Política de Privacidade

Esther Magalhães (nome profissional: Esther Luma), psicóloga inscrita no CRP 05/09931, responsável pela plataforma estherluma.com (“Plataforma”), está comprometida com a proteção dos dados pessoais de seus usuários e clientes.

Esta Política de Privacidade foi elaborada em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), o Código de Ética Profissional do Psicólogo (Resolução CFP nº 010/2005) e demais normas aplicáveis.

Ao utilizar a Plataforma, o(a) Usuário(a) declara estar ciente e de acordo com as práticas descritas nesta Política. Recomendamos a leitura conjunta dos nossos Termos de Uso.

Coletamos os seguintes dados pessoais, conforme a finalidade de cada tratamento (LGPD, Art. 7º):

2.1. Dados de Cadastro

• Nome completo;
• Endereço de e-mail;
• Número de telefone;
• Data de nascimento;
• País de residência.

2.2. Dados de Pagamento

Os dados de pagamento (número do cartão, validade, CVV) são processados diretamente pelo Stripe, nosso processador de pagamentos, certificado como PCI DSS Level 1. Nós não armazenamos, não acessamos e não temos acesso aos dados completos do seu cartão de crédito ou débito. Armazenamos apenas um identificador de transação e os últimos 4 dígitos do cartão para fins de referência.

2.3. Dados de Navegação

• Endereço IP;
• Tipo de navegador e dispositivo;
• Páginas acessadas e tempo de permanência;
• Data e hora de acesso.

No contexto do atendimento psicológico, podemos coletar e tratar dados pessoais sensíveis (LGPD, Art. 5º, II), incluindo:

• Notas de sessão e evolução clínica;
• Histórico de atendimento psicológico;
• Informações sobre saúde mental e emocional compartilhadas durante as sessões;
• Queixas, demandas e objetivos terapêuticos.

Esses dados são tratados com o máximo sigilo e confidencialidade, em conformidade com:

• O Código de Ética Profissional do Psicólogo (Resolução CFP nº 010/2005), que estabelece o sigilo como dever fundamental;
• A Resolução CFP nº 001/2009, que regulamenta o registro documental e prontuários psicológicos;
• A LGPD, Art. 11, que exige consentimento específico e destacado para o tratamento de dados sensíveis, ou que o tratamento ocorra em hipóteses legais específicas.

O consentimento para tratamento de dados sensíveis de saúde é obtido de forma específica e destacada no momento da contratação dos serviços de psicoterapia.

Seus dados pessoais são tratados para as seguintes finalidades (LGPD, Art. 6º, I):

• Cadastro e identificação: criação e gestão da sua conta na Plataforma;
• Agendamento: gerenciamento de consultas, reagendamentos e cancelamentos;
• Pagamento: processamento de transações financeiras e emissão de recibos;
• Atendimento clínico: registro e acompanhamento do processo terapêutico;
• Comunicação: envio de lembretes de sessão, confirmações de agendamento, notificações sobre a conta e informações sobre os Serviços;
• Melhoria do serviço: análise de uso da Plataforma para aprimoramento da experiência do(a) Usuário(a);
• Cumprimento de obrigações legais: atendimento a exigências fiscais, regulatórias e profissionais.

O tratamento de dados pessoais é realizado com base nas seguintes hipóteses legais previstas na LGPD (Art. 7º e Art. 11):

• Consentimento do titular (Art. 7º, I e Art. 11, I): para tratamento de dados sensíveis de saúde e envio de comunicações de marketing;
• Execução de contrato (Art. 7º, V): para a prestação dos Serviços contratados (agendamento, sessões, cursos, produtos digitais);
• Cumprimento de obrigação legal ou regulatória (Art. 7º, II): para atendimento a obrigações fiscais, contábeis e regulatórias do CFP;
• Legítimo interesse (Art. 7º, IX): para melhoria da Plataforma, segurança e prevenção de fraudes, sempre respeitando os direitos e liberdades fundamentais do(a) titular.

Seus dados pessoais poderão ser compartilhados com os seguintes terceiros, exclusivamente para as finalidades descritas nesta Política:

• Stripe (processador de pagamentos): para processar transações financeiras de forma segura. O Stripe atua como operador de dados e possui sua própria política de privacidade em conformidade com padrões internacionais de segurança;
• Resend (serviço de e-mail): para envio de e-mails transacionais (confirmações de agendamento, lembretes de sessão, recibos de pagamento). São compartilhados apenas nome e endereço de e-mail;
• Autoridades competentes: quando exigido por lei, decisão judicial ou requisição de autoridade reguladora.

Nós nunca vendemos, alugamos ou comercializamos seus dados pessoais para terceiros, em nenhuma hipótese.

A Plataforma utiliza as seguintes tecnologias:

• Cookie de sessão (JWT): cookie essencial para o funcionamento da autenticação na Plataforma. Este cookie é necessário para manter o(a) Usuário(a) conectado(a) e garantir a segurança da sessão. Trata-se de um cookie estritamente necessário, dispensando consentimento nos termos da LGPD e das diretrizes da ANPD;
• Cookies de preferência: armazenam preferências do(a) Usuário(a), como idioma e configurações de exibição.

Não utilizamos cookies de terceiros para fins publicitários ou de rastreamento comportamental.

Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados pessoais contra acesso não autorizado, perda, alteração, destruição ou qualquer forma de tratamento inadequado ou ilícito (LGPD, Art. 46). As medidas incluem:

• Criptografia em trânsito: toda comunicação entre o navegador do(a) Usuário(a) e nossos servidores é protegida por HTTPS/TLS;
• Criptografia de senhas: as senhas dos usuários são armazenadas utilizando o algoritmo bcrypt, que gera hashes irreversíveis, tornando impossível a recuperação da senha original;
• Banco de dados seguro: os dados são armazenados em banco de dados PostgreSQL com acesso restrito e autenticado;
• Armazenamento de arquivos: documentos e arquivos são armazenados em serviço compatível com S3, com controle de acesso restrito;
• Acesso restrito: o acesso aos dados pessoais é limitado exclusivamente à Prestadora e a sistemas automatizados necessários para a prestação dos Serviços;
• Autenticação segura: utilizamos tokens JWT (JSON Web Tokens) com expiração definida para gerenciar as sessões de forma segura.

Em conformidade com o Art. 18 da LGPD, o(a) titular dos dados pessoais tem direito a:

• Confirmação e acesso (Art. 18, I e II): confirmar a existência de tratamento e acessar seus dados pessoais;
• Correção (Art. 18, III): solicitar a correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação (Art. 18, IV): de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade (Art. 18, V): solicitar a portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa;
• Eliminação (Art. 18, VI): solicitar a eliminação dos dados pessoais tratados com base no consentimento, exceto nas hipóteses de conservação previstas no Art. 16 da LGPD;
• Informação sobre compartilhamento (Art. 18, VII): obter informações sobre entidades públicas e privadas com as quais compartilhamos seus dados;
• Revogação do consentimento (Art. 18, IX): revogar o consentimento a qualquer momento, mediante manifestação expressa, sem afetar a licitude do tratamento realizado anteriormente.

Para exercer qualquer destes direitos, entre em contato pelo e-mail contato@estherluma.com. Responderemos sua solicitação no prazo de 15 (quinze) dias, conforme previsto na LGPD (Art. 18, §5º).

Nota importante: a eliminação de determinados dados poderá impossibilitar a continuidade da prestação dos Serviços. Dados clínicos (prontuários) estão sujeitos a prazos de retenção obrigatórios (veja a Seção 10).

Os dados pessoais serão retidos conforme os seguintes critérios:

• Dados de cadastro e conta: mantidos enquanto a conta do(a) Usuário(a) estiver ativa. Após o encerramento da conta, os dados serão eliminados no prazo de 30 (trinta) dias, ressalvadas as hipóteses de conservação previstas em lei (LGPD, Art. 16);
• Prontuários e registros clínicos: mantidos pelo período mínimo de 5 (cinco) anos após o último atendimento, conforme determinação da Resolução CFP nº 001/2009. Após este período, os registros poderão ser eliminados de forma segura;
• Dados financeiros e fiscais: mantidos pelo período exigido pela legislação tributária brasileira (5 anos, conforme o Código Tributário Nacional);
• Dados de navegação: mantidos por até 6 (seis) meses para fins de segurança e análise de uso.

Em razão da natureza dos Serviços (atendimento a clientes no Brasil e nos Estados Unidos da América) e dos parceiros tecnológicos utilizados, seus dados pessoais poderão ser transferidos e processados fora do Brasil, especificamente:

• Stripe: sediado nos Estados Unidos, processa dados de pagamento em servidores localizados nos EUA e em outros países;
• Resend: serviço de e-mail que pode processar dados em servidores localizados fora do Brasil.

Essas transferências são realizadas em conformidade com o Art. 33 da LGPD, com base nas seguintes garantias:

• Cláusulas contratuais padrão que garantem nível adequado de proteção de dados;
• Compromisso dos fornecedores com padrões internacionais de segurança e privacidade;
• Consentimento específico do(a) titular, quando aplicável (Art. 33, VIII).

A Plataforma e os Serviços de psicoterapia são destinados a pessoas maiores de 18 (dezoito) anos. Não realizamos atendimento psicológico a menores de 18 anos sem o consentimento expresso de pelo menos um dos pais ou responsáveis legais, conforme exigido pelo Estatuto da Criança e do Adolescente (Lei nº 8.069/1990) e pela LGPD (Art. 14).

Nos termos do Art. 14, §1º da LGPD, o tratamento de dados pessoais de crianças e adolescentes será realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, observando o melhor interesse do menor.

Caso tenhamos conhecimento de que dados de menor de 18 anos foram coletados sem o consentimento adequado, tomaremos providências para eliminar tais dados.

Nos termos do Art. 41 da LGPD, o(a) encarregado(a) pelo tratamento de dados pessoais (Data Protection Officer — DPO) é:

• Nome: Esther Magalhães
• E-mail para questões de privacidade: contato@estherluma.com
• Telefone: (24) 98807-9968

O(a) encarregado(a) é responsável por aceitar reclamações e comunicações dos titulares e da Autoridade Nacional de Proteção de Dados (ANPD), prestar esclarecimentos e adotar providências.

Caso entenda que o tratamento de seus dados pessoais viola a LGPD, o(a) titular poderá também apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), por meio do site www.gov.br/anpd.

Esta Política de Privacidade poderá ser atualizada periodicamente para refletir mudanças em nossas práticas de tratamento de dados, novas funcionalidades da Plataforma ou alterações na legislação aplicável.

Em caso de alterações substanciais, o(a) Usuário(a) será notificado(a) por e-mail ou por aviso destacado na Plataforma. A data da última atualização será sempre indicada no topo desta página.

O uso continuado da Plataforma após a publicação de alterações constitui aceitação da Política atualizada.

Esta Política de Privacidade entra em vigor na data de sua publicação (31 de março de 2026) e permanecerá válida por tempo indeterminado, até que seja substituída por uma nova versão.