Contrato de
Subcontratação
para Tratamento de
Dados Pessoais
(Data Processing Agreement — DPA)
Sanaris
Última atualização: 06 de maio de 2026 Versão: 1.0
O
presente Contrato de Subcontratação para Tratamento de Dados Pessoais
("DPA") é celebrado entre:
De um lado, como Subcontratante ("Processor"
/ "Sanaris"):
• Denominação social: Madeira
– Imagem & Comunicação Lda
• NIPC
/ NIF: 510 157 335
• Sede: Rua
Prior do Crato, 34, Rc
• Email de contacto: privacidade@issencial.com
• Encarregado de Proteção de Dados (DPO): Filipe
Duarte Madeira
Do outro lado, como Responsável pelo Tratamento ("Controller"
/ "Cliente"):
A
pessoa singular ou coletiva titular da Conta no serviço Sanaris,
identificada nos dados de registo da Conta e que aceita o presente DPA no
momento do registo ou subsequentemente, em conjunto com os Termos e Condições
de Utilização e a Política de Privacidade da Sanaris.
Considerando que:
• O Cliente contratou com a Sanaris a prestação do serviço Sanaris
("Serviço"), regulado pelos Termos e Condições publicados em
sanaris.pt;
• No âmbito da prestação do Serviço, a Sanaris trata dados pessoais relativos a Pacientes do
Cliente, em nome e por conta do Cliente;
• O Cliente é Responsável pelo Tratamento
desses dados nos termos do art. 4.º, n.º 7 do RGPD, e
a Sanaris é Subcontratante nos termos do art. 4.º, n.º 8 do RGPD;
• O art. 28.º, n.º
3 do RGPD exige a celebração de contrato escrito entre Responsável e
Subcontratante, regulando o tratamento.
Acordam
celebrar o presente DPA, que se rege pelas cláusulas seguintes.
Para
efeitos do presente DPA, aplicam-se as definições do art.
4.º do RGPD e, ainda, as seguintes:
|
Termo |
Significado |
|
RGPD |
Regulamento (UE) 2016/679 do
Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção
das pessoas singulares no que diz respeito ao tratamento de dados pessoais. |
|
Lei Nacional |
Lei n.º 58/2019, de 8 de
agosto, e demais legislação portuguesa em matéria de proteção de dados. |
|
Dados Pessoais do Cliente |
Dados pessoais tratados pela Sanaris em nome do Cliente no âmbito do Serviço, conforme
descritos no Anexo I. |
|
Pacientes |
Pessoas singulares cujos dados
são tratados pelo Cliente, no exercício da sua atividade profissional,
através do Serviço. |
|
Subcontratante Ulterior |
Terceiro contratado pela Sanaris para tratar Dados Pessoais do Cliente em apoio à
prestação do Serviço. |
|
Violação de Dados |
Violação de segurança que
provoque, de forma acidental ou ilícita, a destruição, perda, alteração,
divulgação ou acesso não autorizados a Dados Pessoais do Cliente, nos termos
do art. 4.º, n.º 12 do RGPD. |
|
Autoridade de Controlo |
Comissão Nacional de Proteção
de Dados (CNPD) ou outra autoridade competente. |
O
presente DPA regula o tratamento de Dados Pessoais do Cliente pela Sanaris no âmbito da prestação do Serviço, definindo:
• O objeto, duração, natureza, finalidades e
tipo de dados (Anexo I);
• As medidas técnicas e organizativas
adotadas (Anexo II);
• Os Subcontratantes Ulteriores autorizados
(Anexo III).
O
DPA vigora enquanto a Sanaris tratar Dados Pessoais
do Cliente em execução do Serviço, e inclui o período de devolução ou
eliminação previsto na cláusula 14.
As
características do tratamento — incluindo objeto, duração, natureza,
finalidade, tipos de dados pessoais e categorias de titulares — encontram-se
descritas no Anexo I, que é parte integrante do presente DPA.
O
Cliente, na qualidade de Responsável pelo Tratamento:
• Determina as finalidades e os meios do
tratamento dos Dados Pessoais do Cliente;
• Garante que dispõe de base legal válida para o tratamento e para a sua transmissão à Sanaris, designadamente nos termos dos arts. 6.º, 9.º e 10.º do RGPD;
• Cumpre os deveres de informação aos
titulares dos dados (Pacientes), incluindo a indicação de que os dados são
tratados pela Sanaris enquanto Subcontratante;
• É o ponto de contacto principal dos
titulares para o exercício dos seus direitos;
• Emite à Sanaris
instruções lícitas, documentadas e enquadradas no Serviço;
• Adota medidas adequadas para proteger as
credenciais de acesso à Conta e os dispositivos a partir dos quais o Serviço é
acedido;
• Cumpre as demais obrigações que lhe
incumbem enquanto Responsável pelo Tratamento, designadamente em matéria de
avaliação de impacto sobre a proteção de dados, conservação e segurança a nível
organizacional.
A Sanaris obriga-se a tratar os Dados Pessoais do Cliente em
conformidade com o RGPD, a Lei Nacional e o presente DPA, incluindo, em
especial, as obrigações previstas no art. 28.º, n.º 3
do RGPD, conforme detalhado nas cláusulas seguintes.
A Sanaris trata os Dados Pessoais do Cliente apenas mediante
instruções documentadas do Cliente, incluindo no que respeita a transferências
para países terceiros, salvo se obrigada a tratá-los por força do direito da
União ou de Estado-Membro a que esteja sujeita, caso em que informa o Cliente
desse requisito antes do tratamento, exceto se o direito em causa o proibir por
motivos de interesse público importante.
Constituem instruções documentadas, designadamente:
• O presente DPA e seus anexos;
• Os Termos e Condições de Utilização;
• As ações praticadas pelo Cliente ou seus
utilizadores autorizados através das interfaces do Serviço (web e app móvel) e
das APIs disponibilizadas;
• Pedidos escritos do Cliente, dirigidos aos
canais de contacto identificados no DPA.
Se
a Sanaris considerar que uma instrução do Cliente
viola o RGPD ou a Lei Nacional, informa imediatamente o Cliente e pode
suspender a execução da instrução até esclarecimento.
A Sanaris garante que as pessoas autorizadas a tratar os
Dados Pessoais do Cliente assumiram um compromisso de confidencialidade,
contratual ou legal. Esta obrigação subsiste após a cessação das funções.
A Sanaris adota as medidas técnicas e organizativas adequadas
a garantir um nível de segurança adequado ao risco, em conformidade com o art. 32.º do RGPD, conforme descrito no Anexo II.
Tendo
em conta a evolução tecnológica, os custos da aplicação, a natureza, o âmbito,
o contexto e as finalidades do tratamento, bem como os riscos para os direitos
e liberdades dos titulares, a Sanaris pode atualizar
as medidas constantes do Anexo II, desde que o nível de segurança não seja
diminuído.
O
Cliente concede à Sanaris autorização geral por
escrito para recorrer aos Subcontratantes Ulteriores listados no Anexo III, nas
condições aí indicadas.
A Sanaris pode contratar novos Subcontratantes Ulteriores ou
substituir os existentes, comprometendo-se a:
• Notificar o Cliente, por email ou através
do Serviço, com pelo menos 30 dias de antecedência relativamente à
introdução ou alteração;
• Atualizar o Anexo III publicado em
sanaris.pt;
• Celebrar com o Subcontratante Ulterior
contrato escrito que imponha obrigações de proteção de dados pelo menos
equivalentes às assumidas pela Sanaris no presente
DPA, designadamente as previstas no art. 28.º, n.º 3
do RGPD;
• Permanecer inteiramente responsável
perante o Cliente pela atuação do Subcontratante Ulterior, sem prejuízo do
disposto na cláusula 15.
O
Cliente pode opor-se à introdução ou substituição de Subcontratante Ulterior,
por motivo razoável e fundado, no prazo de 15 dias a contar da notificação. As
partes envidam esforços de boa-fé para encontrar solução. Se não for alcançada
solução, o Cliente pode resolver a relação contratual sem penalidade, com
efeitos no momento da efetivação da alteração.
Tendo
em conta a natureza do tratamento, a Sanaris auxilia
o Cliente, através de medidas técnicas e organizativas adequadas e na medida do
possível, a cumprir a sua obrigação de responder a pedidos de exercício de
direitos previstos no Capítulo III do RGPD.
Em
particular, o Serviço disponibiliza ao Cliente funcionalidades para:
• Aceder, exportar, retificar e eliminar
dados de Pacientes diretamente nas interfaces do Serviço;
• Limitar o tratamento e bloquear o acesso a
dados específicos.
Pedidos
dirigidos diretamente à Sanaris por titulares são
encaminhados para o Cliente, no prazo razoável, sem outra resposta substantiva,
salvo se obrigada por lei.
A Sanaris notifica o Cliente de qualquer Violação de Dados
que afete os Dados Pessoais do Cliente, sem demora injustificada após dela
tomar conhecimento, e em qualquer caso no prazo máximo de 48 horas.
A
notificação contém, na medida das informações disponíveis:
• Descrição da natureza da Violação,
incluindo, sempre que possível, as categorias e o número aproximado de
titulares afetados e os tipos de registos em causa;
• Nome e contacto do ponto de contacto na Sanaris para obter informações adicionais;
• Descrição das consequências prováveis;
• Descrição das medidas adotadas ou
propostas para fazer face à Violação e, se for caso disso, mitigar os seus
efeitos.
A Sanaris coopera com o Cliente para que este possa cumprir,
se aplicável, as suas obrigações de notificação à Autoridade de Controlo (art. 33.º RGPD) e aos titulares (art.
34.º RGPD). A obrigação de notificação à Autoridade e aos titulares cabe ao
Cliente, salvo se as partes acordarem em contrário e por escrito.
A Sanaris presta ao Cliente, mediante pedido razoável, a
assistência necessária para a realização de avaliações de impacto sobre a
proteção de dados (APIPDs), nos termos do art. 35.º do RGPD, e para a eventual consulta prévia à
Autoridade de Controlo, nos termos do art. 36.º do
RGPD.
A Sanaris não transfere Dados Pessoais do Cliente para fora
do Espaço Económico Europeu (EEE), salvo:
• Para país que beneficie de decisão de
adequação da Comissão Europeia; ou
• Mediante adoção de Cláusulas Contratuais
Tipo aprovadas pela Comissão Europeia, complementadas, quando necessário, por
medidas técnicas e contratuais adicionais que assegurem nível de proteção
essencialmente equivalente ao do EEE.
Os
Subcontratantes Ulteriores estabelecidos fora do EEE, e os respetivos
mecanismos de transferência aplicáveis, encontram-se identificados no Anexo
III.
A Sanaris disponibiliza ao Cliente todas as informações
razoavelmente necessárias para demonstrar o cumprimento das obrigações
decorrentes do presente DPA e do art. 28.º do RGPD.
O
direito de auditoria do Cliente é exercido nas seguintes condições:
• Em primeira linha, através da consulta de relatórios,
certificações, descrição das medidas técnicas e organizativas (Anexo II) e
demais documentação que a Sanaris disponibilize, a
pedido razoável do Cliente;
• Auditoria no local apenas se a documentação anterior não for
suficiente, com pelo menos 30 dias de aviso prévio, em horário
comercial, sem perturbar a continuidade do Serviço, e por uma vez por cada
período de 12 meses, salvo em caso de violação suspeita ou exigência da
Autoridade de Controlo;
• Auditor: o Cliente ou um terceiro independente aceite pela Sanaris (aceitação não pode ser injustificadamente
recusada). O auditor não pode ser concorrente direto da Sanaris
e celebra acordo de confidencialidade prévio;
• Custos: são suportados pelo Cliente, salvo se a auditoria
revelar incumprimento material da Sanaris, caso em
que a Sanaris suporta os custos razoáveis;
• Resultados: os resultados são confidenciais e podem ser
utilizados pelo Cliente apenas para demonstrar o cumprimento das suas próprias
obrigações enquanto Responsável pelo Tratamento.
Cessada
a prestação do Serviço, por qualquer causa, a Sanaris,
à escolha do Cliente:
• Devolve os Dados Pessoais do Cliente em
formato estruturado e de leitura corrente (CSV/JSON); ou
• Elimina os Dados Pessoais do Cliente.
Para
o efeito, o Serviço mantém os dados para poderem ser entregues ao Cliente
durante 30 dias após a cessação, durante o qual o Cliente pode exportar os
dados. Findo este prazo, e na ausência de instrução contrária, a Sanaris elimina os Dados Pessoais do Cliente, salvo na
medida em que o direito da União ou da Lei Nacional exija a sua conservação.
Os
dados podem persistir em backups encriptados durante o ciclo de retenção de
backups, conforme indicado no Anexo II, sendo então automaticamente eliminados
ou tornados inacessíveis. Durante este período, os dados não são objeto de
qualquer outro tratamento.
A Sanaris fornece ao Cliente, mediante pedido razoável,
declaração escrita confirmando a devolução ou eliminação.
Cada
parte responde pelos danos causados pelo seu incumprimento das obrigações
decorrentes do RGPD, da Lei Nacional e do presente DPA, nos termos e limites
previstos no art. 82.º do RGPD.
Sem
prejuízo do disposto no parágrafo anterior, a responsabilidade total e
cumulativa da Sanaris perante o Cliente, decorrente
ou relacionada com o presente DPA, está sujeita aos limites de responsabilidade
previstos nos Termos e Condições de Utilização.
As
limitações da presente cláusula não se aplicam a danos resultantes de dolo ou
culpa grave, nem nos casos em que a lei imperativa as proíba.
O
presente DPA produz efeitos a partir da sua aceitação e mantém-se em vigor
enquanto perdurar a relação contratual entre as partes ao abrigo dos Termos e
Condições.
As
obrigações que pela sua natureza se devam manter após a cessação —
designadamente as previstas nas cláusulas 5.2 (Confidencialidade), 7
(Auditorias, no que respeita ao período auditável), 8
(Devolução ou eliminação) e 9 (Responsabilidade) — subsistem pelo período
legalmente aplicável.
A
cessação dos Termos e Condições implica a cessação automática do presente DPA,
sem prejuízo das obrigações pós-contratuais.
Em
caso de conflito entre o presente DPA e os Termos e Condições, prevalece o DPA
quanto ao tratamento de Dados Pessoais do Cliente.
A Sanaris pode atualizar o presente DPA, designadamente para
refletir alterações legislativas, decisões da Autoridade de Controlo ou
alterações operacionais. As alterações materiais são comunicadas com pelo menos
30 dias de antecedência. Se o Cliente não concordar com a alteração, pode
resolver o contrato sem penalidade, com efeitos na data de entrada em vigor da
alteração.
O
presente DPA rege-se pela lei portuguesa. Para a resolução de litígios é
competente o foro indicado nos Termos e Condições.
Quanto
à matéria de tratamento de dados pessoais em nome do Cliente, o presente DPA,
incluindo os seus anexos, constitui o acordo integral entre as partes,
prevalecendo sobre quaisquer entendimentos anteriores.
Tratamento
de dados pessoais relativos a Pacientes do Cliente, no âmbito da prestação do
serviço Sanaris, plataforma SaaS de gestão de prática
clínica.
Pelo
período em que o Cliente mantenha Conta ativa no Serviço, acrescido do período
de devolução ou eliminação previsto na cláusula 8.
O
tratamento consiste no alojamento, organização, conservação, consulta,
alteração, transmissão e demais operações sobre dados pessoais necessárias à
prestação das funcionalidades do Serviço, designadamente:
• Gestão de fichas de Pacientes (anamnese,
plano de tratamento, dados pessoais e clínicos);
• Agendamento e registo de sessões;
• Gestão financeira da prática (valores de
sessão, pagamentos, despesas);
• Comunicações operacionais com Pacientes
através de canais selecionados pelo Cliente.
|
Categoria |
Exemplos |
|
Dados de identificação |
Nome, data de nascimento, NIF,
n.º de cartão de cidadão / passaporte, n.º de SS, n.º de SNS |
|
Dados de contacto e morada |
Telefone, email, rua, código
postal, cidade, nacionalidade, contacto de emergência |
|
Dados socioeconómicos |
Estado civil, número de
filhos, situação profissional, situação escolar, baixa médica, processos
judiciais |
|
Dados clínicos (categorias especiais — art. 9.º RGPD) |
Anamnese, plano de tratamento,
registo de sessões (tópico, resumo, humor, TPC, próximos assuntos), histórico
medicamentoso |
|
Dados financeiros relativos ao
Paciente |
Contratos, valores de sessão,
pagamentos, métodos, saldo em aberto |
|
Ficheiros anexados |
Documentos carregados pelo
Cliente associados a um Paciente (podem incluir documentos sensíveis) |
• Pacientes do Cliente, atuais e antigos,
incluindo, quando aplicável, os seus representantes legais (no caso de menores
ou incapazes) e contactos de emergência.
Os
dados são tratados em centros de dados localizados no Espaço Económico Europeu,
conforme indicado no Anexo III. Determinadas operações acessórias (ex.:
notificações push, monitorização de erros) podem
implicar tratamento por Subcontratantes Ulteriores estabelecidos fora do EEE,
mediante mecanismos de transferência adequados.
• Acesso aos sistemas de produção restrito
ao pessoal autorizado, mediante contas individuais e nominativas.
• Política de palavras-passe robusta para
acesso administrativo (comprimento mínimo, complexidade, expiração).
• Compromissos de confidencialidade
celebrados com todos os colaboradores e prestadores com acesso a Dados Pessoais
do Cliente.
• Segregação lógica multi-tenant
através do identificador account_id, com verificações de autorização aplicadas em cada operação ao nível da
camada de aplicação.
• Encriptação em trânsito (TLS 1.2 ou
superior) em todas as comunicações entre cliente e servidor, e entre
componentes da plataforma quando aplicável.
• Hashing de palavras-passe com algoritmo robusto (bcrypt/argon2).
• Tokens de sessão com tempo de vida limitado e
armazenados em local seguro do dispositivo (iOS Keychain
/ Android Keystore na app móvel).
• Validação de entrada e saída para prevenir
injeção, XSS e CSRF.
• Backups regulares da base de dados, com
retenção mínima de 30 dias.
• Testes periódicos de restauro de backup.
• Monitorização de disponibilidade e
desempenho do Serviço.
• Procedimentos documentados de resposta a
incidentes de segurança.
• Revisão periódica das presentes medidas,
no mínimo anualmente e sempre que ocorram alterações materiais na
infraestrutura ou nas funcionalidades do Serviço.
• Aplicação atempada de atualizações de
segurança aos componentes da plataforma.
• Registo e monitorização de eventos
relevantes para a segurança (audit logs) com retenção de pelo menos [PREENCHER: ex. 6] meses.
• O acesso a dados clínicos identificáveis
em produção é restrito ao mínimo necessário e registado em audit
log.
• Em ambientes de desenvolvimento, testes e
demonstração, são utilizados apenas dados sintéticos ou dados de produção
devidamente anonimizados.
• As cópias para suporte ao Cliente, quando
estritamente necessárias, são limitadas no tempo e eliminadas após a resolução
do pedido.
A presente lista é mantida atualizada em sanaris.pt/subprocessadores. Alterações são comunicadas com pelo menos 30 dias de antecedência.
|
Subcontratante Ulterior |
Finalidade |
Localização |
Mecanismo de transferência |
|
Alojamento da aplicação e da base de dados |
UE - Portugal |
||
|
Processamento de pagamentos |
Irlanda + EUA |
Cláusulas Contratuais Tipo (SCC) + medidas adicionais |
|
|
ALMOUROLTEC - Serviços de Informática e Internet, Lda |
Envio de emails transacionais |
UE - Portugal |
N/A (UE) |
|
Apple Inc. |
Distribuição da app iOS e
notificações push (APNs) |
EUA |
Cláusulas Contratuais Tipo (SCC) |
|
Google LLC |
Distribuição da app Android e
notificações push (FCM) |
EUA |
Cláusulas Contratuais Tipo (SCC) |
Os
dados pessoais transmitidos a cada Subcontratante Ulterior limitam-se aos
estritamente necessários à finalidade indicada. Em particular, os fornecedores
de notificações push (Apple/Google) recebem apenas o token do dispositivo e o conteúdo da notificação, não dados
clínicos identificáveis.
Última atualização: 06
de maio de 2026