Mivicall

Documento legal

Acordo de Tratamento de Dados (DPA)

Versão 1.0. Em vigor desde 9 de Maio de 2026. Aceite implicitamente ao subscrever o serviço.

Este Acordo de Tratamento de Dados (doravante "DPA") faz parte integrante dos Termos e Condições e regula o tratamento de dados pessoais entre a Clínica (Responsável pelo Tratamento) e a MiviCall (Subcontratante) nos termos do Art. 28 do RGPD.

1. Partes

Responsável pelo Tratamento: a entidade clínica identificada na conta (com NIF) que utiliza o serviço MiviCall.

Subcontratante: MiviCall (a indicar pessoa jurídica e morada na sede social).

2. Objecto do tratamento

Tratamento de dados pessoais necessário à prestação do serviço de recepcionista virtual: atendimento de chamadas, transcrição, marcação de consultas, transferência para humano e registo de interacções.

3. Duração

Este DPA vigora enquanto durar a subscrição do serviço. Após cessação, aplica-se o disposto na cláusula sobre devolução e apagamento.

4. Categorias de dados e titulares

Titulares dos dados:

  • Pacientes ou potenciais pacientes que ligam para a clínica.
  • Pessoal da clínica (utilizadores da plataforma).

Categorias de dados pessoais:

  • Dados de identificação: nome, número de telefone.
  • Dados de contacto: email opcional.
  • Dados de marcação: data, hora, profissional, serviço.
  • Conteúdo de chamadas: transcrição completa, eventualmente áudio.
  • Categorias especiais (Art. 9 RGPD): dados relativos à saúde, referidos espontaneamente pelo paciente durante a chamada (motivo da consulta, sintomas).

5. Obrigações do Subcontratante

  1. Tratar os dados apenas conforme instruções documentadas do Responsável (incluindo este DPA, os Termos e a configuração da plataforma).
  2. Garantir que as pessoas autorizadas a tratar dados estão sujeitas a obrigação de confidencialidade.
  3. Adoptar as medidas de segurança previstas no Art. 32 RGPD (ver Anexo Técnico).
  4. Auxiliar o Responsável no cumprimento das obrigações de resposta a pedidos de titulares (Art. 12 a 23) e de notificação de violações (Art. 33 e 34).
  5. Notificar o Responsável sem demora indevida em caso de violação de dados pessoais (e dentro de 24 horas após detecção).
  6. Disponibilizar informação que permita demonstrar o cumprimento, e permitir auditorias (com aviso prévio de 30 dias e custos a cargo do Responsável).
  7. Devolver ou apagar dados após cessação, conforme cláusula 9.

6. Subcontratantes ulteriores

O Responsável concede autorização prévia e geral ao recurso a subprocessadores. A MiviCall mantém uma lista nominal atualizada, disponível mediante pedido, com possibilidade de subscrever notificações. Qualquer alteração é comunicada com antecedência por email, momento em que o Responsável pode opor-se com fundamento em motivos razoáveis. Se a oposição for justificada e não puder ser resolvida, o Responsável pode rescindir o contrato.

A MiviCall mantém com cada subprocessador um contrato com obrigações equivalentes a este DPA e responde perante o Responsável pelo cumprimento das obrigações do subprocessador.

7. Transferências internacionais

O tratamento é realizado, por desenho, na União Europeia. Quando uma operação envolva transferência para países fora do EEE sem decisão de adequação, a MiviCall garante uma das salvaguardas do Art. 46 RGPD: Cláusulas Contratuais Tipo (SCC) aprovadas pela Comissão Europeia, ou outro mecanismo equivalente.

8. Direitos dos titulares

A MiviCall fornece ferramentas no painel da plataforma e endpoints de API que permitem ao Responsável responder a pedidos dos titulares (acesso, rectificação, apagamento, portabilidade, oposição, limitação).

Quando um titular contacta a MiviCall directamente sobre dados que pertencem a uma clínica, a MiviCall encaminhará o pedido ao Responsável dentro de 5 dias úteis.

9. Devolução e apagamento após cessação

Após cessação do contrato, e à escolha do Responsável:

  • Exportação completa dos dados em formato estruturado (JSON), disponível por 30 dias após cessação.
  • Apagamento definitivo de todos os dados (incluindo cópias de segurança no ciclo seguinte de rotação).

Por defeito, dados são apagados após 30 dias se o Responsável não solicitar exportação.

Anexo Técnico: Medidas de Segurança

  • Encriptação em trânsito: TLS 1.3 obrigatório.
  • Encriptação em repouso: AES-256-GCM para PII (telefones, nomes).
  • Hashing HMAC-SHA256 para identificadores pesquisáveis.
  • Controlo de acesso: RBAC + isolamento multi-tenant ao nível da DB.
  • Autenticação MFA disponível e recomendada.
  • Verificação Ed25519 em webhooks recebidos.
  • Logs de auditoria de acessos a PII com retenção de 1 ano.
  • Cópias de segurança automáticas, encriptadas, com retenção limitada.
  • Recuperação point-in-time (PITR) para Postgres.
  • Detecção de anomalias e rate limiting por tenant e por IP.
  • Plano de resposta a incidentes com notificação em 72h à autoridade quando aplicável.
  • Avaliação de impacto sobre a protecção de dados (DPIA) interna mantida actualizada.

Contactos para o DPA

Encarregado da Proteção de Dados (DPO) da MiviCall: dpo@mivicall.com

Para solicitar uma versão assinada deste DPA com a sua clínica, contacte legal@mivicall.com. Aceitação implícita é válida ao abrigo do Art. 28(9) RGPD (forma electrónica).