Documento legal · Privacidade

Política de privacidade.

Documento elaborado em conformidade com o RGPD (Regulamento UE 2016/679) e a Lei n.º 58/2019. Versão integral, com base legal, lista de subcontratantes e prazos de conservação.

01

Introdução

A Clínica Santa Eulália (“nós”, “clínica”) compromete-se a proteger a sua privacidade e os seus dados pessoais. Esta política explica, em linguagem clara, que dados recolhemos, com que fundamento, como os utilizamos, com quem os partilhamos e que direitos lhe assistem.

Aplicam-se o Regulamento Geral sobre a Proteção de Dados (Regulamento UE 2016/679, “RGPD”), a Lei n.º 58/2019 e demais legislação portuguesa aplicável, incluindo a Lei de Bases da Saúde e o regime do sigilo profissional médico.

04

Categorias de dados recolhidos

Recolhemos apenas o estritamente necessário, organizado em:

  • Identificação: nome, data de nascimento, género, NIF (quando emitimos fatura), número de utente do SNS quando aplicável.
  • Contacto: morada, telefone(s), endereço de email.
  • Dados clínicos (categoria especial, Art. 9.º RGPD): histórico médico, alergias, medicação, condições crónicas, notas clínicas das consultas. Tratados sob sigilo profissional do Art. 195.º do Código Penal.
  • Faturação: dados de consultas realizadas, valores, recibos emitidos.
  • Dados técnicos: endereço IP, registos de acesso à conta, identificadores de sessão. Usados exclusivamente para segurança e auditoria.

05

Finalidades e fundamento legal

Cada finalidade tem um fundamento legal específico ao abrigo do Art. 6.º (e Art. 9.º para dados de saúde) do RGPD:

Prestação de cuidados médicos

Art. 9.º, n.º 2, alínea h) RGPD: necessário para diagnóstico, prestação de cuidados, gestão de sistemas de saúde.

Gestão de marcações e contacto operacional (lembretes SMS/email)

Art. 6.º, n.º 1, alínea b) RGPD: execução do contrato de prestação de serviços.

Faturação e cumprimento de obrigações fiscais

Art. 6.º, n.º 1, alínea c) RGPD: obrigação legal (Código do IVA, Decreto-Lei n.º 28/2019).

Comunicações de marketing (newsletters, campanhas)

Art. 6.º, n.º 1, alínea a) RGPD: consentimento, livremente revogável a qualquer momento.

Segurança da informação e prevenção de fraude

Art. 6.º, n.º 1, alínea f) RGPD: interesse legítimo da clínica e dos próprios titulares.

06

Subcontratantes e partilha de dados

Não vendemos os seus dados. Para operar a clínica recorremos a subcontratantes (“processadores”) que tratam dados em nosso nome, ao abrigo do Art. 28.º do RGPD. A maioria dos fornecedores está sediada na União Europeia (alojamento, email, autenticação e armazenamento de ficheiros). A única exceção é o fornecedor de gateway de envio de SMS — ver a nota sobre transferências internacionais abaixo.

Categorias de destinatários atualmente envolvidos:

  • Fornecedor de gateway de envio de SMS (possível tratamento fora da UE/EEE — ver nota sobre transferências)
  • Fornecedor de envio de email transacional (UE)
  • Fornecedor de alojamento aplicacional e base de dados (UE)
  • Fornecedor de autenticação federada via Google (UE) — opcional
  • Armazenamento de ficheiros gerido internamente (UE)

A lista completa e atualizada de subcontratantes (incluindo nome legal, finalidade, categorias de dados tratadas e jurisdição) é mantida pelo Encarregado de Proteção de Dados e disponibilizada, mediante pedido, em dpo@clinicasantaeulalia.pt. Esta abordagem cumpre o Art. 13.º, n.º 1, alínea e) do RGPD (categorias de destinatários) e protege os fornecedores de eventual scraping automatizado.

Quando obrigados por lei, partilhamos dados com autoridades públicas (ex.: Autoridade Tributária, Ministério Público em caso de requisição judicial). Comunicamos sempre que tal aconteça, salvo quando proibidos pela lei.

Transferências internacionais — envio de SMS

Os SMS (confirmações e lembretes de consulta e códigos de verificação) são encaminhados através de um fornecedor de gateway de SMS. O envio físico é feito a partir de um dispositivo e cartão SIM da própria clínica, mas o conteúdo da mensagem e o número de telemóvel passam pelos servidores desse fornecedor, cujo local de tratamento poderá situar-se fora da União Europeia.

Estamos a formalizar com esse fornecedor as garantias exigidas pelo Capítulo V do RGPD (designadamente Cláusulas Contratuais-Tipo) e um acordo de tratamento de dados (Art. 28.º). Para limitar os dados transferidos, as mensagens de SMS são mantidas o mais sucintas possível. Pode, a qualquer momento, optar por receber estas comunicações apenas por email, contactando-nos ou ajustando as suas preferências de contacto.

07

Conservação dos dados

Conservamos os seus dados pelo tempo estritamente necessário a cada finalidade, ou pelo prazo imposto por lei:

  • Registos clínicos: 5 anos após a última consulta (mínimo legal — Lei de Bases da Saúde).
  • Recibos e faturas: 10 anos (imposição fiscal — Código do IVA, Art. 52.º).
  • Registos de auditoria (acessos, alterações): 2 anos.
  • Contas eliminadas a pedido: 30 dias até anonimização total.

Após estes prazos, os dados são apagados ou anonimizados de forma irreversível.

08

Os seus direitos

Pode exercer, gratuitamente e a qualquer momento, os seguintes direitos:

  • Acesso (Art. 15.º) — saber que dados tratamos sobre si.
  • Retificação (Art. 16.º): corrigir dados imprecisos.
  • Apagamento (Art. 17.º): “direito ao esquecimento”, sempre que não exista obrigação legal de conservação.
  • Limitação do tratamento (Art. 18.º).
  • Portabilidade (Art. 20.º): receber os seus dados em formato legível por máquina. Pode descarregar diretamente do portal do paciente.
  • Oposição (Art. 21.º): recusar tratamentos baseados em interesse legítimo ou marketing direto.
  • Não decisão automatizada (Art. 22.º): não realizamos decisões automatizadas com efeito jurídico ou impacto significativo sobre os utentes.

Para exercer qualquer destes direitos contacte dpo@clinicasantaeulalia.pt. Respondemos no prazo de até 30 dias (Art. 12.º RGPD).

09

Segurança da informação

Adotamos medidas técnicas e organizativas adequadas ao risco, incluindo:

  • Encriptação em trânsito (HTTPS/TLS) e em repouso na base de dados.
  • Controlo de acessos baseado em funções (admin / staff clínico / paciente) com princípio do menor privilégio.
  • Registo imutável (audit log) de acessos a dados sensíveis, consultável pelo DPO.
  • Cópias de segurança automáticas da base de dados.
  • Autenticação multi-fator opcional via SMS para utentes e obrigatória para staff clínico.

Em caso de violação de dados pessoais com risco para os direitos e liberdades, comunicamos à CNPD em até 72 horas (Art. 33.º RGPD) e notificamos os titulares afetados sempre que aplicável (Art. 34.º).

10

Cookies e tecnologias semelhantes

Os cookies estritamente necessários são instalados automaticamente porque são indispensáveis ao funcionamento do site. Os cookies de análise (opcionais) só são ativados com o seu consentimento, dado através da faixa de cookies. Pode alterar a sua escolha a qualquer momento em “Definições de cookies” no rodapé do site.

Cookie / tecnologiaFinalidadeDuraçãoCategoria
Sessão de autenticação (better-auth)Manter a sessão iniciada no portal/área reservada.7 diasEstritamente necessário
Preferência de interface (sidebar)Recordar o estado do menu lateral na área reservada.7 diasEstritamente necessário
Registo de consentimento (cse-consent)Guardar a sua escolha de cookies para não voltar a perguntar.180 diasEstritamente necessário
Google reCAPTCHA (_GRECAPTCHA)Proteção do formulário público de marcação contra spam e abuso (segurança). Carrega apenas na página de marcação e só para visitantes não autenticados.Até 6 mesesNecessário (segurança)
Google Analytics (_ga, _ga_*)Estatísticas anónimas/agregadas de utilização para melhorar o site. IP anonimizado. Em modo de consentimento (Consent Mode v2): nada é armazenado sem a sua autorização.Até 2 anosAnálise (opcional)
Vercel AnalyticsMétricas agregadas de desempenho e visitas. Só carrega após consentimento.SessãoAnálise (opcional)

Os cookies de análise (Google Analytics, Vercel Analytics) estão configurados para negar o armazenamento por defeito (Google Consent Mode v2) e só são ativados se aceitar. Não usamos cookies publicitários nem partilhamos dados para publicidade personalizada.

11

Reclamações e Livro de Reclamações

Se considerar que os seus direitos não foram respeitados pode:

12

Atualizações desta política

Esta política pode ser atualizada para refletir alterações legais ou operacionais. A data da última revisão é exibida no topo desta página. Alterações materiais serão comunicadas via email aos utentes registados.

Tem dúvidas ou quer exercer um direito?

Contactar o DPO →