Atendept

Documento legal

Acordo de Tratamento de Dados (DPA)

Versão 1.0. Em vigor desde 9 de Maio de 2026. Aceite implicitamente ao subscrever o serviço.

Este Acordo de Tratamento de Dados (doravante "DPA") faz parte integrante dos Termos e Condições e regula o tratamento de dados pessoais entre a Clínica (Responsável pelo Tratamento) e a Atende.pt (Subcontratante) nos termos do Art. 28 do RGPD.

1. Partes

Responsável pelo Tratamento: a entidade clínica identificada na conta (com NIF) que utiliza o serviço Atende.pt.

Subcontratante: Atende.pt (a indicar pessoa jurídica e morada na sede social).

2. Objecto do tratamento

Tratamento de dados pessoais necessário à prestação do serviço de recepcionista virtual: atendimento de chamadas, transcrição, marcação de consultas, transferência para humano e registo de interacções.

3. Duração

Este DPA vigora enquanto durar a subscrição do serviço. Após cessação, aplica-se o disposto na cláusula sobre devolução e apagamento.

4. Categorias de dados e titulares

Titulares dos dados:

  • Pacientes ou potenciais pacientes que ligam para a clínica.
  • Pessoal da clínica (utilizadores da plataforma).

Categorias de dados pessoais:

  • Dados de identificação: nome, número de telefone.
  • Dados de contacto: email opcional.
  • Dados de marcação: data, hora, profissional, serviço.
  • Conteúdo de chamadas: transcrição completa, eventualmente áudio.
  • Categorias especiais (Art. 9 RGPD): dados relativos à saúde, referidos espontaneamente pelo paciente durante a chamada (motivo da consulta, sintomas).

5. Obrigações do Subcontratante

  1. Tratar os dados apenas conforme instruções documentadas do Responsável (incluindo este DPA, os Termos e a configuração da plataforma).
  2. Garantir que as pessoas autorizadas a tratar dados estão sujeitas a obrigação de confidencialidade.
  3. Adoptar as medidas de segurança previstas no Art. 32 RGPD (ver Anexo Técnico).
  4. Auxiliar o Responsável no cumprimento das obrigações de resposta a pedidos de titulares (Art. 12 a 23) e de notificação de violações (Art. 33 e 34).
  5. Notificar o Responsável sem demora indevida em caso de violação de dados pessoais (e dentro de 24 horas após detecção).
  6. Disponibilizar informação que permita demonstrar o cumprimento, e permitir auditorias (com aviso prévio de 30 dias e custos a cargo do Responsável).
  7. Devolver ou apagar dados após cessação, conforme cláusula 9.

6. Subcontratantes ulteriores

O Responsável autoriza a Atende.pt a recorrer a subprocessadores listados em /legal/subprocessors. Qualquer alteração será comunicada com 30 dias de antecedência por email, momento em que o Responsável pode opor-se com fundamento em motivos razoáveis. Se a oposição for justificada e não puder ser resolvida, o Responsável pode rescindir o contrato.

A Atende.pt mantém com cada subprocessador um contrato com obrigações equivalentes a este DPA.

7. Transferências internacionais

Quando uma transferência envolva países fora do EEE (ex: OpenAI nos EUA), a Atende.pt garante uma das salvaguardas do Art. 46 RGPD: Cláusulas Contratuais Tipo (SCC) aprovadas pela Comissão Europeia, ou outro mecanismo equivalente.

8. Direitos dos titulares

A Atende.pt fornece ferramentas no painel da plataforma e endpoints de API que permitem ao Responsável responder a pedidos dos titulares (acesso, rectificação, apagamento, portabilidade, oposição, limitação).

Quando um titular contacta a Atende.pt directamente sobre dados que pertencem a uma clínica, a Atende.pt encaminhará o pedido ao Responsável dentro de 5 dias úteis.

9. Devolução e apagamento após cessação

Após cessação do contrato, e à escolha do Responsável:

  • Exportação completa dos dados em formato estruturado (JSON), disponível por 30 dias após cessação.
  • Apagamento definitivo de todos os dados (incluindo cópias de segurança no ciclo seguinte de rotação).

Por defeito, dados são apagados após 30 dias se o Responsável não solicitar exportação.

Anexo Técnico: Medidas de Segurança

  • Encriptação em trânsito: TLS 1.3 obrigatório.
  • Encriptação em repouso: AES-256-GCM para PII (telefones, nomes).
  • Hashing HMAC-SHA256 para identificadores pesquisáveis.
  • Controlo de acesso: RBAC + isolamento multi-tenant ao nível da DB.
  • Autenticação MFA disponível e recomendada.
  • Verificação Ed25519 em webhooks recebidos.
  • Logs de auditoria de acessos a PII com retenção de 1 ano.
  • Cópias de segurança automáticas, encriptadas, com retenção limitada.
  • Recuperação point-in-time (PITR) para Postgres.
  • Detecção de anomalias e rate limiting por tenant e por IP.
  • Plano de resposta a incidentes com notificação em 72h à autoridade quando aplicável.
  • Avaliação de impacto sobre a protecção de dados (DPIA) interna mantida actualizada.

Contactos para o DPA

Encarregado da Proteção de Dados (DPO) da Atende.pt: dpo@mivicall.com

Para solicitar uma versão assinada deste DPA com a sua clínica, contacte legal@mivicall.com. Aceitação implícita é válida ao abrigo do Art. 28(9) RGPD (forma electrónica).