Como o Therapy withVR se posiciona face a leis, normas e enquadramentos

Resumo

Uma nota sobre a estrutura. As seccoes seguintes refletem as nove categorias da nossa Technology Checklist for SLPs publica - o mesmo enquadramento que recomendamos aos clinicos para avaliar qualquer tecnologia, incluindo esta. Esta pagina e o exemplo desenvolvido para o nosso proprio produto.

1. Privacidade de dados e conformidade

GDPR e UK GDPR

A withVR BV e o responsavel pelo tratamento dos dados pessoais tratados atraves da Therapy withVR. Todos os dados da plataforma estao alojados na Google Cloud / Firebase em Frankfurt, Alemanha (europe-west1) - dentro do EEE. Os dados pessoais sao tratados licitamente nos termos do GDPR Article 6 com base em execucao contratual, interesses legitimos, obrigacao legal e consentimento (para comunicacoes de marketing). Os dados pessoais do Reino Unido sao tratados ao abrigo do UK GDPR com fundamentos juridicos equivalentes. As transferencias do Reino Unido para paises terceiros sao regidas pelo UK IDTA ou pelo UK Addendum to EU SCCs, conforme aplicavel. Os titulares dos dados dispoem de plenos direitos de acesso, retificacao, apagamento, limitacao, portabilidade, oposicao e retirada do consentimento ao abrigo dos GDPR Articles 15-22.

Fonte: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - fora do ambito por design

A Therapy withVR nao e uma HIPAA covered entity e nao funciona como Business Associate ao abrigo do HIPAA. A plataforma esta arquitetada de modo a que a Protected Health Information (PHI) nao entre no sistema - nao sao armazenados quaisquer registos clinicos, diagnosticos, identificadores de pacientes ou registos de saude. Para ambientes de saude dos EUA, a plataforma fica fora do ambito dos requisitos de Business Associate Agreement por design. O facto de um fornecedor nao ter BAA nao significa necessariamente nao conformidade; no nosso caso, significa que a arquitetura evita a PHI a partir do design. Os utilizadores em ambientes de saude dos EUA sao responsaveis por garantir que nao sao introduzidas PHI na plataforma.

Fonte: Privacy Policy §12 · ToS §11.1

FERPA - fora do ambito por design

As obrigacoes ao abrigo da FERPA recaem sobre as instituicoes de ensino, nao sobre os fornecedores. A Therapy withVR nao esta diretamente sujeita a FERPA. A plataforma esta concebida de modo a que os registos educativos dos alunos nao precisem de entrar no sistema - os dados de sessao consistem apenas em definicoes de configuracao e etiquetas de texto, que nao constituem registo educativo conforme definido na FERPA. O profissional supervisor e responsavel por garantir que nao sao introduzidos dados protegidos pela FERPA. Para distritos escolares dos EUA, a withVR BV analisara o acordo FERPA padrao da vossa instituicao ou o Student Data Privacy Consortium (SDPC) National DPA e trabalhara convosco para encontrar um caminho adequado - assinar tal como apresentado quando os termos forem viaveis, propor alteracoes onde necessario, ou fornecer um modelo withVR em alternativa. Contactem legal@withvr.app para iniciar a conversa.

Fonte: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

A COPPA aplica-se a servicos online que recolhem informacao pessoal de criancas com menos de 13 anos. A Therapy withVR nao se destina a criancas e nao recolhe informacao pessoal diretamente de qualquer utilizador, incluindo criancas. Quando a plataforma e utilizada com criancas com menos de 13 anos num contexto escolar, a escola atua como titular da conta ao abrigo da school official exception da COPPA - os alunos nao interagem diretamente com a plataforma como utilizadores. As instituicoes de ensino sao responsaveis pelos procedimentos de consentimento parental aplicaveis na sua jurisdicao.

Fonte: Educational Use Policy §3.2

Leis estatais e regionais de privacidade dos alunos

Diversos estados dos EUA aprovaram leis de privacidade dos alunos para alem da FERPA - incluindo Califórnia (SOPIPA), Nova Iorque (Education Law 2-d), Colorado, Texas e outros. Os compromissos arquitetonicos acima (sem recolha de PII, sem publicidade a alunos, sem venda de dados, sem rastreamento comportamental, sem definicao de perfis) foram concebidos para apoiar a conformidade com estes enquadramentos. Instituicoes em jurisdicoes com requisitos especificos para alem do que aqui se descreve podem solicitar acordos suplementares atraves de legal@withvr.app.

Fonte: Educational Use Policy §3.4

Alojamento, transferencias e subcontratantes

Todos os dados da plataforma sao alojados na Google Cloud / Firebase em Frankfurt, Alemanha. As transferencias para a OpenAI (Estados Unidos, apenas para funcionalidades de IA opcionais) sao regidas pelas EU Standard Contractual Clauses 2021 ao abrigo do GDPR Article 46(2)(c). As transferencias para a Stripe operam ao abrigo das SCCs e da participacao no EU-US Data Privacy Framework, quando aplicavel. A lista completa de subcontratantes com o papel, localizacao e mecanismo de transferencia de cada fornecedor e publicada em withvr.app/sub-processor-list; e dado um pre-aviso minimo de 30 dias antes de adicionar qualquer novo subcontratante.

Fonte: Privacy Policy §5, §7 · Sub-Processor List

Dados que nao recolhemos

Sem gravacoes audio ou video das sessoes. Sem amostras de fala da pessoa dentro do VR. Sem dados biometricos dos sensores do headset VR. Sem PHI. Sem registos educativos dos alunos. Sem dados de localizacao precisa. Sem dados financeiros de pagamento (a Stripe trata os cartoes). Sem categorias especiais de dados ao abrigo do GDPR Article 9. Os nomes de perfil sao cifrados ao nivel da aplicacao com AES-256 com vetores de inicializacao unicos por registo.

Fonte: Privacy Policy §2.6, §8

Periodos de conservacao

Dados de conta e subscricao: 5 anos apos o fim da subscricao (prazo belga de prescricao comercial). Dados de sessao e perfil: 3 anos apos o fim da subscricao. Dados de investigacao ao abrigo de um Research Agreement: 24 meses apos o fim do projeto. Registos contabilisticos: 7 anos (lei contabilistica belga). A eliminacao antecipada pode ser solicitada a qualquer momento em legal@withvr.app e e cumprida no prazo de 30 dias, exceto quando a lei exigir conservacao mais longa.

Fonte: Privacy Policy §6

2. IA e transparencia

Classificacao ao abrigo do EU AI Act

A Therapy withVR foi formalmente avaliada ao abrigo do EU AI Act e nao esta classificada como sistema de IA de alto risco ao abrigo do Article 6 nem do Annex III. Nao avalia resultados de aprendizagem, nao monitoriza o comportamento dos alunos, nao classifica avaliacoes, nao toma decisoes clinicas e nao apoia funcoes de dispositivo medico. Mesmo que alguma funcionalidade fosse considerada como tocando uma categoria do Annex III, aplicar-se-iam as isencoes do Article 6(3) (tarefas procedimentais delimitadas, melhoria do resultado de uma atividade humana previa, sem substituir a avaliacao humana). Nao e exigida avaliacao de conformidade, registo na base de dados da UE nem marcacao CE.

Fonte: EU AI Act Statement §2

Article 5 - praticas proibidas

Revisto e confirmado: nao estao presentes praticas proibidas ao abrigo do Article 5. Sem tecnicas subliminares, sem exploracao de vulnerabilidades, sem social scoring, sem identificacao biometrica remota em tempo real, sem reconhecimento de emocoes em contextos laborais ou educativos.

Fonte: EU AI Act Statement §2.4

Article 4 - literacia em IA

Em vigor desde fevereiro de 2025. Conforme. A withVR BV ministra formacao de onboarding ao vivo a todos os utilizadores, abrangendo o uso, as limitacoes e a utilizacao responsavel das funcionalidades de IA. A documentacao das funcionalidades de IA esta incluida na documentacao da plataforma. As instituicoes sao responsaveis por garantir que o seu pessoal possui um nivel suficiente de literacia em IA; o nosso onboarding apoia esta obrigacao.

Fonte: EU AI Act Statement §3

Article 50 - transparencia para vozes sintetizadas e texto gerado por IA

Aplicavel a partir de 2 de agosto de 2026. Em preparacao. A divulgacao ja esta presente na EULA, ToS, Privacy Policy e EU AI Act Compliance Statement. A divulgacao na plataforma sera confirmada como conforme antes do prazo de 2 de agosto de 2026. As vozes dos avatares em cada sessao sao sintetizadas por IA atraves do Google Text-to-Speech; quando estao ativadas funcionalidades opcionais da OpenAI, o texto inserido nos campos de IA e processado por um sistema de IA. Os profissionais supervisores sao responsaveis por informar as pessoas com quem trabalham, quando exigido pelas obrigacoes profissionais ou institucionais.

Fonte: EU AI Act Statement §5

Funcionalidades de IA: fornecedor, dados, postura quanto a treino

Sempre ativas: sintese de voz do avatar (Google Text-to-Speech). E enviado apenas o texto da fala do avatar para sintese de voz; nenhum dado de utilizador, cliente ou participante. Opcionais, desativadas por padrao: traducao de frases, geracao de texto, correcao automatica, reconhecimento de fala Whisper, gramatica do orador, ajuste de formalidade, fala emocional (todas via OpenAI API). Ao abrigo da politica de utilizacao de dados da API da OpenAI, as entradas da API nao sao usadas por padrao para treinar os modelos da OpenAI. Nenhum nome de cliente, gravacao de sessao ou PII sobre as pessoas com quem trabalha e enviado a qualquer dos fornecedores no funcionamento normal. Os utilizadores sao explicitamente instruidos a nao introduzir PII nos campos de texto com IA.

Fonte: Privacy Policy §4 · Sub-Processor List

3. Consentimento informado

O profissional supervisor e responsavel por obter o consentimento informado das pessoas com quem trabalha, em conformidade com o seu codigo profissional, a politica institucional e a legislacao aplicavel. Para apoiar isto, a withVR fornece um VR Informed Consent Template gratuito, um folheto explicativo de VR em linguagem clara para clientes e familias gratuito, e a EU AI Act Compliance Statement com texto de divulgacao pronto a ser incorporado nos vossos proprios documentos de consentimento. O envolvimento de IA (vozes sinteticas e quaisquer funcionalidades OpenAI ativadas) deve ser divulgado quando exigido pelas vossas normas profissionais ou pela legislacao aplicavel.

Fonte: Acceptable Use Policy §2 · EU AI Act Statement

4. Lingua e acessibilidade

WCAG 2.2 nivel AA

Site de marketing (withvr.app): autoavaliacao contra WCAG 2.2 AA concluida em abril de 2026. Lighthouse Accessibility 100/100 em desktop e movel nas paginas prioritarias. As varreduras automatizadas pa11y e axe-core mostram todas as falhas duras resolvidas. Web App: em curso contra WCAG 2.2 AA, com lacunas parciais conhecidas documentadas honestamente na Accessibility Statement (zoom do navegador, testes formais com leitor de ecra, auditoria formal de contraste). VR App: rastreamento de mao suportado como alternativa aos comandos; a acessibilidade fisica do VR e uma decisao clinica do profissional supervisor.

Fonte: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) concluido em marco de 2026, abrangendo WCAG 2.0/2.1/2.2, Section 508 e EN 301 549 para a plataforma v4.0.0. Disponivel a pedido em legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

EAA em vigor desde junho de 2025. A Therapy withVR e principalmente uma plataforma B2B para profissionais; a aplicabilidade da EAA a ferramentas B2B e monitorizada conforme se desenvolvem as orientacoes belgas de transposicao. As melhorias de acessibilidade visam EN 301 549 / WCAG 2.2 AA independentemente da aplicabilidade da EAA. Section 508: alinhamento parcial atraves do trabalho em WCAG 2.2 AA; sem avaliacao formal Section 508 concluida.

Fonte: Accessibility Statement §3, §7

Linguas

Interface da Web App disponivel em 59 linguas. 52 combinacoes lingua-regiao de vozes de avatar. Site de marketing disponivel em 11 localizacoes (ingles mais holandes, frances, alemao, noruegues, italiano, checo, espanhol, portugues, grego, arabe, turco), com atributo lang correto e suporte RTL para arabe.

5. Adequacao cultural e clinica

Todos os cenarios, frases e conteudo de conversacao sao configuraveis pelo profissional supervisor - a relevancia cultural e contextual e determinada pelo utilizador, nao por nos. Ambientes de fala personalizaveis e uma sala vazia livremente configuravel apoiam uma pratica que reflete o contexto real do individuo. Os estudos revistos por pares que utilizam Therapy withVR ou cenarios desenvolvidos pela withVR estao catalogados no Evidence Hub com citacao completa, resumo em linguagem clara e justificacao da certeza para cada um. A plataforma nao faz qualquer afirmacao propria de eficacia clinica; a evidencia provem da literatura.

Fonte: Evidence Hub · Scenarios

6. Seguranca e notificacao de violacoes

Cifragem e armazenamento

Todos os dados em repouso na Google Cloud Firestore sao cifrados com AES-256 (cifragem de infraestrutura por defeito da Google Cloud). Os nomes de perfil sao adicionalmente cifrados ao nivel da aplicacao com AES-256 com vetores de inicializacao unicos por registo. Todos os dados em transito sao cifrados com TLS 1.2 ou superior. As palavras-passe sao geridas integralmente pelo Firebase Authentication - a withVR BV nunca tem acesso as palavras-passe dos utilizadores.

Fonte: Privacy Policy §8 · DPA §6 (a pedido)

Gestao de patches

Patches criticos (CVSS 9.0+, zero-days, vulnerabilidades que afetem o Firebase auth ou storage): em 48 horas. Altos (CVSS 7.0-8.9): em 7 dias. Medios (CVSS 4.0-6.9): em 30 dias ou na proxima entrega. Identificacao por boletins de fornecedores, NVD/CVE e GitHub Dependabot. Alinhado com as obrigacoes do GDPR Article 32 e a transposicao belga de NIS2.

Fonte: Patch Management Policy §4 (a pedido)

Notificacao de violacoes

Notificacao de violacao de dados pessoais a Autoridade Belga de Protecao de Dados (GBA) no prazo de 72 horas apos tomar conhecimento (GDPR Article 33). Notificacao a UK ICO ao abrigo do UK GDPR. Os utilizadores afetados sao notificados sem atraso indevido sempre que a violacao seja suscetivel de implicar um risco elevado. Os clientes institucionais com DPA assinado sao notificados no prazo de 72 horas, conforme os termos do DPA.

Fonte: Privacy Policy §10 · ToS §11.3 · DPA §11 (a pedido)

Disponibilidade e resiliencia do servico

Alojado na Google Cloud Firebase (Frankfurt) sob o SLA de uptime de 99,95% da Google. Replicacao multi-zona dentro da regiao da UE. Firestore point-in-time recovery com janela de 7 dias. Copias de seguranca diarias retidas durante 30 dias, copias semanais retidas durante 98 dias. Prioridades de resposta a incidentes (P1 indisponibilidade total / violacao de dados em 2 horas; P2 indisponibilidade parcial em 4 horas; P3 degradacao menor no proximo dia util). A Web App opera independentemente do site de marketing, e a VR App opera, apos instalacao, independentemente do canal de distribuicao Meta Quest Store.

Fonte: Business Continuity & Disaster Recovery Summary (a pedido)

Certificacoes de seguranca independentes

Posicao honesta: a withVR BV nao detem atualmente certificacoes SOC 2 Type II nem ISO 27001 independentes. A infraestrutura da plataforma herda ambas da Google Cloud / Firebase, que as mantem. Certificacoes independentes serao consideradas a medida que a plataforma amadureca. Atualmente nao existem testes de penetracao programados; tambem serao considerados a medida que a plataforma amadureca.

Fonte: Patch Management Policy §9 · BCDR §8.2 (a pedido)

Acesso administrativo

Posicao honesta: a withVR BV e operada por uma unica pessoa (o fundador). O acesso administrativo ao projeto Firebase esta restrito a essa pessoa. Nenhum outro pessoal ou terceiro tem acesso direto a base de dados de producao ou a infraestrutura. A autenticacao multifator nas contas administrativas esta planeada. A infraestrutura subjacente da plataforma corre em servicos geridos da Google Cloud que operam de forma independente do envolvimento diario da withVR BV, mitigando a dependencia de uma unica pessoa ao nivel da infraestrutura. Os cenarios de indisponibilidade do fundador sao abordados no Business Continuity Summary.

Fonte: Privacy Policy §8 · BCDR §5 (a pedido)

Registo de auditoria

Os Google Cloud Audit Logs estao ativados em todo o projeto de producao, fornecendo um registo a prova de adulteracao de cada acao administrativa e de cada operacao sobre dados de clientes. Os registos Admin Activity sempre ativos capturam cada alteracao de configuracao. Os registos Admin Read, Data Read e Data Write estao ativados para o Cloud Firestore (onde residem os dados dos clientes), a Cloud Storage for Firebase API (regras e configuracao) e o Google Cloud Storage (operacoes sobre ficheiros - carregamento, transferencia, eliminacao). Os registos sao conservados de acordo com a politica de retencao predefinida da Google Cloud (400 dias para os data access logs, 400 dias para o admin activity) e sao usados exclusivamente para investigacao de incidentes de seguranca e verificacao de conformidade. Isto integra as medidas tecnicas e organizativas da withVR BV ao abrigo do GDPR Article 32.

Fonte: Google Cloud Audit Logs (projeto Firebase) · BCDR §6 (a pedido)

Requisitos de rede (para TI institucional)

Todo o trafego da withVR BV usa HTTPS na porta 443. A Web App requer withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com e (apenas quando as funcionalidades de IA estao ativadas) api.openai.com. A VR App nao se liga a OpenAI. O hardware Meta Quest exige adicionalmente dominios da plataforma Meta - as instituicoes com redes restritivas (especialmente escolas) devem garantir que estes nao estao bloqueados. A lista completa de dominios, portas, navegadores e sistemas operativos esta na pagina Compatibility.

Fonte: pagina Compatibility · BCDR §8.1 (a pedido)

7. Trabalho com criancas e em escolas

Os titulares de conta devem ter 18+ anos. A plataforma so pode ser usada com menores sob supervisao e controlo direto de um profissional adulto qualificado. Os alunos nunca criam contas, iniciam sessao nem submetem dados pessoais diretamente a plataforma. Nenhum nome de aluno, identificador ou PII pode ser introduzido na plataforma. O hardware Meta Quest tem uma idade minima separada de 10 anos definida pela Meta - e politica da Meta, nao nossa, e aplica-se independentemente da supervisao profissional.

Podem aplicar-se simultaneamente tres limiares: a politica de idade da plataforma, a legislacao de privacidade aplicavel (p. ex. os 13 da COPPA, os 13-16 do GDPR Article 8 conforme o Estado-Membro) e o consentimento clinico (tipicamente menores de 18). Prevalece o limiar mais alto. O profissional supervisor e responsavel pelo consentimento parental ou do tutor na sua jurisdicao.

Para escolas dos EUA, esta disponivel um acordo FERPA, um Student Data Privacy Agreement ou o SDPC National DPA - ver a seccao 8 (Acordos disponiveis) abaixo.

Fonte: Educational Use Policy §1, §3 · EULA §8

8. Prontidao organizacional

Certificacao de dispositivo medico

A Therapy withVR nao e um dispositivo medico. Sem marcacao CE ao abrigo do EU MDR. Nao regulada pela FDA. Sem marcacao UKCA. A plataforma nao diagnostica, nao trata, nao classifica, nao mede nem toma decisoes clinicas. Todas as decisoes clinicas permanecem como responsabilidade exclusiva do profissional supervisor. As funcionalidades de IA geram apenas sugestoes de conteudo e nao constituem aconselhamento clinico ou avaliacao.

Fonte: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA e disponibilidade

A withVR BV nao oferece uma garantia de uptime separada, mas a plataforma herda o SLA de uptime de 99,95% da Google Cloud para a infraestrutura subjacente. A manutencao programada e comunicada antecipadamente sempre que possivel. A indisponibilidade nao programada e comunicada por e-mail e no website.

Fonte: ToS §12.2 · EULA §11

Precos e impostos

Subscricao padrao EUR 49 por mes por lugar (sem IVA, em faturacao anual). Descontos plurianuais ate 5 anos. Tantos lugares quantos forem necessarios. Orcamentos em papel timbrado, faturacao por ordem de compra e documentacao de aquisicao suplementar disponiveis a pedido. Podemos falar diretamente com TI, compras ou equipas de protecao de dados para resolver os requisitos de onboarding de fornecedor.

Fonte: ToS §6 · Refund Policy

Protecao do consumidor (UE)

Direito legal de livre resolucao de 14 dias ao abrigo da EU Consumer Rights Directive 2011/83/EU e da lei belga de transposicao. Lei belga / jurisdicao de Gent. Os consumidores da UE conservam o direito de instaurar processos no seu local de residencia habitual; a plataforma europeia de resolucao de litigios em linha esta disponivel em ec.europa.eu/consumers/odr (abre em nova janela).

Fonte: ToS §6.4, §16 · Refund Policy §2, §9

9. Validacao por pares

A Therapy withVR e usada em investigacao revista por pares ativa em universidades e hospitais em muitos paises. O Evidence Hub cataloga cada estudo publicado, com citacao completa, resumo em linguagem clara e classificacao de certeza. Universidades, NHS trusts e distritos escolares que ja concluiram os seus proprios processos de aprovacao institucional estao disponiveis como referencias - solicitar atraves de hello@withvr.app.

Acordos disponiveis

A pedido em legal@withvr.app: DPA, acordo FERPA / SDPC National DPA, Research Agreement, acordo suplementar personalizado, documentacao DPIA, VPAT v2.5, resumo BCDR, Patch Management Policy.

Documentos

Todos os documentos legais publicos estao ligados a partir de withvr.app/pt/legal:

• Privacy Policy (Inglês)
• Terms of Service (Inglês)
• End User License Agreement (Inglês)
• Acceptable Use Policy (Inglês)
• Educational Use Policy (Inglês)
• EU AI Act Compliance Statement (Inglês)
• Accessibility Statement (Inglês)
• Cookie Policy (Inglês)
• Refund and Return Policy (Inglês)
• Sub-Processor List (Inglês)

O que nao afirmamos

A transparencia sobre os limites faz parte do design:

• Nao afirmamos de modo algum ser um dispositivo medico.
• Nao afirmamos conformidade com HIPAA - estamos fora do ambito da HIPAA por design.
• Nao afirmamos certificacoes SOC 2 Type II nem ISO 27001 independentes. Herdamos ambas da Google Cloud na camada de infraestrutura; as certificacoes independentes serao consideradas a medida que a plataforma amadureca.
• Nao afirmamos ter concluido uma auditoria WCAG independente. Temos uma autoavaliacao, varreduras automatizadas, o VPAT v2.5 e uma pontuacao Lighthouse de 100/100 no site de marketing. Uma auditoria formal encomendada esta planeada quando o financiamento o permitir.
• Nao afirmamos conformidade NIS2 - afirmamos alinhamento com a transposicao belga de NIS2 atraves da Patch Management Policy.
• Nao afirmamos que a IA substitui o julgamento clinico. Cada funcionalidade de IA e opcional, desativada por padrao e revisivel. As vozes dos avatares sao sempre divulgadas como sintetizadas por IA.

Contacto

Compras, questionarios de fornecedores, revisoes de seguranca e pedidos de acordo: legal@withvr.app. O nosso Technology Checklist for SLPs publico e o enquadramento sobre o qual esta pagina esta estruturada - usem-no sobre nos, ou sobre qualquer outra ferramenta que avaliem.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Ultima revisao 2026-04-26