Política de Privacidade

Última actualização: 6 de Abril de 2026

Resumo em 3 frases: Tratamos apenas os dados necessários para fornecer o serviço. Os dados da sua clínica e dos seus pacientes pertencem à sua clínica — nós apenas os processamos em seu nome. Pode exportar ou apagar os seus dados a qualquer momento.

1. Quem é o responsável pelo tratamento

Tiago Castro, Barcelona, Espanha.
Email: privacy@t3r.cc
(Para qualquer questão sobre dados pessoais, use este endereço.)

Para os dados dos pacientes finais (não dos nossos clientes, mas das pessoas atendidas nas clínicas que usam a Plataforma), a clínica é o responsável pelo tratamento (controller) e a T3R Clinic é o sub-contratante (processor), nos termos do Art. 28 RGPD e Art. 39 LGPD.

2. Que dados tratamos

2.1 Dados de conta da clínica

  • Nome da clínica, email, telefone, endereço.
  • Nome e email dos utilizadores (admin, profissionais, recepcionistas).
  • Hash da password (nunca a password em claro).
  • IP de login, user-agent, timestamps de acesso (logs de auditoria).
  • Dados de facturação (via Stripe — não armazenamos números de cartão nós próprios).

2.2 Dados dos pacientes finais (introduzidos pela clínica)

  • Nome, contacto, data de nascimento, endereço.
  • Histórico clínico, anamnese, procedimentos realizados.
  • Fotos antes/depois (fotos médicas armazenadas encriptadas no AWS S3).
  • Pagamentos e orçamentos.

⚠️ Dados de saúde são categoria especial no RGPD (Art. 9). O tratamento pela clínica baseia-se geralmente na prestação de cuidados (Art. 9(2)(h)). A clínica deve obter consentimento informado dos seus pacientes ou justificar outra base legal apropriada.

3. Base legal para o tratamento

  • Execução do contrato (Art. 6(1)(b) RGPD): criar e gerir a conta, prestar o serviço.
  • Obrigação legal (Art. 6(1)(c)): conservação de facturas para fins fiscais.
  • Interesse legítimo (Art. 6(1)(f)): segurança da plataforma, prevenção de fraude, melhoria do serviço.
  • Consentimento (Art. 6(1)(a)): comunicações de marketing por email (opt-in explícito).

4. Prazo de conservação

  • Dados de conta activa: enquanto a conta estiver activa.
  • Após cancelamento: 30 dias para exportação final, depois eliminação.
  • Facturas: 6 anos (obrigação fiscal espanhola) ou prazo local aplicável.
  • Logs de auditoria: 12 meses.
  • Backups: rolling de 30 dias, depois sobrescritos.
  • Registos clínicos de pacientes: a clínica define o prazo conforme a legislação aplicável (em ES normalmente 5+ anos).

5. Os seus direitos

Tem direito a, conforme RGPD (Arts. 15–22) e LGPD (Art. 18):

  • Acesso: saber que dados temos sobre si.
  • Rectificação: corrigir dados incorrectos.
  • Apagamento ("direito ao esquecimento"): pedir a eliminação.
  • Limitação: pedir que paremos certo tipo de tratamento.
  • Portabilidade: exportar os seus dados em formato legível por máquina.
  • Oposição: opor-se ao tratamento baseado em interesse legítimo.
  • Retirar consentimento: quando o tratamento se baseia em consentimento.
  • Reclamação: apresentar queixa junto da autoridade de controlo (AEPD em Espanha, ANPD no Brasil, CNPD em Portugal).

Para exercer qualquer destes direitos: privacy@t3r.cc. Respondemos em até 30 dias (RGPD) ou 15 dias (LGPD).

6. Sub-contratantes e terceiros

Usamos os seguintes fornecedores, cada um com as suas próprias garantias de conformidade:

FornecedorFinalidadeLocalização
AWS (EC2 + S3)Hospedagem + armazenamento de ficheirossa-east-1 (Brasil)
StripeProcessamento de pagamentosEU / US
ResendEnvio de emails transaccionaisUS
CloudflareDNSGlobal

7. Transferências internacionais

Alguns dos nossos sub-contratantes (Stripe, Resend, Cloudflare) têm sedes nos EUA. As transferências de dados para estes fornecedores são cobertas por Cláusulas Contratuais Tipo (SCCs) aprovadas pela Comissão Europeia ou pelo framework Data Privacy Framework (DPF) onde aplicável.

8. Cookies e tecnologias semelhantes

Usamos actualmente apenas cookies estritamente necessários (sessão, tokens de autenticação). Não usamos cookies de analytics ou marketing à data desta política. Se isto mudar no futuro, pediremos consentimento explícito antes de qualquer activação.

9. Menores

A Plataforma não é dirigida a menores de 16 anos. Não solicitamos nem tratamos conscientemente dados de menores como utilizadores da conta. Os dados de pacientes menores são tratados pela clínica, que deverá obter consentimento dos tutores legais.

10. Segurança técnica

  • Comunicação HTTPS em todas as ligações (TLS 1.2+).
  • Passwords armazenadas com bcrypt (nunca em claro).
  • Isolamento rigoroso entre clínicas verificado por testes automatizados.
  • Backups diários encriptados.
  • Logs de auditoria de acesso aos dados sensíveis.
  • Rotação periódica de secrets de infraestrutura.

11. Encarregado de Proteção de Dados (DPO)

À data desta política, a T3R Clinic não tem obrigação legal de designar um DPO (volume de dados abaixo dos limiares do RGPD/LGPD). O ponto de contacto para todas as questões de privacidade é privacy@t3r.cc. Ao atingirmos os limiares legais, será designado um DPO e este documento será actualizado.

12. Autoridades de controlo

  • Espanha: Agencia Española de Protección de Datos (AEPD) — aepd.es
  • Portugal: Comissão Nacional de Proteção de Dados (CNPD) — cnpd.pt
  • Brasil: Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd

13. Alterações a esta política

Alterações substanciais serão notificadas por email com pelo menos 15 dias de antecedência. A data de "última actualização" no topo desta página indica sempre a versão corrente.