Acordo de Tratamento de Dados Pessoais

1. Âmbito de Aplicação

O presente Acordo de Tratamento de Dados Pessoais (doravante “Acordo”) rege o tratamento de dados pessoais a realizar pela Healthium – Healthcare Software Solutions, S.A. (doravante, “Subcontratante”) em nome, e por conta, da entidade, seja pessoa coletiva ou singular, que subscreve o serviço Nutrium, através do website Nutrium, para fins de prestação de serviços de nutrição clínica e serviços de nutrição afins (doravante, “Responsável pelo Tratamento”), em conjunto, denominadas as “Partes”. Assim, considerando que:

1. As Partes celebraram um contrato de prestação de serviços, em termos melhor definidos em Termos e Condições, pelo Subcontratante ao Responsável pelo Tratamento;
2. A prossecução dos serviços pelo Subcontratante implica o tratamento de dados pessoais, pela mesma, em nome e por conta do Responsável pelo Tratamento;
3. As Partes pretendem, através deste documento, regular de forma detalhada as obrigações do Subcontratante, enquanto entidade subcontratante do Responsável pelo Tratamento, para o tratamento de dados pessoais.

As Partes, plenamente conscientes da significativa importância de cumprir integralmente todas as exigências relacionadas à proteção de dados pessoais, livremente e reciprocamente aceitam este Acordo constante dos seguintes termos.

2. Definições e Interpretação

As expressões “responsável pelo tratamento”, “subcontratante”, “dados pessoais” e “tratamento”, assim como quaisquer outras expressões e termos relacionados, devem ser interpretados nos termos do Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE – Regulamento Geral de Proteção de Dados (“RGPD”), e da Lei n.º 58/2019, de 8 de agosto, que assegura a execução na ordem jurídica nacional do RGPD, tal como complementado por legislação nacional ou europeia, por interpretações e linhas de orientação emitidas por autoridades europeias e nacionais, por cláusulas modelo aprovadas pela Comissão Europeia ou por autoridades de controlo, assim como por qualquer jurisprudência relevante (conjuntamente referidos como “Regime de Proteção de Dados”).

1. As Partes acordam que os termos do RGPD serão aplicáveis ao tratamento de dados pessoais no contexto da relação entre as Partes a partir da data de entrada em vigor do contrato de prestação de serviços, celebrado entre as Partes, e durante toda a sua vigência.
2. Os títulos dos termos do presente Acordo são incluídos por razões de mera conveniência, não constituindo suporte da interpretação ou integração do mesmo.
3. As expressões supra definidas no singular poderão ser utilizadas no plural, e vice-versa, com a correspondente alteração do respetivo significado.
4. Em função da evolução jurídica, jurisprudencial e das recomendações emitidas por autoridades de controlo ou, ainda, de alterações ao modelo de negócio, entre outras, o Subcontratante poderá proceder à alteração deste Acordo, assegurando, nesses casos, que tais alterações são devidamente publicadas no website da Nutrium e comunicadas através de correio eletrónico ao Responsável pelo Tratamento, através do endereço indicado no registo na plataforma.
5. O presente Acordo é composto pelo texto deste documento e pelos seguintes Anexos, todos eles devidamente aceites pelos representantes de ambas as Partes e que dele ficam a fazer parte integrante: Anexo I – Termos do Tratamento; Anexo II – Medidas Técnicas e Organizativas; Anexo III- Lista de Subprocessadores;
6. Salvo quando do contexto resulte de outro modo, qualquer referência feita neste Acordo a uma disposição legal ou contratual inclui as alterações a que a mesma tiver sido e/ou vier a ser sujeita.
7. Caso alguma das disposições do presente Acordo venha a ser declarada nula ou por qualquer forma inválida, ineficaz ou inexequível, por uma entidade competente para o efeito, tal nulidade, invalidade, ineficácia ou inexequibilidade não afetará a validade das restantes disposições do Acordo, comprometendo-se as Partes a acordar, de boa-fé, uma disposição que substitua aquela e que, tanto quanto possível, produza efeitos semelhantes.

3. Objeto

O presente Acordo visa regular as obrigações de ambas as Partes, relativamente ao tratamento de dados pessoais, melhor descrito no Anexo I (Termos do Tratamento), por parte do Subcontratante, em nome e por conta do Responsável pelo Tratamento.

4. Vinculação às presentes disposições

Na eventualidade de qualquer inconsistência ou conflito entre o presente Acordo de Processamento de Dados e quaisquer outros acordos ou termos, independentemente de terem sido anteriormente acordados entre as Partes, o teor e as disposições deste Acordo de Processamento de Dados terão precedência e regerão as relações entre as Partes no que concerne ao processamento de dados pessoais no âmbito dos serviços prestados pela Healthium.

5. Obrigações das Partes

1. O Responsável pelo Tratamento assume integral responsabilidade pelo cumprimento das disposições estabelecidas no RGPD e demais legislações de proteção de dados aplicáveis, comprometendo-se garantir a legalidade, transparência e integridade do processamento de dados pessoais.
2. O Responsável pelo Tratamento deverá fornecer à Subcontratante a informação necessária para que o Subcontratante possa tratar os dados por sua conta e em seu nome.
3. Os dados pessoais a que o Subcontratante tenha acesso ou que lhe tenham sido transmitidos pelo Responsável pelo Tratamento serão tratados nos termos do presente Acordo, bem como em estrita observância das instruções documentadas do Responsável pelo Tratamento, identificadas no Anexo II, ou transmitidas pelo mesmo durante a vigência do Acordo, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que o Subcontratante seja obrigada a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito (informando nesse caso o Responsável pelo Tratamento desse requisito jurídico antes do início da transferência).
4. O Subcontratante compromete-se, designadamente, a não copiar, reproduzir, adaptar, modificar, alterar, apagar, destruir, difundir, transmitir, divulgar ou por qualquer outra forma colocar à disposição de terceiros os dados pessoais a que tenha acesso ou que lhe tenham sido transmitidos pelo Responsável pelo Tratamento, sem prejuízo das ações e transmissão que resultem da própria natureza da prestação do serviço.
5. Sem prejuízo das demais obrigações previstas no presente Acordo, o Subcontratante obriga-se a cumprir o disposto na legislação aplicável em matéria de tratamento de dados pessoais e, nomeadamente, a:

1. Tendo em conta a natureza do tratamento, na medida do possível e dentro dos limites legalmente exigidos à Subcontratante, e sem prejuízo de cobrança de valores adicionais, prestar assistência ao Responsável pelo Tratamento para permitir que este cumpra a sua obrigação de dar resposta e disponibilizar aos titulares dos dados pessoais informação sobre os seus dados pessoais e, em geral, a proporcionar aos titulares dos dados o exercício dos seus direitos, nos termos do Regime de Proteção de Dados;
2. Garantir que as pessoas autorizadas a tratar dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;
3. Tendo em conta a natureza do tratamento, na medida do possível e dentro dos limites legalmente exigidos à Subcontratante, e sem prejuízo de cobrança de valores adicionais, prestar , ao Responsável pelo Tratamento a colaboração de que este careça para esclarecer questões relacionadas com o tratamento de dados pessoais efetuado ao abrigo do presente Acordo e manter o Responsável pelo Tratamento informado em relação ao tratamento de dados pessoais, obrigando-se a comunicar de imediato qualquer situação que possa afetar o tratamento dos dados em causa ou que de algum modo possa dar origem ao incumprimento de disposições legais em matéria de proteção de dados pessoais;
4. Informar o Responsável pelo Tratamento, dentro do prazo de 72 horas, de qualquer inquirição ou reclamação que a ele possa dizer respeito, de qualquer autoridade de controlo, garantindo a sua cooperação com tal autoridade;
5. Tendo em conta a natureza do tratamento, na medida do possível e dentro dos limites legalmente exigidos à Subcontratante, e sem prejuízo de cobrança de valores adicionais, prestar, assistência ao Responsável pelo Tratamento, no sentido de assegurar as obrigações referentes à notificação de violações de dados pessoais, designadamente através da comunicação ao Responsável pelo Tratamento (e em qualquer caso nunca superior a 72 horas) de qualquer violação de dados pessoais que ocorra com incidência nos dados pessoais, prestando ainda colaboração, na medida do possível e dentro dos limites legalmente exigidos à Subcontratante, ao Responsável pelo Tratamento na adoção de medidas de resposta ao incidente, na investigação do mesmo e na elaboração das notificações que se mostrem necessárias nos termos da lei;
6. Colaborar com o Responsável pelo Tratamento, tendo em conta a natureza do tratamento e na medida do possível, através da implementação de medidas técnicas e organizativas adequadas;
7. Não comunicar dados pessoais a terceiros e/ou prestadores de serviços não autorizados ou não indicados pelo Responsável pelo Tratamento;
8. Consoante a escolha do Responsável pelo Tratamento, apagar ou devolver os dados pessoais na cessação do Acordo, apagando quaisquer cópias existentes, exceto se a conservação dos dados for exigida por lei;
9. Disponibilizar ao Responsável pelo Tratamento, na medida do possível e dentro dos limites legalmente exigidos à Subcontratante, as informações necessárias para demonstrar o cumprimento das obrigações decorrentes da lei e do presente Acordo;
10. Manter registos das atividades de tratamento de dados realizadas em nome do Responsável pelo Tratamento ao abrigo do presente Acordo, segundo os requisitos previstos na lei;
11. Se, e quando, aplicável, informar o Responsável pelo Tratamento da nomeação de um Encarregado da Proteção de Dados;
12. Observar os termos e condições constantes dos instrumentos de legalização respeitantes aos dados tratados (se aplicável); e
13. Cumprir todas as demais regras legais no que respeita ao registo, transmissão ou qualquer outra operação de tratamento de dados pessoais previstas no Regime de Proteção de Dados.

6. Registo das Atividades de Tratamento

O Subcontratante e, se aplicável, os seus representantes, conservam, pelo menos até ao termo do presente Acordo, um registo de todas as atividades de tratamento exercidas, no âmbito do presente Acordo, nos termos e para os efeitos do artigo 30.º, n.º 2, do RGPD. Este registo das atividades de tratamento deve incluir, pelo menos, a seguinte informação:

1. O nome e os contactos do Subcontratante e do Responsável pelo Tratamento e, sendo caso disso, dos representantes do Responsável pelo Tratamento e do Subcontratante e do Encarregado de Proteção de Dados;
2. Os tipos de tratamentos de dados realizados em nome do Responsável pelo Tratamento;
3. As categorias de dados tratados;
4. As tipologias de titulares de dados versados pelo tratamento de dados; e
5. Se aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49.º, n.º 1, segundo parágrafo, do RGPD, a documentação que comprove a existência das garantias adequadas.

7. Medidas de Segurança

O Subcontratante obriga-se a pôr em prática as medidas técnicas e de organização necessárias à proteção dos dados pessoais tratados por conta do Responsável pelo Tratamento contra a respetiva destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, bem como contra qualquer outra forma de tratamento ilícito dos mesmos dados pessoais. Estas medidas devem garantir um nível de segurança adequado em relação aos riscos que o tratamento de dados apresenta, à natureza dos dados a proteger e aos riscos, de probabilidade e gravidade variável para os direitos e liberdades das pessoas singulares, incluindo, consoante o que for adequado:

1. A pseudonimização e a encriptação dos dados pessoais;
2. A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
3. A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; e
4. Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.

8. Confidencialidade

O Subcontratante compromete-se a guardar sigilo relativamente a todos os dados pessoais a que tenha tido acesso ou que lhe tenham sido transmitidos pelo Responsável pelo Tratamento no âmbito da prestação dos serviços acordados com este.

9. Colaboradores do Subcontratante

O Subcontratante garante que os seus colaboradores, independentemente da natureza e da validade do seu vínculo com o Subcontratante (incluindo, mas não restringindo, os que cooperam com o Subcontratante com base em contratos de direito civil, prestadores de serviços, trabalhadores, agentes, auxiliares, representantes, sócios, gerentes, administradores, procuradores, trabalhadores temporários, fornecedores, consultores, auditores e estagiários, aqui designados por “colaboradores” ou “pessoal”) cumprem as obrigações estabelecidas no presente Acordo.

10. Subcontratantes do Subcontratante

O Subcontratante, com o objetivo de manter a sua eficiência operacional, estabelece contratos com outras entidades que poderão tratar e processar certos dados pessoais, identificando no Anexo III deste presente Acordo uma lista destes Subprocessadores. O Responsável pelo Tratamento dá autorização geral a que o Subcontratante subcontrate as entidades identificadas no Anexo III para o tratamento de dados pessoais decorrente do presente Acordo. Sempre que subcontratar outra entidade, o Subcontratante garante que estas cumprirão o disposto no Regime de Proteção de Dados e na demais legislação aplicável, celebrando um contrato escrito com tais entidades por si subcontratadas, refletindo as mesmas obrigações em matéria de proteção de dados previstas neste Acordo.

O Subcontratante compromete-se a informar o Responsável pelo Tratamento de quaisquer alterações pretendidas quanto ao aumento do número ou à substituição dos subcontratantes a que recorra, podendo o Responsável pelo Tratamento opor-se, por escrito, a tais alterações. Opondo-se às alterações, caso o Subcontratante não seja favorável aos argumentos apresentados e decida manter o subcontratante elencado, ao Responsável pelo Tratamento será dada a possibilidade de rescindir a sua subscrição com efeitos imediatos, sem prejuízo do pagamento de valor pro-rata correspondente ao período de subscrição já utilizado.

Caso o tratamento de dados por subcontratante do Subcontratante seja feito fora da União Europeia/Área Económica Europeia, antes do início de tal tratamento, deverão ser observados os requisitos referentes às transferências internacionais de dados previstos no RGPD.

A responsabilidade do Subcontratante perante subcontratantes prevista nos números anteriores abrange quaisquer entidades que atuem como subcontratantes numa cadeia de subcontratação com o Subcontratante, independentemente de o seu vínculo com o Subcontratante ser direto ou indireto.

11. Responsabilidade

O Subcontratante será responsável por todos os danos causados à Responsável pelo Tratamento que lhe sejam direta e efetivamente imputados em consequência do tratamento, por parte da mesma e/ou dos seus colaboradores, prestadores de serviços ou subcontratantes [nos termos da cláusula 8.ª (Subcontratantes do Subcontratante)], de dados pessoais em violação das normas legais aplicáveis e/ou do disposto no presente acordo.

12. Notificação de violações de dados pessoais

O Subcontratante fica obrigado a notificar o Responsável pelo Tratamento de qualquer violação que potencialmente comprometa a segurança dos dados pessoais que lhe digam respeito, tais como a transferência, o acesso, a perda, a alteração ou a revelação a terceiros, acidental, não autorizada ou ilícita, em violação do presente Acordo ou do Regime de Proteção de Dados, ou qualquer incidente que direta ou indiretamente afete, ou seja suscetível de afetar, a confidencialidade, a integridade ou a autenticidade dos dados o mais cedo possível em face das circunstâncias e sem demora injustificada, em qualquer caso no prazo máximo de 72 horas a contar do momento em que o Subcontratante tenha obtido conhecimento do facto.

A notificação nos termos do número anterior deve incluir toda a informação relevante relativa aos dados pessoais afetados, designadamente:

1. A natureza dos dados pessoais violados, incluindo as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados pessoais em causa;
2. O nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
3. A descrição das consequências previsíveis da violação de dados pessoais; e
4. As medidas adotadas ou propostas pelo Responsável pelo Tratamento para reparar a violação de dados pessoais e para atenuar os seus eventuais efeitos negativos.

Em caso de violação ou de incidente, o Subcontratante deve investigar o incidente ou a violação de dados pessoais, adotar as medidas adequadas, para garantir a segurança dos dados pessoais e para atenuar os seus eventuais efeitos negativos sobre os titulares afetados e prevenir quaisquer futuros incidentes ou violações de dados pessoais.

13. Auditorias

O Subcontratante realizará auditorias de segurança da sua infraestrutura e do ambiente computacional que utiliza no processamento de dados pessoais, da seguinte forma:

1. Quando uma norma ou estrutura preveja auditorias, uma auditoria dessa norma ou estrutura de controle será iniciada pelo menos anualmente.
2. Cada auditoria será realizada de acordo com os padrões e regras do órgão regulador ou de acreditação para cada padrão ou estrutura de controle aplicável.
3. Cada auditoria será realizada por auditores de segurança terceirizados, qualificados e independentes, por conta e seleção do Subcontratante.

Cada auditoria resultará na geração de um relatório de auditoria, que o Subcontratante disponibilizará no seu website ou noutro local identificado por si. O relatório será considerado como Informação Confidencial da Healthium e divulgará claramente quaisquer conclusões materiais do auditor. O Subcontratante corrigirá imediatamente os problemas levantados em qualquer relatório, de forma satisfatória para o auditor. Se o Responsável pelo Tratamento solicitar, o Subcontratante fornecerá ao Responsável cada relatório.

Os relatórios poderão estar sujeitos a limitações de não divulgação e distribuição da Healthium e do auditor.

Na medida em que os requisitos de auditoria do Responsável pelo Tratamento, nos termos das respetivas leis de Proteção de Dados, não possam ser razoavelmente satisfeitos através de relatórios de auditoria, documentação ou informações de conformidade que o Subcontratante disponibiliza de forma geral aos seus clientes, o Subcontratante responderá às instruções adicionais de auditoria do Responsável pelo Tratamento. Antes do início de uma auditoria, o Subcontratante e o Responsável pelo Tratamento concordarão mutuamente sobre o escopo, o prazo, a duração, os requisitos de controle e evidência e os honorários da auditoria, desde que esse requisito de acordo não permita que o Subcontratante atrase injustificadamente a execução da auditoria. Na medida necessária para realizar a auditoria, o Subcontratante disponibilizará os sistemas de processamento, as instalações e a documentação de suporte relevantes para o processamento de Dados Pessoais pela Subcontratante e seus Subcontratantes. Essa auditoria será conduzida por uma empresa de auditoria independente e credenciada, durante o horário comercial normal, com aviso prévio razoável à Subcontratante e sujeita a procedimentos razoáveis de confidencialidade. O Responsável pelo Tratamento é responsável por todos os custos e taxas relacionados a tal auditoria, incluindo todos os custos e taxas razoáveis por todo e qualquer tempo que o Subcontratante despenda em tal auditoria, além das taxas dos serviços executados pelo Subcontratante. Se o relatório de auditoria gerado como resultado da auditoria do Responsável pelo Tratamento incluir qualquer descoberta de não conformidade material, o Responsável pelo Tratamento deverá compartilhar esse relatório de auditoria com o Subcontratante e o Subcontratante resolverá imediatamente qualquer não conformidade material.

Nada nesta seção deste Acordo varia ou modifica os termos do RGDP ou afeta os direitos de qualquer autoridade supervisora ou titular dos dados sob as respetivas leis de Proteção de Dados.

14. Associado Comercial HIPAA

Se o Responsável pelo Tratamento for uma “entidade coberta” ou um “associado comercial” e incluir “informações de saúde protegidas” nos Dados do Cliente ou Dados de Serviços Profissionais, conforme esses termos são definidos na Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996, conforme alterada, e a regulamentos promulgados nos termos do mesmo (coletivamente, “HIPAA”), a execução do contrato com o Responsável pelo Tratamento inclui a execução do Contrato de Parceiro Comercial HIPAA (“BAA”).

15. Duração e cessação do acordo

O presente Acordo permanece em vigor enquanto se mantiver a relação de prestação de serviços entre o Responsável pelo Tratamento e o Subcontratante.

Na data de cessação do presente Acordo, o Subcontratante compromete-se a, consoante a escolha do Responsável pelo Tratamento, apagar ou devolver à Responsável pelo Tratamento todos os suportes com dados pessoais que lhe tenham sido facultados por este, apagando quaisquer cópias existentes, exceto se a conservação dos dados for exigida por lei.

16. Comunicação do acordo à Autoridade de Controlo

As Partes ficam desde já autorizadas a comunicar o conteúdo do presente Acordo, bem como os elementos com este relacionados, à autoridade de controlo competente.

17. Lei Aplicável

O presente Acordo rege-se pelas disposições aplicáveis da lei portuguesa.

18. Resolução de Litígios

Para julgar todas as questões emergentes do presente Acordo fixa-se como competente o foro da comarca de Braga, com expressa renúncia a qualquer outro.

19. Meios de Comunicação com o Subcontratante

Para efeitos de comunicações relacionadas com segurança e proteção de dados as Partes determinam como suficientes e idóneos os endereços abaixo indicados, relativamente ao Subcontratante, e os endereços indicados pelo Responsável pelo Tratamento aquando do registo. Se o Responsável pelo Tratamento pretender abordar questões relacionadas à segurança e proteção de dados com o Subcontratante, poderá fazê-lo através dos seguintes meios:

Pedro Bacelar

Encarregado da Proteção de Dados

dpo@nutrium.com

ou

Rua Andrade Corvo, nº 242, 1º andar, Sala 106

4700-204 Braga

+351 935 455 75

Anexo I

Termos do Tratamento

1. Natureza e finalidades do tratamento

O Responsável pelo Tratamento trata os dados pessoais dos seus clientes para a prestação de cuidados de saúde e para a gestão da relação com clientes e/ou dados pessoais dos seus colaboradores para a gestão da sua relação com os mesmos.

Nos termos do Contrato acordado entre as Partes, o Subcontratante obriga-se a prestar ao Responsável pelo Tratamento de Dados os serviços descritos nos Termos e Condições em vigor e na Política de Privacidade em vigor .

Nesse âmbito e com essa finalidade, o Subcontratante terá acesso a dados pessoais dos clientes e/ou dos colaboradores do Responsável pelo Tratamento de Dados.

2. Duração do tratamento

A duração do tratamento depende da vigência do contrato referido anteriormente e respeitará os prazos de conservação estabelecidos e divulgados em cada momento pelo Responsável pelo Tratamento dos Dados Pessoais.

3. Tipo de dados tratados

Dados de categorias simples e especiais, nomeadamente:

• Dados pessoais de clientes: dados gerais e demográficos; dados antropométricos;; dados socioculturais e económicos e dados de informação clínica.
• Dados pessoais de colaboradores: dados gerais e demográficos;

4. Categorias especiais de dados

Dados relativos à saúde da pessoa.

5. Categorias de titulares dos dados

Clientes e/ou Colaboradores do Responsável pelo Tratamento de Dados.

Anexo II

Medidas Técnicas e Organizativas

1. Segurança do Tratamento

Em conformidade com o descrito no Acordo, o Subcontratante implementa as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades dos titulares dos dados.

2. Requisitos mínimos

Em conformidade com o parágrafo 1 do presente Anexo e com o Anexo I, o Subcontratante observa os seguintes requisitos mínimos:

1. Controlo de Acessos e Autenticação
   • Todos os acessos à informação do Responsável pelo Tratamento, deve ser feita por utilizadores legitimados para o fazer e estes utilizadores devem ter identificadores unívocos que os possam identificar nos sistemas de processamento e armazenamento da informação;
   • A autenticação nos sistemas deve ser feita utilizando credenciais baseada em utilizador e palavra chave, sendo que a palavra chave deve ser complexa (junção de letras, números, caracteres especiais e tamanho mínimo de oito caracteres);
   • Deve ser adotado um prazo máximo de validade da palavra chave, não superior a 90 dias e não deverá ser possível ao utilizador utilizar as 5 palavras chaves anteriores;
   • Devem ser adotadas medidas técnicas de segurança para proteger as credenciais de acessos, tais como o bloqueio da palavra chave após 6 (seis) tentativas seguidas falhadas, seis meses sem ser utilizadas as credenciais;
   • Devem existir procedimentos formais de solicitação, atribuição, remoção e aprovação dos acessos à informação do Responsável pelo Tratamento.
2. Cifragem de Dados e Gestão de Dispositivos
   • Toda a informação pessoal deve ser armazenada em suportes (discos rígidos externos, servidores, pendrive, etc) de forma cifrada;
   • Toda informação deve ser transmitida recorrendo a canais cifrados de comunicação (e.g. TLS/SSL, E-mail cifrados com chaves X509 ou PGP);
   • Todos os dispositivos de computação (servidores e computadores pessoais) devem estar devidamente protegidos contra ataques e malware, através da utilização de antivírus, sistemas de deteção e prevenção de intrusão;
   • Todos os componentes dos sistemas de informação (hardware, firmware e software) devem ser revistos para garantir que são detectadas vulnerabilidades e falhas e consequentemente atualizados com as últimas atualizações disponíveis ou então instaladas medidas para mitigação das falhas encontradas.
3. Capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada em caso de incidente físico ou técnico
   • Deve ser salvaguardada a continuidade da prestação do serviço ao Responsável pelo Tratamento através da utilização de mecanismos de proteção contra destruição ou perda acidental;
   • Os mecanismos de salvaguarda da informação (e.g. backups), devem obedecer às boas práticas de continuidade de negócio, garantindo que:
     • Pelo menos uma cópia é mantida numa localização alternativa;
     • São implementados controlos de acessos e proteção físicos aos media (e.g. tapes), quando armazenados ou em trânsito;
   • Deve ser testado a eficácia dos mecanismos de proteção pelo menos a cada seis meses.
4. Processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento
   • Devem ser efetuadas auditorias regulares para validar o cumprimento dos requisitos de segurança e proteção de dados constantes neste Anexo, pelo menos numa base anual;
   • Deve ser elaborado um relatório com detalhes sobre o grau de cumprimento dos requisitos, recomendações para cumprimento e no final ser disponibilizado à Responsável pelo Tratamento.

Anexo III

Lista de Subprocessadores

1. Âmbito de Aplicação

A Healthium pode contratar e utilizar certos processadores de dados de terceiros ("Subprocessadores") para fornecer serviços aos nossos clientes. Este anexo apresenta informações importantes sobre a identidade, a localização e a função de cada Subprocessador.

2. Lista de Subprocessadores

Estes Subprocessadores podem ter acesso a dados pessoais fornecidos diretamente pelos nossos utilizadores ou aos quais podemos ter acesso para realizar os serviços contratados. Atualmente, utilizamos a lista abaixo de Subprocessadores para fornecer serviços de infraestrutura, suporte ao cliente, e plataformas, Por favor, note que nem todos os Subprocessadores são usados na prestação de todos os serviços que fornecemos e alguns podem estar envolvidos apenas em auxiliar na prestação de serviços específicos.

Apoio ao Cliente

Plataformas

Infraestruturas de Serviços Digitais