Acordo de Processamento de Dados (DPA)

Data Processing Agreement / Contrato de Subcontratação

Última atualização: 10 de janeiro de 2025

📋 Preâmbulo

Este Acordo de Processamento de Dados ("DPA") complementa os Termos e Condições de Serviço e estabelece os termos aplicáveis ao processamento de dados pessoais pela The Lean Insight em nome da clínica dentária, em conformidade com o Regulamento (UE) 2016/679 (RGPD).

1. Definições

🏥 Responsável pelo Tratamento (Data Controller)

A clínica dentária subscritora do serviço Cheques Dentista. É a entidade que determina as finalidades e os meios de tratamento de dados pessoais de pacientes e médicos dentistas.

⚙️ Subcontratante (Data Processor)

The Lean Insight (NIPC 509855423), sediada na Avenida da República, 52, 7, 1050-196 Lisboa, Portugal. Entidade que trata dados pessoais em nome do Responsável pelo Tratamento através da plataforma Cheques Dentista.

👤 Titulares de Dados

Pacientes e médicos dentistas cujos dados pessoais são processados através da plataforma.

📊 Dados Pessoais

Informação relativa aos titulares de dados, incluindo: nomes, ano de nascimento (pacientes), e dados de saúde implícitos (registos de cheques dentista).

2. Objeto e Duração

2.1. Objeto do Acordo

O Subcontratante compromete-se a processar dados pessoais em nome do Responsável pelo Tratamento, estritamente para as seguintes finalidades:

  • Gestão do ciclo de vida de cheques dentista (registo, rastreamento de estados, auditoria)
  • Registo e gestão de pacientes e médicos dentistas
  • Geração de relatórios e estatísticas para o Responsável pelo Tratamento
  • Exportação de dados para fins de contabilidade e auditoria

2.2. Duração

Este DPA entra em vigor na data de subscrição do serviço e permanece válido durante todo o período de subscrição ativa. Cessa automaticamente com o término da relação contratual, sem prejuízo das obrigações de conservação e eliminação de dados.

3. Obrigações do Responsável pelo Tratamento (Clínica)

✓ A Clínica Garante Que:

1.

Licitude do Tratamento

Possui uma base legal válida para o tratamento de dados ao abrigo do RGPD (Art. 6.º e 9.º), nomeadamente a execução de contrato com pacientes e interesse legítimo para gestão de registos clínicos.

2.

Obtenção de Consentimentos

Obteve todos os consentimentos necessários dos pacientes e médicos dentistas antes de introduzir os seus dados na plataforma, incluindo consentimento parental válido para menores de 16 anos, conforme Art. 8.º do RGPD.

3.

Informação aos Titulares

Informou os titulares de dados sobre o processamento, incluindo a identidade do Subcontratante (The Lean Insight) e os seus direitos ao abrigo do RGPD (Art. 13.º e 14.º).

4.

Precisão dos Dados

Garante que os dados introduzidos na plataforma são precisos, completos e atualizados.

5.

Resposta a Pedidos de Titulares

É responsável por responder a pedidos de exercício de direitos dos titulares de dados (acesso, retificação, apagamento), podendo solicitar assistência ao Subcontratante quando necessário.

6.

Instrucções ao Subcontratante

Reconhece que a utilização das funcionalidades da plataforma Cheques Dentista constitui as suas instruções documentadas para o processamento de dados pelo Subcontratante (Art. 28.º, n.º 3, al. a) do RGPD).

4. Obrigações do Subcontratante (The Lean Insight)

✓ O Subcontratante Compromete-se a:

1.

Processar Apenas Conforme Instruções

Tratar dados pessoais apenas conforme instruções documentadas do Responsável pelo Tratamento (através da utilização da plataforma) e não para qualquer outra finalidade, salvo se exigido por lei (Art. 28.º, n.º 3, al. a) do RGPD).

2.

Confidencialidade

Garantir que todas as pessoas autorizadas a tratar dados pessoais estão sujeitas a obrigações de confidencialidade (Art. 28.º, n.º 3, al. b) do RGPD).

3.

Medidas de Segurança (Art. 32.º RGPD)

Implementar medidas técnicas e organizacionais adequadas para proteger os dados pessoais:

  • Encriptação em trânsito (HTTPS/TLS) e em repouso (AES-256)
  • Row-Level Security (RLS) para isolamento entre clínicas
  • Controlo de acesso baseado em funções (RBAC)
  • Autenticação forte com possibilidade de autenticação multi-fator
  • Backups regulares e recuperação de desastres
  • Logs de auditoria completos (voucher_status_history)
4.

Assistência em Direitos dos Titulares

Auxiliar o Responsável pelo Tratamento, na medida do possível, no cumprimento de obrigações relativas a pedidos de exercício de direitos dos titulares (Art. 28.º, n.º 3, al. e) do RGPD), fornecendo funcionalidades de exportação, retificação e eliminação de dados.

5.

Notificação de Violações de Dados

Notificar o Responsável pelo Tratamento de qualquer violação de dados pessoais no prazo de 24 horas após tomar conhecimento (Art. 33.º RGPD), fornecendo informação sobre a natureza da violação, categorias de titulares afetados, e medidas adotadas.

6.

Auditorias e Inspeções

Disponibilizar toda a informação necessária para demonstrar conformidade com as obrigações do Art. 28.º do RGPD e permitir auditorias por parte do Responsável pelo Tratamento ou auditores autorizados, mediante aviso prévio de 30 dias.

7.

Subcontratantes Autorizados

O Responsável pelo Tratamento autoriza expressamente a utilização dos seguintes sub-subcontratantes:

Supabase, Inc.

Infraestrutura de base de dados e autenticação (servidor EU West 1 - Irlanda)

DPA disponível em: supabase.com/dpa

Stripe, Inc.

Processamento de pagamentos de subscrições

DPA disponível em: stripe.com/privacy-center/legal

O Subcontratante notificará o Responsável com 30 dias de antecedência sobre qualquer adição ou substituição de sub-subcontratantes.

8.

Eliminação ou Devolução de Dados

Após o término da prestação de serviços, o Subcontratante eliminará ou devolverá todos os dados pessoais ao Responsável pelo Tratamento, a pedido deste, e eliminará cópias existentes, salvo se a legislação da União ou nacional exigir a conservação (Art. 28.º, n.º 3, al. g) do RGPD).

Período de Conservação Pós-Cancelamento: 30 dias para permitir reativação, após os quais os dados são anonimizados ou eliminados, exceto se solicitada eliminação imediata.

5. Transferências Internacionais de Dados

Todos os dados pessoais são armazenados e processados exclusivamente em servidores localizados na União Europeia(região eu-west-1, Irlanda), garantindo total conformidade com o RGPD.

O Subcontratante não efetua transferências de dados pessoais para países terceiros fora do Espaço Económico Europeu (EEE), exceto se expressamente autorizado por escrito pelo Responsável pelo Tratamento e com garantias adequadas conforme o Capítulo V do RGPD.

6. Procedimento em Caso de Violação de Dados

🚨 Em Caso de Violação de Dados Pessoais:

1.

Notificação ao Responsável: O Subcontratante notificará o Responsável pelo Tratamento no prazo de 24 horas após tomar conhecimento da violação, por email para o endereço registado.

2.

Informação Fornecida: Natureza da violação, categorias e número aproximado de titulares afetados, categorias e número aproximado de registos afetados, consequências prováveis, medidas adotadas para remediar.

3.

Cooperação: O Subcontratante cooperará com o Responsável na investigação e resolução da violação, e na notificação à Comissão Nacional de Proteção de Dados (CNPD) se aplicável (prazo de 72 horas).

7. Responsabilidade

7.1. Responsabilidade do Subcontratante

O Subcontratante é responsável por danos causados por processamento de dados pessoais que viole o RGPD ou que não cumpra instruções lícitas do Responsável pelo Tratamento (Art. 82.º RGPD).

7.2. Isenção de Responsabilidade

O Subcontratante não será responsável por:

  • Violações resultantes de falta de consentimentos obtidos pelo Responsável pelo Tratamento
  • Introdução de dados imprecisos ou desatualizados pelo Responsável
  • Utilização indevida da plataforma por utilizadores do Responsável pelo Tratamento
  • Não cumprimento de obrigações de informação aos titulares por parte do Responsável

8. Vigência e Cessação

8.1. Vigência

Este DPA entra em vigor na data de subscrição do serviço e permanece válido durante toda a relação contratual.

8.2. Cessação

O DPA cessa automaticamente com o término da subscrição do serviço Cheques Dentista, sem prejuízo das obrigações de eliminação ou devolução de dados.

Após a cessação, o Subcontratante procederá à eliminação de todos os dados pessoais conforme estipulado na cláusula 4.8.

9. Lei Aplicável e Resolução de Litígios

Este DPA é regido pela lei portuguesa e pelo RGPD. Qualquer litígio emergente deste DPA será submetido à jurisdição exclusiva dos tribunais de Lisboa, Portugal.

10. Contactos

Subcontratante

The Lean Insight

Avenida da República, 52, 7

1050-196 Lisboa, Portugal

NIPC: 509855423

Email: info@lean-consultores.com

Responsável pelo Tratamento

Os dados de contacto do Responsável pelo Tratamento (clínica dentária) constam da subscrição do serviço e são mantidos atualizados nas definições da conta.

✓ Aceitação do DPA

Ao subscrever o serviço Cheques Dentista e marcar a caixa de consentimento durante o processo de registo, o Responsável pelo Tratamento (clínica dentária) confirma que:

  • ✓ Leu e compreendeu este Acordo de Processamento de Dados
  • ✓ Concorda com os termos e obrigações aqui estabelecidos
  • ✓ Obteve todos os consentimentos necessários dos titulares de dados
  • ✓ Autoriza o Subcontratante a processar dados conforme descrito
  • ✓ Autoriza expressamente os sub-subcontratantes listados (Supabase, Stripe)

Data de aceitação: Data de subscrição do serviço

Para obter uma cópia assinada deste DPA para os seus registos, contacte info@lean-consultores.com