Política de Privacidade

1. Controlador e contato

O Iris Codex é o responsável pelo tratamento dos dados do terapeuta usuário. Para exercício de direitos e dúvidas sobre privacidade, contate o responsável pelo tratamento de dados pelo e-mail suporte@iriscodex.com. O Iris Codex encontra-se em fase beta restrita; a identificação registral completa do controlador será publicada nesta Política antes de qualquer disponibilização ao público geral.

2. Dados que tratamos — terapeuta

Nome completo, e-mail, telefone/WhatsApp, especialidades, aceite dos termos (data e versão) e dados de uso (registros de acesso, logs técnicos e de segurança).

3. Dados de examinados inseridos por você

Ao usar a ferramenta, você insere dados de seus examinados (nome, data de nascimento, sexo biológico, contato, imagens de íris e anotações). Quanto a esses dados, você é o controlador e o Iris Codex atua como operador, tratando-os apenas para prestar o serviço, conforme suas instruções e os Termos de Uso. O consentimento do examinado é coletado e registrado por meio do fluxo próprio da plataforma. Caso o examinado seja criança ou adolescente, você é responsável por obter o consentimento específico e em destaque de ao menos um dos pais ou responsável legal, observando o art. 14 da LGPD e o melhor interesse do menor.

4. Bases legais

Tratamos os dados do terapeuta com fundamento na execução de contrato e procedimentos preliminares (art. 7º, V), no cumprimento de obrigação legal/regulatória (art. 7º, II — incluindo a guarda de registros de acesso a aplicação exigida pelo art. 15 do Marco Civil da Internet) e no legítimo interesse, restrito a dados do próprio terapeuta e telemetria, para segurança e melhoria do serviço (art. 7º, IX).

Os dados de examinados incluem dados pessoais sensíveis — imagens de íris (dado biométrico) e informações relativas à saúde e ao contexto terapêutico (art. 5º, II da LGPD). Esse tratamento se fundamenta no consentimento específico e destacado do titular para finalidades específicas (art. 11, I da LGPD), coletado e registrado por você no fluxo próprio da plataforma, podendo ainda apoiar-se na tutela da saúde por profissional (art. 11, II, "f"). O Iris Codex, como operador, processa esses dados exclusivamente para gerar o relatório de apoio, sob suas instruções.

5. Finalidades

Autenticação e operação da conta; geração e armazenamento das leituras e relatórios; comunicação operacional; segurança, prevenção a fraude e cumprimento legal; melhoria da ferramenta (sem uso de conteúdo de examinado para essa finalidade).

6. Operadores e transferência internacional

Utilizamos subprocessadores para viabilizar o serviço: Supabase (banco de dados e autenticação), Vercel (hospedagem), Resend (envio de e-mails) e Anthropic (processamento de IA para geração do relatório). Esses fornecedores armazenam e/ou processam dados nos Estados Unidos. Como os EUA não possuem decisão de adequação da ANPD, a transferência internacional fundamenta-se em cláusulas contratuais firmadas com cada subprocessador, com garantias compatíveis com a LGPD (art. 33, II e VIII), e, quanto a dados sensíveis de examinados, no consentimento específico e destacado do titular para a transferência (art. 33, VIII), coletado por você no fluxo de consentimento. Os Acordos de Tratamento de Dados (DPA) dos subprocessadores estão disponíveis mediante solicitação ao contato do item 1.

As imagens e textos enviados para processamento de IA não são utilizados para treinar modelos da Anthropic nem de terceiros. A geração do relatório é um apoio assistido por IA, sem decisão automatizada com efeitos jurídicos sobre o titular (art. 20 da LGPD) — a interpretação e a conduta cabem ao terapeuta.

7. Retenção

Dados da conta do terapeuta são mantidos enquanto a conta estiver ativa e por período razoável após o encerramento, para cumprimento de obrigações legais. Registros de acesso à aplicação são guardados por 6 (seis) meses, nos termos do art. 15 do Marco Civil da Internet. Dados de examinados são mantidos pelo período definido por você (controlador) e eliminados após sua instrução ou o encerramento da conta, ressalvada a guarda mínima legal e a preservação anonimizada da prova de consentimento (art. 16, I da LGPD).

8. Direitos do titular

Você e os titulares podem solicitar confirmação de tratamento, acesso, correção, anonimização, portabilidade, eliminação e informação sobre compartilhamento, bem como revogar consentimento (art. 18 da LGPD). As solicitações devem ser dirigidas ao contato do item 1. Responderemos à confirmação de existência de tratamento e ao acesso em até 15 (quinze) dias (art. 19, II da LGPD); as demais no menor prazo possível. Quando você atuar como controlador de dados de examinados, encaminharemos a você, como operador, as solicitações de titulares recebidas diretamente, para que você as atenda.

9. Segurança

Adotamos medidas técnicas e administrativas para proteger os dados (controle de acesso, criptografia em trânsito, isolamento por terapeuta). O acesso é por código de uso único enviado por e-mail — não armazenamos senha. Nenhum sistema é totalmente imune; em caso de incidente de segurança que possa acarretar risco ou dano relevante, comunicaremos a ANPD e os titulares afetados nos termos do art. 48 da LGPD e, quando atuarmos como operador, notificaremos você (controlador) sem demora injustificada para as providências cabíveis.

10. Cookies e armazenamento local

Utilizamos apenas o cookie de sessão de autenticação (Supabase), estritamente necessário para manter você conectado. Não utilizamos cookies de publicidade nem analytics de terceiros. Registros de acesso seguem a retenção do item 7 (art. 15 do Marco Civil).

11. Alterações

Esta Política pode ser atualizada. Mudanças relevantes serão sinalizadas (por e-mail cadastrado e/ou no acesso à plataforma) e poderá ser solicitado novo aceite. A versão vigente é identificada no topo desta página.