1. Responsável pelo tratamento
O responsável pelo tratamento de dados do PappAI é a Electric Flock Ltd, uma sociedade constituída em Inglaterra e no País de Gales (Número de Registo 16375990), com sede registada em 27 Old Gloucester Street, Londres, Reino Unido WC1N 3AX.
Questões sobre privacidade: privacy@pappai.it. Suporte geral: support@pappai.it.
2. Âmbito desta política
Esta política aplica-se aos dados pessoais que a Electric Flock Ltd trata na qualidade de responsável pelo tratamento — especificamente, os dados relativos a profissionais de nutrição que se registam ou utilizam a plataforma PappAI.
O PappAI atua igualmente como subcontratante quando profissionais de nutrição (que são, por direito próprio, responsáveis pelo tratamento) utilizam a plataforma para armazenar e gerir os dados de saúde dos seus pacientes. Nessa qualidade, o nosso tratamento é regulado pelo Acordo de Processamento de Dados (DPA) celebrado com o profissional, e não pela presente política. O profissional continua a ser o único responsável pela licitude do tratamento dos dados dos seus pacientes e por fornecer aos pacientes informação adequada sobre privacidade.
3. Dados pessoais que recolhemos sobre profissionais
- Dados de conta: nome, endereço de e-mail, função profissional e credenciais fornecidas no registo.
- Dados de faturação: plano de subscrição e estado do pagamento. Os dados do cartão são processados diretamente pela Stripe e não são armazenados pela Electric Flock Ltd.
- Dados de utilização e operacionais: registos de data e hora de início de sessão, interações com funcionalidades e relatórios de erros necessários para operar e melhorar o serviço.
- Registos de segurança e auditoria: registos de acesso e registos de interações com IA conservados para efeitos de monitorização de segurança e conformidade.
- Comunicações: pedidos de suporte e correspondência enviados para a nossa equipa.
4. Finalidades e bases jurídicas
| Finalidade | Base jurídica (UK GDPR / EU GDPR) |
|---|---|
| Prestação da plataforma SaaS e do serviço de subscrição | Art. 6(1)(b) — execução de um contrato |
| Criação de conta e autenticação | Art. 6(1)(b) — execução de um contrato |
| Faturação e processamento de pagamentos | Art. 6(1)(b) — execução de um contrato; Art. 6(1)(c) — obrigação legal (IVA, contabilidade) |
| Monitorização de segurança, prevenção de abusos e registo de auditoria | Art. 6(1)(f) — interesses legítimos (proteger a plataforma e os seus utilizadores) |
| Melhoria do serviço e resolução de problemas | Art. 6(1)(f) — interesses legítimos (melhorar a fiabilidade e a experiência do utilizador) |
| Cumprimento de obrigações legais e regulamentares | Art. 6(1)(c) — obrigação legal |
Não utilizamos os seus dados para publicidade, perfilagem para fins de marketing ou tomada de decisões automatizada que produza efeitos jurídicos ou igualmente significativos.
5. Destinatários e subcontratantes
Partilhamos dados pessoais apenas quando necessário para prestar o serviço. Os nossos principais subcontratantes são:
- Google LLC / Google Ireland Ltd (Firebase Authentication, Firebase Cloud Messaging, Google Cloud Platform, Cloud Run, Cloud Storage, Vertex AI, Google Workspace para videoconsultas Meet; Google Analytics 4 para a análise do website público, mediante consentimento) — autenticação, infraestrutura, IA, notificações push, videoconferência.
- Stripe, Inc. — processamento de pagamentos do profissional (SaaS) e pagamentos paciente-profissional via Stripe Connect. A Stripe atua como responsável independente pelo tratamento de determinados dados de pagamento ao abrigo da legislação aplicável.
Não vendemos dados pessoais a terceiros. Não partilhamos dados com redes publicitárias. Uma lista atualizada de subcontratantes (incluindo as versões atuais dos DPA) está disponível a pedido em privacy@pappai.it.
6. Transferências internacionais
Alguns dos nossos subcontratantes (incluindo a Google e a Stripe) podem tratar dados fora do Reino Unido e do Espaço Económico Europeu. Quando tais transferências ocorrem, baseamo-nos em garantias adequadas:
- Para transferências a partir do Reino Unido: o Acordo Internacional de Transferência de Dados do Reino Unido (IDTA) ou o Adendo do Reino Unido às Cláusulas Contratuais Tipo da UE.
- Para transferências a partir do EEE: as Cláusulas Contratuais Tipo (CCT) da Comissão Europeia.
- Quando aplicável, decisões de adequação adotadas pelo Secretário de Estado do Reino Unido ou pela Comissão Europeia.
7. Conservação
- Dados de conta do profissional: conservados durante o período da sua subscrição e por um período máximo de 3 anos após o encerramento da conta, para resolução de litígios e cumprimento de obrigações legais.
- Dados de saúde dos pacientes (art. 9.º RGPD): tratados pelo PappAI na qualidade de subcontratante por conta do profissional (Responsável pelo tratamento). O período de conservação é determinado pelo profissional de acordo com as suas próprias obrigações profissionais e deontológicas e com as obrigações fiscais aplicáveis; o PappAI não funciona como arquivo de registos clínicos nem impõe autonomamente prazos de conservação clínico-sanitária. As modalidades são reguladas pelo Acordo de Processamento de Dados (DPA).
- Registos de faturação e financeiros: conservados durante 10 anos em Itália (art. 2220.º do Código Civil italiano) e 7 anos no Reino Unido, consoante a jurisdição aplicável ao responsável/profissional.
- Dados transmitidos ao Sistema Tessera Sanitaria italiano: conservados durante 10 anos para fins fiscais (art. 2220.º do Código Civil italiano).
8. Os seus direitos
Ao abrigo do UK GDPR e do EU GDPR, tem os seguintes direitos relativamente aos seus dados pessoais:
- Direito de acesso — obter uma cópia dos dados pessoais que conservamos sobre si.
- Direito de retificação — corrigir dados inexatos.
- Direito ao apagamento — solicitar a eliminação dos seus dados, sujeito a obrigações legais de conservação.
- Direito à limitação do tratamento — limitar a forma como tratamos os seus dados em determinadas circunstâncias.
- Direito à portabilidade dos dados — receber os seus dados num formato estruturado e legível por máquina.
- Direito de oposição — opor-se ao tratamento baseado em interesses legítimos.
- Direito a não ser sujeito a decisões automatizadas — não tomamos decisões exclusivamente automatizadas com efeitos jurídicos ou igualmente significativos.
Para exercer qualquer um destes direitos, contacte-nos através de privacy@pappai.it. Responderemos no prazo de um mês. Não cobramos qualquer taxa por pedidos normais.
9. Direito de reclamação junto de uma autoridade de controlo
Se residir no Reino Unido, tem o direito de apresentar uma reclamação junto do Information Commissioner's Office (ICO): ico.org.uk.
Se residir na União Europeia, pode apresentar uma reclamação junto da autoridade de controlo do seu país de residência ou de estabelecimento (por exemplo, Garante Privacy em Itália, AEPD em Espanha, CNIL em França, BfDI na Alemanha, CNPD em Portugal).
Encorajamo-lo a contactar-nos em primeiro lugar para que possamos resolver a sua preocupação diretamente.
10. Dados de saúde e fitness na aplicação móvel (Apple Health / HealthKit)
A aplicação móvel PappAI é fornecida diretamente a si, utilizador final, e relativamente aos dados descritos nesta secção a Electric Flock Ltd atua na qualidade de responsável pelo tratamento. Pode criar a sua conta com e-mail, Google ou Sign in with Apple. Com o seu consentimento explícito, a aplicação pode ligar-se ao Apple Health (HealthKit) no iOS — e a plataformas equivalentes noutros sistemas — para importar os seus dados de fitness e medições corporais, de modo a acompanhar o seu progresso. Esta ligação é totalmente opcional: a aplicação é plenamente utilizável sem ela, e pode conceder ou retirar o acesso a qualquer momento nas definições de sistema do seu dispositivo.
Quando ativa a integração, a aplicação lê os seguintes dados do Apple Health:
- Peso corporal
- Contagem de passos e energia ativa despendida (calorias)
- Frequência cardíaca
- Altura, percentagem de massa gorda e análise do sono — apenas se conceder a autorização adicional opcional
Quando regista informações no PappAI, e apenas se o permitir, a aplicação escreve os seguintes dados no Apple Health para manter os seus registos sincronizados:
- Peso corporal que regista na aplicação
- Ingestão de água (hidratação) que regista na aplicação
Os dados de saúde e fitness que opta por partilhar são transmitidos aos nossos servidores (Google Cloud Platform) com o único objetivo de fornecer as funcionalidades de acompanhamento do progresso na aplicação e, quando está associado a um profissional de nutrição, de os disponibilizar a esse profissional dentro da plataforma. Tratamos estes dados com base no seu consentimento explícito (Art. 9(2)(a) UK/EU GDPR) e para a execução do nosso contrato consigo (Art. 6(1)(b)). Nunca utilizamos os dados do Apple Health (HealthKit) — nem quaisquer outros dados de saúde e fitness — para fins publicitários ou de marketing, nunca os vendemos e nunca os partilhamos com terceiros para fins próprios. Os dados do HealthKit são utilizados exclusivamente para disponibilizar funcionalidades de saúde e fitness no PappAI, em conformidade com os requisitos do HealthKit da Apple.
Se utilizar a funcionalidade opcional de reconhecimento de refeições por IA, a fotografia da refeição que captura é processada pelo nosso subcontratante de IA (Google Vertex AI) com o único objetivo de estimar os alimentos e os respetivos valores nutricionais apresentados na imagem. As fotografias de refeições não são utilizadas para publicidade nem para treinar modelos publicitários de terceiros; este tratamento é regido pela Secção 5 (subcontratantes) e pela Secção 6 (transferências internacionais).
Pode desligar o Apple Health a qualquer momento nas Definições do iOS e pode solicitar a eliminação dos dados de saúde sincronizados através da eliminação da conta na aplicação ou contactando privacy@pappai.it (consulte a Secção 7 sobre conservação).
11. Alterações à presente política
Podemos atualizar esta política periodicamente. Quando fizermos alterações substanciais, notificaremos os utilizadores registados por e-mail ou através de um aviso na aplicação com pelo menos 14 dias de antecedência relativamente à data de entrada em vigor das alterações. A versão atual e a sua data de vigência são indicadas no topo desta página.
