Heed - Plataforma de Psicologia Digital

1. INFORMAÇÕES DO RESPONSÁVEL PELO TRATAMENTO

Responsável pelo tratamento: João Mota
Morada: Rua Óscar Dias Pereira, 80
NIF: 917730529
Email: joao@myheed.app
Telefone: 917730529

Encarregado de Proteção de Dados (DPO):
Nome: João Mota
Email: joao@myheed.app
Telefone: 917730529

⚠️ Nota sobre independência: O DPO é também o responsável pelo tratamento. Para garantir a independência necessária ao exercício das funções de DPO, questões complexas de proteção de dados são subcontratadas a consultoria jurídica externa especializada.

2. ÂMBITO E APLICAÇÃO

Esta Política de Privacidade aplica-se ao tratamento de dados pessoais recolhidos através da aplicação web Heed (disponível em https://myheed.app), destinada a psicólogos para gestão de pacientes e prática clínica.

Tipos de utilizadores abrangidos:

Psicólogos e profissionais de saúde mental (utilizadores diretos da aplicação)
Pacientes (cujos dados pessoais são inseridos e tratados pelos psicólogos através da aplicação)
Visitantes do website (que acedem apenas a informações públicas sem criar conta)

⚠️ Nota importante para pacientes: Embora não utilize diretamente esta aplicação, os seus dados pessoais podem ser tratados através da mesma pelo seu psicólogo. Esta política explica como os seus dados são protegidos e quais os seus direitos.

3. DADOS PESSOAIS RECOLHIDOS

3.1 Dados dos Psicólogos/Utilizadores Principais

Nome completo (primeiro e último nome)
Endereço de email
Palavra-passe (encriptada)
Dados de autenticação Google (se aplicável)
Data de criação da conta
Dados de acesso (logs de login, IP, timestamps)

Base legal: Execução de contrato (Art. 6.º, n.º 1, alínea b) RGPD)
Finalidade: Prestação do serviço, autenticação e gestão da conta
Prazo de conservação: Duração da conta + 5 anos

3.2 Dados dos Pacientes (Dados de Saúde - Categoria Especial)

⚠️ ATENÇÃO: Dados sensíveis de saúde

Dados de identificação:
- Nome completo (primeiro e último nome)
- Email (opcional)
- Telefone (opcional)
- Data de nascimento
- Morada (opcional)
- Número de contribuinte (opcional)
Dados clínicos e de saúde:
- Notas de sessões terapêuticas
- Planos de tratamento
- Registos de consultas e sessões
- Estado das sessões (agendada, realizada, cancelada)
- Informações sobre pagamentos das sessões
- Qualquer informação clínica inserida pelo psicólogo

Base legal:
- Art. 9.º, n.º 2, alínea h) RGPD (prestação de cuidados de saúde)
- Art. 6.º, n.º 1, alínea b) RGPD (execução de contrato)
- Consentimento explícito do titular (Art. 9.º, n.º 2, alínea a) RGPD)

Finalidade:
- Prestação de cuidados de saúde psicológica
- Gestão de consultas e tratamentos
- Cumprimento de obrigações legais profissionais
- Gestão financeira das sessões

Prazo de conservação: 10 anos após a última consulta (obrigação legal profissional)

3.3 Dados Financeiros

Valor das sessões
Estado de pagamento
Datas de faturação
Informações para emissão de faturas

Base legal:
- Execução de contrato (Art. 6.º, n.º 1, alínea b) RGPD)
- Cumprimento de obrigação legal (Art. 6.º, n.º 1, alínea c) RGPD - obrigações fiscais)

Finalidade: Gestão financeira, faturação, cumprimento de obrigações fiscais
Prazo de conservação: 10 anos (obrigação fiscal)

4. COMO RECOLHEMOS OS SEUS DADOS

4.1 Recolha Direta

Registo na aplicação: Dados fornecidos voluntariamente pelo utilizador
Utilização da aplicação: Dados inseridos durante o uso normal
Contactos: Dados fornecidos ao contactar-nos

4.2 Recolha Automática

Logs de sistema: Endereços IP, timestamps, ações realizadas
Cookies técnicos: Necessários para funcionamento da aplicação
Dados de autenticação: Tokens de sessão, dados de login

4.3 Autenticação Google

Nome e email do perfil Google
ID único do utilizador Google
Foto de perfil (se disponível)

5. FINALIDADES DO TRATAMENTO

5.1 Finalidades Principais

Prestação do serviço: Funcionamento da aplicação Heed
Gestão de contas: Criação, manutenção e suporte de contas
Prestação de cuidados de saúde: Suporte à prática clínica dos psicólogos
Gestão de pacientes: Organização e acesso a informações clínicas
Comunicação: Suporte técnico, atualizações importantes

5.2 Finalidades Secundárias

Melhoramento do serviço: Análise de utilização para otimizações
Segurança: Prevenção de fraudes, ataques ou uso indevido
Cumprimento legal: Obrigações fiscais, profissionais e regulamentares

6. PARTILHA DE DADOS

6.1 Não Partilhamos Dados Pessoais, exceto:

Com subcontratantes técnicos:
- Supabase (base de dados): Dados armazenados na região eu-west-1 (Irlanda, União Europeia)
- Vercel (hosting): Apenas dados técnicos necessários para funcionamento, servidores na União Europeia quando possível
- Google (autenticação): Apenas para verificação de identidade
Por obrigação legal:
- Autoridades judiciais ou regulamentares, quando legalmente obrigatório
- Ordem dos Psicólogos, se aplicável e requerido por lei

6.2 Transferências Internacionais

Supabase: Dados armazenados na região eu-west-1 (Irlanda, União Europeia)
Google OAuth: Podem ocorrer transferências para EUA com salvaguardas adequadas (Standard Contractual Clauses)
Vercel: Servidores na União Europeia quando possível
Garantias: Utilizamos apenas prestadores com adequadas salvaguardas RGPD

7. SEGURANÇA DOS DADOS

7.1 Medidas Técnicas

Encriptação: HTTPS obrigatório, dados encriptados na base de dados
Controlo de acesso: Autenticação forte, separação por utilizador
Logs de segurança: Monitorização de acessos suspeitos
Backups seguros: Cópias de segurança encriptadas

7.2 Medidas Organizacionais

Acesso limitado: Apenas pessoal autorizado acede aos dados
Formação: Equipa formada em proteção de dados
Políticas internas: Procedimentos de segurança documentados

8. OS SEUS DIREITOS

8.1 Direito de Acesso (Art. 15.º RGPD): Pode solicitar uma cópia de todos os seus dados pessoais que processamos.
8.2 Direito de Retificação (Art. 16.º RGPD): Pode corrigir dados incorretos ou incompletos.
8.3 Direito ao Apagamento/"Direito ao Esquecimento" (Art. 17.º RGPD): Pode solicitar a eliminação dos seus dados, sujeito a exceções legais.
8.4 Direito à Limitação do Tratamento (Art. 18.º RGPD): Pode solicitar a suspensão temporária do tratamento.
8.5 Direito à Portabilidade (Art. 20.º RGPD): Pode receber os seus dados em formato estruturado e portável.
8.6 Direito de Oposição (Art. 21.º RGPD): Pode opor-se ao tratamento baseado em interesse legítimo.
8.7 Direito de Retirar Consentimento: Pode retirar consentimentos dados, sem afetar a licitude do tratamento anterior.
8.8 Como Exercer os Seus Direitos:
- Email: joao@myheed.app
- Dentro da aplicação: [Funcionalidade a implementar]
- Prazo de resposta: 30 dias (prorrogáveis por mais 60 em casos complexos)

8A. GESTÃO DE CONSENTIMENTOS

8A.1 Tipos de Consentimento

O nosso sistema utiliza consentimentos granulares:

Dados essenciais: Obrigatório para funcionamento básico da aplicação
Dados de saúde: Para tratamento de informações clínicas dos pacientes
Melhorias do serviço: Opcional - análise de utilização para otimizações
Comunicações: Opcional - receber atualizações sobre o serviço

8A.2 Como Gerir os Seus Consentimentos

Pode consultar e alterar os seus consentimentos a qualquer momento em:
Perfil → Proteção de Dados → Gerir Consentimentos

8A.3 Retirar Consentimentos

Dados essenciais: Não podem ser retirados (implicaria cancelamento da conta)
Outros consentimentos: Podem ser retirados a qualquer momento
Consequências: Explicadas antes de confirmar qualquer retirada

9. COOKIES E TECNOLOGIAS SIMILARES

9.1 Cookies Utilizados

Cookies essenciais:
- nextjs-session: Gestão de sessão do utilizador
- supabase-auth-token: Token de autenticação
Cookies funcionais:
- user-preferences: Configurações e preferências do utilizador
Não utilizamos: Cookies de marketing, publicidade ou tracking

9.2 Gestão de Cookies

Pode gerir cookies nas definições do seu navegador. Note que desativar cookies essenciais pode impedir o funcionamento da aplicação.

10. RETENÇÃO DE DADOS

Tipo de Dados	Prazo de Conservação	Justificação
Dados de conta	Duração da conta + 5 anos	Obrigações contratuais
Dados clínicos	10 anos após última consulta	Obrigação legal profissional
Dados financeiros	10 anos	Obrigação fiscal
Logs de sistema	1 ano	Segurança e auditoria

10.1 Eliminação Automática

Implementamos sistemas para eliminação automática de dados após os prazos estabelecidos.

11. MENORES DE IDADE

11.1 Dados de Pacientes Menores

Idade mínima: 13 anos (com consentimento dos pais/responsáveis)
Consentimento: Sempre necessário dos pais/responsáveis legais
Proteção especial: Medidas reforçadas de proteção

11.2 Utilizadores Menores

Psicólogos: Apenas maiores de 18 anos podem criar contas
Estagiários: Com supervisão adequada e autorização

12. VIOLAÇÕES DE DADOS

12.1 Procedimentos

Notificação CNPD: Em 72 horas
Notificação titulares: Se risco elevado para direitos e liberdades
Medidas corretivas: Implementação imediata de correções

12.2 Contacto para Incidentes

Email: security@myheed.app
DPO: joao@myheed.app

13. ALTERAÇÕES A ESTA POLÍTICA

13.1 Atualizações

Notificação: 30 dias antes de alterações substanciais
Método: Email, notificação na aplicação
Arquivo: Versões anteriores disponíveis a pedido

13.2 Aceitação

O uso continuado da aplicação após alterações constitui aceitação da nova política.

14. CONTACTOS E RECLAMAÇÕES

14.1 Contactos para Exercício de Direitos

Email principal: joao@myheed.app
Email privacidade: joao@myheed.app

14.2 Contactos de Emergência para Questões de Proteção de Dados

Violações de dados: joao@myheed.app
Exercício de direitos: joao@myheed.app
Questões gerais: joao@myheed.app
Reclamações: Diretamente à CNPD (contactos abaixo)

14.3 Reclamações

Autoridade de Controlo - CNPD:
Website: https://www.cnpd.pt
Email: geral@cnpd.pt
Telefone: 213 928 400
Morada: Av. D. Carlos I, 134, 1º, 1200-651 Lisboa

15. INFORMAÇÕES LEGAIS

15.1 Legislação Aplicável

Regulamento (UE) 2016/679 (RGPD)
Lei n.º 58/2019, de 8 de agosto
Código Deontológico da Ordem dos Psicólogos Portugueses

15.2 Jurisdição

Tribunais portugueses têm jurisdição exclusiva para resolução de litígios.

Política de Privacidade - Heed