Skip to main content

Política de Privacidade — Aplicativo LIMBI

Última atualização: [DD/MM/AAAA]

A presente Política de Privacidade ("Política") descreve como a MINDELIA HEALTH INOVAÇÃO EM SAÚDE MENTAL LTDA — LIMBI APP ("LIMBI", "nós" ou "Empresa"), inscrita no CNPJ nº 62.996.094/0001-58, com sede em [endereço completo], coleta, utiliza, armazena, compartilha e protege os dados pessoais dos usuários ("Usuário" ou "você") do aplicativo móvel LIMBI, do site institucional e dos demais serviços digitais correlatos ("Plataforma").

Esta Política integra e complementa os Termos de Uso do LIMBI e foi elaborada em conformidade com a Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD), com o Marco Civil da Internet (Lei nº 12.965/2014) e com as melhores práticas de privacidade em saúde digital.

AVISO IMPORTANTE. O LIMBI trata dados pessoais sensíveis referentes a saúde, vida sexual, comportamento e bem-estar psicoemocional, nos termos do art. 5º, II, da LGPD. Por esse motivo, adotamos cuidados reforçados de segurança, transparência e finalidade. Leia esta Política com atenção antes de utilizar a Plataforma.

1. Quem é o Controlador dos seus dados

O Controlador dos dados pessoais é a:

MINDELIA HEALTH INOVAÇÃO EM SAÚDE MENTAL LTDA — LIMBI APP CNPJ nº 62.996.094/0001-58 Endereço: [endereço completo] E-mail: [contato@limbi.com.br]

1.1. Encarregado pelo Tratamento de Dados (DPO)

Em atendimento ao art. 41 da LGPD, a LIMBI mantém Encarregado pelo Tratamento de Dados Pessoais, que pode ser contatado por:

  • Nome: Pedro Moreira
  • E-mail: [dpo@limbi.com.br]
  • Endereço postal: R DR. JERONIMO MONTEIRO LOPES, 467, REGISTRO/SP, CEP: 11.900-000

1.2. Operadores

Em determinadas hipóteses, terceiros atuam como operadores do tratamento (por exemplo, provedores de nuvem, processadores de pagamento, serviços de envio de e-mail, APIs de bloqueio e provedores de IA). Esses operadores tratam dados em nome da LIMBI, sob instruções por escrito e contratos com cláusulas específicas de proteção de dados.

1.3. Cenários institucionais (B2B2C e 2G)

Quando o acesso ao LIMBI é disponibilizado pelo seu plano de saúde, clínica, profissional de saúde, empregador, programa corporativo, plataforma parceira ou ente público (secretaria de saúde), pode haver controladoria conjunta ou operações distintas, conforme contratado. As regras específicas constarão do contrato firmado com a instituição e serão informadas ao Usuário no momento do cadastro, com o respectivo consentimento quando exigido pela LGPD.

2. Dados Pessoais que Tratamos

A coleta de dados ocorre conforme o uso da Plataforma e a configuração de privacidade do Usuário. Os dados podem ser fornecidos diretamente pelo Usuário, coletados automaticamente pela Plataforma ou recebidos de terceiros autorizados.

2.1. Dados de cadastro e identificação

  • Nome ou apelido;
  • E-mail;
  • Senha (armazenada de forma criptografada com algoritmos de hash);
  • Identificadores de login social (Google, Apple), quando aplicável;
  • Faixa etária e, opcionalmente, data de nascimento (para verificação de maioridade);
  • Região (cidade/UF), de forma opcional, para fins estatísticos e de anonimização agregada.

2.2. Dados da Pessoa de Apoio (terceiro indicado pelo Usuário)

  • Nome e contato (telefone e/ou e-mail) da Pessoa de Apoio indicada pelo Usuário;
  • Dados de envio de mensagens automatizadas em situações específicas (ex.: SOS), conforme configuração do Usuário.

O Usuário declara, ao indicar uma Pessoa de Apoio, possuir autorização do indicado para o fornecimento de seus dados. A Pessoa de Apoio poderá, a qualquer tempo, exercer seus direitos de titular junto à LIMBI.

2.3. Dados pessoais sensíveis de saúde e bem-estar

  • Resultados de escalas de autoavaliação (ex.: grau de dependência inicial);
  • Registros de humor, fissura/craving e gatilhos, com timestamp e contexto livre;
  • Anotações em escrita terapêutica e registros de pensamento;
  • Áudios gravados em recursos de speech-to-text e respectivas transcrições;
  • Acionamentos do Botão SOS, fluxo escolhido e resultado;
  • Frequência e padrões de uso de exercícios, trilhas e ferramentas;
  • Indicadores autorrelatados (ex.: dias de abstinência, recaídas, evolução de metas);
  • Dados que possam revelar comportamentos relacionados a apostas, jogos e pornografia.

2.4. Dados de uso e técnicos

  • Identificadores de dispositivo (modelo, sistema operacional, idioma);
  • Endereço IP, dados de conexão e localização aproximada (com base em IP), quando necessária para segurança ou prestação do serviço;
  • Eventos de uso, telas acessadas, cliques, tempo de uso, falhas e logs;
  • Identificadores de aplicativo (push tokens, identificadores publicitários quando aplicáveis);
  • Dados relativos ao funcionamento do bloqueio de conteúdo (eventos de tentativa de acesso, listas, métricas de eficácia), tratados de forma agregada/anonimizada sempre que possível.

2.5. Dados de pagamento e cobrança

  • Identificação do plano contratado;
  • Histórico de pagamentos, status de assinatura, cupons aplicados;
  • Os dados de cartão de crédito, conta bancária, Pix ou outros instrumentos de pagamento são processados diretamente pelos provedores de pagamento e/ou pelas lojas de aplicativos (Google Play, App Store etc.), nos termos das respectivas políticas. A LIMBI não armazena dados completos de cartões.

2.6. Dados gerados por interações com Inteligência Artificial

  • Mensagens trocadas com assistente conversacional / chatbot;
  • Dados de entrada e saída em modelos de detecção de risco, personalização de SOS, curadoria de trilhas e registro de pensamento guiado;
  • Áudio e respectiva transcrição gerados por funcionalidade de speech-to-text, inclusive em fluxos de crise.

2.7. Dados de comunicação e suporte

  • Mensagens enviadas a canais oficiais de suporte, FAQ e e-mail;
  • Avaliações, feedbacks, formulários e respostas a pesquisas voluntárias.

2.8. Dados de menores de 18 anos

A Plataforma é destinada a maiores de 18 anos. A LIMBI não coleta intencionalmente dados de menores. Caso seja identificado que dados de menor foram coletados sem o devido consentimento dos responsáveis legais, eles serão excluídos imediatamente. Se você é responsável por um menor e identificou tal situação, entre em contato pelo DPO.

3. Finalidades e Bases Legais do Tratamento

A LIMBI trata dados pessoais para finalidades legítimas, específicas, explícitas e informadas, sempre amparadas em uma das bases legais previstas nos arts. 7º e 11 da LGPD. As principais finalidades e respectivas bases legais são:

Finalidade Categorias de dados Base legal (LGPD)
1 Criar e manter conta de Usuário; autenticar acessos Cadastro, login, dispositivo Execução de contrato (art. 7º, V)
2 Disponibilizar trilhas, ferramentas, registros, gamificação e demais funcionalidades de autocuidado Cadastro, uso, sensíveis de saúde Execução de contrato (art. 7º, V) e consentimento específico para dados sensíveis (art. 11, I)
3 Operar o bloqueio de conteúdo (apostas, pornografia) Uso, técnico, sensíveis Consentimento específico (art. 11, I)
4 Operar Botão SOS e fluxos de apoio em crise, incluindo envio de mensagem à Pessoa de Apoio quando configurado Sensíveis de saúde, contato de Pessoa de Apoio Consentimento (art. 11, I) e proteção da vida ou incolumidade física (art. 11, II, "f")
5 Personalizar conteúdo, recomendações e fluxos por meio de Inteligência Artificial Sensíveis de saúde, uso, IA Consentimento específico (art. 11, I)
6 Detecção de risco e prevenção de recaída por análise automatizada Sensíveis de saúde Consentimento específico e proteção da vida (art. 11, II, "f")
7 Enviar notificações, lembretes e mensagens motivacionais Cadastro, uso Execução de contrato; legítimo interesse (art. 7º, IX), com possibilidade de oposição
8 Comunicações de marketing, novidades e ofertas Cadastro, uso Consentimento (art. 7º, I), revogável a qualquer tempo
9 Cobrança, processamento de pagamentos e prevenção a fraudes Cadastro, pagamento, técnico Execução de contrato; obrigação legal/regulatória; legítimo interesse
10 Suporte ao Usuário, atendimento e melhoria do serviço Cadastro, uso, comunicação Execução de contrato; legítimo interesse
11 Atendimento a obrigações legais, fiscais, contábeis e regulatórias Cadastro, pagamento, registros Cumprimento de obrigação legal (art. 7º, II)
12 Exercício regular de direitos em processo judicial, administrativo ou arbitral Cadastro, uso, sensíveis Exercício regular de direitos (art. 7º, VI; art. 11, II, "d")
13 Compartilhamento de relatórios agregados e anonimizados com Clientes Institucionais e Entes Públicos Dados anonimizados Não se aplica LGPD a dados anonimizados (art. 12); legítimo interesse para o processo de anonimização
14 Compartilhamento individualizado com profissional de saúde / Cliente Institucional indicado pelo Usuário Sensíveis de saúde Consentimento específico (art. 11, I) e/ou tutela da saúde por profissional de saúde, serviço de saúde ou autoridade sanitária (art. 11, II, "f")
15 Realização de pesquisas científicas e estudos de eficácia, em parceria com universidades e centros de pesquisa Dados anonimizados/pseudonimizados Estudo por órgão de pesquisa (art. 7º, IV; art. 11, II, "c"), com garantia de anonimização sempre que possível
16 Treinamento e melhoria de modelos de IA Dados anonimizados/pseudonimizados Legítimo interesse (art. 7º, IX) com garantia de anonimização; ou consentimento específico quando aplicável
17 Segurança da informação, prevenção e investigação de incidentes, fraudes e abusos Cadastro, uso, técnico Legítimo interesse (art. 7º, IX); cumprimento de obrigação legal

4. Compartilhamento de Dados

A LIMBI não vende dados pessoais. O compartilhamento ocorre apenas nas hipóteses descritas a seguir, sempre observadas as bases legais e os princípios da LGPD.

4.1. Operadores e prestadores de serviço

Compartilhamos dados com prestadores que atuam em nome da LIMBI, como:

  • Provedores de infraestrutura em nuvem e hospedagem;
  • Provedores de banco de dados e armazenamento;
  • Provedores de e-mail, push notifications e SMS;
  • Provedores de pagamento e antifraude;
  • APIs de bloqueio de conteúdo;
  • Provedores de inteligência artificial e processamento de linguagem natural (incluindo speech-to-text);
  • Ferramentas de analytics, monitoramento de erros e observabilidade;
  • Lojas de aplicativos (Google Play, App Store) — apenas para distribuição e cobrança;
  • Serviços de atendimento ao cliente.

Esses operadores estão contratualmente obrigados a tratar os dados somente conforme as instruções da LIMBI, com confidencialidade e medidas técnicas e organizacionais adequadas.

4.2. Profissionais de saúde e Clientes Institucionais (B2B2C)

Quando o Usuário autoriza expressamente o compartilhamento com clínica, consultório, profissional de saúde ou plataforma parceira (por exemplo, no contexto de tratamento híbrido), poderão ser compartilhados:

  • relatórios individualizados de evolução, humor, craving, abstinência autorrelatada, engajamento e indicadores de risco;
  • alertas pontuais (quando configurado e consentido).

Esse compartilhamento é opcional e pode ser revogado a qualquer tempo. Sem o consentimento específico, dados pessoais sensíveis identificados não serão compartilhados com a instituição contratante.

4.3. Pessoa de Apoio

Mediante configuração do Usuário, a Pessoa de Apoio indicada pode receber mensagens automatizadas em determinadas situações (por exemplo, durante uso do Botão SOS). O conteúdo dessas mensagens é o mínimo necessário e segue as preferências configuradas.

4.4. Entes Públicos (2G) e gestores de saúde

Para contratos firmados com secretarias de saúde, municípios, estados, União e demais entes públicos, o compartilhamento ocorre, em regra, na forma de:

  • dados agregados e anonimizados, sem possibilidade de reidentificação direta;
  • indicadores epidemiológicos e de uso, painéis de gestão e relatórios analíticos;
  • dados estatísticos de engajamento, regiões, faixas etárias, padrões agregados.

Eventual compartilhamento de dados identificados ocorrerá apenas mediante consentimento específico do Usuário ou em hipóteses legais expressas (proteção da vida, tutela da saúde, obrigação legal).

4.5. Parceiros de pesquisa científica

A LIMBI poderá compartilhar dados anonimizados ou pseudonimizados com universidades, hospitais e grupos de pesquisa, em especial a Universidade Federal do Paraná (UFPR) e demais instituições parceiras, para estudos de eficácia, efetividade clínica e validação científica, observados os arts. 7º, IV, e 11, II, "c" da LGPD e as normas éticas de pesquisa aplicáveis (Resoluções CNS nº 466/2012 e nº 510/2016).

4.6. Autoridades públicas e cumprimento legal

Quando exigido por lei, ordem judicial ou requisição de autoridade competente (incluindo a ANPD), a LIMBI poderá compartilhar dados estritamente necessários, observados os limites legais e o devido sigilo profissional.

4.7. Operações societárias

Em caso de fusão, aquisição, reorganização societária ou venda total ou parcial do negócio, dados pessoais poderão ser transferidos ao adquirente ou sucessor, observada a continuidade dos compromissos desta Política.

4.8. Conteúdo patrocinado e parcerias

Quando houver módulos ou campanhas patrocinadas por instituições alinhadas (ex.: educação financeira, saúde), nenhum dado pessoal será compartilhado com o patrocinador sem consentimento. Dados eventualmente compartilhados serão anônimos e agregados. Não realizamos parcerias com casas de aposta ou entidades em conflito ético com a missão do LIMBI.

5. Transferência Internacional de Dados

5.1. Alguns operadores (especialmente provedores de nuvem, IA e pagamentos) podem estar localizados ou processar dados em países diferentes do Brasil.

5.2. Sempre que houver transferência internacional de dados pessoais, a LIMBI adotará as garantias previstas no art. 33 da LGPD, tais como:

  • transferência para países que ofereçam grau de proteção adequado;
  • cláusulas contratuais padrão e cláusulas específicas;
  • normas corporativas globais;
  • selos, certificados e códigos de conduta;
  • consentimento específico, quando exigido.

6. Segurança da Informação

6.1. A LIMBI adota medidas técnicas, administrativas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados, perdas, alterações, comunicações ou difusões indevidas, incluindo, sem se limitar a:

  • criptografia de dados sensíveis em trânsito (TLS) e em repouso;
  • armazenamento de senhas com algoritmos de hash;
  • controle de acesso por perfis, autenticação reforçada para administradores e princípio do menor privilégio;
  • segregação de ambientes (desenvolvimento, homologação e produção);
  • registros de logs e monitoramento de acessos;
  • backup periódico e plano de recuperação;
  • treinamento da equipe em privacidade e segurança;
  • avaliação de riscos e privacidade desde a concepção (privacy by design e by default);
  • contratos com operadores prevendo medidas equivalentes.

6.2. Incidentes de segurança. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, a LIMBI comunicará a ANPD e os titulares afetados, nos prazos e condições previstos na LGPD e na regulamentação da Autoridade.

6.3. Nenhum sistema é absolutamente imune a falhas. O Usuário também tem papel essencial na segurança de seus dados, devendo proteger suas credenciais e o dispositivo utilizado.

7. Retenção e Eliminação de Dados

7.1. Os dados pessoais são mantidos pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observadas as obrigações legais e regulatórias.

7.2. Critérios gerais de retenção:

  • Conta ativa: durante toda a vigência da relação com o Usuário;
  • Após o encerramento da conta: até 6 (seis) meses para finalidades de suporte, recuperação e segurança, salvo solicitação anterior de exclusão;
  • Registros de acesso e logs: mínimo de 6 (seis) meses, conforme art. 15 do Marco Civil da Internet;
  • Documentos fiscais e registros financeiros: prazos exigidos pela legislação fiscal e tributária (em regra, 5 (cinco) anos);
  • Dados anonimizados: podem ser mantidos por prazo indeterminado, pois não se sujeitam à LGPD (art. 12);
  • Dados utilizados em pesquisa científica: conforme protocolo aprovado pelo Comitê de Ética em Pesquisa, observada a anonimização sempre que possível.

7.3. Após o decurso dos prazos aplicáveis, os dados são eliminados ou anonimizados de forma segura.

8. Direitos do Titular dos Dados

Nos termos do art. 18 da LGPD, o Usuário tem direito a, a qualquer tempo e mediante requisição:

  1. Confirmação da existência de tratamento;
  2. Acesso aos seus dados;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  5. Portabilidade dos dados a outro fornecedor de serviço, observadas as regras da ANPD;
  6. Eliminação dos dados tratados com base em consentimento, ressalvadas as hipóteses de guarda legal;
  7. Informação sobre as entidades públicas e privadas com as quais a LIMBI compartilhou seus dados;
  8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  9. Revogação do consentimento a qualquer tempo, sem prejuízo da licitude do tratamento realizado anteriormente;
  10. Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD;
  11. Revisão de decisões automatizadas que afetem seus interesses, incluindo decisões destinadas a definir perfil pessoal, profissional, de saúde, de crédito ou aspectos de sua personalidade.

8.1. Como exercer os direitos

O Usuário pode exercer seus direitos:

  • por meio das opções nativas no Aplicativo (configurações de privacidade, exclusão de conta, exportação);
  • por e-mail ao DPO: [dpo@limbi.com.br];
  • por canal específico disponibilizado no site institucional.

Para sua segurança, podemos solicitar comprovação de identidade antes de atender determinadas requisições. As respostas serão fornecidas em prazo razoável, conforme art. 19 da LGPD e regulamentação da ANPD.

8.2. Reclamações à ANPD

O Usuário pode, ainda, peticionar à Autoridade Nacional de Proteção de Dados (ANPD) quando entender que seus direitos não foram adequadamente atendidos: www.gov.br/anpd.

9. Decisões Automatizadas e Inteligência Artificial

9.1. Algumas funcionalidades do LIMBI utilizam tratamento automatizado de dados e modelos de IA para:

  • detectar padrões de risco e crise e sugerir o acionamento do Botão SOS;
  • personalizar trilhas, técnicas, lembretes e mensagens;
  • gerar respostas em assistente conversacional;
  • realizar transcrição automática de voz (speech-to-text) e categorizar conteúdos.

9.2. O Usuário tem direito de solicitar a revisão humana de decisões automatizadas que possam afetá-lo significativamente, observadas as limitações técnicas e a finalidade da Plataforma.

9.3. As decisões automatizadas têm caráter educativo, motivacional e de apoio, e não substituem julgamento clínico ou diagnóstico, conforme detalhado nos Termos de Uso.

10. Cookies e Tecnologias Similares

10.1. O site institucional do LIMBI e, eventualmente, partes do Aplicativo, podem utilizar cookies, SDKs e tecnologias similares, com as seguintes finalidades:

  • Estritamente necessários: garantir o funcionamento da Plataforma, autenticação e segurança;
  • Funcionais: lembrar preferências do Usuário e melhorar a experiência;
  • Analíticos: medir uso, desempenho e estabilidade;
  • Marketing: apenas mediante consentimento, para campanhas e personalização.

10.2. O Usuário pode gerenciar suas preferências de cookies por meio do banner de cookies, das configurações do navegador ou do dispositivo. A desativação de determinadas categorias pode impactar funcionalidades.

11. Crianças e Adolescentes

A Plataforma destina-se exclusivamente a maiores de 18 anos. Não direcionamos serviços a crianças e adolescentes e não coletamos intencionalmente seus dados. Caso identifique tal coleta indevida, contate o DPO para exclusão imediata.

12. Particularidades dos Cenários Institucionais

12.1. Clínicas, profissionais e plataformas parceiras (B2B2C)

Quando o LIMBI for utilizado em conjunto com tratamento clínico ou serviço profissional, o profissional de saúde é responsável pelo seu próprio tratamento de dados (prontuário, sigilo profissional), sob normas dos respectivos Conselhos de Classe (CFM, CRP). A LIMBI atua como fornecedor de tecnologia, em controladoria conjunta ou na qualidade de operador, conforme o contrato.

12.2. Empresas de educação financeira e programas corporativos

A oferta do LIMBI no contexto de programas corporativos ou parcerias de educação financeira não autoriza a empresa contratante a acessar dados sensíveis identificados dos colaboradores ou clientes. Apenas indicadores agregados, anonimizados e relacionados a engajamento poderão ser disponibilizados, conforme o contrato e o consentimento dos titulares.

12.3. Entes públicos (2G)

Em contratos com secretarias de saúde, municípios e estados, são compartilhados, em regra, dados agregados e anonimizados, painéis territoriais e indicadores que apoiem a gestão pública, vigilância em saúde, prevenção e planejamento, sem acesso a dados identificados de Usuários, salvo previsão legal específica e consentimento.

13. Alterações desta Política

13.1. A LIMBI poderá atualizar esta Política periodicamente, para refletir alterações na legislação, na Plataforma ou em práticas de privacidade.

13.2. Alterações materialmente relevantes serão comunicadas ao Usuário por notificação no Aplicativo e/ou e-mail, com antecedência razoável, e poderão depender de novo consentimento quando a finalidade ou a base legal for alterada de forma significativa.

13.3. A versão vigente estará sempre disponível na Plataforma, com indicação da data da última atualização.

14. Disposições Finais

14.1. Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela LGPD, pelo Marco Civil da Internet e pelo Código de Defesa do Consumidor.

14.2. Em caso de conflito entre esta Política e os Termos de Uso, prevalece esta Política nas matérias relativas ao tratamento de dados pessoais.

14.3. Fica eleito o foro da Comarca de [cidade/UF], ressalvada a possibilidade de o Usuário consumidor optar pelo foro do seu domicílio.

15. Contato

Para dúvidas, solicitações, reclamações ou exercício de direitos relacionados aos seus dados pessoais:

  • Encarregado pelo Tratamento de Dados (DPO): Pedro Moreira
  • E-mail do DPO: [dpo@limbi.com.br]
  • E-mail geral: [contato@limbi.com.br]
  • Endereço postal: [R DR. JERONIMO MONTEIRO LOPES, 467, REGISTRO/SP, CEP: 11.900-000]
  • MINDELIA HEALTH INOVAÇÃO EM SAÚDE MENTAL LTDA — LIMBI APP — CNPJ nº 62.996.094/0001-58

Aviso final. Esta minuta foi elaborada com base no modelo de negócios e no escopo funcional do LIMBI (B2C, B2B2C e 2G), incluindo bloqueio de conteúdo, ferramentas de psicoeducação, registros de saúde, IA e dados anonimizados para gestão pública. Antes da publicação, recomenda-se revisão por advogado(a) especializado(a) em LGPD e saúde digital, bem como elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), dada a natureza sensível e o potencial alto risco do tratamento de dados de saúde mental e comportamentos aditivos.