Atendept

Documento legal

Política de Privacidade

Última actualização: 9 de Maio de 2026. Versão 1.0.

Esta Política de Privacidade descreve como a Atende.pt (doravante "Atende.pt", "nós") recolhe, utiliza e protege os dados pessoais dos visitantes do website e dos utilizadores da plataforma. Está em conformidade com o Regulamento (UE) 2016/679 (RGPD) e a Lei nº 58/2019 de 8 de Agosto.

1. Responsável pelo Tratamento

Quando recolhemos dados directamente de visitantes do website ou utilizadores que se registam na plataforma (ex: pessoal das clínicas), agimos como Responsável pelo Tratamento.

Quando processamos dados de pacientes que ligam para uma clínica nossa cliente, agimos como Subcontratante nos termos do Art. 28 RGPD. Nesse caso, a Responsável pelo Tratamento é a clínica, e o tratamento é regulado pelo Acordo de Tratamento de Dados (DPA) assinado com cada clínica.

Contactos:
Email: dpo@mivicall.com
Morada postal: a indicar na sede social.

2. Que dados recolhemos

2.1 Quando visita o website

  • Endereço IP, agente do navegador, páginas visitadas (logs técnicos).
  • Cookies essenciais (sessão, autenticação) e opcionais (análise se consentir).

2.2 Quando se regista na plataforma (clínica)

  • Nome, email, organização (Clerk).
  • NIF, morada da clínica, número de telefone.
  • Informação de pagamento (processada pela Stripe, nunca armazenada por nós).
  • Dados de utilização: chamadas processadas, marcações criadas.

2.3 Quando um paciente liga para a sua clínica nossa cliente

  • Número de telefone do paciente (encriptado em repouso, hash para lookup).
  • Nome do paciente fornecido durante a chamada.
  • Transcrição da chamada, incluindo possíveis dados de saúde (motivo da consulta).
  • Áudio gravado (apenas se a clínica activou recordings, retenção 30 dias).
  • Metadados: duração, hora, número marcado, resultado da chamada.

3. Finalidades e bases legais

Tratamos os seus dados apenas para as finalidades indicadas, com fundamento numa das bases legais do Art. 6 (e Art. 9 quando aplicável) do RGPD.

FinalidadeDadosBase legal
Prestação do serviço (atender chamadas, marcar consultas)Identificação paciente, transcrição, marcaçõesArt. 6(1)(b) execução de contrato. Art. 9(2)(h) cuidados de saúde com sigilo profissional.
Faturação e cobrançaNIF, morada, dados pagamentoArt. 6(1)(b) contrato. Art. 6(1)(c) obrigação legal fiscal.
Análise de utilização do siteIP anonimizado, eventos navegaçãoArt. 6(1)(a) consentimento.
Marketing por emailEmail, nomeArt. 6(1)(a) consentimento. Direito de oposição.
Segurança, prevenção de fraudeLogs técnicos, IPArt. 6(1)(f) interesse legítimo.
Cumprimento de obrigações legaisFaturas, registos contabilísticosArt. 6(1)(c).

4. Período de retenção

  • Logs técnicos do servidor: 90 dias.
  • Transcrições de chamadas: 90 dias por defeito (configurável pela clínica até 5 anos).
  • Áudio gravado: 30 dias por defeito.
  • Marcações concluídas: 5 anos (necessário para registo médico).
  • Dados de pacientes inactivos há mais de 2 anos: apagamento automático.
  • Faturação e contabilidade: 10 anos (obrigação legal PT).
  • Logs de auditoria de acessos: 1 ano.
  • Conta Atende.pt cancelada: dados apagados em 30 dias, com janela de reversão.

5. Uso anonimizado para melhoria do serviço

Com consentimento explícito do Responsável pelo Tratamento (clínica), podemos utilizar transcrições de chamadas para melhorar a qualidade da recepcionista AI. Todos os dados pessoais (nomes, telefones, emails, NIF, datas, códigos postais) são removidos antes de qualquer uso, através de processo automatizado de anonimização.

  • O consentimento é opt-in. Default desactivado.
  • Pode ser revogado a qualquer momento. Aplica-se apenas a chamadas futuras.
  • Chamadas com termos clínicos sensíveis (oncologia, saúde mental severa) nunca são utilizadas.
  • Dados anonimizados poderão ser usados para fine-tuning de modelos linguísticos.

O controlo está em Definições, Privacidade no painel da clínica.

6. Com quem partilhamos os seus dados

Recorremos a fornecedores tecnológicos (subprocessadores) que tratam dados em nosso nome, sob contrato de tratamento e com salvaguardas adequadas. A lista completa actualizada está em Subprocessadores.

Não vendemos dados pessoais a terceiros. Não partilhamos dados com terceiros não listados, excepto: (i) por imposição legal, judicial ou autoridade competente; (ii) com o seu consentimento expresso.

6. Transferências internacionais

Privilegiamos infraestrutura na União Europeia (servidores Hetzner em Falkenstein, Supabase em Frankfurt, Telnyx EU edge fr5-prod). Algumas operações envolvem transferência para fora da UE:

  • OpenAI (Estados Unidos): processamento do modelo de linguagem para a recepcionista AI. Cobertos por Cláusulas Contratuais Tipo (SCC) aprovadas pela Comissão Europeia.
  • Clerk (Estados Unidos): autenticação de utilizadores. SCC + Data Processing Addendum.
  • Stripe (Estados Unidos / Irlanda): processamento de pagamentos. SCC + DPA.

Em todos os casos, exigimos garantias contratuais e técnicas equivalentes ao nível de protecção do RGPD.

7. Segurança

  • Encriptação em trânsito (TLS 1.3 obrigatório).
  • Encriptação em repouso (AES-256-GCM) para dados pessoais sensíveis (telefones, nomes).
  • Hashing HMAC-SHA256 de identificadores para pesquisa sem exposição.
  • Controlo de acesso baseado em organizações e funções (RBAC).
  • Isolamento multi-tenant ao nível da base de dados.
  • Verificação de integridade (Ed25519) em webhooks recebidos.
  • Logs de auditoria de acessos a dados de pacientes.
  • Cópias de segurança automáticas com cifragem e retenção limitada.
  • Detecção e resposta a incidentes em 72h.

8. Os seus direitos

Ao abrigo do RGPD, tem os seguintes direitos sobre os seus dados pessoais:

  • Acesso (Art. 15): obter cópia dos dados que tratamos sobre si.
  • Retificação (Art. 16): corrigir dados imprecisos.
  • Apagamento (Art. 17): apagar dados quando já não são necessários.
  • Limitação (Art. 18): restringir o tratamento em casos específicos.
  • Portabilidade (Art. 20): receber os seus dados em formato estruturado para os transferir.
  • Oposição (Art. 21): opor-se a tratamentos baseados em interesse legítimo ou marketing directo.
  • Retirar consentimento: a qualquer momento, sem afectar a licitude do tratamento anterior.

Pode exercer estes direitos contactando o nosso DPO em dpo@mivicall.com ou através das ferramentas no painel da plataforma. Respondemos em 30 dias úteis.

Se considerar que os seus direitos foram violados, pode apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD) em www.cnpd.pt.

9. Crianças e menores

Quando uma chamada envolve um paciente menor, os dados são tratados sob a base legal de prestação de cuidados de saúde, com sigilo profissional, sob a responsabilidade da clínica. A plataforma em si destina-se a profissionais de saúde adultos.

10. Alterações a esta Política

Podemos actualizar esta Política para reflectir alterações nos serviços ou na lei. Comunicaremos alterações materiais com 30 dias de antecedência por email ou no painel.

11. Contacto

Encarregado da Proteção de Dados (DPO): dpo@mivicall.com
Para qualquer questão sobre privacidade, escreva-nos. Respondemos em 7 dias úteis.