Tratamento de Dados e HIPAA

Em resumo

O Therapy Resources foi concebido para que não precise de carregar Informação de Saúde Protegida (PHI). Descreve os materiais que pretende, a IA ilustra-os e o utilizador imprime-os. Nomes de clientes, diagnósticos e notas clínicas nunca entram no sistema. Como não tratamos PHI, o enquadramento dos Business Associate Agreements (BAA) do HIPAA não se aplica — mas os padrões que define (encriptação, controlo de acessos, retenção, eliminação) orientam na mesma a forma como operamos.

Não são necessárias PHI

Nada no fluxo de criação pede informação identificável de clientes. Não precisa de partilhar:

• Nomes, idades ou dados identificativos de clientes
• Diagnósticos ou notas clínicas
• Conteúdo de sessões ou históricos de casos
• Fotos, gravações ou citações de clientes

Se já guarda PHI no seu sistema de registos clínicos ou em papel, deixe-os lá. O Therapy Resources trabalha ao nível de conceitos terapêuticos genéricos — um cartão de emoção rotulado "frustrado", uma ficha sobre estratégias de coping, um jogo de tabuleiro sobre competências sociais — e não material específico de cada caso.

Sobre o HIPAA especificamente

O Therapy Resources não é certificado pelo HIPAA e não assinamos Business Associate Agreements. O HIPAA regula a Informação de Saúde Protegida — nomes de pacientes, diagnósticos, notas de tratamento e dados similares ligados a indivíduos identificáveis. Como o Therapy Resources é concebido para materiais terapêuticos genéricos em vez de registos específicos de clientes, normalmente não existe PHI para proteger.

Se um fluxo de trabalho específico exigir criar materiais que incluam PHI (por exemplo, uma história social personalizada que nomeie uma criança específica), esse material deve ser criado e guardado no seu sistema clínico em conformidade com o HIPAA ou em ficheiros locais — não aqui.

Encriptação, localização e retenção

Todo o tráfego entre o seu navegador e o Therapy Resources é feito por HTTPS (TLS 1.2+). Os dados são armazenados na Convex (região US-East) com encriptação em repouso. As palavras-passe são processadas com bcrypt — nunca vemos nem armazenamos palavras-passe em texto simples. As credenciais de pagamento são tratadas exclusivamente pela Dodo Payments (em conformidade com PCI-DSS) e nunca passam pelos nossos servidores.

A geração de imagens é feita pelo Google Gemini. Os prompts e imagens de referência são enviados para a API do Google para processamento, mas o Gemini não retém os seus prompts. Não transferimos os seus dados para redes publicitárias ou intermediários analíticos.

Quando elimina a sua conta, removemos permanentemente os seus estilos, personagens, recursos, imagens geradas e histórico de prompts. A remoção é normalmente concluída em 7 dias, com as cópias de segurança a expirarem em 30 dias. Pode exportar ou eliminar itens individuais a qualquer momento em Definições.

Subcontratantes

Partilhamos dados operacionais com os seguintes serviços:

• Convex (EUA) — Base de dados e armazenamento de ficheiros. Aloja dados de conta, conteúdo e imagens geradas.
• Google Gemini — Geração de imagens por IA. Recebe descrições de estilo e prompts de personagens; não os retém.
• Dodo Payments (EUA) — Processamento de pagamentos como merchant of record. Recebe nome, e-mail e dados de pagamento para faturação.
• AhaSend — E-mail transacional. Recebe endereços de e-mail para redefinições de palavra-passe e notificações de conta.

Não vendemos os seus dados. O inventário completo de dados e os seus direitos sobre cada categoria estão na Política de Privacidade.