Acordo de Tratamento de Dados Pessoais
O presente Acordo de Tratamento de Dados Pessoais (doravante “Acordo”) rege o tratamento de dados pessoais a realizar pela Healthium - Healthcare Software Solutions, S.A. (doravante, “Subcontratante”) em nome, e por conta, da entidade, seja pessoa jurídica ou física, que assina o serviço Nutrium, através do website Nutrium, para fins de prestação de serviços de nutrição clínica e serviços de nutrição afins (doravante, “Responsável pelo Tratamento”), em conjunto, denominadas as “Partes”. Assim, considerando que:
As Partes, plenamente conscientes da significativa importância de cumprir integralmente todas as exigências relacionadas à proteção de dados pessoais, livremente e reciprocamente aceitam este Acordo constante dos seguintes termos.
As expressões “responsável pelo tratamento”, “subcontratante”, “dados pessoais” e “tratamento”, assim como quaisquer outras expressões e termos relacionados, devem ser interpretados nos termos do Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE – Regulamento Geral de Proteção de Dados (“RGPD”), e da Lei n.º 58/2019, de 8 de agosto, que assegura a execução na ordem jurídica nacional do RGPD, tal como complementado por legislação nacional ou europeia, por interpretações e linhas de orientação emitidas por autoridades europeias e nacionais, por cláusulas modelo aprovadas pela Comissão Europeia ou por autoridades de controle, assim como por qualquer jurisprudência relevante (conjuntamente referidos como “Regime de Proteção de Dados”).
O presente Acordo visa regular as obrigações de ambas as Partes, relativamente ao tratamento de dados pessoais, melhor descrito no Anexo I (Termos do Tratamento), por parte do Subcontratante, em nome e por conta do Responsável pelo Tratamento.
Na eventualidade de qualquer inconsistência ou conflito entre o presente Acordo de Processamento de Dados e quaisquer outros acordos ou termos, independentemente de terem sido anteriormente acordados entre as Partes, o teor e as disposições deste Acordo de Processamento de Dados terão precedência e regerão as relações entre as Partes no que diz respeito ao processamento de dados pessoais no âmbito dos serviços prestados pela Healthium.
O Subcontratante e, se aplicável, os seus representantes, conservam, pelo menos até ao termo do presente Acordo, um registro de todas as atividades de tratamento exercidas, no âmbito do presente Acordo, nos termos e para os efeitos do artigo 30.º, n.º 2, do RGPD. Este registro das atividades de tratamento deve incluir, pelo menos, a seguinte informação:
O Subcontratante obriga-se a pôr em prática as medidas técnicas e de organização necessárias à proteção dos dados pessoais tratados por conta do Responsável pelo Tratamento contra a respectiva destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, bem como contra qualquer outra forma de tratamento ilícito dos mesmos dados pessoais. Essas medidas devem garantir um nível de segurança adequado em relação aos riscos que o tratamento de dados apresenta, à natureza dos dados a proteger e aos riscos, de probabilidade e gravidade variável para os direitos e liberdades das pessoas singulares, incluindo, consoante o que for adequado:
O Subcontratante compromete-se a guardar sigilo relativamente a todos os dados pessoais a que tenha tido acesso ou que lhe tenham sido transmitidos pelo Responsável pelo Tratamento no âmbito da prestação dos serviços acordados com este.
O Subcontratante garante que os seus colaboradores, independentemente da natureza e da validade do seu vínculo com o Subcontratante (incluindo, mas não restringindo, os que cooperam com o Subcontratante com base em contratos de direito civil, prestadores de serviços, trabalhadores, agentes, auxiliares, representantes, sócios, gerentes, administradores, procuradores, trabalhadores temporários, fornecedores, consultores, auditores e estagiários, aqui designados por “colaboradores” ou “pessoal”) cumprem as obrigações estabelecidas no presente Acordo.
O Subcontratante, com o objetivo de manter a sua eficiência operacional, estabelece contratos com outras entidades que poderão tratar e processar certos dados pessoais, identificando no Anexo III deste presente Acordo uma lista destes Subprocessadores. O Responsável pelo Tratamento dá autorização geral a que o Subcontratante subcontrate as entidades identificadas no Anexo III para o tratamento de dados pessoais decorrente do presente Acordo. Sempre que subcontratar outra entidade, o Subcontratante garante que estas cumprirão o disposto no Regime de Proteção de Dados e na demais legislação aplicável, celebrando um contrato escrito com tais entidades por si subcontratadas, refletindo as mesmas obrigações em matéria de proteção de dados previstas neste Acordo.
O Subcontratante compromete-se a informar o Responsável pelo Tratamento de quaisquer alterações pretendidas quanto ao aumento do número ou à substituição dos subcontratantes a que recorra, podendo o Responsável pelo Tratamento opor-se, por escrito, a tais alterações. Opondo-se às alterações, caso o Subcontratante não seja favorável aos argumentos apresentados e decida manter o subcontratante elencado, ao Responsável pelo Tratamento será dada a possibilidade de rescindir a sua assinatura com efeitos imediatos, sem prejuízo do pagamento de valor pro rata correspondente ao período de assinatura já utilizado.
Caso o tratamento de dados por subcontratante do Subcontratante seja feito fora da União Europeia/Área Econômica Europeia, antes do início de tal tratamento, deverão ser observados os requisitos referentes às transferências internacionais de dados previstos no RGPD.
A responsabilidade do Subcontratante perante subcontratantes prevista nos números anteriores abrange quaisquer entidades que atuem como subcontratantes numa cadeia de subcontratação com o Subcontratante, independentemente de o seu vínculo com o Subcontratante ser direto ou indireto.
O Subcontratante será responsável por todos os danos causados à Responsável pelo Tratamento que lhe sejam direta e efetivamente imputados em consequência do tratamento, por parte da mesma e/ou dos seus colaboradores, prestadores de serviços ou subcontratantes [nos termos da cláusula 8.ª (Subcontratantes do Subcontratante)], de dados pessoais em violação das normas legais aplicáveis e/ou do disposto no presente acordo.
O Subcontratante fica obrigado a notificar o Responsável pelo Tratamento de qualquer violação que potencialmente comprometa a segurança dos dados pessoais que lhe digam respeito, tais como a transferência, o acesso, a perda, a alteração ou a revelação a terceiros, acidental, não autorizada ou ilícita, em violação do presente Acordo ou do Regime de Proteção de Dados, ou qualquer incidente que direta ou indiretamente afete, ou seja suscetível de afetar, a confidencialidade, a integridade ou a autenticidade dos dados o mais cedo possível em face das circunstâncias e sem demora injustificada, em qualquer caso no prazo máximo de 72 horas a contar do momento em que o Subcontratante tenha obtido conhecimento do facto.
A notificação nos termos do número anterior deve incluir toda a informação relevante relativa aos dados pessoais afetados, designadamente:
Em caso de violação ou de incidente, o Subcontratante deve investigar o incidente ou a violação de dados pessoais, adotar as medidas adequadas, para garantir a segurança dos dados pessoais e para atenuar os seus eventuais efeitos negativos sobre os titulares afetados e prevenir quaisquer futuros incidentes ou violações de dados pessoais.
O Subcontratante realizará auditorias de segurança da sua infraestrutura e do ambiente computacional que utiliza no processamento de dados pessoais, da seguinte forma:
Cada auditoria resultará na geração de um relatório de auditoria, que o Subcontratante disponibilizará no seu website ou em outro local identificado por si. O relatório será considerado como Informação Confidencial da Healthium e divulgará claramente quaisquer conclusões materiais do auditor. O Subcontratante corrigirá imediatamente os problemas levantados em qualquer relatório, de forma satisfatória para o auditor. Se o Responsável pelo Tratamento solicitar, o Subcontratante fornecerá ao Responsável cada relatório.
Os relatórios poderão estar sujeitos a limitações de não divulgação e distribuição da Healthium e do auditor.
Na medida em que os requisitos de auditoria do Responsável pelo Tratamento, nos termos das respetivas leis de Proteção de Dados, não possam ser razoavelmente satisfeitos através de relatórios de auditoria, documentação ou informações de conformidade que o Subcontratante disponibiliza de forma geral aos seus clientes, o Subcontratante responderá às instruções adicionais de auditoria do Responsável pelo Tratamento. Antes do início de uma auditoria, o Subcontratante e o Responsável pelo Tratamento concordarão mutuamente sobre o escopo, o prazo, a duração, os requisitos de controle e evidência e os honorários da auditoria, desde que esse requisito de acordo não permita que o Subcontratante atrase injustificadamente a execução da auditoria. Na medida necessária para realizar a auditoria, o Subcontratante disponibilizará os sistemas de processamento, as instalações e a documentação de suporte relevantes para o processamento de Dados Pessoais pela Subcontratante e seus Subcontratantes. Essa auditoria será conduzida por uma empresa de auditoria independente e credenciada, durante o horário comercial normal, com aviso prévio razoável à Subcontratante e sujeita a procedimentos razoáveis de confidencialidade. O Responsável pelo Tratamento é responsável por todos os custos e taxas relacionados a tal auditoria, incluindo todos os custos e taxas razoáveis por todo e qualquer tempo que o Subcontratante despenda em tal auditoria, além das taxas dos serviços executados pelo Subcontratante. Se o relatório de auditoria gerado como resultado da auditoria do Responsável pelo Tratamento incluir qualquer descoberta de não conformidade material, o Responsável pelo Tratamento deverá compartilhar esse relatório de auditoria com o Subcontratante e o Subcontratante resolverá imediatamente qualquer não conformidade material.
Nada nesta seção deste Acordo varia ou modifica os termos do RGDP ou afeta os direitos de qualquer autoridade supervisora ou titular dos dados sob as respectivas leis de Proteção de Dados.
Se o Responsável pelo Tratamento for uma “entidade coberta” ou um “associado comercial” e incluir “informações de saúde protegidas” nos Dados do Cliente ou Dados de Serviços Profissionais, conforme esses termos são definidos na Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996, conforme alterada, e a regulamentos promulgados nos termos do mesmo (coletivamente, “HIPAA”), a execução do contrato com o Responsável pelo Tratamento inclui a execução do Contrato de Parceiro Comercial HIPAA (“BAA”).
O presente Acordo permanece em vigor enquanto se mantiver a relação de prestação de serviços entre o Responsável pelo Tratamento e o Subcontratante.
Na data de cessação do presente Acordo, o Subcontratante compromete-se a, consoante a escolha do Responsável pelo Tratamento, apagar ou devolver à Responsável pelo Tratamento todos os suportes com dados pessoais que lhe tenham sido facultados por este, apagando quaisquer cópias existentes, exceto se a conservação dos dados for exigida por lei.
As Partes ficam desde já autorizadas a comunicar o conteúdo do presente Acordo, bem como os elementos com este relacionados, à autoridade de controle competente.
O presente Acordo rege-se pelas disposições aplicáveis da lei portuguesa.
Para julgar todas as questões emergentes do presente Acordo fixa-se como competente o foro da comarca de Braga, com expressa renúncia a qualquer outro.
Para efeitos de comunicações relacionadas com segurança e proteção de dados as Partes determinam como suficientes e idôneos os endereços abaixo indicados, relativamente ao Subcontratante, e os endereços indicados pelo Responsável pelo Tratamento aquando do registro. Se o Responsável pelo Tratamento pretender abordar questões relacionadas à segurança e proteção de dados com o Subcontratante, poderá fazê-lo através dos seguintes meios:
Pedro Bacelar
Encarregado da Proteção de Dados
ou
Rua Andrade Corvo, nº 242, 1º andar, Sala 106
4700-204 Braga
+351 935 455 75
O Responsável pelo Tratamento trata os dados pessoais dos seus clientes para a prestação de cuidados de saúde e para a gestão da relação com clientes e/ou dados pessoais dos seus colaboradores para a gestão da sua relação com os mesmos.
Nos termos do Contrato acordado entre as Partes, o Subcontratante obriga-se a prestar ao Responsável pelo Tratamento de Dados os serviços descritos nos Termos e Condições em vigor e na Política de Privacidade em vigor .
Nesse âmbito e com essa finalidade, o Subcontratante terá acesso a dados pessoais dos clientes e/ou dos colaboradores do Responsável pelo Tratamento de Dados.
A duração do tratamento depende da vigência do contrato referido anteriormente e respeitará os prazos de conservação estabelecidos e divulgados em cada momento pelo Responsável pelo Tratamento dos Dados Pessoais.
Dados de categorias simples e especiais, especificamente:
Dados relativos à saúde da pessoa.
Clientes e/ou Colaboradores do Responsável pelo Tratamento de Dados.
Em conformidade com o descrito no Acordo, o Subcontratante implementa as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades dos titulares dos dados.
Em conformidade com o parágrafo 1 do presente Anexo e com o Anexo I, o Subcontratante observa os seguintes requisitos mínimos:
A Healthium pode contratar e utilizar certos processadores de dados de terceiros ("Subprocessadores") para fornecer serviços aos nossos clientes. Este anexo apresenta informações importantes sobre a identidade, a localização e a função de cada Subprocessador.
Estes Subprocessadores podem ter acesso a dados pessoais fornecidos diretamente pelos nossos usuários ou aos quais podemos ter acesso para realizar os serviços contratados. Atualmente, utilizamos a lista abaixo de Subprocessadores para fornecer serviços de infraestrutura, suporte ao cliente e plataformas. Por favor, note que nem todos os Subprocessadores são usados na prestação de todos os serviços que fornecemos e alguns podem estar envolvidos apenas no auxílio da prestação de serviços específicos.
Subprocessador | Localização | Website |
---|---|---|
Acute | Estados Unidos da América | https://getacute.io/ |
Braintree | Estados Unidos da América | https://www.braintreepayments.com/ |
Ebanx | Brasil | https://www.ebanx.com/en/ |
Easy Pay | Portugal | https://www.easypay.pt/a-easypay/ |
Intercom | Estados Unidos da América | https://www.intercom.com/ |
Pipedrive | Europa | https://www.pipedrive.com/ |
Slack | Estados Unidos da América | https://slack.com/ |
Apoio ao Cliente
Subprocessador | Localização | Website |
---|---|---|
Amplitude | Estados Unidos da América | https://amplitude.com/ |
Docusign | Estados Unidos da América | https://www.docusign.com/ |
Google Services | Europa | https://about.google/products/ |
Hotjar | Europa | https://www.hotjar.com |
Mailchimp | Estados Unidos da América | https://mailchimp.com |
Paypal | Estados Unidos da América | https://www.paypal.com/ |
Wise | Reino Unido | https://wise.com/ |
Zapier | Estados Unidos da América | https://zapier.com/ |
Plataformas
Subprocessador | Localização | Website |
---|---|---|
Amazon Web Services | Irlanda | https://aws.amazon.com/ |
Atlassian | Holanda | https://www.atlassian.com/ |
CircleCi | Estados Unidos da América | https://circleci.com/ |
Digital Ocean | Europa | https://www.digitalocean.com/ |
Mailjet | França | https://www.mailjet.com/ |
Microsoft Azure | Europa | https://azure.microsoft.com |
Sentry | Estados Unidos da América | https://sentry.io/ |
Twilio | Estados Unidos da América | https://www.twilio.com/ |
Infraestruturas de Serviços Digitais