados.

Para exercer qualquer destes direitos, envie mensagem para o WhatsApp ou email indicados na seção 1. Respondo o quanto antes, no prazo que a LGPD pedir.

A proteção dos dados clínicos é tratada em camadas, cada uma cobrindo um risco diferente.

• Conexão criptografada: HTTPS forçado em todo o tráfego, com HSTS (Strict Transport Security) instruindo o navegador a nunca aceitar conexão sem criptografia no nosso domínio.
• Criptografia em repouso: banco de dados protegido com AES-256, padrão usado por instituições financeiras e órgãos governamentais.
• Senhas com hash moderno: gerenciadas pelo Clerk, jamais armazenadas em texto puro. Mesmo em caso de invasão direta ao banco, senhas seguem ilegíveis.
• Isolamento por terapeuta: toda consulta ao banco filtra pelo identificador da conta logada. Um terapeuta não consegue, nem mesmo por erro técnico, acessar pacientes de outro.
• Cadastro restrito por convite: não há criação livre de conta. Acessos só são liberados após contato direto e validação manual.
• Verificação de email no cadastro: o Clerk envia código de confirmação para garantir que o email pertence ao terapeuta.
• Sessão expira em 7 dias: o login não fica aberto indefinidamente. Após o prazo, o terapeuta precisa autenticar novamente.
• Cabeçalhos de segurança no navegador: X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Permissions-Policy ativos, prevenindo clickjacking, sequestro de tipo de conteúdo e exposição involuntária de dados a terceiros.
• Acesso administrativo restrito: apenas o operador da plataforma possui credenciais de administração, usadas exclusivamente para manutenção técnica e suporte solicitado pelo terapeuta.
• Backups em três camadas: janela de recuperação automática de 24 horas no provedor de banco (Neon); backup diário completo em armazenamento externo (Vercel Blob), com sete cópias rotativas cobrindo a última semana; e backups manuais feitos pelo operador antes de operações sensíveis.

Nenhuma plataforma digital é invulnerável. Por isso a segurança é monitorada e ajustada continuamente, e novas camadas (como autenticação em dois passos) podem ser adicionadas conforme o sistema cresce.

Usamos apenas cookies essenciais e funcionais:

• Cookie de sessão do Clerk, necessário para manter o terapeuta autenticado.
• Cookie de preferência "modo discreto", que oculta nomes de pacientes na tela quando ativado.

Não usamos cookies de marketing, rastreamento publicitário, análise de terceiros ou perfilamento. Se isso mudar, esta política será atualizada e o consentimento solicitado novamente.

Se acontecer algum incidente de segurança que envolva seus dados, te aviso pessoalmente pelo email e pelo WhatsApp, o quanto antes, dentro do prazo que a LGPD e a ANPD orientarem. Conto o que aconteceu, o que está sendo feito e o que pode te afetar. Compromisso direto, sem comunicado frio.

Esta política pode ser atualizada. Mudanças materiais são comunicadas por email com pelo menos 30 dias de antecedência. O terapeuta poderá cancelar a conta nesse prazo sem ônus, caso discorde das alterações.

Bruno Luiz Ozório
WhatsApp: +55 27 99888-3828
Email: sonoros.arte@gmail.com
Para dúvidas sobre dados, exercício de direitos ou denúncias relacionadas à privacidade, use os canais acima.