Política de Privacidade

1. Responsável pelo Tratamento

Nos termos do artigo 13.º do RGPD e do artigo 10.º do Decreto-Lei n.º 7/2004, o responsável pelo tratamento dos seus dados pessoais é a profissional de saúde a título individual (trabalhadora independente) que opera o serviço Kliniqa:

Nome: Daniela Jaramillo Alzate Número de Identificação Fiscal (NIF): 316 151 297 Cédula Profissional da Ordem dos Médicos: 77592 Registo na Entidade Reguladora da Saúde (ERS): E182294 Morada de Actividade: Avenida Gonçalo Ribeiro Telles, 400, 4405-732 Vila Nova de Gaia, Portugal Email: geral@kliniqa.net Telefone: +351 933 496 991

"Kliniqa" é a marca/designação comercial sob a qual o serviço é prestado. Não existe uma sociedade comercial autónoma — todos os tratamentos de dados são imputáveis à profissional acima identificada, no exercício da sua actividade liberal e sob o regime de sigilo profissional médico previsto no artigo 139.º do Estatuto da Ordem dos Médicos e no artigo 195.º do Código Penal.

2. Encarregado de Proteção de Dados (EPD)

À presente data, a Kliniqa NÃO designou um Encarregado de Proteção de Dados (EPD). Esta omissão é legalmente conforme: o artigo 37.º, n.º 1, alínea c) do RGPD impõe a designação de EPD apenas quando "as actividades principais consistam em operações de tratamento em larga escala" de dados de saúde, sendo que as Orientações do Comité Europeu para a Proteção de Dados (CEPD) 243 rev.01, § 2.1.3, identificam expressamente "um médico individual" como exemplo de actividade que NÃO constitui tratamento em larga escala.

Compromisso: a responsável monitoriza activamente o volume de pacientes, número de profissionais associados e tipologia de tratamentos. A designação de um EPD será efectuada — e este documento actualizado — logo que sejam atingidos os limiares quantitativos ou qualitativos que configurem "larga escala" nos termos das directrizes da CNPD e do CEPD.

Até essa data, todas as questões relativas à protecção de dados podem ser dirigidas directamente à responsável pelo tratamento através do endereço geral@kliniqa.net, com tempo de resposta garantido em 30 dias.

3. Dados Pessoais Recolhidos

A Kliniqa recolhe as seguintes categorias de dados, pelo período estritamente necessário às finalidades enunciadas na secção 6:

▸ Dados de identificação: nome completo, data de nascimento, número de identificação civil (CC/BI), número de utente do Serviço Nacional de Saúde, género. ▸ Dados de contacto: endereço de email, número de telefone, morada postal. ▸ Dados de acesso e segurança: endereço IP, identificador do browser, registos de início e fim de sessão (prevenção de fraude e investigação de incidentes de segurança). ▸ Dados de pagamento: últimos 4 dígitos do cartão, marca do cartão, token de pagamento emitido pela Stripe. Os números de cartão completos NUNCA são transmitidos aos servidores da Kliniqa — são tratados directamente pela Stripe em ambiente certificado PCI-DSS.

⚠️ Dados de Saúde (Categoria Especial — Art. 9.º RGPD): A Kliniqa trata dados de saúde, designadamente: queixas clínicas, antecedentes médicos pessoais e familiares, medicação habitual, diagnósticos, resultados de exames, prescrições, relatórios clínicos, gravações ou notas das videoconsultas e quaisquer outros dados respeitantes à saúde física ou mental. Estes dados beneficiam da protecção reforçada do artigo 9.º do RGPD e são tratados sob o dever de sigilo profissional médico (artigo 195.º do Código Penal e artigo 139.º do Estatuto da OM).

4. Origem dos Dados (Art. 14.º RGPD)

A esmagadora maioria dos dados pessoais é recolhida directamente junto do titular (o próprio paciente) no acto de registo, na marcação da consulta e durante a consulta médica.

Excepcionalmente, podem ser recolhidos dados de terceiros nas seguintes situações: (i) consultas pediátricas — dados do menor fornecidos pelo representante legal; (ii) referenciações entre médicos — quando outro profissional de saúde envia informação clínica com o consentimento do paciente; (iii) integrações com o SNS (futuras) — apenas com base no consentimento explícito do paciente.

Sempre que os dados não são obtidos directamente junto do titular, a Kliniqa fornece, dentro do prazo do artigo 14.º, n.º 3 do RGPD, informação sobre a origem dos dados, categorias tratadas e direitos do titular.

5. Fundamento Jurídico do Tratamento

O tratamento dos seus dados assenta nos seguintes fundamentos cumulativos, consoante a categoria de dados:

▸ Para dados pessoais "comuns" (identificação, contacto, pagamento): • Art. 6.º n.º 1 al. b) RGPD — execução do contrato de prestação de cuidados médicos (marcação, realização da consulta, facturação). • Art. 6.º n.º 1 al. c) RGPD — cumprimento de obrigações legais (faturação, fiscalidade, conservação de registos clínicos). • Art. 6.º n.º 1 al. f) RGPD — interesses legítimos (prevenção de fraude, segurança da plataforma), apenas quando não prevaleçam os interesses ou direitos fundamentais do titular.

▸ Para dados de saúde (categoria especial — Art. 9.º RGPD): • Art. 9.º n.º 2 al. h) RGPD — tratamento necessário para efeitos de medicina preventiva ou do trabalho, avaliação da capacidade de trabalho do empregado, diagnóstico médico, prestação de cuidados ou tratamentos de saúde, efectuado por um profissional sujeito a sigilo profissional. Este é o fundamento principal e o adequado para a actividade de telemedicina. • Art. 9.º n.º 2 al. a) RGPD — consentimento explícito apenas para tratamentos NÃO essenciais à prestação de cuidados (ex.: comunicações de marketing sobre serviços de saúde, partilha de dados com investigação clínica).

O fundamento da alínea h) do n.º 2 do artigo 9.º é robusto e não depende de consentimento, evitando a contradição apontada pelo CEPD (Orientações 05/2020) segundo a qual o consentimento não é "livremente prestado" quando a sua recusa implica a impossibilidade de aceder a um serviço necessário.

6. Finalidades do Tratamento

Os dados são tratados exclusivamente para as seguintes finalidades:

▸ Prestação do serviço médico (marcação, identificação do paciente, realização da videoconsulta, emissão de relatório clínico, prescrição electrónica, referenciações). ▸ Processamento de pagamentos e emissão de facturação electrónica. ▸ Cumprimento de obrigações legais (registos clínicos — DL 48/95; fiscalidade — Código do IVA). ▸ Segurança da plataforma e prevenção de fraude (detecção de acessos não autorizados, registos de auditoria). ▸ Resposta a pedidos de exercício de direitos pelos titulares (Arts. 15.º–22.º RGPD). ▸ Comunicações por email estritamente operacionais (confirmação de marcação, lembrete de consulta, envio de relatório).

Os dados NÃO são utilizados para perfilamento publicitário, venda a terceiros, treino de modelos de inteligência artificial generativa, ou qualquer outra finalidade incompatível com as acima enunciadas.

7. Destinatários e Subcontratantes (Art. 28.º RGPD)

Os seus dados são acedidos exclusivamente por: (i) a profissional responsável pelo tratamento, no exercício do acto médico e sob sigilo; (ii) eventuais médicos colaboradores associados à plataforma, igualmente vinculados ao sigilo profissional; (iii) os subcontratantes técnicos abaixo elencados, no estrito limite das tarefas que lhes são atribuídas.

Subcontratantes activos: ▸ Supabase, Inc. — alojamento de base de dados e autenticação. Dados alojados em servidores na União Europeia (Frankfurt, Alemanha). ▸ Stripe Payments Europe, Ltd. — processamento de pagamentos. Sede na Irlanda (UE); transferências para os EUA para fins de fraud screening ao abrigo de Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia (Decisão 2021/914). ▸ Resend, Inc. — envio de emails transaccionais. Empresa estabelecida nos EUA; transferências ao abrigo de CCT. ▸ PostHog Inc. — análise de utilização da plataforma. Servidores na UE (Frankfurt). Apenas activado se o utilizador consentir nos cookies analíticos. ▸ Vercel Inc. — alojamento da aplicação web e CDN. Servidores edge globais; tráfego europeu servido a partir da UE.

Todos os subcontratantes estão vinculados por contratos de subcontratação conformes com o artigo 28.º do RGPD. A lista actualizada (incluindo eventuais adições futuras) pode ser solicitada a geral@kliniqa.net.

8. Transferências Internacionais de Dados

A Kliniqa procura sempre processar dados dentro do Espaço Económico Europeu (EEE). Quando ocorrem transferências para países terceiros (designadamente os EUA), estas são realizadas exclusivamente ao abrigo de mecanismos previstos no Capítulo V do RGPD, nomeadamente Cláusulas Contratuais-Tipo (CCT) aprovadas pela Decisão da Comissão (UE) 2021/914 e, quando aplicável, medidas técnicas suplementares (cifragem em trânsito e em repouso, pseudonimização).

Pode solicitar cópia das CCT e do Transfer Impact Assessment (TIA) efectuado para cada subcontratante extra-UE através do endereço geral@kliniqa.net.

9. Conservação dos Dados

Os dados são conservados pelos prazos mínimos legais aplicáveis a cada categoria:

▸ Registos clínicos (consultas, diagnósticos, prescrições, relatórios): 5 anos após a última consulta, nos termos do artigo 3.º do Decreto-Lei n.º 48/95 e da Norma da Direção-Geral da Saúde sobre conservação de processos clínicos. Em caso de menores, o prazo conta-se a partir da maioridade do titular. ▸ Dados de faturação e fiscais: 10 anos, em conformidade com o artigo 52.º do Código do IVA e o artigo 123.º do CIRC. ▸ Dados de conta (nome, email, perfil) sem registos clínicos associados: até ao encerramento da conta, acrescido de 30 dias para reactivação acidental. ▸ Registos de acesso e logs de segurança: 12 meses. ▸ Registo de consentimentos (RGPD Art. 7.º n.º 1): 5 anos após a retirada ou expiração do consentimento.

Findos os prazos, os dados são eliminados de forma segura ou irreversivelmente anonimizados. Pedidos de eliminação ao abrigo do Art. 17.º não prevalecem sobre as obrigações legais de conservação acima referidas, conforme expressamente permitido pelo Art. 17.º n.º 3 al. b) RGPD.

10. Direitos dos Titulares dos Dados

Nos termos dos artigos 15.º a 22.º do RGPD, tem o direito de:

▸ Direito de acesso (Art. 15.º) — obter confirmação do tratamento e cópia legível dos seus dados, com informação sobre finalidades, categorias, destinatários, prazos e origem. Exercício directo na Área Pessoal → Privacidade → "Pedir acesso aos meus dados". ▸ Direito de rectificação (Art. 16.º) — corrigir dados inexactos ou incompletos. Pode editar a maior parte dos seus dados directamente na Área Pessoal → Perfil. Para correcções a registos clínicos, contacte a profissional médica. ▸ Direito ao apagamento (Art. 17.º) — exercício directo na Área Pessoal → Privacidade → "Solicitar eliminação". Sujeito às excepções legais de conservação obrigatória (registos clínicos, fiscalidade). ▸ Direito à portabilidade (Art. 20.º) — exercício directo na Área Pessoal → Privacidade → "Exportar os meus dados". ▸ Direito de limitação do tratamento (Art. 18.º) — mediante pedido escrito para geral@kliniqa.net. ▸ Direito de oposição (Art. 21.º) — mediante pedido escrito para geral@kliniqa.net. Para marketing direto, pode opor-se a qualquer momento através do link de cancelamento incluído em cada email. ▸ Direito a não ficar sujeito a decisões individuais automatizadas (Art. 22.º) — ver secção 13.

Todos os pedidos são processados gratuitamente no prazo máximo de 30 dias (prorrogável até 90 dias em casos manifestamente complexos, com aviso prévio ao titular). Pedidos manifestamente infundados ou excessivos, em particular por carácter repetitivo, podem ser sujeitos ao pagamento de uma taxa razoável ou ser recusados (Art. 12.º n.º 5 RGPD).

11. Retirada do Consentimento

Sempre que um tratamento se baseie no seu consentimento (caso de cookies analíticos/marketing, comunicações promocionais e partilha para investigação), pode retirá-lo a qualquer momento, com efeitos para o futuro, sem afectar a licitude dos tratamentos anteriores.

IMPORTANTE: o tratamento de dados de saúde para a prestação de cuidados NÃO se baseia no seu consentimento (baseia-se no Art. 9.º n.º 2 al. h) RGPD). Por isso, a "retirada de consentimento" não interrompe a prestação dos serviços médicos. Se pretender deixar de utilizar a plataforma, pode encerrar a sua conta — os registos clínicos serão conservados pelos prazos legais mínimos e depois eliminados.

Para retirar consentimentos, aceda à Área Pessoal → Privacidade → Preferências de Cookies, ou contacte-nos por email para geral@kliniqa.net.

12. Menores de Idade

Nos termos do artigo 8.º do RGPD e do artigo 16.º da Lei n.º 58/2019, o tratamento de dados pessoais de crianças baseado em consentimento só é lícito se a criança tiver, pelo menos, 13 anos de idade (Portugal exerceu a opção do RGPD de baixar o limiar dos 16 anos por defeito para 13).

Para utilizadores com menos de 13 anos, o consentimento deve ser dado pelo titular das responsabilidades parentais ou autorizado por este. Em qualquer caso, para consultas pediátricas, é o representante legal que cria a conta, agenda a consulta e está presente durante a mesma.

A Kliniqa adopta medidas razoáveis para verificar a idade do utilizador no momento do registo. Caso tenha conhecimento de que recolhemos inadvertidamente dados de um menor sem o devido consentimento parental, contacte-nos imediatamente em geral@kliniqa.net para eliminação.

13. Decisões Automatizadas e Inteligência Artificial

A Kliniqa NÃO toma decisões com efeitos jurídicos ou significativos exclusivamente baseadas em tratamento automatizado (Art. 22.º RGPD). Todos os actos médicos — diagnósticos, prescrições, atestados — são da exclusiva responsabilidade da profissional médica humana, no exercício do seu critério clínico autónomo.

Algumas funcionalidades de apoio podem recorrer a sistemas de inteligência artificial, designadamente: (i) sugestões de triagem para ajudar a categorizar pedidos; (ii) transcrição automática de vídeo (apenas se o paciente consentir, com retenção limitada). Estes sistemas são meramente auxiliares e não substituem o julgamento clínico. O paciente tem o direito de solicitar intervenção humana, de exprimir o seu ponto de vista e de contestar decisões em que sistemas automatizados tenham desempenhado papel relevante.

14. Segurança e Notificação de Violações

Aplicamos medidas técnicas e organizativas adequadas à natureza dos dados (Art. 32.º RGPD), incluindo: cifragem em trânsito (TLS 1.3) e em repouso (AES-256), autenticação multi-factor para acesso administrativo, segregação de ambientes, registos de auditoria, controlo de acessos baseado em funções (RBAC), backups encriptados e revisões periódicas de segurança.

Em caso de violação de dados pessoais susceptível de implicar risco para os seus direitos e liberdades, a Kliniqa notificará a Comissão Nacional de Proteção de Dados no prazo máximo de 72 horas (Art. 33.º RGPD). Quando a violação for susceptível de implicar risco elevado, comunicaremos directamente aos titulares afectados (Art. 34.º RGPD).

15. Cookies e Tecnologias Similares

A Kliniqa utiliza três categorias de cookies, todas geridas no banner de consentimento apresentado na primeira visita e re-configuráveis em qualquer momento:

▸ Cookies estritamente necessários — autenticação, sessão, segurança, preferências de idioma. Não requerem consentimento por força do artigo 5.º n.º 3 da Directiva ePrivacy. A desactivação impede o funcionamento da plataforma. ▸ Cookies analíticos — recolha estatística agregada de utilização (PostHog). Activados apenas com consentimento explícito. ▸ Cookies de marketing — comunicações personalizadas. Activados apenas com consentimento explícito.

Pode aceitar tudo, rejeitar tudo, ou seleccionar categorias individuais — a recusa é tão simples como a aceitação, em conformidade com as Orientações 03/2022 do CEPD e a Deliberação 1638/2022 da CNPD.

16. Direito de Reclamação junto da CNPD

Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, tem o direito de apresentar reclamação junto da autoridade de controlo competente em Portugal:

Comissão Nacional de Proteção de Dados (CNPD) Av. D. Carlos I, 134, 1.º, 1200-651 Lisboa Telefone: +351 213 928 400 Email: geral@cnpd.pt Website: www.cnpd.pt

Encorajamos, sem prejuízo deste direito, que nos contacte primeiro através de geral@kliniqa.net para que possamos tentar resolver a sua questão directamente.

17. Alterações à Política de Privacidade

A Kliniqa pode actualizar esta Política para reflectir alterações materiais nas práticas de tratamento, na legislação aplicável ou nos serviços prestados. Quando uma alteração for material, a versão da política é incrementada e o banner de consentimento de cookies é re-exibido para reconfirmação.

Alterações materiais são comunicadas adicionalmente por email com pelo menos 30 dias de antecedência aos utilizadores activos. A data e versão no topo deste documento indicam a revisão em vigor.

18. Contacto

Para exercício de direitos, questões sobre privacidade ou pedidos de informação: 📧 geral@kliniqa.net 📞 +351 933 496 991 (seg–sex, 9h–18h, hora de Lisboa) 📮 Daniela Jaramillo Alzate · Avenida Gonçalo Ribeiro Telles, 400 · 4405-732 Vila Nova de Gaia, Portugal

Procuraremos responder em 30 dias, com possibilidade de prorrogação até 90 dias em casos complexos (com aviso ao titular nos primeiros 30).