ClinMetricsClinMetrics

Acordo de Tratamento de Dados (DPA)

Psicólogo (Controlador) ↔ ClinMetrics (Operadora)

Versão 1.0 — Última atualização: 29 de maio de 2026

Este Acordo de Tratamento de Dados (Data Processing Agreement, “DPA”) integra os Termos de Uso da ClinMetrics e disciplina o tratamento, pela ClinMetrics (Operadora), dos dados pessoais de pacientes cujo Controlador é o psicólogo-usuário. O aceite é registrado eletronicamente no cadastro ou em modal próprio, com data, hora, versão aceita e endereço IP, nos termos do art. 39 da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e da Resolução CD/ANPD nº 19/2024.

Cláusula 1ª — Partes e papéis

1.1. Controlador: o psicólogo-usuário (pessoa natural com inscrição em CRP) ou a clínica (pessoa jurídica) titular da conta, que decide as finalidades e os meios do tratamento dos dados de seus pacientes.

1.2. Operadora: ClinMetrics (razão social e CNPJ a serem publicados nesta página assim que formalmente constituídos), mantenedora da plataforma ClinMetrics, que trata os dados de pacientes exclusivamente em nome e conforme as instruções do Controlador.

1.3. Para os dados cadastrais do próprio psicólogo-usuário, a ClinMetrics atua como Controladora, regida pelos Termos de Uso e pela Política de Privacidade, não por este DPA.

Cláusula 2ª — Objeto e instruções de tratamento

2.1. A Operadora tratará os dados de pacientes apenas para as finalidades de armazenamento, processamento, geração de documentos psicológicos, aplicação de instrumentos e demais funcionalidades disponibilizadas pela plataforma.

2.2. A Operadora não utilizará os dados de pacientes para finalidades próprias (marketing, treinamento de modelos de inteligência artificial, benchmarking comercial), salvo após anonimização irreversível (LGPD art. 12).

2.3. As instruções do Controlador são dadas por meio do uso da plataforma e deste DPA. Instruções adicionais por escrito serão atendidas se tecnicamente viáveis.

Cláusula 3ª — Base legal e responsabilidades do Controlador

3.1. O Controlador declara que a base legal do tratamento dos dados clínicos é a tutela da saúde(LGPD art. 11, II, “f”), por ser profissional de saúde habilitado.

3.2. É responsabilidade do Controlador: obter o Termo de Consentimento Livre e Esclarecido (TCLE) do paciente (Res. CFP 9/2024); garantir a exatidão dos dados; responder a pedidos de titulares relativos a acesso, correção, eliminação, portabilidade e demais direitos (ARCO+); e cumprir a Res. CFP 6/2019 e a Lei 13.787/2018 quanto à guarda de prontuário.

3.3. O Controlador é responsável pela legalidade e adequação técnica do uso dos instrumentos aplicados aos seus pacientes, observando as normas do Conselho Federal de Psicologia e o sistema SATEPSI.

Cláusula 4ª — Obrigações da Operadora

4.1. Tratar os dados conforme as instruções do Controlador e a legislação aplicável.

4.2. Adotar medidas técnicas e organizacionais de segurança (LGPD art. 46), incluindo criptografia AES-256-GCM em repouso, TLS em trânsito, Row-Level Security (RLS), controle de acesso, logs de auditoria e backups, conforme descrito em nossa página de Segurança.

4.3. Manter sigilo sobre os dados (LGPD art. 47), inclusive após o término do contrato.

4.4. Auxiliar o Controlador no atendimento a pedidos de titulares e na resposta a incidentes de segurança.

4.5. Comunicar ao Controlador, sem demora injustificada, qualquer incidente de segurança que possa acarretar risco aos titulares (LGPD art. 48, §1º).

Cláusula 5ª — Subprocessadores

5.1. O Controlador autoriza a Operadora a contratar subprocessadores (suboperadores) para a prestação do serviço — incluindo, entre outros, Supabase (banco e armazenamento), Resend (envio de e-mails), Google (Gemini/Vertex AI para sugestões de interpretação), Hetzner (hospedagem) e Sentry (monitoramento) —, com finalidades e países de hospedagem descritos na Política de Privacidade.

5.2. A Operadora garantirá que os subprocessadores assumam obrigações de proteção de dados equivalentes às deste DPA.

5.3. Alterações relevantes na lista de subprocessadores serão comunicadas e refletidas na Política de Privacidade.

Cláusula 6ª — Transferência internacional de dados

6.1. Algumas operações envolvem transferência internacional de dados. A Operadora adota os mecanismos previstos pela Resolução CD/ANPD nº 19/2024 — decisão de adequação ou Cláusulas-Padrão Contratuais (SCCs) do Anexo II —, conforme detalhado na Política de Privacidade.

6.2. As Cláusulas-Padrão Contratuais do Anexo II da Resolução CD/ANPD nº 19/2024 são incorporadas a este DPA por referência para subprocessadores localizados em jurisdição que não disponha de decisão de adequação da ANPD.

Cláusula 7ª — Inteligência artificial

7.1. A funcionalidade de interpretação por inteligência artificial produz sugestão revisável, nunca decisão clínica automatizada (LGPD art. 20). A decisão final é sempre do psicólogo (Controlador).

7.2. Antes do envio à IA, identificadores diretos do paciente (nome, CPF, data de nascimento exata) são substituídos por códigos (redação de dados pessoais), e a interpretação é remontada localmente antes da exibição.

Cláusula 8ª — Retenção, devolução e descarte

8.1. A retenção segue prazos legais: prontuário por 20 anos (Lei 13.787/2018); demais registros por 5 anos (Res. CFP 6/2019); logs de auditoria por 5 anos (Res. CD/ANPD 15/2024).

8.2. No encerramento do contrato, a Operadora disponibiliza a exportação dos dados (em formato estruturado JSON e em PDF dos documentos gerados) e, observados os prazos legais de retenção do prontuário, procede ao descarte seguro. O Controlador continua responsável pela guarda do prontuário mesmo após o cancelamento da conta.

Cláusula 9ª — Vigência

9.1. Este DPA vigora enquanto durar a relação contratual de uso da plataforma e permanece aplicável, no que couber, aos tratamentos posteriores ao encerramento, em razão das obrigações legais de retenção e devolução previstas na Cláusula 8ª.

Cláusula 10ª — Disposições gerais

10.1. A versão vigente deste DPA é a indicada no topo desta página. Alterações materiais exigirão novo aceite, que será solicitado por meio de modal in-app no próximo acesso.

10.2. Dúvidas, pedidos relativos a este DPA ou comunicações sobre proteção de dados devem ser endereçados ao Encarregado de Proteção de Dados:

📧 dpo@clinmetrics.app

Para mais informações, consulte a página do Encarregado.

Aceite eletrônico

O aceite deste DPA é registrado eletronicamente no momento do cadastro do psicólogo-usuário, juntamente com os Termos de Uso e a Política de Privacidade, com armazenamento de data, hora, versão aceita e endereço IP. Usuários cadastrados antes da entrada em vigor deste DPA têm prazo definido em modal próprio para aceite, após o qual o acesso a funcionalidades dependentes deste acordo fica bloqueado até a confirmação.