Documento legal · LGPD Art. 39

Acordo de Processamento de Dados Pessoais (DPA)

Versão 1.0 · Em vigor desde 06/05/2026

Última atualização: 06/05/2026

1. Partes

Este Acordo de Processamento de Dados (“DPA”) é celebrado entre:

Operador: RANIERES ROMULO GOMES CARVALHO - ME, CNPJ 51.611.792/0001-71, com sede em Brasília - DF, doravante denominada Sinthoma; e
Controlador: o profissional de saúde mental cadastrado no Sinthoma, identificado pelo seu CRP/CRM, doravante denominado Profissional.

2. Objeto

O presente DPA regula as operações de tratamento de dados pessoais e dados pessoais sensíveis (LGPD, art. 5º, II) realizadas pelo Sinthoma como Operador, em nome do Profissional como Controlador, no contexto da prestação dos serviços contratados (prontuário eletrônico, agenda, notificações, IA clínica, telessaúde, gestão financeira).

Este DPA integra e complementa o Termo de Uso e a Política de Privacidade do Sinthoma. Em caso de conflito, prevalece o presente DPA quando se tratar especificamente de tratamento de dados pessoais.

3. Categorias de dados tratados

O Sinthoma trata, em nome do Profissional, as seguintes categorias de dados:

Dados cadastrais do paciente: nome, e-mail, telefone, CPF/CNPJ, data de nascimento, contato de emergência.
Dados clínicos (sensíveis): notas clínicas, anamneses, diagnósticos, evolução, sonhos, conteúdo de sessões transcrito ou registrado, resultados de instrumentos clínicos.
Dados financeiros: valores cobrados, status de pagamento, método utilizado, recibos.
Comunicações: mensagens WhatsApp, e-mails enviados ao paciente.
Áudio e vídeo: gravações de sessão (apenas se autorizado pelo paciente via consentimento expresso).

4. Finalidades autorizadas

O Sinthoma trata os dados exclusivamente para as finalidades determinadas pelo Profissional, conforme funcionalidades contratadas. São finalidades autorizadas:

Armazenamento e acesso a prontuário eletrônico.
Geração de análise estruturada por IA (rascunho não-clínico).
Detecção automática de marcadores de risco.
Envio de lembretes e comunicações ao paciente.
Realização de teleconsulta criptografada.
Gestão financeira e geração de recibos.
Backup e continuidade do serviço.
Cumprimento de obrigações legais (Receita Saúde, Resolução CFP 06/2019).

É vedado ao Sinthoma utilizar os dados para qualquer outra finalidade, incluindo treinamento de modelos de IA, marketing, perfilamento ou compartilhamento com terceiros não autorizados.

5. Bases legais

O tratamento de dados pessoais sensíveis (saúde mental) é realizado com base no consentimento específico do titular (LGPD, art. 11, I) ou na proteção da vida ou integridade física(art. 11, II, “f”) quando aplicável. O Profissional é responsável por obter e manter os consentimentos.

6. Subprocessadores autorizados

Para a prestação dos serviços, o Sinthoma utiliza subprocessadores listados abaixo. O Profissional autoriza o uso destes subprocessadores ao aceitar este DPA. Alterações futuras serão comunicadas com 30 dias de antecedência via e-mail.

Subprocessador	País	Finalidade	Salvaguardas
Supabase Inc.	Estados Unidos / Singapura	Banco de dados, autenticação e armazenamento de arquivos.	Cláusulas contratuais padrão (SCC). Dados em região sa-east-1 (Brasil). Criptografia em repouso e trânsito.
Vercel Inc.	Estados Unidos	Hospedagem da aplicação web e CDN.	SCC. Edge network global com terminação TLS 1.3.
Anthropic PBC	Estados Unidos	Modelo de inteligência artificial (Claude) para análise estruturada de notas clínicas e detecção de risco. Dados anonimizados antes do envio.	Política de zero retenção para uso não-comercial. Dados não são usados para treinamento de modelo.
OpenAI L.L.C.	Estados Unidos	Transcrição de áudio (Whisper) com retenção zero.	API Enterprise com política de retenção zero. Dados não são usados para treinamento.
Daily Co Inc.	Estados Unidos	Sala de teleconsulta criptografada ponta a ponta.	WebRTC com SRTP/DTLS. Sem gravação automática.
Z-API	Brasil	Envio de notificações WhatsApp (lembretes, confirmações).	Servidores no Brasil. LGPD compliant.
Resend Inc.	Estados Unidos	Envio de e-mails transacionais.	SPF/DKIM/DMARC verificados. SCC.
Stripe Payments Brasil	Brasil / Estados Unidos	Processamento de pagamentos da assinatura SaaS.	PCI DSS Level 1. SCC.
Functional Software Inc. (Sentry)	Estados Unidos	Monitoramento de erros com PII scrubbing automático.	Cláusulas contratuais. Dados pessoais filtrados antes da ingestão.
PostHog Inc.	Estados Unidos	Product analytics. Identificadores anônimos por padrão.	PII masking via lista de propriedades sensíveis.

7. Transferência internacional

Quando há transferência internacional de dados (LGPD, art. 33), o Sinthoma assegura salvaguardas mediante:

Cláusulas Contratuais Padrão com cada subprocessador.
Verificação de adequação (Standard Contractual Clauses).
Criptografia em trânsito (TLS 1.3) e em repouso (AES-256).
Quando possível, processamento em região sa-east-1 (São Paulo).

8. Medidas técnicas e organizacionais

Controle de acesso: autenticação obrigatória, MFA disponível, Row-Level Security (RLS) em banco de dados.
Criptografia: em trânsito (TLS 1.3) e em repouso (AES-256). CPF do paciente armazenado com hash HMAC-SHA256.
Trilha de auditoria: log imutável de quem acessou, quando e qual conteúdo (LGPD, art. 37).
PII scrubbing: identificadores sensíveis removidos automaticamente de logs e telemetria.
Backup: diário, com retenção de 30 dias e Point-In-Time Recovery ativo.
Monitoramento: detecção de anomalias e alertas em tempo real.
Treinamento: equipe orientada sobre LGPD e Resolução CFP 06/2019.

9. Direitos do titular

O Profissional, como Controlador, é o canal primário para o exercício dos direitos do titular (LGPD, art. 18). O Sinthoma, como Operador, fornecerá apoio técnico dentro de prazos razoáveis para:

Confirmação da existência de tratamento.
Acesso aos dados.
Correção de dados incompletos ou desatualizados.
Anonimização, bloqueio ou eliminação.
Portabilidade (exportação JSON+PDF).
Eliminação dos dados pessoais tratados com consentimento.
Informação sobre subprocessadores e transferências.
Revogação do consentimento.

10. Notificação de incidentes

Em caso de incidente de segurança que envolva dados pessoais, o Sinthoma notificará o Profissional em até 48 horas da detecção, contendo:

Descrição da natureza do incidente.
Categorias e número aproximado de titulares afetados.
Medidas técnicas tomadas.
Recomendações ao Profissional.

O Profissional permanece responsável por comunicar a ANPD e os titulares quando cabível (LGPD, art. 48).

11. Retenção e eliminação

Os dados clínicos serão retidos pelo prazo de 20 anos contados da última consulta, conforme Resolução CFP 06/2019 (art. 9º). Após esse prazo, os dados serão automaticamente eliminados, salvo determinação legal em contrário.

Em caso de encerramento da relação contratual, o Profissional pode solicitar a exportação completa dos dados em formato estruturado, em até 30 dias antes da eliminação definitiva.

12. Auditoria

O Profissional pode auditar o cumprimento deste DPA mediante notificação prévia de 30 dias, em horário comercial, sem prejuízo da operação. O Sinthoma fornecerá relatórios de conformidade e logs de auditoria mediante solicitação.

13. Vigência e rescisão

Este DPA vigora enquanto durar a relação contratual entre as partes. A rescisão do contrato principal implica no encerramento deste DPA, mantidas as obrigações de confidencialidade, retenção legal e eliminação segura.

14. Encarregado pelo Tratamento (DPO)

O Encarregado pelo Tratamento de Dados Pessoais do Sinthoma é Rômulo Garcia, com contato disponível em dpo@sinthoma.com.br.

15. Foro

Fica eleito o foro da comarca de Brasília - DF para dirimir eventuais controvérsias decorrentes deste DPA, com renúncia a qualquer outro, por mais privilegiado que seja.

Aceite

Ao continuar utilizando o Sinthoma, o Profissional declara ter lido, compreendido e aceitado integralmente este DPA. O aceite é registrado eletronicamente no momento do uso, com timestamp, IP e versão do documento.

Documento mantido em /dpa · Versão 1.0 · 06/05/2026