Privacy
Política de Privacidade
Última atualização
A MindSpectrum está profundamente comprometida em proteger sua privacidade e salvaguardar seus dados sensíveis de avaliação psicológica. Esta política de privacidade abrangente explica como coletamos, usamos, protegemos e gerenciamos suas informações pessoais e de saúde em estrita conformidade com a HIPAA (Lei de Portabilidade e Responsabilidade de Seguro de Saúde), GDPR (Regulamento Geral sobre a Proteção de Dados), CCPA (Lei de Privacidade do Consumidor da Califórnia) e outras regulamentações internacionais de privacidade aplicáveis. Dada a natureza sensível das informações de saúde mental, empregamos os mais altos padrões de proteção de dados para garantir que seus resultados de avaliação psicológica e informações pessoais permaneçam confidenciais e seguros.
Coletamos apenas as informações essenciais necessárias para fornecer os serviços de avaliação psicológica: detalhes de registro da conta (nome, e-mail, data de nascimento para verificação de idade), respostas e resultados das avaliações, análises de uso para melhorar a funcionalidade da plataforma, registros técnicos para monitoramento de segurança e informações de pagamento opcionais processadas por meio de provedores terceirizados compatíveis com PCI-DSS. Seguimos rigorosamente os princípios de minimização de dados previstos na HIPAA e GDPR, coletando apenas o que é necessário para a prestação dos serviços de avaliação. Seus dados de avaliação são classificados como Informações de Saúde Protegidas (PHI) e recebem proteções aprimoradas de segurança. Nunca coletamos informações sobre sua localização física, os identificadores de dispositivo são anonimizados e toda coleta de dados de saúde requer consentimento informado explícito.
Seus dados de avaliação psicológica são usados exclusivamente para: fornecer relatórios e insights das avaliações, acompanhar suas tendências pessoais de saúde mental ao longo do tempo (se você habilitar esse recurso), melhorar os algoritmos de avaliação e a funcionalidade da plataforma por meio de análise agregada e anonimizada, e fornecer suporte técnico quando solicitado. NUNCA vendemos, alugamos ou compartilhamos suas informações de saúde identificáveis com terceiros para fins de marketing ou comerciais. Não compartilhamos seus resultados de avaliação com seguradoras, empregadores, instituições educacionais ou órgãos governamentais sem seu consentimento expresso por escrito ou exigência legal. Todas as atividades de processamento de dados seguem o padrão do mínimo necessário da HIPAA e são conduzidas com base legal documentada sob a GDPR.
Implementamos medidas de segurança de nível clínico que excedem os requisitos de Salvaguardas Técnicas da HIPAA: criptografia AES-256 para dados em repouso e TLS 1.3 para dados em trânsito, autenticação multifator (MFA) para todas as contas, testes regulares de penetração por empresas de segurança independentes, infraestrutura de nuvem compatível com HIPAA com configurações healthcare da AWS/GCP, monitoramento automatizado de segurança e sistemas de detecção de intrusão, auditorias anuais de conformidade HIPAA por terceiros, protocolos de recuperação de desastres e continuidade de negócios, e controles rigorosos de acesso que limitam o acesso dos funcionários à PHI apenas quando necessário. Todos os colaboradores passam por treinamento anual em privacidade e segurança da HIPAA. Mantemos logs abrangentes de auditoria de todo acesso aos seus dados de avaliação.
Sob a Regra de Privacidade da HIPAA e o GDPR, você tem direitos abrangentes: Direito de Acesso (baixar uma cópia completa de sua PHI em até 30 dias), Direito de Correção (solicitar alterações em dados de avaliação incorretos), Direito à Exclusão (solicitar a eliminação completa dos seus dados, com algumas exceções limitadas), Direito à Portabilidade dos Dados (exportar resultados das avaliações em formato legível por máquina), Direito de Restringir o Processamento (limitar como usamos seus dados), Direito de Opor-se (optar por não participar de usos opcionais dos dados), Direito de Revogar o Consentimento (retirar consentimento para processamento de dados) e Direito ao Relatório de Divulgação (receber registro de quem acessou sua PHI). Exercite esses direitos por meio das configurações de privacidade da sua conta ou entrando em contato com nosso Encarregado de Privacidade.
Você tem controle total sobre a retenção dos seus dados. Contas ativas: dados de avaliação retidos indefinidamente até que você solicite a exclusão. Contas inativas (sem login por mais de 24 meses): enviaremos um e-mail antes do arquivamento dos dados. Contas excluídas: todos os dados de avaliação são permanentemente apagados dentro de 30 dias, utilizando métodos seguros de destruição de dados que atendem aos padrões NIST 800-88. Dados agregados e anonimizados usados para pesquisa podem ser retidos, mas não contêm informações identificáveis. Você pode baixar seu histórico completo de avaliações a qualquer momento antes da exclusão.
Se você acessar a MindSpectrum fora dos Estados Unidos, seus dados poderão ser transferidos e processados nos EUA. Implementamos Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia para conformidade com o GDPR e mantemos proteções equivalentes para transferências internacionais de dados. Os dados dos usuários da UE são processados de acordo com as derrogações do Artigo 49 do GDPR para consentimento explícito e prestação necessária de serviços.
Para dúvidas sobre privacidade, para exercer seus direitos ou para relatar preocupações: envie um e-mail ao nosso Encarregado de Proteção de Dados em [email protected], escreva para MindSpectrum Encarregado de Privacidade [Endereço da Empresa], ou utilize nosso formulário de contato seguro compatível com HIPAA. Respondemos às solicitações de privacidade em até 30 dias, conforme exigido pela HIPAA e GDPR. Para notificações de violação de dados ou preocupações de segurança, contate [email protected] imediatamente.