Acordo de Subcontratação para Tratamento de Dados Pessoais

1.1. Para efeitos do presente Acordo, entende-se por:

1.1.1. Partes: o Responsável pelo Tratamento e o Subcontratado.

1.1.2. Regulamento Geral sobre a Proteção de Dados: o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, adiante designado por RGPD.

1.1.3. Responsável pelo Tratamento de Dados Pessoais: O Cliente (profissional de saúde independente, clínica, hospital ou outra entidade prestadora de cuidados de saúde) que subscreve e utiliza a Plataforma NEO.

1.1.4. Subcontratado: MedicineOne, Life Sciences Computing S.A.; no intuito de obviar a eventuais dúvidas, desde já se esclarece que a expressão "Subcontratado/s" aqui utilizada corresponde, para todos os efeitos, à expressão legal "Subcontratante/s" utilizada na versão em Português do Regulamento Geral de Proteção de Dados.

1.1.5. Dados pessoais: informação relativa a uma pessoa singular identificada ou identificável ("Titular dos dados"), sendo considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador (como por exemplo um nome, um número de identificação, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica ou social dessa pessoa singular).

1.1.6. Tratamento: operações efetuadas sobre dados pessoais, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

1.1.7. Plataforma NEO: plataforma digital de gestão clínica, operacional e comercial desenvolvida e disponibilizada pela MedicineOne, que inclui funcionalidades de gestão de consultas, registos clínicos, inteligência artificial, faturação, integração com o DoutorJá.pt e demais serviços associados.

2.1. Através do presente Acordo, o Responsável pelo Tratamento de Dados Pessoais e o Subcontratado definem os termos e condições em que este procederá ao tratamento de dados pessoais por conta daquele, no âmbito da utilização da Plataforma NEO e dos serviços digitais de saúde associados.

2.2. O presente acordo é estabelecido no âmbito dos Termos e Condições de Adesão e Utilização da Plataforma NEO celebrados entre as partes, e aplica-se igualmente a quaisquer outros serviços que o Responsável pelo Tratamento contrate ao Subcontratado, nomeadamente de suporte técnico de apoio à sua utilização da plataforma NEO.

2.3. O Subcontratado compromete-se a tratar os dados pessoais a que tenha acesso no âmbito dos serviços prestados ao Responsável pelo Tratamento de acordo com o estabelecido no presente Acordo, e apenas mediante instruções do Responsável pelo Tratamento de Dados Pessoais, as quais deverão ser devidamente documentadas, e sem prejuízo dos termos da sua política de privacidade.

2.4. As referidas instruções serão transmitidas pelo Responsável pelo Tratamento ao Subcontratado através do correio eletrónico, e devidamente documentadas por pelo menos um meio.

2.5. O presente Acordo produzirá efeitos desde a data da respetiva aceitação pelo Cliente e manter-se-á em vigor enquanto vigorar o contrato mencionado no ponto 2.2 supra, sem prejuízo das obrigações cuja vigência deva perdurar para além da cessação deste Acordo, conforme no mesmo previsto.

3.1. O Subcontratado realizará, por conta do Responsável pelo Tratamento, as atividades de tratamento de dados pessoais necessárias à prestação de serviços com as seguintes finalidades:

• Gestão da Plataforma NEO, incluindo o acesso, a autenticação e a administração de perfis de utilizadores (profissionais de saúde, secretárias, administradores de clínica e demais utilizadores autorizados).
• Suporte à gestão da agenda e agendamento de consultas presenciais, teleconsultas programadas e não programadas (on-demand), incluindo a exposição de agendas no DoutorJá.pt quando ativado pelo Cliente.
• Gestão e arquivo de registos clínicos, episódios de consulta, prescrições, meios complementares de diagnóstico, relatórios e demais documentação clínica associada à atividade do Cliente.
• Processamento de funcionalidades de Inteligência Artificial (IA), nomeadamente registo automático de consultas por voz, codificação clínica, suporte à decisão médica e demais funcionalidades de IA disponíveis na Plataforma.
• Gestão da faturação eletrónica, processamento de pagamentos, integração com seguradoras e ADSE, e gestão de cobranças relativas aos serviços prestados pelo Cliente aos seus pacientes. • Integração com sistemas externos (RIS, LIS, ERP, sistemas hospitalares) e com entidades reguladoras (SPMS, SNS24), conforme os módulos ativados pelo Cliente.
• Fornecimento de suporte técnico e melhoria contínua das funcionalidades da Plataforma NEO, incluindo análise de usabilidade e estatísticas de utilização não pessoais.
• Cumprimento de obrigações legais ou regulamentares a que a MedicineOne esteja sujeita enquanto fornecedor tecnológico qualificado como dispositivo médico nos termos do Regulamento (UE) 2017/745 (MDR).

3.2. Os tratamentos referidos no ponto 3.1. supra têm como objeto garantir o correto funcionamento da Plataforma NEO fornecida pelo Subcontratado ao Responsável pelo Tratamento pelo período de subscrição/utilização do serviço.

3.3. Os tratamentos referidos no ponto 3.1. supra envolvem os seguintes dados e titulares:

3.3.1 Tipo de dados pessoais:

• Dados de identificação (nome, data de nascimento, NIF, número de utente/SNS, cartão de cidadão)
• Dados de contacto (morada, email, telefone)
• Dados profissionais (cédula profissional, especialidade, inscrição ERS/OM/OE, CV clínico)
• Dados de saúde (registos clínicos, diagnósticos, prescrições, exames, histórico clínico)
• Dados de agendamento (datas, horários, tipo e modalidade de consulta)
• Dados de faturação e pagamento
• Dados de comunicação e de utilização da plataforma
• Dados biométricos de voz quando utilizadas funcionalidades de registo por voz com IA

3.3.2 Categorias dos titulares dos dados:

• Pacientes/Utentes do Cliente (pessoas singulares que recebem cuidados de saúde)
• Profissionais de saúde utilizadores da Plataforma NEO
• Colaboradores e utilizadores administrativos associados ao Cliente

3.4. O Subcontratado não realizará qualquer outra atividade de tratamento de dados pessoais e para qualquer outra finalidade para além das estabelecidas nos pontos supra, exceto quando previamente autorizados, por escrito, pelo Responsável pelo Tratamento.

4.1. A infraestrutura Cloud que aloja as bases de dados do serviço NEO está alojada na infraestrutura Cloud do fornecedor Claranet Portugal S.A., que atua na qualidade de SUB-SUBCONTRATADO da MedicineOne, Life Sciences Computing S.A.

4.2. Em conformidade com o n.º 4 do artigo 28.º do RGPD, são impostas a esse SUB-SUBCONTRATADO, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato entre o RESPONSÁVEL PELO TRATAMENTO e o SUBCONTRATADO, referidas no n.º 3 do artigo 28.º do RGPD, em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se esse SUB-SUBCONTRATADO não cumprir as suas obrigações em matéria de proteção de dados, o SUBCONTRATADO inicial continua a ser plenamente responsável, perante o RESPONSÁVEL PELO TRATAMENTO, pelo cumprimento das obrigações desse outro subcontratante.

4.3. O Subcontratado não contratará qualquer outra pessoa singular ou coletiva para a execução dos tratamentos de dados pessoais acordados com o Responsável pelo Tratamento no âmbito do serviço NEO sem que este lhe tenha dado autorização prévia e por escrito para esse efeito.

4.4. Caso o Subcontratado, após autorização prévia e expressa do Responsável pelo Tratamento, contratar outro sub-subcontratado para a realização de operações específicas de tratamento de dados por conta do responsável pelo tratamento, são impostas a esse outro sub-subcontratado, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato entre o responsável pelo tratamento e o subcontratado. Se esse outro sub-subcontratado não cumprir as suas obrigações em matéria de proteção de dados, o subcontratado inicial continua a ser plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações desse outro sub-subcontratado.

5.1. O Subcontratado, ou qualquer entidade contratada por este nos termos do disposto na Cláusula Quatro, não poderá proceder à transferência dos dados pessoais para países terceiros ou organizações internacionais, sem que lhe tenha sido autorizado pelo Responsável pelo Tratamento.

5.2. O disposto no ponto supra não é aplicável nos casos em que o Subcontratado esteja obrigado a proceder à transferência de dados pelo direito da União Europeia ou do Estado-Membro a que está sujeito, devendo o Subcontratado, nesse caso, informar o Responsável pelo Tratamento desta obrigatoriedade em momento prévio ao início da transferência dos dados.

5.3. No caso de ser autorizada pelo Responsável pelo Tratamento a transferência de dados pessoais para países terceiros ou organizações internacionais, impenderá sobre o Subcontratado-transferente o cumprimento das obrigações previstas no RGPD nesta matéria, designadamente:

• Garantir que existe uma decisão de adequação, nos termos da qual o país ou organização internacional em causa assegura um nível de proteção adequado; ou
• Garantir a existência de garantias adequadas para o tratamento de transferência de dados e assegurar que os titulares dos dados gozam de direitos oponíveis e medidas jurídicas corretivas eficazes, através de qualquer um dos instrumentos previstos no RGPD.

6.1. O SUBCONTRATADO designou um Encarregado de Proteção de Dados (DPO) garantindo o cumprimento dos requisitos previstos nos artigos 37.º, 38.º e 39.º do RGPD. 6.2. Para questões relacionadas com o tratamento de dados pessoais deve ser contactado o EPD do Subcontratado através de:

Correio Eletrónico: juridico@medicineone.net

Morada: Rua Eng. Jorge Anjinhos, Lote 8, n.º 115, 3030-482 Coimbra, Portugal

7.1. O Subcontratado obriga-se a prestar assistência ao Responsável pelo Tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e a informação ao dispor do Subcontratado.

7.2. O Subcontratado obriga-se a disponibilizar ao Responsável pelo Tratamento todas as informações e documentos que sejam necessários para comprovar o cumprimento das disposições previstas no RGPD, no prazo máximo que lhe for indicado pelo Responsável pelo Tratamento, que não pode ser inferior a 30 dias, salvo quando seja necessário outro prazo para garantir o cumprimento de eventual notificação à Autoridade de Controlo.

7.3. O Subcontratado obriga-se, ainda, a colaborar com o Responsável pelo Tratamento na elaboração de avaliações de impacto (DPIA), ou outros documentos obrigatórios previstos na regulamentação aplicável.

8.1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e natureza, o âmbito, o contexto e as finalidades do tratamento definidas na Cláusula Três, bem como os riscos de probabilidade e gravidade variável para os direitos e liberdades das pessoas singulares, o Subcontratado aplica as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado, incluindo, consoante o que for adequado:

• A pseudonimização e a cifragem dos dados pessoais, quando tecnicamente viável, utilizando algoritmos criptográficos robustos para proteção de dados em repouso e em trânsito;
• A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
• A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico, com objetivos de recuperação (RTO/RPO) definidos;
• Garantir o cumprimento de requisitos de gestão de acessos lógicos baseados em funções (RBAC) com princípio do menor privilégio e autenticação multi-fator para sistemas críticos;
• Programa anual de formação e sensibilização em segurança e proteção de dados para todos os colaboradores;
• Sistema de logging e monitorização abrangente com retenção adequada para investigação e conformidade.

8.2. A proteção dos dados pessoais deve ser garantida pelo Subcontratado a partir do momento em que inicie qualquer tratamento por conta do Responsável pelo Tratamento.

8.3. O Subcontratado adota os princípios de Privacy by Design e Security by Design em todos os seus processos, sistemas e produtos, em conformidade com o Artigo 25.º do RGPD.

9.1. O Subcontratado está obrigado a manter a confidencialidade dos dados pessoais cujo tratamento lhe for encarregue ao abrigo do presente Acordo.

9.2. O Subcontratado obriga-se a garantir que os recursos humanos que afetar à prestação dos serviços contratados pelo Responsável pelo Tratamento assumiram um compromisso de confidencialidade relativamente aos dados pessoais, sempre que não estejam já sujeitos, de forma tida por suficiente, a obrigações legais de confidencialidade.

9.3. A obrigação de confidencialidade que impende diretamente sobre o Subcontratado e indiretamente sobre os recursos humanos por ele afetos ao tratamento de dados realizado por conta do Responsável pelo Tratamento manter-se-á em vigor mesmo após a cessação do presente Acordo, seja qual for a causa da cessação deste Acordo, e por todo o tempo que seja necessário ao cumprimento da lei.

9.4. O Subcontratado será responsável por qualquer violação da obrigação de confidencialidade estabelecida nos pontos 9.1 a 9.3.

10.1. Em caso de destruição, perda, alteração, divulgação ou acesso não autorizado, ou de qualquer outra violação de dados pessoais, o Subcontratado obriga-se a notificar o Responsável pelo Tratamento sem demora injustificada.

10.2. Sendo essa violação suscetível de implicar risco para os direitos e liberdades das pessoas singulares, o Subcontratado terá que notificar o Responsável pelo Tratamento no prazo máximo de 24 horas.

10.3. A notificação referida no ponto supra deve conter, sempre que possível, uma descrição da natureza da violação de dados pessoais, nomeadamente as categorias e número aproximado de titulares de dados pessoais afetados e as consequências prováveis dessa violação.

10.4. O Subcontratado obriga-se a colaborar com o Responsável pelo Tratamento na investigação de violações de dados pessoais, na identificação, prevenção e mitigação dos efeitos dessas violações, bem como quaisquer outras informações relevantes incluindo para efeitos de comunicações com a Autoridade de Controlo (CNPD).

11.1. O Subcontratado obriga-se a prestar assistência ao Responsável pelo Tratamento, adotando as medidas técnicas e organizativas necessárias para que este cumpra a sua obrigação de dar resposta aos pedidos realizados pelos titulares dos dados pessoais, para efeitos do exercício dos seus direitos, nomeadamente do direito de acesso, retificação, apagamento, limitação do tratamento, portabilidade dos dados e oposição ao tratamento.

11.2. A prestação de assistência nos termos do ponto 11.1. supra será precedida da apresentação da respetiva proposta comercial pelo Subcontratado e respetiva adjudicação pelo Responsável pelo Tratamento, quando aplicável.

12.1. O Subcontratado obriga-se a devolver ou eliminar os dados pessoais e dados de negócio tratados durante a vigência do presente Acordo sempre que o Responsável pelo Tratamento assim o solicitar ou quando se verifique a cessação deste Acordo, apresentando prova do mesmo.

12.2. Caso o Responsável pelo Tratamento assim o expresse formalmente, em alternativa, o Subcontratado obriga-se a eliminar parcial ou totalmente esses dados de forma segura, utilizando métodos certificados que garantam a impossibilidade de recuperação.

12.3. O disposto nos pontos 12.1 e 12.2 supra não se aplica quando o Subcontratado for obrigado a conservar os dados ao abrigo do direito da União Europeia ou do direito do Estado-Membro no qual está localizado.

13.1. O Subcontratado manterá um registo escrito, em formato eletrónico, de todas as atividades de tratamento realizadas em nome do Responsável pelo Tratamento.

13.2. Esse registo deverá cumprir com os requisitos do n.º 2 do artigo 30.º do RGPD e ficará disponível para consulta pelo Responsável pelo Tratamento ou pela Autoridade de Controlo mediante pedido fundamentado.

A adesão à Plataforma NEO e a utilização dos seus serviços implicam a aceitação plena e incondicional deste Acordo de Subcontratação para o Tratamento de Dados Pessoais. Este documento encontra-se disponível para consulta permanente.

A MedicineOne, Life Sciences Computing S.A. assume as obrigações de Subcontratado aqui descritas a partir do momento em que o Cliente aceita este acordo eletronicamente e inicia a utilização da Plataforma NEO.

© 2026 MedicineOne - Life Sciences Computing, S.A. Todos os direitos reservados.