PappAI
Teste grátis

Acordo de Processamento de Dados — Modelo

Visão geral da estrutura do DPA do PappAI, principais medidas técnicas e lista de subprocessadores.

Versão 1.0 · Modelo (requer revisão jurídica antes de utilização contratual) · 21 de fevereiro de 2026

Este é um modelo técnico-operacional. Requer revisão jurídica e personalização antes de ser utilizado em qualquer contexto contratual.

Estrutura do DPA

  1. Partes (Responsável pelo tratamento e Subcontratante).
  2. Objeto e finalidades do tratamento.
  3. Duração, categorias de dados e titulares dos dados.
  4. Instruções documentadas do Responsável pelo tratamento.
  5. Obrigações do Subcontratante.
  6. Subprocessadores e transferências extra-EEE/RU.
  7. Medidas de segurança e procedimentos em caso de violação de dados.
  8. Direitos dos titulares dos dados, direitos de auditoria e cessação.

Principais medidas técnicas

  1. Controlo de acesso por função e princípio do mínimo privilégio.
  2. Encriptação em trânsito (TLS) e em repouso sempre que aplicável.
  3. Segregação de ambientes: desenvolvimento / staging / produção.
  4. Registos de auditoria operacionais e de IA.
  5. Cópia de segurança, recuperação e monitorização contínua.
  6. Gestão de segredos através de gestor de segredos dedicado.

Subprocessadores atuais

O PappAI recorre aos seguintes subprocessadores para prestar o Serviço. Cada entrada indica a finalidade principal, o país de tratamento e a base jurídica para eventuais transferências de dados para fora da UE/EEE. A lista é mantida atualizada e qualquer alteração substancial será comunicada antecipadamente aos Responsáveis pelo tratamento.

FornecedorFinalidadePaís de tratamentoCategorias de dadosTransferência / garantias
Google Cloud Platform (Google LLC)Cloud hosting (Cloud Run, Cloud SQL), armazenamento de objetos (GCS), logging e monitorização.EU regions (europe-west1) — corporate USATodos os dados do Serviço: clínicos, conta, faturação, registos operacionais.EU SCC + DPA
Google Vertex AI (Google LLC)Inferência de IA generativa de apoio à elaboração de planos alimentares e à análise clínica.EU multi-region — corporate USAInput pseudonimizado passado ao modelo; sem PII; sem adesão ao treino.EU SCC + DPA · no training opt-in
Firebase (Google LLC)Autenticação (tokens de identidade) e envio de notificações push (FCM/APNs).USA — multi-regionIdentidade do utilizador (email, telefone), tokens push do dispositivo.EU SCC + DPA
Stripe Payments Europe LtdFaturação de subscrições, emissão de faturas, processamento de pagamentos.Ireland (EU)Dados de conta e faturação, histórico de transações. Sem dados clínicos.Intra-EU
Brevo (Sendinblue SAS)Envio de email transacional (conta, notificações de faturação, templates do profissional).France (EU)Email do destinatário, conteúdo da mensagem, estado de entrega.Intra-EU
Twilio Ireland LtdEnvio de SMS / WhatsApp (canal legacy).Ireland (EU) — corporate USANúmero de telefone do destinatário, conteúdo da mensagem, metadados de entrega.EU SCC + DPA
Meta Platforms Ireland LtdWhatsApp Business Cloud API para comunicações com pacientes por template.Ireland (EU) — corporate USANúmero de telefone do destinatário, variáveis de template, metadados de entrega.EU SCC + DPA
Google Analytics 4 (Google LLC)Estatísticas de utilização agregadas no site público e na aplicação autenticada.USA — corporateIdentificadores pseudónimos, visualizações de página, eventos de interação. Sem dados clínicos.EU SCC + DPA · consent-gated
Microsoft Clarity (Microsoft Corporation)Estatísticas de UX anonimizadas (heatmaps, session replays).USA — corporateIdentificadores pseudónimos, eventos de interação. Sem dados clínicos; campos sensíveis mascarados.EU SCC + DPA · consent-gated

Todos os subprocessadores listados tratam os dados ao abrigo de acordos escritos que contêm garantias conformes com o GDPR (DPAs, Cláusulas Contratuais-Tipo da UE quando aplicável). Os dados clínicos dos pacientes nunca são utilizados para treinar, afinar ou avaliar modelos de IA por qualquer subprocessador.

Anexos previstos

  1. Anexo A: detalhe do tratamento (Art. 28(3) GDPR).
  2. Anexo B: lista atual de subprocessadores.
  3. Anexo C: medidas técnicas e organizativas (TOMs).

Valorizamos a sua privacidade

Utilizamos cookies para melhorar a sua experiência, analisar o tráfego do site e ativar funcionalidades personalizadas. Pode aceitar todos os cookies, recusar os não essenciais ou gerir as suas preferências. Política de cookies