Política Global de Privacidade

O INSTITUTO FERNANDES DE NEUROPSICOLOGIA E TECNOLOGIA LTDA (doravante denominado "CONTROLADOR" ou "INSTITUTO"), pessoa jurídica de direito privado, devidamente inscrita no CNPJ/MF sob o nº 52.751.381/0001-44, com sede, foro e administração na cidade de Franca, Estado de São Paulo, estabelece, promulga e ratifica o presente Tratado de Privacidade e Governança de Dados.

Este instrumento não se resume a uma mera formalidade regulatória ou burocrática; ele representa a materialização do compromisso ético, bioético e jurídico do Instituto com a autodeterminação informativa, a intimidade e a dignidade da pessoa humana. Reconhecemos, com a devida gravidade, que no exercício da Neuropsicologia Clínica e da Saúde Mental, não gerenciamos apenas "bytes", "arquivos" ou "bancos de dados", mas a própria biografia, a psique, as vulnerabilidades e os segredos mais profundos de nossos pacientes.

Assim, esta Política foi desenhada para ser um documento vivo e transparente, detalhando minuciosamente como o ecossistema Health Architect coleta, processa, armazena e protege as informações que nos são confiadas, garantindo que a tecnologia sirva à humanidade, e não o contrário.

I. FUNDAMENTAÇÃO LEGAL E ESCOPO DOUTRINÁRIO

A presente Política de Privacidade foi estruturada sob a égide do ordenamento jurídico brasileiro, tratados internacionais de Direitos Humanos e normativas setoriais de saúde, com estrita observância aos seguintes diplomas:

• Constituição da República Federativa do Brasil de 1988: Especialmente o Art. 5º, incisos X (inviolabilidade da intimidade, vida privada, honra e imagem) e LXXIX (proteção de dados pessoais como direito fundamental autônomo), elevando a proteção de dados ao status de Cláusula Pétrea.
• Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018): Em sua integralidade, com ênfase no rigoroso regime de tratamento de Dados Sensíveis (Art. 11), nos Direitos do Titular (Art. 18) e na Responsabilidade dos Agentes de Tratamento (Art. 42).
• Marco Civil da Internet (Lei nº 12.965/2014): Regulamentação da guarda de registros de conexão (Art. 13), neutralidade da rede e requisitos de segurança lógica para aplicações de internet.
• Estatuto da Criança e do Adolescente (Lei nº 8.069/1990): Observância do princípio do "Melhor Interesse" (Best Interest) no tratamento de dados de menores, exigindo camadas adicionais de proteção e consentimento parental específico.
• Código de Ética Profissional do Psicólogo (Resolução CFP nº 10/2005): Art. 9º, que impõe o dever de sigilo profissional absoluto sobre as informações colhidas no exercício da profissão, protegendo a confidencialidade da relação terapêutica.
• Resoluções do Conselho Federal de Psicologia (CFP): Normativas nº 01/2009 (Obrigatoriedade e Guarda de Prontuário), nº 06/2019 (Elaboração de Documentos Psicológicos) e nº 11/2018 (Regulamentação do Atendimento Online/Telepsicologia).

II. GLOSSÁRIO TÉCNICO E DEFINIÇÕES LEGAIS

Para assegurar a univocidade de interpretação, a segurança jurídica e a clareza deste instrumento para o Titular, adotam-se as seguintes definições:

III. MAPEAMENTO DO TRATAMENTO (ROPA) E BASES LEGAIS

Em conformidade com o Princípio da Transparência e da Finalidade, e atendendo à exigência de registro das operações de tratamento, detalhamos abaixo a taxonomia dos dados tratados, suas finalidades específicas e a base legal legitimadora:

Categoria de Dados	Finalidade Específica do Tratamento	Base Legal (LGPD)
Identificação Civil Nome completo, CPF, RG, Endereço, E-mail, Telefone.	Abertura de ficha cadastral, formalização do Contrato de Prestação de Serviços, emissão de Nota Fiscal de Serviços (NFS-e) junto à Prefeitura, agendamento e comunicação administrativa.	Execução de Contrato (Art. 7º, V) e Obrigação Legal (Art. 7º, II - Código Tributário).
Dados Clínicos (Sensíveis) Anamnese, histórico familiar, queixas, sintomas, uso de fármacos.	Investigação diagnóstica profunda, elaboração de plano terapêutico individualizado, evolução diária em prontuário e intervenção clínica direta.	Tutela da Saúde (Art. 7º, VIII e Art. 11, II, 'f') - Procedimento realizado por profissionais de saúde.
Dados Psicométricos Testes de QI, Escalas (SRS-2, BDI), Tempos de Reação.	Processamento no motor Health Architect para geração de métricas de inteligência, atenção e funções executivas, visando o diagnóstico diferencial.	Tutela da Saúde e Legítimo Interesse na precisão técnica do diagnóstico.
Dados Biométricos Imagem e voz em sessões de Telemedicina.	Realização de sessões terapêuticas online e observação clínica comportamental (Exame do Estado Mental).	Tutela da Saúde e Consentimento (quando houver gravação para fins de supervisão).
Metadados Digitais Endereço IP, User-Agent, Logs de Acesso, Cookies.	Garantia da segurança da informação, prevenção a ataques cibernéticos (WAF), auditoria de acessos e cumprimento do Marco Civil da Internet.	Obrigação Legal (Lei 12.965/14, Art. 15) e Segurança (LGPD).

IV. DO CICLO DE VIDA E GUARDA DOS DADOS (RETENÇÃO)

O Instituto Fernandes implementa uma política rígida de retenção de dados ("Data Retention Policy"), baseada na legislação sanitária, fiscal e civil brasileira. O titular deve estar plenamente ciente de que o direito à exclusão (Art. 18, VI da LGPD) não é absoluto quando houver obrigação legal ou regulatória de guarda.

4.1. Prontuários Psicológicos (Temporalidade)

Conforme o Art. 15 da Resolução CFP nº 01/2009, o prontuário psicológico e todo o material decorrente da avaliação (folhas de resposta, desenhos, relatórios brutos, anotações clínicas) devem ser mantidos sob guarda segura e sigilosa pelo prazo mínimo de 05 (cinco) anos, podendo este prazo ser estendido por determinação judicial, em casos de interrupção da prescrição ou para defesa em processo administrativo/judicial.

4.2. Documentos Fiscais e Contratuais

Notas fiscais, contratos assinados e comprovantes de pagamento são mantidos por 5 (cinco) anos, conforme prazo decadencial previsto no Código Tributário Nacional para fins de auditoria fiscal e tributária.

4.3. Descarte Seguro (Sanitização de Dados)

Após o exaurimento das finalidades e o transcurso dos prazos legais de guarda obrigatória, os dados são eliminados utilizando técnicas forenses de Secure Wiping (sobrescrita lógica) em mídias digitais e fragmentação mecânica (incineração ou trituração nível P-4 DIN 66399) para documentos físicos, garantindo a irreversibilidade do processo e impossibilitando a recuperação da informação.

V. PROTOCOLOS DE SEGURANÇA DA INFORMAÇÃO

Reconhecendo a criticidade extrema dos dados tratados (saúde mental), o Instituto adota uma arquitetura de segurança cibernética baseada no conceito militar de Defense in Depth (Defesa em Profundidade), alinhada aos padrões internacionais ISO/IEC 27001 e HIPAA:

• Criptografia de Nível Militar: Todos os dados sensíveis em repouso (Data at Rest) são criptografados em bancos de dados utilizando o algoritmo AES-256. Dados em trânsito trafegam exclusivamente via túneis TLS 1.3 com Perfect Forward Secrecy.
• Controle de Acesso (IAM): O acesso aos prontuários é segregado e concedido estritamente sob a necessidade de serviço (Need-to-Know). Utilizamos autenticação multifator (MFA) obrigatória para toda a equipe clínica.
• Rastreabilidade (Audit Trails): Todas as interações com o sistema (visualização, edição, exportação de laudos) geram logs de auditoria imutáveis, permitindo a identificação precisa e forense de "quem acessou o quê e quando".
• Backup e Redundância: Mantemos backups diários, criptografados e geo-redundantes (armazenados em múltiplos data centers distintos) para garantir a disponibilidade dos dados mesmo em cenários de catástrofe.

VI. COMPARTILHAMENTO DE DADOS E TRANSFERÊNCIA INTERNACIONAL

O sigilo é o pilar fundamental da nossa atuação. O Instituto Fernandes NÃO COMERCIALIZA, ALUGA OU CEDE dados pessoais a terceiros para fins publicitários ou de marketing. O compartilhamento ocorre estritamente nas seguintes hipóteses de necessidade operacional ou legal:

VII. DIREITOS DO TITULAR (HABEAS DATA)

A LGPD (Art. 18) empodera o titular com direitos que podem ser exercidos a qualquer momento, mediante requisição gratuita ao nosso DPO. O Instituto compromete-se a facilitar o exercício desses direitos:

• Acesso e Transparência: Direito de obter cópia integral de seus dados e informações detalhadas sobre o tratamento realizado. (Nota: Para documentos psicológicos, o acesso pode requerer entrevista devolutiva presencial ou online, conforme normas éticas do CFP).
• Retificação: Correção imediata de dados incompletos, inexatos ou desatualizados em nosso cadastro.
• Portabilidade Clínica: Solicitar a transferência de seu histórico clínico e laudos a outro profissional de saúde ou clínica, em formato estruturado e interoperável.
• Revisão de Decisões Automatizadas: Direito de solicitar revisão humana sobre quaisquer análises preliminares realizadas pelo sistema Health Architect.
• Oposição e Revogação: Opor-se a tratamentos realizados com base em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD, ou revogar o consentimento previamente dado.

VIII. DISPOSIÇÕES FINAIS E FORO

Esta Política é um documento vivo e poderá ser atualizada a qualquer tempo para refletir inovações tecnológicas ou legislativas. A versão vigente será sempre a mais recente publicada nesta página.

Para dirimir quaisquer controvérsias oriundas deste documento, as partes elegem o Foro da Comarca de Franca, Estado de São Paulo, renunciando expressamente a qualquer outro, por mais privilegiado que seja, aplicando-se a legislação brasileira vigente.