Acordo de tratamento de dados

O presente Acordo de Tratamento de Dados (“Acordo”) estabelece o objeto e a duração do tratamento, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados e as obrigações e direitos do Responsável pelo tratamento (representada por quem tem poderes para o ato, doravante “Clínica”), no âmbito da relação estabelecida entre o responsável pelo tratamento e o subcontratante (Wiseverge Technologies, Lda., doravante “Cliwise”), nos termos da qual o subcontratante se obriga a processar e armazenar os dados em nome e por conta do responsável pelo tratamento de dados, nos termos e para os efeitos previstos no artigo 28.º do Regulamento Geral de Proteção de Dados (“RGPD”).


1. DEFINIÇÕES

“Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

“Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

“Responsável pelo tratamento”, a pessoa singular ou coletiva que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais;

“Subcontratante”, a pessoa singular ou coletiva que trate os dados pessoais por conta do responsável pelo tratamento destes;

“Terceiro”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

“Violação de dados pessoais”, uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

«Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.


2. TRATAMENTO DE DADOS PESSOAIS

2.1. Partes. O Responsável pelo tratamento e o Subcontratante (em conjunto, “Partes”; separadamente, “Parte”) acordam e reconhecem que em relação ao Tratamento de Dados Pessoais, a Clínica é o Responsável pelo Tratamento de Dados e a Cliwise é o Subcontratante. A Cliwise pode contratar subcontratantes, nos termos da cláusula 4 deste Acordo e do RGPD.

2.2. Tratamento de Dados Pessoais pelo Responsável pelo tratamento. O Responsável pelo tratamento, no uso dos serviços disponibilizados pelo Subcontratante, deve processar os Dados Pessoais de acordo com os requisitos aplicáveis pela legislação de Proteção de Dados, em especial, a Lei n.º 58/2019, que nos termos do artigo 29.º, n.º 3 estabelece a obrigatoriedade do acesso de dados pessoais relativos à saúde de forma exclusivamente eletrónica. Cumpre exclusivamente ao Responsável pelo tratamento a recolha, o registo, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a limitação, o apagamento ou a destruição, bem como garantir a veracidade, qualidade e legalidade dos Dados Pessoais e os meios pelos quais adquire os Dados Pessoais.

2.3. Tratamento de Dados Pessoais pelo Subcontratante. Como Subcontratante do Responsável pelo tratamento, o Subcontratante apenas processará os Dados Pessoais para os seguintes propósitos: (i) Tratamento de acordo com os Termos e Condições; (ii) Tratamento iniciado pelo Responsável pelo tratamento decorrente da utilização do Serviço disponibilizado pela Wiseverge Technologies, Lda.; e (iii) Tratamento por forma a cumprir com outras instruções dadas pelo Responsável pelo tratamento que são coerentes com os Termos e Condições. A Cliwise, como Subcontratante, atua em nome e por conta e segundo as instruções do Responsável pelo tratamento.

2.4. Detalhes do tratamento. O objeto do tratamento de Dados Pessoais é o descrito na cláusula 2.3.. A duração do tratamento, a natureza e o propósito do tratamento, os tipos de dados pessoais e as categorias de Dados Pessoais processadas, conformes a este Acordo, serão especificadas no Anexo B (Descrição das Atividades de Tratamento) deste Acordo e são atividades da exclusiva responsabilidade do Responsável pelo tratamento.


3. DIREITOS DOS TITULARES DE DADOS

3.1. Pedidos dos Titulares dos dados. O Subcontratante deverá prontamente notificar o Responsável pelo tratamento se receber qualquer pedido de um Titular de dados, no âmbito do seu exercício dos direitos do Titular dos Dados: acesso, retificação, restrição de tratamento, apagamento, portabilidade dos dados, objeções ao tratamento. Após a notificação do Subcontratante, caberá única e exclusivamente ao Responsável pelo tratamento tomar as ações que considere necessárias por forma a responder ao Titular dos Dados. Considerando a natureza do tratamento, o Responsável pelo tratamento poderá dar instruções ao Subcontratante quanto à execução do pedido do Titular dos Dados, as quais o Subcontratante deverá cumprir. O Subcontratante poderá dar assistência ao Responsável pelo tratamento, se tal for requerido, através das medidas técnicas e organizacionais apropriadas.


4. SUBCONTRATANTES

4.1. Subcontratantes. O Responsável pelo tratamento sabe e reconhece que o subcontratante utiliza os seguintes subcontratantes de infraestrutura: Amazon Web Services, Inc., provedor de serviços em nuvem e para o envio de correio eletrónico; Google LLC, provedor de serviços em nuvem; Gateway API, propriedade da Onlinecity.IO ApS, para o envio de mensagens escritas. Para a realização de outras funções de serviço, o subcontratante recorre ainda à WEO LDA. para o serviço de faturação. Para gerir, recolher, armazenar e realizar pagamentos, o subcontratante recorre à Stripe Payments Europe, Ltd. Todos os serviços dos subcontratantes encontram-se estabelecidos na União Europeia.

4.2. Lista de subcontrantes e notificação de novos subcontratantes. O Prestador de serviço compromete-se a manter atualizada a lista dos subcontratantes, elencada no número 4.1.. O Responsável pelo tratamento receberá notificações caso existam novos subcontratantes por e-mail com o assunto “novo subcontratante”, onde constará a notificação ao Responsável pelo tratamento sobre a identidade do subcontratante contratado pela Cliwise. Tal notificação ocorrerá antes do novo subcontratante ter acesso ao tratamento de Dados Pessoais do Responsável pelo Tratamento.

4.3. Objeção ao novo subcontratante. O Responsável pelo tratamento pode recusar-se, desde que de forma fundamentada, à utilização por parte da Cliwise do novo subcontratante através de resposta à notificação enviada, nos termos da cláusula 4.2., em cinco (5) dias úteis após a receção da mesma. Na resposta deve ser especificado o motivo pelo qual recusa o tratamento pelo novo subcontratante. Caso tal situação ocorra, a Cliwise recorrerá a razoáveis esforços comerciais para disponibilizar para a Clínica uma alteração no serviço ou utilização dos Serviços, por forma a evitar o tratamento de Dados Pessoais pelo novo subcontratante. Se a Cliwise não conseguir disponibilizar tal alteração dentro de um período razoável, que não deverá exceder os trinta (30) dias úteis, cada parte pode resolver o contrato, sem que nenhuma responsabilidade lhes possa ser assacada.

4.4. Responsabilidade. A Cliwise é responsável pelos atos e omissões dos seus subcontratantes, na mesma medida em que a Cliwise seria responsabilizada perante o Responsável pelo tratamento se tivesse sido aquela a atuar diretamente.


5. SEGURANÇA

5.1. Controlo do tratamento de Dados Pessoais. O Subcontratante manterá medidas técnicas e organizacionais adequadas para a proteção da segurança (incluindo proteção contra tratamentos não autorizados ou ilegais e contra destruição, perda, alteração ou dano, divulgação não autorizada ou acesso a Dados Pessoais, acidental ou ilegal), confidencialidade e integridade dos Dados Pessoais. O Subcontratante garante que não diminuirá o nível de segurança geral durante a execução do presente Acordo.


6. INCIDENTES COM DADOS PESSOAIS E NOTIFICAÇÃO

6.1. O Subcontratante deverá notificar o Responsável pelo tratamento, sem atraso indevido, de qualquer Violação de dados pessoais de que o Subcontratante tome conhecimento e que possa exigir a notificação à entidade supervisora e ao Titular dos Dados Pessoais ou as quais o Subcontratante seja obrigado a notificar ao Responsável pelo Tratamento. O Subcontratante deve recorrer a assistência e cooperação razoáveis na identificação da causa do incidente de Dados Pessoais e tomar medidas razoáveis para remediar essa causa, na medida em que a correção está no controlo do Subcontratante. O Subcontratante garante ao Responsável pelo tratamento que não divulgará qualquer informação sobre Violação de dados pessoais, sem o prévio consentimento escrito e expresso do Responsável pelo tratamento para tal divulgação, a menos que a Entidade supervisora, ou qualquer outra entidade com poderes administrativos e/ou jurídicos o exija. Cumpre ao Responsável pelo tratamento as notificações exigidas por lei, sem prejuízo de este requerer a assistência do Subcontratante, mediante o pagamento dos custos de tal assistência. O Subcontratante nunca poderá ser responsabilizado pelo atraso nas notificações exigidas por lei, nem pelo atraso na resposta aos pedidos de exercício de direitos dos Titulares dos dados, correndo tal responsabilidade única e exclusivamente pelo Responsável pelo tratamento.


7. DEVOLUÇÃO E RETENÇÃO DE DADOS PESSOAIS

7.1. Após cessação da prestação de serviços, pela qual o Subcontratante processa os Dados Pessoais em nome e por conta do Responsável pelo tratamento, a Cliwise deverá devolver todos os Dados Pessoais ao Responsável pelo tratamento. Para tal, o Subcontratante disponibilizará um ficheiro protegido com password para o Responsável pelo tratamento, via correio eletrónico com aviso de receção. A partir desse momento, o subcontratante procederá à eliminação dos Dados Pessoais recolhidos pelo Responsável pelo tratamento da sua base de dados.


8. RESPONSABILIDADE

8.1. Responsabilidade do Subcontratante. O Subcontratante não pode ser responsabilizado perante o Titular de Dados Pessoais, por qualquer Violação dos seus dados pessoais. O Subcontratante só poderá ser responsabilizado perante o Responsável pelo tratamento, na medida em que o dano ocorra por causa da atuação ou omissão dolosa do Subcontratante. Independentemente do motivo, a responsabilidade assacada ao Subcontratante não poderá exceder o conjunto das mensalidades pagas pelo Responsável pelo tratamento ao Subcontratante nos últimos três (3) meses antes do facto que deu origem ao dano.


9. AVALIAÇÃO DE IMPACTO SOBRE PROTEÇÃO DE DADOS

9.1. O Subcontratante procedeu à realização de Avaliação de Impacto sobre Proteção de Dados, que o Responsável pelo tratamento poderá consultar se o requerer. Se o Responsável pelo tratamento pretender, de igual modo, realizar uma Avaliação de Impacto sobre Proteção de Dados pode pedir assistência ao Subcontratante, assistência que constituirá uma prestação de serviços autónoma face a este Acordo, pelo que, os termos dessa assistência terão de ser definidos num acordo separado e autónomo.


10. VIGÊNCIA

10.1. Este Acordo apenas vincula o Subcontratante e o Responsável pelo tratamento, a partir da data da sua assinatura. Se o Responsável pelo tratamento tiver assinado anteriormente um Acordo de Tratamento de Dados com o Subcontratante, o presente Acordo prevalece e substitui o Acordo de Tratamento de Dados anterior.


11. LEI E JURISDIÇÃO APLICÁVEL

11.1. Este Acordo de Tratamento de Dados rege-se pela lei portuguesa e qualquer litígio que dele decorra deverá ser resolvido exclusivamente pelos tribunais judiciais da comarca do Porto.



Lista de Anexos


Anexo A. Termos adicionais da Transferência de Dados

Anexo B. Descrição das Atividades de Tratamento

O representante da Clínica declara que tem os poderes necessários para representar e vincular a respetiva Parte. Mediante a aceitação deste Acordo, a Clínica declara reconhecer e aceitar o Acordo na sua íntegra.

Por ser verdade que leu e tomou conhecimento, o representante da Clínica aceita, mediante a colocação do visto na página de registo, o presente Acordo.


Anexo A.

Termos adicionais da Transferência de Dados

1. Termos adicionais do Acordo

1.1. Instruções. Este Acordo e os Termos e Condições são as instruções finais e completas do Responsável pelo tratamento. Qualquer instrução adicional ou alteração a estas deve ser acordada em separado. Para o propósito do tratamento de Dados Pessoais, a descrição seguinte é considerada como uma instrução pelo Responsável pelo tratamento para processar Dados Pessoais: (a) Tratamento de acordo com os Termos e Condições; (b) Tratamento iniciado pelo Responsável pelo tratamento no uso do Serviço Cliwise; e (c) Tratamento para cumprir com outras instruções razoáveis dadas pelo Responsável pelo tratamento, conformes aos Termos e Condições.

1.2. Novos subcontratantes e lista dos atuais subcontratantes. O Responsável pelo tratamento reconhece e expressamente concorda que o Subcontratante pode recorrer a subcontratados.

1.3. Notificação dos novos subcontratantes e direito de objeção aos novos subcontratantes. Conforme descrito no Acordo e nos termos aí mencionados, pode o Responsável pelo tratamento recusar os novos subcontratantes.

1.4. Segurança. O Subcontratante implementou e manterá medidas técnicas e organizacionais por forma a proteger os dados pessoais contra utilização desconforme com os objetivos do Acordo e perda ou destruição acidental.


Anexo B.

Descrição das Atividades de Tratamento de Dados Pessoais

O Responsável pelo tratamento poderá submeter ao tratamento, através da Cliwise, do Subcontratante, dados pessoais relativos à seguinte categoria de dados:

  • Nome dos pacientes e demais dados necessários à sua identificação;
  • Dados pessoais relativos à saúde dos pacientes;
  • Trabalhadores do Responsável pelo tratamento;
  • Prestadores de Serviço do Responsável pelo tratamento;
  • Dados para faturação.

  • Categoria de dados

    Os dados pessoais processados correspondem às seguintes categorias de dados:

  • Qualquer dado pessoal que permita a identificação do paciente do Responsável pelo tratamento, bem como todos os dados pessoais relativos à saúde que sejam necessários para o melhor e mais adequado tratamento médico, conforme o Responsável pelo tratamento entenda necessário, bem como dados para faturação e dados dos trabalhadores ou prestadores de serviço do Responsável pelo tratamento.

  • Categorias especiais de dados

    O Responsável pelo tratamento pode submeter ao tratamento pelo Subcontratante, na medida em que determinado e controlado pelo Responsável pelo tratamento em conformidade com a legislação de proteção de dados aplicável, as seguintes categorias especiais de dados, se qualquer:

  • Dados relativos a saúde.

  • Operações de tratamento

    Os dados pessoais transferidos serão processados nos termos definidos nos Termos e Condições e podem ser sujeitos às seguintes atividades de tratamento:

  • Armazenamento e outros procedimentos necessários para fornecer, manter e atualizar o Serviço Cliwise prestado pelo Responsável pelo tratamento;
  • Prestar o serviço e apoio técnico ao Responsável pelo tratamento.
  • [Última atualização em: 26/04/2020]