Política de privacidade.

A Clínica Santa Eulália (“nós”, “clínica”) compromete-se a proteger a sua privacidade e os seus dados pessoais. Esta política explica, em linguagem clara, que dados recolhemos, com que fundamento, como os utilizamos, com quem os partilhamos e que direitos lhe assistem.

Aplicam-se o Regulamento Geral sobre a Proteção de Dados (Regulamento UE 2016/679, “RGPD”), a Lei n.º 58/2019 e demais legislação portuguesa aplicável, incluindo a Lei de Bases da Saúde e o regime do sigilo profissional médico.

Para qualquer questão sobre o tratamento dos seus dados pessoais ou para exercer os seus direitos, contacte o nosso DPO:

[A PREENCHER] · dpo@clinicasantaeulalia.pt

Tem o direito de apresentar reclamação à autoridade de controlo competente, a Comissão Nacional de Proteção de Dados (CNPD).

Recolhemos apenas o estritamente necessário, organizado em:

• Identificação: nome, data de nascimento, género, NIF (quando emitimos fatura), número de utente do SNS quando aplicável.
• Contacto: morada, telefone(s), endereço de email.
• Dados clínicos (categoria especial, Art. 9.º RGPD): histórico médico, alergias, medicação, condições crónicas, notas clínicas das consultas. Tratados sob sigilo profissional do Art. 195.º do Código Penal.
• Faturação: dados de consultas realizadas, valores, recibos emitidos.
• Dados técnicos: endereço IP, registos de acesso à conta, identificadores de sessão. Usados exclusivamente para segurança e auditoria.

Cada finalidade tem um fundamento legal específico ao abrigo do Art. 6.º (e Art. 9.º para dados de saúde) do RGPD:

Não vendemos os seus dados. Para operar a clínica recorremos a subcontratantes (“processadores”) que tratam dados em nosso nome, sob contrato escrito ao abrigo do Art. 28.º do RGPD. Todos os fornecedores estão sediados na União Europeia, foram avaliados pelo seu nível de proteção e cobertos por contratos de tratamento de dados (DPA).

Categorias de destinatários atualmente envolvidos:

• Fornecedor de envio de SMS (UE)
• Fornecedor de envio de email transacional (UE)
• Fornecedor de alojamento aplicacional e base de dados (UE)
• Fornecedor de autenticação federada via Google (UE) — opcional
• Armazenamento de ficheiros gerido internamente (UE)

A lista completa e atualizada de subcontratantes (incluindo nome legal, finalidade, categorias de dados tratadas e jurisdição) é mantida pelo Encarregado de Proteção de Dados e disponibilizada, mediante pedido, em dpo@clinicasantaeulalia.pt. Esta abordagem cumpre o Art. 13.º, n.º 1, alínea e) do RGPD (categorias de destinatários) e protege os fornecedores de eventual scraping automatizado.

Quando obrigados por lei, partilhamos dados com autoridades públicas (ex.: Autoridade Tributária, Ministério Público em caso de requisição judicial). Comunicamos sempre que tal aconteça, salvo quando proibidos pela lei.

Conservamos os seus dados pelo tempo estritamente necessário a cada finalidade, ou pelo prazo imposto por lei:

• Registos clínicos: 5 anos após a última consulta (mínimo legal — Lei de Bases da Saúde).
• Recibos e faturas: 10 anos (imposição fiscal — Código do IVA, Art. 52.º).
• Registos de auditoria (acessos, alterações): 2 anos.
• Contas eliminadas a pedido: 30 dias até anonimização total.

Após estes prazos, os dados são apagados ou anonimizados de forma irreversível.

Pode exercer, gratuitamente e a qualquer momento, os seguintes direitos:

• Acesso (Art. 15.º) — saber que dados tratamos sobre si.
• Retificação (Art. 16.º): corrigir dados imprecisos.
• Apagamento (Art. 17.º): “direito ao esquecimento”, sempre que não exista obrigação legal de conservação.
• Limitação do tratamento (Art. 18.º).
• Portabilidade (Art. 20.º): receber os seus dados em formato legível por máquina. Pode descarregar diretamente do portal do paciente.
• Oposição (Art. 21.º): recusar tratamentos baseados em interesse legítimo ou marketing direto.
• Não decisão automatizada (Art. 22.º): não realizamos decisões automatizadas com efeito jurídico ou impacto significativo sobre os utentes.

Para exercer qualquer destes direitos contacte dpo@clinicasantaeulalia.pt. Respondemos no prazo de até 30 dias (Art. 12.º RGPD).

Adotamos medidas técnicas e organizativas adequadas ao risco, incluindo:

• Encriptação em trânsito (HTTPS/TLS) e em repouso na base de dados.
• Controlo de acessos baseado em funções (admin / staff clínico / paciente) com princípio do menor privilégio.
• Registo imutável (audit log) de acessos a dados sensíveis, consultável pelo DPO.
• Cópias de segurança automáticas da base de dados.
• Autenticação multi-fator opcional via SMS para utentes e obrigatória para staff clínico.

Em caso de violação de dados pessoais com risco para os direitos e liberdades, comunicamos à CNPD em até 72 horas (Art. 33.º RGPD) e notificamos os titulares afetados sempre que aplicável (Art. 34.º).

Utilizamos exclusivamente:

• Cookies estritamente necessários (sessão, preferências): não requerem consentimento.
• reCAPTCHA da Google no formulário público de marcação, para prevenir spam e abusos.

Não usamos cookies publicitários nem cookies de rastreamento entre sites.

Se considerar que os seus direitos não foram respeitados pode:

• Contactar diretamente o nosso DPO em dpo@clinicasantaeulalia.pt.
• Apresentar queixa à CNPD, autoridade de controlo competente em Portugal.
• Utilizar o Livro de Reclamações eletrónico (DL n.º 156/2005), também disponível em formato físico nas instalações da clínica.

Esta política pode ser atualizada para refletir alterações legais ou operacionais. A data da última revisão é exibida no topo desta página. Alterações materiais serão comunicadas via email aos utentes registados.