Conformidade LGPD - GROUPSI

1. Introdução

A GROUPSI está comprometida em cumprir integralmente a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e suas regulamentações. Este documento descreve como implementamos os princípios e requisitos da LGPD em nossas operações.

2. Princípios da LGPD

A GROUPSI opera sob os seguintes princípios fundamentais:

2.1 Finalidade

• Coletamos dados apenas para finalidades específicas, explícitas e legítimas
• Não reutilizamos dados para finalidades incompatíveis sem novo consentimento
• Informamos claramente sobre todas as finalidades no momento da coleta

2.2 Adequação

• Coletamos apenas dados necessários para as finalidades declaradas
• Não coletamos dados excessivos ou desnecessários
• Realizamos avaliações regulares de necessidade de dados

2.3 Necessidade

• Limitamos a coleta ao mínimo necessário
• Implementamos princípio de minimização de dados
• Revisamos regularmente dados coletados

2.4 Transparência

• Informamos claramente sobre coleta e uso de dados
• Fornecemos avisos de privacidade acessíveis
• Respondemos a solicitações de informações em até 15 dias úteis

2.5 Segurança

• Implementamos medidas técnicas e organizacionais robustas
• Protegemos dados contra acessos não autorizados
• Realizamos auditorias de segurança regularmente
• Mantemos criptografia de ponta a ponta

2.6 Prevenção

• Implementamos medidas preventivas contra violações
• Conduzimos avaliações de impacto de privacidade
• Mantemos planos de resposta a incidentes

2.7 Não Discriminação

• Não usamos dados para discriminar usuários
• Não implementamos decisões automatizadas discriminatórias
• Garantimos igualdade de acesso ao Serviço

3. Bases Legais para Processamento

Processamos dados pessoais apenas com base em:

3.1 Consentimento

• Obtemos consentimento informado, específico e livre
• Consentimento é separado de outros termos
• Usuários podem revogar consentimento a qualquer tempo
• Consentimento é documentado e registrado

3.2 Contrato

• Processamos dados necessários para executar contrato com o usuário
• Dados são limitados ao necessário para performance do contrato
• Informamos sobre dados obrigatórios vs. opcionais

3.3 Obrigação Legal

• Processamos dados quando requerido por lei
• Cumprimos com regulamentações do CFP
• Mantemos registros conforme exigências legais
• Compartilhamos dados apenas quando legalmente obrigado

3.4 Proteção da Vida

• Processamos dados em emergências de saúde
• Quebra de sigilo apenas quando há risco iminente
• Documentamos todas as situações de emergência

3.5 Interesse Legítimo

• Usamos dados para melhorar segurança da plataforma
• Prevenimos fraude e atividades não autorizadas
• Balanceamos com direitos e liberdades do usuário

4. Direitos do Titular de Dados

Garantimos todos os direitos previstos na LGPD:

4.1 Direito de Acesso

• Usuários podem acessar seus dados pessoais
• Fornecemos informações em formato claro e acessível
• Respondemos em até 15 dias úteis
• Não cobramos taxa para acesso

4.2 Direito de Correção

• Usuários podem corrigir dados imprecisos
• Implementamos processo simples de correção
• Confirmamos alterações por email

4.3 Direito de Exclusão

• Usuários podem solicitar exclusão de dados
• Excluímos dados em até 30 dias (sujeito a exceções legais)
• Mantemos registros mínimos conforme obrigações legais
• Informamos sobre impossibilidade de exclusão quando aplicável

4.4 Direito de Portabilidade

• Fornecemos dados em formato estruturado e legível
• Dados podem ser transferidos para outro serviço
• Fornecemos em até 30 dias úteis
• Formato: CSV, JSON ou similar

4.5 Direito de Oposição

• Usuários podem opor-se ao processamento
• Cessamos processamento dentro de 30 dias
• Exceções: obrigações legais e fins legítimos

4.6 Direito de Revogação de Consentimento

• Consentimento pode ser revogado a qualquer tempo
• Revogação não afeta legalidade de processamento anterior
• Processo simples de revogação disponível

4.7 Direito de Não Ser Sujeito a Decisão Automatizada

• Não implementamos decisões automatizadas discriminatórias
• Usuários podem solicitar revisão humana
• Informamos sobre lógica de decisões automatizadas

5. Governança de Dados

5.1 Encarregado de Dados Pessoais (DPO)

A GROUPSI designou um Encarregado de Dados Pessoais:

Email: contato@groupsi.com.br
Telefone: (21) 97687-9193
Endereço: São Paulo, Brasil

Responsabilidades do DPO:

• Monitorar conformidade com LGPD
• Servir como ponto de contato com ANPD
• Realizar avaliações de impacto de privacidade
• Treinar equipe sobre proteção de dados

5.2 Comitê de Privacidade

Mantemos comitê interno de privacidade que:

• Revisa políticas de proteção de dados
• Avalia novos processamentos
• Investiga violações de dados
• Recomenda melhorias

5.3 Registros de Processamento

Mantemos registros detalhados de:

• Todas as atividades de processamento
• Bases legais para cada processamento
• Categorias de dados processados
• Períodos de retenção
• Medidas de segurança implementadas

6. Avaliação de Impacto de Privacidade (AIPD)

6.1 Quando Realizamos AIPD

Realizamos Avaliação de Impacto de Privacidade para:

• Novos processamentos de dados
• Mudanças significativas em processamento existente
• Implementação de novas tecnologias
• Processamento de dados sensíveis

6.2 Conteúdo da AIPD

Nossas avaliações incluem:

• Descrição do processamento
• Necessidade e proporcionalidade
• Riscos aos direitos do titular
• Medidas mitigadoras
• Consulta com partes interessadas

7. Segurança e Proteção de Dados

7.1 Medidas Técnicas

• Criptografia de ponta a ponta (TLS 1.3+)
• Autenticação de dois fatores
• Firewalls e sistemas de detecção de intrusão
• Backup automático e criptografado
• Isolamento de dados por usuário

7.2 Medidas Organizacionais

• Política de acesso mínimo necessário
• Treinamento de segurança para equipe
• Acordos de confidencialidade com funcionários
• Procedimentos de resposta a incidentes
• Auditorias de segurança regulares

7.3 Incidentes de Segurança

• Investigamos todos os incidentes
• Notificamos ANPD em até 72 horas (quando aplicável)
• Notificamos usuários afetados sem atraso injustificado
• Documentamos e aprendemos com incidentes

8. Transferência de Dados Internacionais

8.1 Política de Transferência

• Transferências internacionais são minimizadas
• Quando necessárias, implementamos mecanismos de proteção
• Cláusulas contratuais padrão com parceiros
• Avaliação de adequação de proteção no país destino

8.2 Países Terceiros

• Verificamos se país tem proteção adequada
• Implementamos salvaguardas adicionais se necessário
• Documentamos base legal para transferência

9. Dados de Menores de Idade

9.1 Consentimento Parental

• Requeremos consentimento verificado de responsável legal para todos os menores de 18 anos, com vinculação de conta parental obrigatória (CFP Resolução 13/2022 e ECA Digital)
• Consentimento é específico e informado
• Informamos sobre uso de dados de menores
• Verificação de identidade do responsável via CPF (Serpro)

9.2 Proteção Especial

• Não processamos dados de menores sem consentimento
• Não compartilhamos dados com terceiros sem consentimento
• Não usamos dados para marketing direcionado
• Mantemos sigilo profissional rigoroso

9.3 Conformidade com ECA Digital (Lei 15.211/2025)

Em conformidade com a Lei 15.211/2025 (Marco Normativo de Direitos Digitais para Crianças e Adolescentes), vigente desde 17 de março de 2026, a GROUPSI implementa:

• Verificação de idade documental: utilizamos verificação de CPF via Serpro (não aceitamos autodeclaração de idade)
• Vinculação parental obrigatória: menores de 18 anos devem ter conta vinculada ao responsável legal, que tem acesso ao painel do responsável
• Proibição de publicidade direcionada: não realizamos publicidade ou marketing direcionado a menores de idade
• Proibição de perfilamento: não criamos perfis comportamentais de menores com base em dados pessoais sensíveis
• Minimização de dados: coletamos apenas os dados estritamente necessários para a prestação do serviço terapêutico
• Transparência ao responsável: o responsável legal pode acessar informações sobre sessões, presença e consentimentos do menor

10. Conformidade com CFP

Além da LGPD, cumprimos regulamentações do Conselho Federal de Psicologia:

10.1 Sigilo Profissional

• Mantemos sigilo de informações compartilhadas em terapia
• Quebra de sigilo apenas em casos legais
• Documentamos todas as exceções

10.2 Ética Profissional

• Seguimos Código de Ética Profissional
• Implementamos princípios de beneficência e não-maleficência
• Respeitamos autonomia e dignidade dos usuários

11. Processo de Reclamação

11.1 Reclamações Internas

• Usuários podem registrar reclamações conosco
• Respondemos em até 15 dias úteis
• Investigamos e tomamos ações corretivas

11.2 Reclamações à ANPD

• Usuários podem apresentar reclamação à ANPD
• ANPD: Autoridade Nacional de Proteção de Dados

12. Treinamento e Conscientização

12.1 Treinamento de Equipe

• Todos os funcionários recebem treinamento em LGPD
• Treinamento anual obrigatório
• Treinamento específico por função
• Avaliação de compreensão

12.2 Conscientização de Usuários

• Informamos usuários sobre direitos
• Fornecemos guias de privacidade
• Respondemos a dúvidas sobre proteção de dados

13. Revisão e Atualização

13.1 Revisão Periódica

• Revisamos conformidade anualmente
• Atualizamos políticas conforme necessário
• Implementamos melhorias identificadas

13.2 Comunicação de Mudanças

• Notificamos usuários de mudanças significativas
• Atualizamos documentos de privacidade
• Solicitamos novo consentimento quando necessário

14. Contato

Para questões sobre conformidade LGPD:

Encarregado de Dados Pessoais:
Telefone: (21) 97687-9193
Endereço: São Paulo, Brasil

Autoridade Nacional de Proteção de Dados (ANPD)