Como o Therapy withVR se posiciona face a leis, normas e enquadramentos

Resumo

Uma nota sobre a estrutura. As secções seguintes refletem as nove categorias da nossa Technology Checklist for SLPs pública - o mesmo enquadramento que recomendamos aos clínicos para avaliar qualquer tecnologia, incluindo esta. Esta página é o exemplo desenvolvido para o nosso próprio produto.

1. Privacidade de dados e conformidade

GDPR e UK GDPR

A withVR BV é o responsável pelo tratamento dos dados pessoais tratados através da Therapy withVR. Todos os dados da plataforma estão alojados na Google Cloud / Firebase em Frankfurt, Alemanha (europe-west1) - dentro do EEE. Os dados pessoais são tratados licitamente nos termos do GDPR Article 6 com base em execução contratual, interesses legítimos, obrigação legal e consentimento (para comunicações de marketing). Os dados pessoais do Reino Unido são tratados ao abrigo do UK GDPR com fundamentos jurídicos equivalentes. As transferências do Reino Unido para países terceiros são regidas pelo UK IDTA ou pelo UK Addendum to EU SCCs, conforme aplicável. Os titulares dos dados dispõem de plenos direitos de acesso, retificação, apagamento, limitação, portabilidade, oposição e retirada do consentimento ao abrigo dos GDPR Articles 15-22.

Fonte: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - fora do âmbito por design

A Therapy withVR não é uma HIPAA covered entity e não funciona como Business Associate ao abrigo do HIPAA. A plataforma está arquitetada de modo a que a Protected Health Information (PHI) não entre no sistema - não são armazenados quaisquer registos clínicos, diagnósticos, identificadores de pacientes ou registos de saúde. Para ambientes de saúde dos EUA, a plataforma fica fora do âmbito dos requisitos de Business Associate Agreement por design. O facto de um fornecedor não ter BAA não significa necessariamente não conformidade; no nosso caso, significa que a arquitetura evita a PHI a partir do design. Os utilizadores em ambientes de saúde dos EUA são responsáveis por garantir que não são introduzidas PHI na plataforma.

Fonte: Privacy Policy §12 · ToS §11.1

FERPA - fora do âmbito por design

As obrigações ao abrigo da FERPA recaem sobre as instituições de ensino, não sobre os fornecedores. A Therapy withVR não está diretamente sujeita à FERPA. A plataforma está concebida de modo a que os registos educativos dos alunos não precisem de entrar no sistema - os dados de sessão consistem apenas em definições de configuração e etiquetas de texto, que não constituem registo educativo conforme definido na FERPA. O profissional supervisor é responsável por garantir que não são introduzidos dados protegidos pela FERPA. Para distritos escolares dos EUA, a withVR BV analisará o acordo FERPA padrão da vossa instituição ou o Student Data Privacy Consortium (SDPC) National DPA e trabalhará convosco para encontrar um caminho adequado - assinar tal como apresentado quando os termos forem viáveis, propor alterações onde necessário, ou fornecer um modelo withVR em alternativa. Contactem legal@withvr.app para iniciar a conversa.

Fonte: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

A COPPA aplica-se a serviços online que recolhem informação pessoal de crianças com menos de 13 anos. A Therapy withVR não se destina a crianças e não recolhe informação pessoal diretamente de qualquer utilizador, incluindo crianças. Quando a plataforma é utilizada com crianças com menos de 13 anos num contexto escolar, a escola atua como titular da conta ao abrigo da school official exception da COPPA - os alunos não interagem diretamente com a plataforma como utilizadores. As instituições de ensino são responsáveis pelos procedimentos de consentimento parental aplicáveis na sua jurisdição.

Fonte: Educational Use Policy §3.2

Leis estatais e regionais de privacidade dos alunos

Diversos estados dos EUA aprovaram leis de privacidade dos alunos para além da FERPA - incluindo Califórnia (SOPIPA), Nova Iorque (Education Law 2-d), Colorado, Texas e outros. Os compromissos arquitetónicos acima (sem recolha de PII, sem publicidade a alunos, sem venda de dados, sem rastreamento comportamental, sem definição de perfis) foram concebidos para apoiar a conformidade com estes enquadramentos. Instituições em jurisdições com requisitos específicos para além do que aqui se descreve podem solicitar acordos suplementares através de legal@withvr.app.

Fonte: Educational Use Policy §3.4

Alojamento, transferências e subcontratantes

Todos os dados da plataforma são alojados na Google Cloud / Firebase em Frankfurt, Alemanha. As transferências para a OpenAI (Estados Unidos, apenas para funcionalidades de IA opcionais) são regidas pelas EU Standard Contractual Clauses 2021 ao abrigo do GDPR Article 46(2)(c). As transferências para a Stripe operam ao abrigo das SCCs e da participação no EU-US Data Privacy Framework, quando aplicável. A lista completa de subcontratantes com o papel, localização e mecanismo de transferência de cada fornecedor é publicada em withvr.app/sub-processor-list; e é dado um pré-aviso mínimo de 30 dias antes de adicionar qualquer novo subcontratante.

Fonte: Privacy Policy §5, §7 · Sub-Processor List

Dados que não recolhemos

Sem gravações de áudio ou vídeo das sessões. Sem amostras de fala da pessoa dentro da RV. Sem dados biométricos dos sensores do headset de RV. Sem PHI. Sem registos educativos dos alunos. Sem dados de localização precisa. Sem dados financeiros de pagamento (a Stripe trata os cartões). Sem categorias especiais de dados ao abrigo do GDPR Article 9. Os nomes de perfil são cifrados ao nível da aplicação com AES-256 com vetores de inicialização únicos por registo.

Fonte: Privacy Policy §2.6, §8

Períodos de conservação

Dados de conta e subscrição: 5 anos após o fim da subscrição (prazo belga de prescrição comercial). Dados de sessão e perfil: 3 anos após o fim da subscrição. Dados de investigação ao abrigo de um Research Agreement: 24 meses após o fim do projeto. Registos contabilísticos: 7 anos (lei contabilística belga). A eliminação antecipada pode ser solicitada a qualquer momento em legal@withvr.app e é cumprida no prazo de 30 dias, exceto quando a lei exigir conservação mais longa.

Fonte: Privacy Policy §6

2. IA e transparência

Classificação ao abrigo do EU AI Act

A Therapy withVR foi formalmente avaliada ao abrigo do EU AI Act e não está classificada como sistema de IA de alto risco ao abrigo do Article 6 nem do Annex III. Não avalia resultados de aprendizagem, não monitoriza o comportamento dos alunos, não classifica avaliações, não toma decisões clínicas e não apoia funções de dispositivo médico. Mesmo que alguma funcionalidade fosse considerada como tocando uma categoria do Annex III, aplicar-se-iam as isenções do Article 6(3) (tarefas procedimentais delimitadas, melhoria do resultado de uma atividade humana prévia, sem substituir a avaliação humana). Não é exigida avaliação de conformidade, registo na base de dados da UE nem marcação CE.

Fonte: EU AI Act Statement §2

Article 5 - práticas proibidas

Revisto e confirmado: não estão presentes práticas proibidas ao abrigo do Article 5. Sem técnicas subliminares, sem exploração de vulnerabilidades, sem social scoring, sem identificação biométrica remota em tempo real, sem reconhecimento de emoções em contextos laborais ou educativos.

Fonte: EU AI Act Statement §2.4

Article 4 - literacia em IA

Em vigor desde fevereiro de 2025. Conforme. A withVR BV ministra formação de onboarding ao vivo a todos os utilizadores, abrangendo o uso, as limitações e a utilização responsável das funcionalidades de IA. A documentação das funcionalidades de IA está incluída na documentação da plataforma. As instituições são responsáveis por garantir que o seu pessoal possui um nível suficiente de literacia em IA; o nosso onboarding apoia esta obrigação.

Fonte: EU AI Act Statement §3

Article 50 - transparência para vozes sintetizadas e texto gerado por IA

Aplicável a partir de 2 de agosto de 2026. Em preparação. A divulgação já está presente na EULA, ToS, Privacy Policy e EU AI Act Compliance Statement. A divulgação na plataforma será confirmada como conforme antes do prazo de 2 de agosto de 2026. As vozes dos avatares em cada sessão são sintetizadas por IA através do Google Text-to-Speech; quando estão ativadas funcionalidades opcionais da OpenAI, o texto inserido nos campos de IA é processado por um sistema de IA. Os profissionais supervisores são responsáveis por informar as pessoas com quem trabalham, quando exigido pelas obrigações profissionais ou institucionais.

Fonte: EU AI Act Statement §5

Funcionalidades de IA: fornecedor, dados, postura quanto a treino

Sempre ativas: síntese de voz do avatar (Google Text-to-Speech). É enviado apenas o texto da fala do avatar para síntese de voz; nenhum dado de utilizador, cliente ou participante. Opcionais, desativadas por defeito: tradução de frases, geração de texto, correção automática, reconhecimento de fala Whisper, gramática do orador, ajuste de formalidade, fala emocional (todas via OpenAI API). Ao abrigo da política de utilização de dados da API da OpenAI, as entradas da API não são usadas por defeito para treinar os modelos da OpenAI. Nenhum nome de cliente, gravação de sessão ou PII sobre as pessoas com quem trabalha é enviado a qualquer dos fornecedores no funcionamento normal. Os utilizadores são explicitamente instruídos a não introduzir PII nos campos de texto com IA.

Fonte: Privacy Policy §4 · Sub-Processor List

3. Consentimento informado

O profissional supervisor é responsável por obter o consentimento informado das pessoas com quem trabalha, em conformidade com o seu código profissional, a política institucional e a legislação aplicável. Para apoiar isto, a withVR fornece um VR Informed Consent Template gratuito, um folheto explicativo de RV em linguagem clara para clientes e famílias gratuito, e a EU AI Act Compliance Statement com texto de divulgação pronto a ser incorporado nos vossos próprios documentos de consentimento. O envolvimento de IA (vozes sintéticas e quaisquer funcionalidades OpenAI ativadas) deve ser divulgado quando exigido pelas vossas normas profissionais ou pela legislação aplicável.

Fonte: Acceptable Use Policy §2 · EU AI Act Statement

4. Língua e acessibilidade

WCAG 2.2 nível AA

Site de marketing (withvr.app): autoavaliação contra WCAG 2.2 AA concluída em abril de 2026. Lighthouse Accessibility 100/100 em desktop e móvel nas páginas prioritárias. As varreduras automatizadas pa11y e axe-core mostram todas as falhas duras resolvidas. Web App: em curso contra WCAG 2.2 AA, com lacunas parciais conhecidas documentadas honestamente na Accessibility Statement (zoom do navegador, testes formais com leitor de ecrã, auditoria formal de contraste). VR App: rastreamento de mão suportado como alternativa aos comandos; a acessibilidade física da RV é uma decisão clínica do profissional supervisor.

Fonte: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) concluído em março de 2026, abrangendo WCAG 2.0/2.1/2.2, Section 508 e EN 301 549 para a plataforma v4.0.0. Disponível a pedido em legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

EAA em vigor desde junho de 2025. A Therapy withVR é principalmente uma plataforma B2B para profissionais; a aplicabilidade da EAA a ferramentas B2B é monitorizada conforme se desenvolvem as orientações belgas de transposição. As melhorias de acessibilidade visam EN 301 549 / WCAG 2.2 AA independentemente da aplicabilidade da EAA. Section 508: alinhamento parcial através do trabalho em WCAG 2.2 AA; sem avaliação formal Section 508 concluída.

Fonte: Accessibility Statement §3, §7

Línguas

Interface da Web App disponível em 59 línguas. 52 combinações língua-região de vozes de avatar. Site de marketing disponível em 11 localizações (inglês mais holandês, francês, alemão, norueguês, italiano, checo, espanhol, português, grego, árabe, turco), com atributo lang correto e suporte RTL para árabe.

5. Adequação cultural e clínica

Todos os cenários, frases e conteúdo de conversação são configuráveis pelo profissional supervisor - a relevância cultural e contextual é determinada pelo utilizador, não por nós. Ambientes de fala personalizáveis e uma sala vazia livremente configurável apoiam uma prática que reflete o contexto real do indivíduo. Os estudos revistos por pares que utilizam Therapy withVR ou cenários desenvolvidos pela withVR estão catalogados no Evidence Hub com citação completa, resumo em linguagem clara e justificação da certeza para cada um. A plataforma não faz qualquer afirmação própria de eficácia clínica; a evidência provém da literatura.

Fonte: Evidence Hub · Scenarios

6. Segurança e notificação de violações

Cifragem e armazenamento

Todos os dados em repouso na Google Cloud Firestore são cifrados com AES-256 (cifragem de infraestrutura por defeito da Google Cloud). Os nomes de perfil são adicionalmente cifrados ao nível da aplicação com AES-256 com vetores de inicialização únicos por registo. Todos os dados em trânsito são cifrados com TLS 1.2 ou superior. As palavras-passe são geridas integralmente pelo Firebase Authentication - a withVR BV nunca tem acesso às palavras-passe dos utilizadores.

Fonte: Privacy Policy §8 · DPA §6 (a pedido)

Gestão de patches

Patches críticos (CVSS 9.0+, zero-days, vulnerabilidades que afetem o Firebase auth ou storage): em 48 horas. Altos (CVSS 7.0-8.9): em 7 dias. Médios (CVSS 4.0-6.9): em 30 dias ou na próxima entrega. Identificação por boletins de fornecedores, NVD/CVE e GitHub Dependabot. Alinhado com as obrigações do GDPR Article 32 e a transposição belga de NIS2.

Fonte: Patch Management Policy §4 (a pedido)

Notificação de violações

Notificação de violação de dados pessoais à Autoridade Belga de Proteção de Dados (GBA) no prazo de 72 horas após tomar conhecimento (GDPR Article 33). Notificação à UK ICO ao abrigo do UK GDPR. Os utilizadores afetados são notificados sem atraso indevido sempre que a violação seja suscetível de implicar um risco elevado. Os clientes institucionais com DPA assinado são notificados no prazo de 72 horas, conforme os termos do DPA.

Fonte: Privacy Policy §10 · ToS §11.3 · DPA §11 (a pedido)

Disponibilidade e resiliência do serviço

Alojado na Google Cloud Firebase (Frankfurt) sob o SLA de uptime de 99,95% da Google. Replicação multi-zona dentro da região da UE. Firestore point-in-time recovery com janela de 7 dias. Cópias de segurança diárias retidas durante 30 dias, cópias semanais retidas durante 98 dias. Prioridades de resposta a incidentes (P1 indisponibilidade total / violação de dados em 2 horas; P2 indisponibilidade parcial em 4 horas; P3 degradação menor no próximo dia útil). A Web App opera independentemente do site de marketing, e a VR App opera, após instalação, independentemente do canal de distribuição Meta Quest Store.

Fonte: Business Continuity & Disaster Recovery Summary (a pedido)

Certificações de segurança independentes

Posição honesta: a withVR BV não detém atualmente certificações SOC 2 Type II nem ISO 27001 independentes. A infraestrutura da plataforma herda ambas da Google Cloud / Firebase, que as mantém. Certificações independentes serão consideradas à medida que a plataforma amadureça. Atualmente não existem testes de penetração programados; também serão considerados à medida que a plataforma amadureça.

Fonte: Patch Management Policy §9 · BCDR §8.2 (a pedido)

Acesso administrativo

Posição honesta: a withVR BV é operada por uma única pessoa (o fundador). O acesso administrativo ao projeto Firebase está restrito a essa pessoa. Nenhum outro pessoal ou terceiro tem acesso direto à base de dados de produção ou à infraestrutura. A autenticação multifator nas contas administrativas está planeada. A infraestrutura subjacente da plataforma corre em serviços geridos da Google Cloud que operam de forma independente do envolvimento diário da withVR BV, mitigando a dependência de uma única pessoa ao nível da infraestrutura. Os cenários de indisponibilidade do fundador são abordados no Business Continuity Summary.

Fonte: Privacy Policy §8 · BCDR §5 (a pedido)

Registo de auditoria

Os Google Cloud Audit Logs estão ativados em todo o projeto de produção, fornecendo um registo a prova de adulteração de cada ação administrativa e de cada operação sobre dados de clientes. Os registos Admin Activity sempre ativos capturam cada alteração de configuração. Os registos Admin Read, Data Read e Data Write estão ativados para o Cloud Firestore (onde residem os dados dos clientes), a Cloud Storage for Firebase API (regras e configuração) e o Google Cloud Storage (operações sobre ficheiros - carregamento, transferência, eliminação). Os registos são conservados de acordo com a política de retenção predefinida da Google Cloud (400 dias para os data access logs, 400 dias para o admin activity) e são usados exclusivamente para investigação de incidentes de segurança e verificação de conformidade. Isto integra as medidas técnicas e organizativas da withVR BV ao abrigo do GDPR Article 32.

Fonte: Google Cloud Audit Logs (projeto Firebase) · BCDR §6 (a pedido)

Requisitos de rede (para TI institucional)

Todo o tráfego da withVR BV usa HTTPS na porta 443. A Web App requer withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com e (apenas quando as funcionalidades de IA estão ativadas) api.openai.com. A VR App não se liga à OpenAI. O hardware Meta Quest exige adicionalmente domínios da plataforma Meta - as instituições com redes restritivas (especialmente escolas) devem garantir que estes não estão bloqueados. A lista completa de domínios, portas, navegadores e sistemas operativos está na página Compatibility.

Fonte: página Compatibility · BCDR §8.1 (a pedido)

7. Trabalho com crianças e em escolas

Os titulares de conta devem ter 18+ anos. A plataforma só pode ser usada com menores sob supervisão e controlo direto de um profissional adulto qualificado. Os alunos nunca criam contas, iniciam sessão nem submetem dados pessoais diretamente à plataforma. Nenhum nome de aluno, identificador ou PII pode ser introduzido na plataforma. O hardware Meta Quest tem uma idade mínima separada de 10 anos definida pela Meta - é política da Meta, não nossa, e aplica-se independentemente da supervisão profissional.

Podem aplicar-se simultaneamente três limiares: a política de idade da plataforma, a legislação de privacidade aplicável (p. ex. os 13 da COPPA, os 13-16 do GDPR Article 8 conforme o Estado-Membro) e o consentimento clínico (tipicamente menores de 18). Prevalece o limiar mais alto. O profissional supervisor é responsável pelo consentimento parental ou do tutor na sua jurisdição.

Para escolas dos EUA, está disponível um acordo FERPA, um Student Data Privacy Agreement ou o SDPC National DPA - ver a secção 8 (Acordos disponíveis) abaixo.

Fonte: Educational Use Policy §1, §3 · EULA §8

8. Prontidão organizacional

Certificação de dispositivo médico

A Therapy withVR não é um dispositivo médico. Sem marcação CE ao abrigo do EU MDR. Não regulada pela FDA. Sem marcação UKCA. A plataforma não diagnostica, não trata, não classifica, não mede nem toma decisões clínicas. Todas as decisões clínicas permanecem como responsabilidade exclusiva do profissional supervisor. As funcionalidades de IA geram apenas sugestões de conteúdo e não constituem aconselhamento clínico ou avaliação.

Fonte: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA e disponibilidade

A withVR BV não oferece uma garantia de uptime separada, mas a plataforma herda o SLA de uptime de 99,95% da Google Cloud para a infraestrutura subjacente. A manutenção programada é comunicada antecipadamente sempre que possível. A indisponibilidade não programada é comunicada por e-mail e no website.

Fonte: ToS §12.2 · EULA §11

Preços e impostos

Subscrição padrão EUR 49 por mês por lugar (sem IVA, em faturação anual). Descontos plurianuais até 5 anos. Tantos lugares quantos forem necessários. Orçamentos em papel timbrado, faturação por ordem de compra e documentação de aquisição suplementar disponíveis a pedido. Podemos falar diretamente com TI, compras ou equipas de proteção de dados para resolver os requisitos de onboarding de fornecedor.

Fonte: ToS §6 · Refund Policy

Proteção do consumidor (UE)

Direito legal de livre resolução de 14 dias ao abrigo da EU Consumer Rights Directive 2011/83/EU e da lei belga de transposição. Lei belga / jurisdição de Gent. Os consumidores da UE conservam o direito de instaurar processos no seu local de residência habitual; a plataforma europeia de resolução de litígios em linha está disponível em ec.europa.eu/consumers/odr (abre em nova janela).

Fonte: ToS §6.4, §16 · Refund Policy §2, §9

9. Validação por pares

A Therapy withVR é usada em investigação revista por pares ativa em universidades e hospitais em muitos países. O Evidence Hub cataloga cada estudo publicado, com citação completa, resumo em linguagem clara e classificação de certeza. Universidades, NHS trusts e distritos escolares que já concluíram os seus próprios processos de aprovação institucional estão disponíveis como referências - solicitar através de hello@withvr.app.

Acordos disponíveis

A pedido em legal@withvr.app: DPA, acordo FERPA / SDPC National DPA, Research Agreement, acordo suplementar personalizado, documentação DPIA, VPAT v2.5, resumo BCDR, Patch Management Policy.

Documentos

Todos os documentos legais públicos estão ligados a partir de withvr.app/pt/legal:

• Privacy Policy (Inglês)
• Terms of Service (Inglês)
• End User License Agreement (Inglês)
• Acceptable Use Policy (Inglês)
• Educational Use Policy (Inglês)
• EU AI Act Compliance Statement (Inglês)
• Accessibility Statement (Inglês)
• Cookie Policy (Inglês)
• Refund and Return Policy (Inglês)
• Sub-Processor List (Inglês)

O que não afirmamos

A transparência sobre os limites faz parte do design:

• Não afirmamos de modo algum ser um dispositivo médico.
• Não afirmamos conformidade com HIPAA - estamos fora do âmbito da HIPAA por design.
• Não afirmamos certificações SOC 2 Type II nem ISO 27001 independentes. Herdamos ambas da Google Cloud na camada de infraestrutura; as certificações independentes serão consideradas à medida que a plataforma amadureça.
• Não afirmamos ter concluído uma auditoria WCAG independente. Temos uma autoavaliação, varreduras automatizadas, o VPAT v2.5 e uma pontuação Lighthouse de 100/100 no site de marketing. Uma auditoria formal encomendada está planeada quando o financiamento o permitir.
• Não afirmamos conformidade NIS2 - afirmamos alinhamento com a transposição belga de NIS2 através da Patch Management Policy.
• Não afirmamos que a IA substitui o julgamento clínico. Cada funcionalidade de IA é opcional, desativada por defeito e revisível. As vozes dos avatares são sempre divulgadas como sintetizadas por IA.

Contacto

Compras, questionários de fornecedores, revisões de segurança e pedidos de acordo: legal@withvr.app. O nosso Technology Checklist for SLPs público é o enquadramento sobre o qual esta página está estruturada - usem-no sobre nós, ou sobre qualquer outra ferramenta que avaliem.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Última revisão 2026-04-26