Política de Privacidade
PROJETO — AINDA NÃO EM VIGOR. Esta política será publicada quando a Klinivo iniciar operações na União Europeia. O serviço ainda não está disponível na UE. A sua entrada em vigor está condicionada à migração da infraestrutura para uma região da UE (eu-west-1, Irlanda); até lá, a plataforma opera exclusivamente no Brasil (em us-east-1, EUA). Não trate este documento como em vigor nem como base para o tratamento de dados de residentes na UE.
AVISO DE EMERGÊNCIA: Este serviço NÃO é um serviço de emergência médica.
Em caso de emergência, ligue 112 ou dirija-se ao serviço de urgências mais próximo.
Sintomas que requerem atenção de emergência incluem:
- Dor no peito ou dificuldade em respirar
- Perda de consciência
- Hemorragia grave
- Sinais de AVC (face descaída, fraqueza nos braços, dificuldade na fala)
- Pensamentos suicidas ou de autolesão
1. Aviso de Emergência
A Klinivo é uma plataforma de gestão de consultórios médicos. Não somos um serviço de emergência médica. Se está a vivenciar uma emergência de saúde, ligue imediatamente para o 112 (número europeu de emergência) ou dirija-se ao serviço de urgências hospitalar mais próximo.
Não utilize a plataforma Klinivo para comunicar situações de emergência. O nosso sistema de triagem pode identificar sinais de urgência e alertá-lo, mas não substitui o atendimento de emergência presencial.
2. Introdução e Identidade do Responsável
2.1 Quem Somos
A Klinivo é uma plataforma de gestão de consultórios médicos com inteligência artificial, desenvolvida pela HC Desenvolvimento de Softwares Ltda. O nosso objetivo é permitir que os médicos se concentrem nos seus pacientes, não na burocracia.
Oferecemos ferramentas para:
- Agendamento de consultas presenciais e de telemedicina
- Consultas por vídeo com qualidade profissional
- Documentação clínica assistida por IA
- Receitas digitais integradas
- Processo clínico eletrónico seguro e acessível
Levamos a privacidade a sério. Esta política explica, de forma clara e acessível, como tratamos os seus dados pessoais em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD — Regulamento UE 2016/679), a Lei n.º 58/2019 (lei portuguesa de execução do RGPD) e a Lei n.º 12/2005 (informação genética pessoal e informação de saúde).
2.2 Identificação do Responsável pelo Tratamento
| Informação | Dados |
|---|---|
| Denominação social | HC Desenvolvimento de Softwares Ltda. |
| Nome comercial | Klinivo |
| Sede | Belo Horizonte — MG, Brasil |
| Contacto geral | [email protected] |
| Encarregado de Proteção de Dados (EPD) | [email protected] |
A HC Desenvolvimento de Softwares Ltda. é uma empresa brasileira que opera na União Europeia ao abrigo do enquadramento regulamentar do RGPD. Enquanto responsável pelo tratamento, determinamos as finalidades e os meios do tratamento dos seus dados pessoais.
2.3 Definições
Para facilitar a compreensão, apresentamos os termos técnicos utilizados nesta política:
| Termo | O que significa |
|---|---|
| Dados Pessoais | Qualquer informação que o identifique ou que possa identificá-lo, como nome, NIF, endereço eletrónico ou telefone |
| Categorias Especiais de Dados | Dados sobre saúde, origem racial, convicções religiosas ou dados biométricos. Os seus dados de saúde são categorias especiais |
| Tratamento | Qualquer operação com os seus dados: recolha, armazenamento, utilização, comunicação ou apagamento |
| Responsável pelo Tratamento | Quem decide como e porquê os seus dados são tratados. Neste caso, a HC Desenvolvimento de Softwares Ltda. |
| Subcontratante | Quem trata dados por conta do responsável, como os nossos fornecedores de nuvem |
| Titular dos Dados | O utilizador, a pessoa a quem os dados se referem |
| Consentimento | A sua autorização livre, informada, específica e inequívoca para um tratamento concreto |
| CNPD | Comissão Nacional de Proteção de Dados, autoridade de controlo em Portugal |
| EPD | Encarregado de Proteção de Dados, responsável pelas questões de privacidade |
3. Âmbito e Aplicabilidade
3.1 A Quem se Aplica
Esta política aplica-se a todos os utilizadores da plataforma Klinivo em Portugal, incluindo:
- Pacientes que utilizam o portal do paciente ou participam em consultas
- Médicos (profissionais de saúde) que utilizam a plataforma para gerir a sua prática clínica
- Pessoal de clínica (secretárias, gestores, administradores) que operam o sistema
- Administradores de organização que gerem configurações e faturação
3.2 Organizações PÚBLICAS vs PRIVADAS
A Klinivo opera com dois modelos de organização:
| Tipo | Descrição | Responsável pela Faturação |
|---|---|---|
| PÚBLICA | Médicos independentes que subscrevem individualmente | Cada médico (PROVIDER) |
| PRIVADA | Clínicas ou empresas com convite | Proprietário da organização (OWNER) |
Em ambos os casos, a HC Desenvolvimento de Softwares Ltda. é o responsável pelo tratamento dos dados pessoais. O médico ou a organização atua como responsável conjunto pelo tratamento no que respeita aos dados clínicos dos seus pacientes.
3.3 Plataforma Base Gratuita vs Módulos Pagos
A plataforma base da Klinivo (agendamento, processo clínico manual, portal do paciente, receitas) é gratuita. As funcionalidades de inteligência artificial e serviços avançados são disponíveis através de módulos pagos:
| Módulo | Funcionalidade |
|---|---|
| AI Scribe | Transcrição em tempo real, notas SOAP por IA |
| Smart Intake | Recolha de sintomas por IA |
| Telemedicina | Consultas por vídeo em alta definição |
| Lembretes | Notificações por WhatsApp/SMS |
| Automatização | Automatização de fluxos de trabalho |
| Analítica | Relatórios personalizados e painéis de controlo |
Cada módulo tem um período de teste baseado em utilização. A ativação de módulos de IA requer consentimento explícito adicional para o tratamento de dados.
4. Dados que Recolhemos
Recolhemos apenas os dados necessários para prestar os nossos serviços. Apresentamos o que recolhemos e o motivo:
4.1 Dados Pessoais de Identificação
Quando cria uma conta ou é registado pela sua clínica:
| Dado | Motivo da recolha |
|---|---|
| Nome completo | Identificá-lo no sistema e no processo clínico |
| Data de nascimento | Tratamento adequado à idade, verificação de identidade |
| Endereço eletrónico | Acesso à conta, confirmações, comunicações |
| Telefone | Lembretes de consultas, contacto de emergência |
| Documento de identificação nacional (tipo conforme país do consultório) — NIF (Portugal), DNI/NIE (Espanha), CPF (Brasil), NINO (Reino Unido), SSN (EUA), Passaporte (pacientes internacionais) | Identificação inequívoca, faturação, receitas digitais e cumprimento de obrigações regulamentares. Campo obrigatório — armazenado integralmente (sem mascaramento) com cifragem em repouso; mascaramento aplicado apenas na visualização para perfis de menor privilégio (STAFF, SECRETARY, MANAGER) |
| Tipo do documento de identificação | Identifica o tipo do documento (NIF, DNI, NIE, CPF, NINO, SSN, PASSPORT) para validação específica por país |
| Grupo sanguíneo (formato estruturado: A+, A-, B+, B-, AB+, AB-, O+, O-) | Segurança em transfusões e decisões clínicas de emergência. Base jurídica: prestação de cuidados de saúde (RGPD Art. 9(2)(h)). Campo opcional, validado por padrão regex e por restrição CHECK na base de dados (chk_patient_blood_type) |
| Dados do contacto de emergência (nome, telefone, relação) | Contacto em situação de emergência clínica. Opcional — se fornecer qualquer um destes campos, nome e telefone passam a ser obrigatórios (regra aplicada por validador @ValidEmergencyContact no DTO e por restrição chk_patient_emergency_contact_complete na base de dados). Base jurídica: interesse vital (RGPD Art. 6(1)(d) + Art. 9(2)(c)). Compete-lhe informar a pessoa indicada de que os seus dados foram comunicados à Klinivo para fins de contacto em emergência (RGPD Art. 14 — dados de terceiros recolhidos indiretamente) |
| Género | Relevância clínica |
| Sexo biológico | Tomada de decisões clínicas (dosagem de medicamentos, intervalos de referência, protocolos de rastreio) |
| Morada | Prestação de cuidados de saúde, situações de emergência |
4.2 Dados de Saúde (Categoria Especial)
Durante as suas consultas, o seu médico regista:
| Dado | Motivo da recolha |
|---|---|
| Histórico médico | Continuidade dos cuidados, decisões clínicas seguras |
| Sintomas relatados | Diagnóstico e tratamento |
| Notas SOAP | Documentação clínica padronizada |
| Receitas | Registo do tratamento |
| Sinais vitais | Monitorização de saúde (em consultas presenciais) |
| Alergias | Segurança na prescrição |
| Perguntas ICE | Ideias, preocupações e expectativas do paciente (melhoria da comunicação clínica) |
| Questionários de saúde mental | PHQ-9 (depressão), GAD-7 (ansiedade) — apenas com consentimento |
Os dados de saúde são considerados categorias especiais de dados ao abrigo do RGPD (Art. 9) e dados de saúde ao abrigo da Lei n.º 12/2005, recebendo proteção reforçada.
O sexo biológico é recolhido como dado clínico distinto da identidade de género. É processado ao abrigo do Art. 9(2)(h) do RGPD (prestação de cuidados de saúde) porque é clinicamente necessário para a dosagem precisa de medicamentos, intervalos de referência laboratorial e protocolos de rastreio apropriados à idade. Pode recusar fornecer esta informação, embora tal possa limitar a precisão de determinadas funcionalidades de apoio à decisão clínica.
4.3 Dados de Dispositivo e Utilização
Para garantir a segurança e melhorar o serviço:
| Dado | Motivo da recolha |
|---|---|
| Endereço IP | Segurança, prevenção de fraude |
| Tipo de navegador e dispositivo | Compatibilidade técnica |
| Páginas visitadas e ações | Melhoria da experiência do utilizador |
| Data e hora de acesso | Registos de segurança e auditoria |
| Relatórios de erro | Identificação e correção de problemas técnicos |
| Eventos de utilização de funcionalidades | Melhoria do produto com base em padrões de utilização |
Proteções de privacidade:
- Todos os campos de formulário são mascarados em gravações de sessão
- Dados clínicos utilizam mascaramento CSS (classe
.patient-data) - Nenhum dado de saúde é incluído em dados de analítica
- Respostas NPS são anonimizadas para relatórios agregados
4.4 Dados de IA (Opcional)
Se optar por utilizar funcionalidades de IA:
| Dado | Funcionalidade | Retenção |
|---|---|---|
| Áudio da consulta | Transcrição em tempo real | 24 horas |
| Texto da transcrição | Geração de notas SOAP | Conforme necessidade clínica |
| Respostas de intake | Intake inteligente | Conforme necessidade clínica |
| Fotografias de sintomas | Avaliação visual | Conforme necessidade clínica |
5. Como Recolhemos os Dados
5.1 Recolha Direta
Dados que o utilizador nos fornece diretamente:
- Ao criar uma conta na plataforma
- Ao preencher o seu perfil ou processo clínico
- Ao participar em consultas (presenciais ou por vídeo)
- Ao responder a questionários de intake ou inquéritos de satisfação
- Ao comunicar com a clínica através do chat
5.2 Recolha Automatizada
Dados recolhidos automaticamente durante a utilização:
- Registos de acesso e sessão (início de sessão, navegação)
- Dados técnicos do dispositivo e navegador
- Eventos de utilização para analítica (sem dados de saúde)
- Métricas de desempenho e relatórios de erro
5.3 Integrações de Terceiros
Dados recebidos de serviços integrados:
- AWS Cognito — autenticação e gestão de identidade
- Stripe — confirmação de pagamentos
- Fornecedor de identidade (IdP) — atributos SAML em organizações Enterprise com SSO
6. Base Jurídica do Tratamento
O RGPD exige que tenhamos uma base jurídica para cada tratamento de dados. A Lei n.º 58/2019 e a Lei n.º 12/2005 complementam estas bases para o contexto português.
6.1 Bases Jurídicas Utilizadas
| Base Jurídica | Quando a Utilizamos | Exemplos de Dados |
|---|---|---|
| Prestação de cuidados de saúde (RGPD Art. 9(2)(h)) | Tratamento de dados de saúde por profissional de saúde | Processo clínico, sintomas, diagnósticos |
| Obrigação legal (RGPD Art. 6(1)(c)) | Cumprimento de leis e regulamentos | Retenção do processo clínico, dados fiscais |
| Execução de contrato (RGPD Art. 6(1)(b)) | Prestação do serviço contratado | Início de sessão, agendamento, pagamentos |
| Consentimento explícito (RGPD Art. 6(1)(a) + Art. 9(2)(a)) | Funcionalidades opcionais de IA | Transcrição, SOAP por IA, intake inteligente |
| Interesse legítimo (RGPD Art. 6(1)(f)) | Segurança e melhoria do serviço | Registos de acesso, analítica de utilização |
| Interesses vitais (RGPD Art. 6(1)(d)) | Proteção da saúde em situações de emergência | Deteção de triagem, alertas de segurança |
6.2 Categorias Especiais — Dados de Saúde
Os seus dados de saúde recebem proteção reforçada ao abrigo do RGPD (Art. 9), da Lei n.º 58/2019 e da Lei n.º 12/2005 (informação de saúde):
- Base principal: Prestação de cuidados de saúde (Art. 9(2)(h)) — os seus dados clínicos são necessários para lhe prestar cuidados médicos
- Lei n.º 12/2005 (Art. 3 e Art. 4): Estabelece que a informação de saúde é propriedade do titular e só pode ser utilizada para fins de prestação de cuidados e investigação, com consentimento do titular
- Proteção adicional: Cifragem, controlo de acesso rigoroso, auditoria
- Não necessita de consentir para o tratamento básico de saúde, pois é necessário para a prestação de cuidados
- Necessita de consentir expressamente para funcionalidades de IA, que excedem o tratamento básico
6.3 Consentimento Granular para IA
Cada funcionalidade de IA requer consentimento independente:
| Funcionalidade | Consentimento | Revogável | Efeito da Revogação |
|---|---|---|---|
| AI Scribe (transcrição) | Sim, explícito | Sim | Apenas documentação manual |
| Smart Intake (chat IA) | Sim, explícito | Sim | Formulários de intake tradicionais |
| SOAP por IA | Sim, explícito | Sim | Redação manual de notas SOAP |
| Verificação de interações medicamentosas | Não (segurança) | N/A | Sempre disponível |
| Resumo do paciente (IA) | Sim, explícito | Sim | Resumos manuais |
| Diagnóstico diferencial | Sim, explícito | Sim | Avaliação exclusivamente clínica |
7. Como Utilizamos os Seus Dados
7.1 Plataforma Base (Gratuita)
| Finalidade | Dados Utilizados | Base Jurídica |
|---|---|---|
| Gestão de consultas | Agendamento, tipo de consulta, motivo | Execução de contrato |
| Processo clínico | Histórico, sintomas, notas SOAP, receitas | Prestação de cuidados de saúde |
| Portal do paciente | Perfil, histórico de consultas, documentos | Execução de contrato |
| Comunicações | Lembretes, confirmações, notificações | Execução de contrato |
| Faturação | Nome, NIF, endereço, historial de pagamentos | Obrigação legal + contrato |
7.2 Funcionalidades de IA (Por Módulo)
| Módulo | Dados Tratados | Finalidade |
|---|---|---|
| AI Scribe | Áudio da consulta, transcrição | Documentação clínica automatizada |
| Smart Intake | Respostas de sintomas, fotografias | Recolha de informação pré-consulta |
| Telemedicina | Vídeo, áudio, dados de sessão | Consultas por vídeo em tempo real |
| Lembretes | Telefone, nome, hora da consulta | Notificações por WhatsApp/SMS |
| Automatização | Dados de eventos, condições de fluxo | Automatização de processos clínicos |
| Analítica | Dados agregados de utilização | Relatórios e painéis de controlo |
7.3 Analítica e Melhoria do Serviço
Utilizamos dados anonimizados e pseudonimizados para:
- Identificar e corrigir erros técnicos (Sentry)
- Compreender padrões de utilização (PostHog)
- Medir a satisfação dos utilizadores (inquéritos NPS)
- Melhorar a experiência do utilizador
Garantia: Nenhum dado de saúde é incluído em ferramentas de analítica. Os identificadores de utilizador são pseudonimizados (organization_id + função, não endereço eletrónico).
8. Tratamento Específico de IA
8.1 Transparência sobre Modelos de IA
A Klinivo utiliza os seguintes modelos de inteligência artificial:
| Modelo | Fornecedor | Finalidade | Localização do Tratamento (alvo UE) |
|---|---|---|---|
| Claude 3.5 Sonnet | Anthropic (via AWS Bedrock) | Geração de texto, SOAP, intake | eu-west-1 (Irlanda, UE)† |
| Claude 3.5 Haiku | Anthropic (via AWS Bedrock) | Pesquisa de pacientes | eu-west-1 (Irlanda, UE)† |
| Groq Whisper | Groq | Transcrição de áudio | EUA* |
| pyannote (diarização) | pyannote.audio (no serviço de IA) | Separação de interlocutores em gravações de um só microfone | eu-west-1 (Irlanda, UE)† |
| XGBoost | Interno | Previsão de não comparecimento | eu-west-1 (Irlanda, UE)† |
*Com garantias adequadas (Cláusulas Contratuais-Tipo). Ver Secção 10. A transcrição pelo Groq é realizada nos EUA; antes do lançamento na UE será avaliado um fornecedor com região na UE ou alojamento próprio.
†Localização-alvo prévia ao lançamento na UE. Até estar concluída a migração da infraestrutura para a UE, a plataforma opera no Brasil/EUA (us-east-1) e não presta serviço a residentes na UE.
8.2 Como a IA Trata os Seus Dados
- O utilizador opta por ativar — as funcionalidades de IA são opcionais e requerem consentimento explícito
- Minimização de identificadores — são removidos os identificadores diretos dos metadados enviados aos fornecedores de IA; o áudio é referenciado por identificadores internos. O contexto clínico necessário pode acompanhar o pedido, sempre sob cláusulas que proíbem a retenção e o treino
- A IA processa o texto — gera transcrição, resumo ou sugestão
- O médico revisa tudo — nenhum conteúdo é guardado sem aprovação do profissional de saúde
- O áudio é eliminado — em 24 horas, apenas o texto permanece no processo clínico
8.3 Supervisão Humana
Em conformidade com o RGPD (Art. 22) e o Regulamento da IA da UE:
- Nenhuma decisão clínica é tomada exclusivamente por IA — todas as sugestões são revistas por um profissional de saúde qualificado
- Indicador visual — a plataforma mostra claramente quando a IA está ativa
- O médico pode rejeitar ou modificar qualquer conteúdo gerado por IA antes de o guardar
- Nenhum diagnóstico automatizado — a IA auxilia apenas na documentação e organização
8.4 Limitações da IA
É importante compreender que:
- A IA NÃO substitui o médico — todas as decisões clínicas são do profissional
- A IA pode cometer erros — o médico revisa e aprova sempre o conteúdo gerado
- A IA não faz diagnósticos — apenas auxilia na documentação e organização
- A IA não prescreve tratamentos — as receitas são responsabilidade exclusiva do médico
8.5 Os Seus Direitos sobre IA (RGPD Art. 22)
O utilizador tem direito a:
- Saber quando a IA é utilizada — indicador visual mostra quando a IA está ativa
- Solicitar revisão humana — de qualquer resultado gerado por IA
- Recusar a utilização de IA — pode utilizar a plataforma sem funcionalidades de IA
- Compreender a lógica — explicamos como funciona cada funcionalidade de IA
- Revogar o consentimento — pode retirar o consentimento para IA a qualquer momento, sem afetar a licitude do tratamento anterior
9. Partilha de Dados e Terceiros
9.1 Subcontratantes
Partilhamos dados com subcontratantes que nos auxiliam na prestação do serviço:
Arquitetura-alvo (prévia ao lançamento). As localizações na UE (Irlanda, eu-west-1) abaixo são o alvo prévio ao lançamento na UE. Até estar concluída a migração da infraestrutura, a plataforma opera em us-east-1 (EUA) e não presta serviço a residentes na UE.
| Subcontratante | Dados Partilhados | Finalidade | Localização (alvo UE) | Garantia |
|---|---|---|---|---|
| AWS | Dados cifrados | Infraestrutura de nuvem, base de dados | UE (Irlanda, eu-west-1) | ACT* assinado |
| Anthropic (via AWS Bedrock) | Texto desidentificado | Tratamento de IA | UE (Irlanda) | ACT assinado |
| Groq | Áudio desidentificado | Transcrição de áudio | EUA | CCTs** |
| Stripe | Nome, endereço eletrónico, montante | Processamento de pagamentos | UE | PCI-DSS, CCTs |
| Twilio | Telefone, nome, hora da consulta | Lembretes por WhatsApp/SMS | EUA | CCTs |
| INFARMED | Dados do medicamento controlado | Receitas de substâncias controladas | Portugal | Obrigação legal (Decreto-Lei 15/93) |
| PostHog | Eventos de utilização (sem dados de saúde) | Analítica de produto | UE | ACT assinado |
| Sentry | Dados de erro (sem dados de saúde) | Rastreio de erros | UE | ACT assinado |
*ACT = Acordo de Contratação do Tratamento (Art. 28 RGPD) **CCTs = Cláusulas Contratuais-Tipo (Art. 46(2)(c) RGPD)
9.2 Como Protegemos a Partilha
- Minimização de identificadores no envio à IA — são removidos os identificadores diretos dos metadados; o áudio é referenciado por identificadores internos
- Nenhum dado clínico é partilhado com Stripe ou Twilio — apenas o estritamente necessário para as suas funções
- Acordos de contratação do tratamento com todos os subcontratantes
- Parceiros de IA não podem utilizar os seus dados para treino de modelos
- PostHog e Sentry NÃO recebem dados de saúde protegidos
9.3 Nunca Vendemos os Seus Dados
A Klinivo não vende, nem venderá nunca, os seus dados pessoais ou de saúde a terceiros.
10. Transferências Internacionais de Dados
10.1 Dados na União Europeia
Arquitetura-alvo (prévia ao lançamento). A tabela seguinte descreve a arquitetura prevista para quando a Klinivo operar na UE. Até estar concluída a migração, a infraestrutura reside em us-east-1 (EUA) e a plataforma não presta serviço a residentes na UE. A residência de dados na UE é um requisito prévio a qualquer lançamento europeu.
Uma vez concluída a migração, a maioria dos dados será tratada e armazenada na União Europeia:
| Serviço | Localização (alvo UE) | Mecanismo de Transferência |
|---|---|---|
| Aurora PostgreSQL (base de dados) | eu-west-1 (Dublin, Irlanda) | Sem transferência (intra-UE) |
| S3 (armazenamento de ficheiros) | eu-west-1 (Irlanda) | Sem transferência (intra-UE) |
| AWS Bedrock (IA) | eu-west-1 (Irlanda) | Sem transferência (intra-UE) |
| PostHog (analítica) | UE | Sem transferência (intra-UE) |
| Sentry (erros) | UE | Sem transferência (intra-UE) |
10.2 Transferências para Fora da UE
| Serviço | Localização | Mecanismo | Dados Transferidos |
|---|---|---|---|
| AWS Cognito | us-east-1 (Virgínia, EUA) | CCTs da AWS (pré-assinadas) | Tokens de autenticação, perfil do utilizador |
| Groq | EUA | CCTs | Áudio desidentificado (retido 24h) |
| Twilio | EUA | CCTs | Telefone, nome, hora da consulta |
| Stripe | EUA (processamento) | CCTs + PCI-DSS | Dados de pagamento |
10.3 Transferências UE-Brasil
Como a HC Desenvolvimento de Softwares Ltda. é uma empresa brasileira, as transferências de dados entre as operações europeias e a sede no Brasil são realizadas com base em Cláusulas Contratuais-Tipo (CCTs) e nas demais salvaguardas adequadas previstas no Capítulo V do RGPD, salvo se e quando vier a ser aplicável uma decisão de adequação da Comissão Europeia.
10.4 Cláusulas Contratuais-Tipo (CCTs) como Salvaguarda
Para transferências para os EUA (Cognito, Groq, Twilio, Stripe), utilizamos Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia (Decisão de Execução 2021/914), complementadas por:
- Cifragem dos dados em trânsito e em repouso
- Certificações de segurança dos parceiros (SOC 2, ISO 27001)
- Proibição de utilização dos dados para treino de IA
- Avaliação de impacto da transferência (TIA)
11. Retenção de Dados
Conservamos os seus dados apenas pelo tempo necessário:
| Tipo de Dado | Período de Retenção | Justificação |
|---|---|---|
| Processo clínico | Mínimo 5 anos | Legislação de saúde portuguesa |
| Dados de saúde (Lei 12/2005) | Conforme necessidade clínica | Art. 5 da Lei n.º 12/2005 |
| Dados de pagamento | 10 anos | Legislação fiscal portuguesa (IRC/IRS) |
| Gravações de áudio | 24 horas | Minimização de dados |
| Cache de IA | 24 horas | Desempenho |
| Registos do sistema | 7 dias | Segurança |
| Registos de acesso | 2 anos | Segurança e auditoria |
| Respostas NPS | 2 anos | Melhoria do serviço |
| Eventos de analítica | 1 ano | Melhoria do produto |
| Relatórios de erro | 90 dias | Suporte técnico |
| Registos de acesso API | 1 ano | Auditoria de segurança |
O que acontece após o período de retenção?
- Processo clínico: Pode ser anonimizado para fins estatísticos, mas o conteúdo clínico é preservado durante o período legal
- Áudio: Eliminado automaticamente (política de ciclo de vida do S3)
- Outros dados: Eliminados permanentemente utilizando métodos seguros
Encerramento da Conta e Transferência de Custódia
O dever de guarda do processo clínico é do médico ou da clínica (responsável pelos dados clínicos); a Klinivo atua como subcontratante que armazena os dados por conta do responsável enquanto o contrato está ativo. Ao encerrar uma conta (cancelamento, inatividade ou sucessão):
- Janela de exportação de 90 dias — disponibilizamos a exportação completa e estruturada de todo o processo clínico e dados da conta (portabilidade), com avisos a 30, 7 e 1 dia do encerramento.
- Fim da custódia operacional ativa — após a janela deixamos de manter os dados em produção; o dever de guarda passa a ser exercido pelo responsável, que recebeu a exportação integral.
- Eliminação vs. arquivo — os dados fora de qualquer prazo legal são eliminados definitivamente; os dados ainda sujeitos a retenção obrigatória (processo clínico, consentimentos, dados fiscais em prazo) não são eliminados — são transferidos para arquivo de baixa frequência (cold storage) sob custódia do responsável, ou entregues a este. Registamos de forma auditável o que foi eliminado, arquivado ou mantido.
- Contas gratuitas inativas (sem início de sessão há mais de 12 meses e que nunca subscreveram um plano pago) seguem o mesmo fluxo; as contas gratuitas com processo clínico efetivo nunca são eliminadas.
- Falecimento ou sucessão — o sucessor legal assume a custódia; mediante pedido formal para
[email protected]realizamos a exportação integral com um pré-aviso mínimo de 60 dias aos pacientes.
Registos Clínicos Assistidos por IA
Registos clínicos contendo conteúdo gerado por IA (por exemplo, notas SOAP incorporando texto de transcrição) são retidos pelo período mínimo exigido pela regulamentação médica aplicável (5 anos mínimo na UE, 8 anos no Reino Unido conforme orientação do GMC). Pedidos de eliminação de dados removem gravações de áudio em bruto, dados de sessão de IA e predições em cache, porém registos clínicos finalizados são retidos e claramente marcados como "assistidos por IA" pelo período de retenção legalmente obrigatório.
Registos de Auditoria de IA
Os registos de auditoria de IA são anonimizados (identificadores pessoais removidos) em vez de eliminados, preservando a trilha de auditoria necessária para responsabilização regulatória enquanto remove qualquer vínculo com o indivíduo.
Registos de Consentimento
Os registos de consentimento são retidos por 7 anos após o encerramento da conta como prova de base legal de processamento, conforme o princípio de responsabilização do Artigo 5(2) do RGPD.
12. Os Seus Direitos
O RGPD e a Lei n.º 58/2019 garantem-lhe um conjunto abrangente de direitos sobre os seus dados pessoais.
12.1 Direitos Garantidos
| Direito | Artigo RGPD | O que Significa | Como Exercer |
|---|---|---|---|
| Acesso | Art. 15 | Consultar todos os seus dados e obter uma cópia | Portal do paciente ou EPD |
| Retificação | Art. 16 | Corrigir dados incorretos ou incompletos | Editar no portal do paciente diretamente (nome, endereço eletrónico, telefone, foto) ou contactar o EPD. As alterações de endereço eletrónico estão sujeitas a regras de unicidade — se o endereço já estiver em uso por outro paciente da mesma organização, a alteração é rejeitada (HTTP 409 Conflict) |
| Apagamento | Art. 17 | Direito ao esquecimento (com exceções legais) | Contactar o EPD |
| Limitação | Art. 18 | Restringir o tratamento dos seus dados | Contactar o EPD |
| Portabilidade | Art. 20 | Receber os seus dados em formato estruturado (JSON/CSV) | Exportar no portal ou EPD |
| Oposição | Art. 21 | Opor-se a tratamentos específicos | Contactar o EPD |
| Decisão automatizada | Art. 22 | Revisão humana de decisões automatizadas | Contactar o EPD |
| Retirada de consentimento | Art. 7(3) | Retirar consentimento previamente dado | Definições da conta ou EPD |
12.2 Prazos de Resposta
- Pedidos normais: 1 mês
- Pedidos complexos: 1 mês + possível prorrogação de 2 meses (será informado do motivo)
- Confirmação de receção: Imediata
12.3 Limitações ao Apagamento
Alguns dados não podem ser apagados mesmo que o solicite:
- Processo clínico: A legislação de saúde pode exigir a conservação por um período mínimo (5 anos)
- Registos fiscais: A lei exige conservação durante 10 anos
- Registos de auditoria: Necessários para segurança e conformidade
Nestes casos, os seus dados de identificação podem ser anonimizados, mas o conteúdo clínico é preservado.
12.4 Direito de Solicitar o Apagamento
O utilizador pode solicitar o apagamento dos seus dados a qualquer momento:
Como funciona:
- Solicite o apagamento — através do portal do paciente ou contactando o EPD
- Período de graça de 30 dias — pode cancelar durante este período
- Execução programada — após o período de graça, o apagamento é processado automaticamente
- Confirmação — receberá uma mensagem de correio eletrónico confirmando o apagamento concluído
O que é apagado:
- Sessões de chat de IA e histórico de conversas
- Ficheiros de áudio de consultas
- Cache de dados de IA
- Fotografias e documentos carregados
- Dados de perfil (a menos que exista obrigação legal de conservação)
O que NÃO pode ser apagado:
- Processo clínico exigido por lei
- Registos de transações (obrigações fiscais)
- Registos de auditoria anonimizados (sem dados pessoais identificáveis)
12.5 Autoatendimento para Direito de Retificação
Pode exercer o seu direito de retificação (RGPD Art. 16) diretamente no portal do paciente, sem necessidade de contactar o EPD, para os seguintes dados:
- Nome completo
- Endereço eletrónico (sujeito à regra de unicidade — ver 12.1)
- Telefone primário e secundário
- Fotografia de perfil
Cada alteração é aplicada imediatamente e registada numa trilha de auditoria (updatedAt, updatedBy, e campo version para bloqueio optimista contra alterações concorrentes), preservando a cronologia das retificações. Os dados clínicos (processo clínico, prescrições, sinais vitais) só podem ser modificados por profissionais de saúde, em cumprimento dos requisitos de integridade do processo clínico.
13. Privacidade de Menores
13.1 Idade de Consentimento Digital vs Salvaguarda Clínica
Nos termos do Art. 16 da Lei n.º 58/2019, a idade de consentimento para o tratamento de dados pessoais no contexto de serviços da sociedade da informação em Portugal é de 13 anos.
No entanto, dado que a Klinivo trata dados de saúde (categoria especial nos termos do RGPD Art. 9), aplicamos uma salvaguarda reforçada: para qualquer paciente com idade inferior a 18 anos exigimos obrigatoriamente os dados do representante legal no cadastro. Esta política decorre da Lei n.º 12/2005 (informação genética e de saúde), do Código Deontológico da Ordem dos Médicos (envolvimento parental até aos 18 anos para decisões clínicas) e do princípio do superior interesse da criança. Esta regra dos 18 anos é aplicada de forma uniforme em todas as jurisdições onde a Klinivo opera (Brasil, Portugal, Espanha, Reino Unido), constituindo proteção acima do mínimo legal de cada jurisdição (RGPD Art. 8(1) permite expressamente regras nacionais mais protectoras).
13.2 Dados do Representante Legal Recolhidos Obrigatoriamente (Pacientes Menores de 18 Anos)
Para qualquer paciente menor de 18 anos, recolhemos obrigatoriamente os dados abaixo do representante legal no momento do registo. A ausência de qualquer campo obrigatório resulta na rejeição do registo pelo servidor (HTTP 400, mensagem patient.guardian.required.for.minor):
| Dado do Representante | Finalidade | Obrigatório |
|---|---|---|
| Nome completo | Identificação inequívoca | Sim |
| Documento de identificação (NIF, DNI/NIE, CPF, NINO, SSN ou Passaporte) | Comprovação de identidade do representante (RGPD Art. 8(2) — consentimento verificável) | Sim |
| Tipo do documento | Validação específica por tipo de documento | Sim |
| Contacto telefónico | Confirmação do consentimento e contacto em emergências | Sim |
| Grau de parentesco/representação legal (MAE, PAI, AVO, TIO, TUTOR_LEGAL, OUTRO) | Comprovação do vínculo legal | Sim |
Carimbo temporal do consentimento (guardian_consent_at) |
Evidência imutável do momento exato em que o consentimento foi prestado. Gerado exclusivamente pelo servidor — não fornecido pelo cliente — para satisfazer o ónus da prova do consentimento previsto no RGPD Art. 7(1) | Atribuído pelo servidor |
Uma restrição CHECK na base de dados (chk_patient_guardian_consent_implies_info) impede que o carimbo temporal exista sem os demais campos do representante preenchidos.
13.3 Pacientes Adultos (≥ 18 Anos)
Pacientes maiores de 18 anos consentem de forma autónoma para todos os tratamentos e podem alterar as suas preferências de IA, retificar os seus dados e exercer todos os direitos do RGPD diretamente através do portal do paciente.
13.4 Verificação de Idade
- Solicitamos a data de nascimento no registo
- O servidor calcula a idade no momento da gravação e aplica a regra do representante legal para menores de 18 anos
- A plataforma adapta automaticamente as opções de consentimento com base na idade
14. Medidas de Segurança
14.1 Medidas Técnicas
| Proteção | Implementação |
|---|---|
| Cifragem em trânsito | TLS 1.3 para todas as comunicações |
| Cifragem em repouso | AES-256 para base de dados, ficheiros e cópias de segurança |
| Controlo de acesso | Autenticação multifator, funções e permissões |
| Isolamento multi-tenant | Filtros Hibernate por organization_id, isolamento completo entre organizações |
| Monitorização | Deteção de intrusões, alertas de segurança |
| Cópias de segurança | Automáticas, cifradas, testadas regularmente |
| Registo de auditoria | Registo abrangente de todos os acessos a dados de saúde |
| Trilha de auditoria por registo | Cada registo de paciente inclui createdAt/updatedAt em UTC, atribuição do utilizador (createdBy/updatedBy — UUID Cognito) e campo version para bloqueio optimista contra alterações concorrentes |
| Integridade nas modificações | O bloqueio optimista rejeita atualizações concorrentes (HTTP 409 Conflict), preservando a cronologia das edições e impedindo perda silenciosa de dados em edições simultâneas |
| Restrições de integridade na base de dados | Constraints CHECK no PostgreSQL aplicam regras de validação clínica e de consentimento independentemente da camada de aplicação: chk_patient_blood_type, chk_patient_emergency_contact_complete, chk_patient_guardian_consent_implies_info, chk_patient_guardian_relationship |
14.2 Medidas Organizativas
- Formação de colaboradores em privacidade e segurança
- Acesso aos dados limitado ao necessário para cada função (princípio da necessidade de conhecer)
- Auditorias regulares de acesso
- Política de resposta a incidentes
- Avaliação de impacto sobre a proteção de dados (AIPD) para funcionalidades de IA
14.3 Notificação de Violações de Dados
Em caso de violação de dados pessoais:
- Contenção: Atuamos no prazo máximo de 4 horas
- Investigação: Determinamos o impacto no prazo de 48 horas
- Notificação à CNPD: No prazo de 72 horas (RGPD Art. 33), através do formulário da CNPD
- Notificação ao utilizador: Sem demora injustificada, se houver risco elevado para os seus direitos e liberdades (RGPD Art. 34)
Será informado sobre:
- Natureza dos dados afetados
- Medidas que tomarmos
- O que pode fazer para se proteger
- Como nos contactar
15. Cookies e Rastreio
15.1 Resumo de Cookies Utilizados
Em conformidade com as orientações da CNPD, utilizamos cookies da seguinte forma:
| Tipo | Finalidade | Consentimento Necessário |
|---|---|---|
| Estritamente necessários | Manter a sessão iniciada, segurança, preferências essenciais | Não (isenção legal) |
| Funcionais | Recordar preferências de idioma e apresentação | Sim (opt-in ativo) |
| Analíticos | Compreender a utilização da plataforma (PostHog) | Sim (opt-in ativo) |
Nota importante: A CNPD exige opt-in ativo para todos os cookies não estritamente necessários. Não utilizamos cookies de publicidade ou de rastreio para fins de marketing.
15.2 Gestão de Cookies
O utilizador pode gerir as suas preferências de cookies:
- Através do painel de cookies apresentado no primeiro acesso
- Nas definições da conta, a qualquer momento
- Através das definições do seu navegador
A desativação de cookies estritamente necessários pode impedir a utilização da plataforma. Para mais detalhes, consulte a nossa Política de Cookies completa.
16. Alterações a Esta Política
16.1 Quando Alteramos
- Alterações significativas: Será notificado por correio eletrónico com 30 dias de antecedência
- Alterações menores: Atualizamos a data e publicamos nova versão
16.2 A Sua Concordância
A continuação da utilização da plataforma após as alterações constitui concordância. Para alterações significativas que afetem os seus direitos, poderemos solicitar novo consentimento.
16.3 Notificação
As alterações serão comunicadas através de:
- Correio eletrónico para o endereço registado
- Aviso na plataforma no próximo início de sessão
- Publicação no sítio web com a data de atualização
17. Contacto e Reclamações
17.1 Encarregado de Proteção de Dados (EPD)
Para exercer os seus direitos ou esclarecer dúvidas sobre privacidade:
- Correio eletrónico: [email protected]
- Prazo de resposta: 1 mês (prorrogável por 2 meses em casos complexos)
17.2 Reclamação Junto da CNPD
Se não estiver satisfeito com a nossa resposta, tem o direito de apresentar uma reclamação junto da autoridade de controlo portuguesa:
Comissão Nacional de Proteção de Dados (CNPD)
- Sítio web: https://www.cnpd.pt
- Morada: Rua de São Bento, n.º 148, 3.º, 1200-821 Lisboa
- Telefone: (+351) 213 928 400
- Correio eletrónico: [email protected]
- Formulário de reclamação: Disponível em https://www.cnpd.pt
O utilizador pode também apresentar reclamação junto da autoridade de controlo de qualquer Estado-Membro da UE onde resida, trabalhe ou onde tenha ocorrido a alegada violação (RGPD Art. 77).
17.3 Suporte Geral
Para questões gerais (não relacionadas com privacidade):
- Correio eletrónico: [email protected]
- Horário: Segunda a sexta-feira, 09:00 às 18:00 (hora de Lisboa, WET/WEST)
Legislação Aplicável
Esta política está em conformidade com:
- RGPD — Regulamento Geral sobre a Proteção de Dados (Regulamento UE 2016/679)
- Lei n.º 58/2019 — Lei de execução do RGPD em Portugal
- Lei n.º 12/2005 — Informação genética pessoal e informação de saúde
- Lei n.º 41/2004 — Proteção da privacidade nas comunicações eletrónicas
- Decreto-Lei n.º 7/2004 — Comércio eletrónico
- Despacho n.º 3571/2020 — Regulamentação da telemedicina
Os tribunais portugueses têm jurisdição exclusiva para quaisquer litígios emergentes desta política.
Perguntas Frequentes
P: Como posso consultar os meus dados?
Inicie sessão no Portal do Paciente e selecione "Os Meus Dados" no seu perfil. Pode visualizar e exportar os seus dados. Para o processo clínico completo, solicite ao EPD através de [email protected].
P: Posso utilizar a plataforma sem IA?
Sim. Todas as funcionalidades de IA são opcionais. Pode agendar consultas, participar em atendimentos e aceder ao seu histórico sem utilizar qualquer funcionalidade de IA. A plataforma base é inteiramente funcional sem módulos de IA.
P: O médico pode ver todas as minhas informações?
O seu médico acede ao histórico de consultas consigo, às suas alergias, medicamentos atuais e resumos de saúde. Não acede automaticamente a consultas com outros médicos (exceto se estiverem na mesma clínica e o utilizador o autorize).
P: Durante quanto tempo são conservados os meus dados?
Processo clínico: mínimo 5 anos (legislação de saúde). Áudio de consultas: 24 horas. Dados de pagamento: 10 anos. Pode solicitar o apagamento de dados não obrigatórios a qualquer momento.
P: Como funciona a transcrição de áudio?
Se o utilizador e o seu médico optarem por ativá-la, a conversa é transcrita em tempo real. O áudio é processado, convertido em texto e eliminado em 24 horas. Apenas a transcrição em texto permanece no processo clínico.
P: Os meus dados são partilhados com outras empresas?
Partilhamos dados apenas com subcontratantes necessários para o serviço (infraestrutura, pagamentos). Nunca vendemos os seus dados. Os parceiros de IA recebem apenas texto desidentificado.
P: Como solicito o apagamento dos meus dados?
Através do Portal do Paciente (secção Privacidade) ou envie um correio eletrónico para [email protected]. Existe um período de graça de 30 dias durante o qual pode cancelar. Após esse período, o apagamento é executado automaticamente. O processo clínico pode ser conservado por obrigação legal.
P: Como a IA garante a minha privacidade?
O seu nome e dados identificadores são removidos antes do tratamento. A IA recebe apenas "O paciente disse..." sem saber quem é o utilizador. O áudio é eliminado em 24 horas.
P: Qual é a diferença entre as organizações PÚBLICAS e PRIVADAS?
Nas organizações PÚBLICAS, o médico individual é o responsável pela sua subscrição e faturação. Nas organizações PRIVADAS, a empresa ou clínica gere centralmente as subscrições e os acessos. Em ambos os casos, os seus dados de saúde recebem a mesma proteção.
P: Os dados são tratados fora da UE?
Uma vez que a Klinivo opere na UE, a grande maioria dos dados será tratada na UE (Irlanda), e alguns serviços auxiliares (autenticação, lembretes por SMS) poderão envolver transferências para os EUA, sempre protegidas por Cláusulas Contratuais-Tipo, permanecendo os dados clínicos na UE. Entretanto, a plataforma opera em us-east-1 (EUA) e não presta serviço a residentes na UE.
Glossário
| Termo | Definição |
|---|---|
| AIPD | Avaliação de Impacto sobre a Proteção de Dados — análise de risco obrigatória para tratamentos de alto risco |
| CCTs | Cláusulas Contratuais-Tipo — cláusulas aprovadas pela Comissão Europeia para transferências internacionais |
| Cifragem | Técnica que transforma dados em código ilegível sem a chave correta |
| CNPD | Comissão Nacional de Proteção de Dados — autoridade de controlo em Portugal |
| Diarização | Identificação de quem está a falar numa gravação |
| EPD | Encarregado de Proteção de Dados — responsável pelas questões de privacidade |
| ICE | Ideias, Preocupações (Concerns), Expectativas — técnica de comunicação clínica |
| GAD-7 | Escala de Perturbação de Ansiedade Generalizada — rastreio de ansiedade |
| PHQ-9 | Questionário de Saúde do Paciente — rastreio de depressão |
| RGPD | Regulamento Geral sobre a Proteção de Dados, legislação de privacidade da UE |
| SOAP | Formato de nota clínica: Subjetivo, Objetivo, Avaliação (Assessment), Plano |
| TLS | Transport Layer Security — protocolo de segurança para comunicações na Internet |
| Transcrição | Conversão de áudio em texto |
| Triagem | Avaliação de urgência para priorizar o atendimento |
Esta Política de Privacidade foi atualizada em abril de 2026.
HC Desenvolvimento de Softwares Ltda.