Política de Privacidade — claripsi
Última atualização: 14 de julho de 2026
Resumo. O claripsi é um assistente clínico para psicólogas e psicólogos
brasileiros. Sua privacidade e a de seus pacientes é o núcleo do nosso design. Esta política
descreve quais dados coletamos, como os protegemos e quais são seus direitos.
1. Dados que coletamos
Dados da conta
- Login — em contas com e-mail e senha, armazenamos o e-mail usado para
autenticação. Em contas Apple/Google, armazenamos apenas o provedor e seu identificador
estável; não guardamos o nome ou o e-mail fornecido pelo provedor.
- Perfil profissional — nome de exibição, CRP, especialidade, telefone,
cidade e UF, quando você decidir preenchê-los.
Dados clínicos
- Registro clínico salvo — notas, mensagens, transcrições confirmadas e
documentos associados a casos são criptografados no seu aparelho antes do
armazenamento. O servidor guarda texto cifrado (AES-256-GCM), sem a chave aberta do seu
cofre.
- Codinomes e identidade no cofre — o codinome ou as iniciais escolhidas para
cada caso ficam legíveis como metadado operacional. Nome, CPF, telefone e contato de paciente,
quando necessários para documentos, são criptografados no aparelho antes do envio. Não use o
nome real do paciente como codinome.
- Arquivos importados para um caso — o arquivo é processado de forma
transitória para extrair o texto e não é arquivado pelo servidor. O aplicativo cifra o
resultado no aparelho antes de salvá-lo no caso.
- Vínculo com a agenda — a seleção e a leitura da agenda ocorrem no
aparelho. Para manter uma sessão vinculada, armazenamos somente identificadores técnicos
opacos do calendário e do evento e um marcador genérico. Título, descrição e participantes
do evento não são persistidos no servidor.
- Biblioteca geral — materiais de referência enviados à Biblioteca não fazem
parte do cofre clínico. Originais e prévias ficam em armazenamento privado; texto extraído,
metadados e índices de busca são processados e mantidos no servidor. Não envie à Biblioteca
geral documentos com dados identificáveis de pacientes.
Dados de uso
- Consumo de IA — registramos o número de tokens processados por mês para
fins de limite de uso e cobrança. Não registramos o conteúdo das mensagens.
- Telemetria técnica — registramos contagens, duração, tamanho da requisição,
status e identificadores técnicos para operar o serviço. Áudio e texto do ditado não entram
nesses registros.
- Laboratório interno de voz — contas internas especificamente habilitadas
podem gravar leituras de teste para avaliar a transcrição. Nesse fluxo separado, guardamos o
áudio, o roteiro ou texto de referência, palavras-chave, metadados técnicos e o identificador
da conta. O ditado normal do produto não entra nesse corpus.
2. Como protegemos seus dados
Criptografia
- AES-256-GCM — o conteúdo clínico é criptografado no seu aparelho com uma
chave mestra aleatória criada no próprio aparelho.
- HKDF-SHA-256 — o código de recuperação é usado com HKDF (RFC 5869) para
derivar a chave que protege e desbloqueia a chave mestra do cofre; ele não é a chave de
conteúdo.
- Servidor sem acesso — o servidor nunca recebe sua chave de criptografia.
Não conseguimos descriptografar o registro clínico armazenado sem o seu código de
recuperação.
Cofre de criptografia
- Chave aberta só na memória — enquanto o cofre está desbloqueado, a chave
mestra aberta vive apenas na memória do aparelho. Uma versão protegida pode ser mantida para
permitir a recuperação do cofre.
- Bloqueio automático — o cofre bloqueia após 30 minutos sem uso.
- Código de recuperação — você recebe um código ao ativar o cofre. Sem este
código, nem você nem nós podemos acessar os dados criptografados.
Onde seus dados ficam
- Registro clínico principal no Brasil — a cópia principal do registro
clínico, já cifrada no aparelho, fica em servidor localizado no Brasil.
- Backup externo — uma cópia do banco da aplicação, que já contém o registro
clínico cifrado, recebe uma camada adicional de criptografia antes de ser enviada a um bucket
privado Cloudflare R2. Esse backup pode ser armazenado fora do Brasil.
- Biblioteca geral — originais e prévias de materiais de referência ficam em
bucket privado Cloudflare R2; texto extraído, metadados e índices ficam na infraestrutura do
serviço. Essa faixa pode envolver armazenamento internacional e não deve conter dados clínicos
identificáveis.
- Trânsito — o tráfego entre o app e o servidor passa pela rede da
Cloudflare, que faz a terminação TLS na borda.
Conformidade
- LGPD — para o conteúdo clínico tratado segundo as instruções da
profissional, ela atua como controladora e o claripsi como operador. Para dados de conta,
segurança, suporte e cobrança do serviço, o claripsi atua como controlador.
- Cartilha de IA do CFP (dez/2025) — a camada de caso usada pela IA é
pseudonimizada por codinome; a identidade do paciente existe apenas criptografada no cofre;
sem reuso de conteúdo para treinamento de modelos.
- Resolução CFP nº 001/2009 — o claripsi apoia a elaboração e a organização
dos registros clínicos, sem substituir os registros profissionais exigidos.
3. Compartilhamento de dados e operadores
- IA (OpenAI, EUA) — quando você pede uma tarefa à IA, apenas o contexto
necessário àquela tarefa é enviado para processamento pela API. Não autorizamos o uso desse
conteúdo para treinamento dos modelos. Pelas condições padrão da API, o provedor pode manter
registros de monitoramento de abuso por até 30 dias, salvo controles de retenção específicos.
Nosso servidor não adiciona esse conteúdo a um corpus de treinamento; o registro clínico salvo
continua cifrado no cofre. Consulte a
política de dados da API.
- Transcrição de voz — o áudio do ditado é processado na nossa infraestrutura
de transcrição somente para devolver o texto daquela solicitação. O áudio e o texto bruto não
são mantidos em um corpus de uso normal.
- Cloudflare — infraestrutura de trânsito (rede/tunnel e TLS na borda) e
armazenamento privado R2 para o backup externo cifrado e os arquivos da Biblioteca geral.
- Apple / RevenueCat (EUA) — processamento de assinaturas: apenas
identificador de conta e metadados de compra. Nenhum conteúdo clínico.
- Sentry (região UE) — relatórios de erro do app e do servidor, sem
corpos de requisição, sem logs de console e sem conteúdo clínico.
- Apple/Google (login) — usamos o provedor e o identificador estável para
autenticar a conta; não retemos o nome ou e-mail enviados pelo provedor. Nenhum dado clínico é
compartilhado.
- Não vendemos dados. Não compartilhamos dados com terceiros para
publicidade.
4. Seus direitos (LGPD)
- Acesso — você pode solicitar uma cópia dos seus dados (nota: dados
criptografados só podem ser lidos com seu código de recuperação).
- Correção — você pode corrigir seus dados de perfil a qualquer momento.
- Eliminação — você pode excluir sua conta e retirar do serviço ativo os
dados associados; cópias de recuperação seguem a janela descrita abaixo.
- Portabilidade — você pode solicitar seus dados pelo suporte; conteúdo
cifrado depende do seu código de recuperação para ser lido.
Para exercer seus direitos: procure o canal de suporte no app ou a página de
suporte.
5. Retenção
- Conta e conteúdo cifrado — retidos enquanto a conta existir. Cancelar a
assinatura não exclui automaticamente a conta.
- Biblioteca geral — arquivos e índices são retidos enquanto o material ou a
conta existir.
- Laboratório interno de voz — amostras de teste ficam no corpus interno até
serem removidas pela equipe, mediante solicitação pelo suporte ou automaticamente com a
exclusão da conta. Elas não fazem parte do fluxo normal de ditado.
- Backups de recuperação — após a exclusão, os dados deixam o serviço ativo.
Cópias de recuperação já existentes não são usadas no serviço normal; a cópia externa permanece
cifrada e todas são eliminadas na rotação de backup, normalmente no ciclo diário e em até 30 dias
em caso de atraso operacional.
- Exclusão — em Configurações, você pode excluir a conta e seus dados
associados. Assinaturas da App Store devem ser canceladas separadamente.
6. Segurança da criança
O claripsi é destinado a profissionais, não ao uso direto por pacientes ou menores. A
profissional é responsável pela base legal e pelos cuidados aplicáveis aos dados que decidir
registrar sobre seus atendimentos.
7. Contato
A controladora dos dados de conta e do serviço é
CLARIPSI TECNOLOGIA DA INFORMACAO LTDA. Para questões de privacidade ou para
exercer seus direitos, use a página de suporte.
8. Alterações
Alterações relevantes serão publicadas nesta página com nova data de atualização.