LGPD e sigilo para clínicas de psicologia
O QualiSys.ai foi construído com privacidade por design — não como camada adicionada depois. Trilha de auditoria, criptografia, direitos do titular, DPO por clínica e isolamento multi-tenant garantem conformidade com a LGPD e o Código de Ética do CFP.
- Auditoria de cada acesso a dados sensíveis com identificação de usuário
- Criptografia AES-256-GCM para documentos e credenciais de integração
- Direitos do titular (acesso, portabilidade, retificação, exclusão) por canal estruturado
LGPD na prática para clínicas de saúde mental
Adequar uma clínica de psicologia à LGPD não é só ter política de privacidade — é garantir que o sistema usado trate dados sensíveis com as proteções técnicas adequadas.
Dados de saúde mental são dados sensíveis
A LGPD classifica dados de saúde como dados sensíveis, com requisitos de tratamento mais rígidos. Clínicas de psicologia que usam sistemas genéricos podem não ter as salvaguardas técnicas necessárias.
Acesso sem rastreabilidade
Sem trilha de auditoria, é impossível saber quem acessou o prontuário de qual paciente, quando e de qual dispositivo — um requisito básico de conformidade com o CFP e a LGPD.
Sigilo profissional exige mais que senha
Trocar de senha a cada 90 dias não é suficiente. Isolamento multi-tenant, controle de acesso por profissional e criptografia de dados são requisitos técnicos que o CFP e a ANPD esperam.
7 pilares de segurança e privacidade no QualiSys.ai
Cada pilar foi implementado para atender simultaneamente à LGPD, ao Código de Ética do CFP e às boas práticas de segurança da informação.
Trilha de auditoria completa
Cada acesso a dados sensíveis (prontuário, documentos, dados financeiros) é registrado com identificação de usuário, timestamp e ação realizada. Indispensável em caso de sindicância ou investigação do CFP.
Criptografia AES-256-GCM
Documentos, credenciais de integração (Asaas, ClickSign) e dados sensíveis armazenados são cifrados com AES-256-GCM no banco de dados — não apenas em trânsito.
Isolamento multi-tenant
Dados de cada clínica completamente isolados no banco — nenhuma consulta cross-tenant é possível por design. Profissional de uma clínica não acessa dados de outra.
Controle de acesso por profissional
Cada profissional acessa apenas seus próprios pacientes. Supervisora clínica acessa para revisão de qualidade — com trilha de auditoria própria. ADMIN da clínica não acessa prontuário clínico por padrão.
Direitos do titular
Canal estruturado para o titular exercer os direitos LGPD: acesso, portabilidade, retificação, anonimização e exclusão. Cada solicitação fica registrada no log de auditoria.
DPO por clínica
A clínica pode designar seu DPO (Encarregado de Proteção de Dados) no painel de configurações. O contato do DPO é exibido na Política de Privacidade do portal do paciente.
TCLE digital
Termo de Consentimento Livre e Esclarecido (TCLE) digital para instrumentos de avaliação psicológica — com registro de aceite do paciente vinculado ao protocolo.
Perguntas frequentes sobre LGPD e segurança
O QualiSys.ai passou por auditoria de segurança?
Sim. A plataforma passa por pentest periódico com achados corrigidos a cada ciclo. A auditoria cobre testes de acesso cross-tenant, validação de payloads, autenticação, autorização e proteção de dados sensíveis. Os resultados são documentados e corrigidos internamente.
Onde ficam armazenados os dados dos pacientes?
Os dados são armazenados em banco PostgreSQL no Railway (Brasil/EUA), com criptografia em repouso para dados sensíveis e criptografia em trânsito via TLS para todas as comunicações. Não há armazenamento local ou em dispositivos do profissional.
Como a clínica exerce os direitos dos titulares?
O painel de configurações da clínica tem uma seção dedicada a direitos dos titulares, onde é possível processar solicitações de acesso, portabilidade e exclusão de dados. Cada solicitação é registrada na trilha de auditoria para fins de comprovação de conformidade.
A LGPD exige encarregado (DPO) para clínicas de psicologia?
A obrigatoriedade de DPO formal pela LGPD depende do porte e da atividade da organização (Art. 41). Para clínicas que tratam dados de saúde em escala, é fortemente recomendado designar um encarregado. O QualiSys.ai permite registrar o DPO no painel e exibi-lo na política de privacidade do portal do paciente.