Data da última atualização: 02/12/2025

INTRODUÇÃO E VISÃO GERAL DO TRATAMENTO DE DADOS

A True Care é uma plataforma digital que organiza e disponibiliza informação sobre clínicas e prestadores de cuidados de saúde em Portugal. Essa informação pode ter origem em fontes públicas, pode ser fornecida diretamente pelas clínicas que escolhem colaborar connosco e pode também resultar da utilização normal da plataforma por parte dos seus utilizadores.

O objetivo desta Política é explicar de forma clara e acessível o que fazemos com esses dados, por que motivo os tratamos, quais são os direitos dos titulares dos dados e como podem exercê-los. A nossa atuação assenta em três compromissos centrais: primeiro, tratar apenas os dados estritamente necessários ao funcionamento da plataforma; segundo, utilizar esses dados de forma transparente e proporcional; terceiro, garantir que clínicas, profissionais e utilizadores mantêm sempre o controlo sobre a informação que lhes diz respeito.

A True Care trata essencialmente três grupos de dados:

1. Trata dados institucionais de clínicas e estabelecimentos de saúde recolhidos a partir de fontes públicas;
2. Trata dados fornecidos diretamente pelas próprias entidades quando aderem à plataforma e celebram o respetivo acordo;
3. Trata ainda dados pessoais dos utilizadores que criam conta, pesquisam serviços ou utilizam funcionalidades específicas, incluindo avaliações quando estas são disponibilizadas.

A inclusão de uma clínica a partir de informação pública resulta num perfil que designamos como perfil básico. Este perfil não representa qualquer certificação, recomendação ou parceria entre a True Care e a entidade em causa. Trata-se apenas de informação factual obtida de fontes acessíveis ao público. Quando a clínica celebra acordo connosco, passa a existir um perfil validado, que permite o acesso a ferramentas adicionais e a interação com avaliações deixadas por utilizadores autenticados.

O tratamento de dados que envolve avaliações de pacientes depende sempre de consentimento explícito e informado. O tratam

ento de dados sensíveis é rigorosamente limitado ao estritamente necessário para permitir que o utilizador avalie a experiência que teve com determinado prestador e nunca é realizado de forma automática ou obscura. A True Care não comercializa dados pessoais, não utiliza a informação para finalidades incompatíveis com o seu propósito e não procede a qualquer forma de perfilagem que gere efeitos jurídicos para os titulares dos dados.

Quando recolhemos dados de fontes públicas e não diretamente da própria clínica, cumprimos o dever de informação previsto na legislação aplicável. Comunicamos à entidade que consta da plataforma, explicamos de onde provém a informação, indicamos a finalidade do tratamento e disponibilizamos um mecanismo simples de oposição ou remoção da listagem. O direito de oposição não carece de justificação e é sempre respeitado.

Esta Política pretende garantir que qualquer pessoa, seja utilizador, clínica ou profissional de saúde, compreende com clareza o que fazemos, por que o fazemos e quais são os limites do tratamento. 

A plataforma existe para informar, nunca para manipular. A nossa atuação é regida pelo Regulamento Geral sobre a Proteção de Dados, pela Lei portuguesa e pelos princípios de boa-fé, necessidade e proporcionalidade que orientam o tratamento responsável de dados pessoais.

CAPÍTULO 1 | RESPONSÁVEL PELO TRATAMENTO E ENQUADRAMENTO GERAL

A entidade responsável pelo tratamento dos dados efetuado através da plataforma True Care é a RHM Solutions, LDA., pessoa coletiva número 518691926, com sede em Rua Adelino Amaro da Costa, 327, Maia, e contacto dedicado para efeitos de proteção de dados através do endereço geral@truecare.pt. Na aceção do artigo 4.º, número 7, do Regulamento (UE) 2016/679, Regulamento Geral sobre a Proteção de Dados (doravante designado “RGPD”) cabe a esta entidade determinar as finalidades e os meios do tratamento de dados pessoais realizados no âmbito da plataforma e assegurar o cumprimento das obrigações legais que decorrem do RGPD e da legislação portuguesa aplicável, incluindo a Lei n.º 58/2019.

A True Care atua como uma plataforma digital que organiza e disponibiliza informação sobre clínicas e prestadores de cuidados de saúde. Para cumprir esta função, trata dados provenientes de diferentes origens, incluindo informação institucional que se encontra publicamente acessível, informação fornecida diretamente pelas clínicas quando estabelecem relação contratual com a plataforma e informação gerada pelos utilizadores que interagem com o serviço. Todos os tratamentos são realizados com respeito pelos princípios estabelecidos no artigo 5.º do RGPD, designadamente licitude, lealdade, transparência, limitação das finalidades, minimização, exatidão e integridade.

O tratamento é estritamente limitado ao necessário para garantir o normal funcionamento da plataforma e para cumprir finalidades determinadas e legítimas, nos termos do artigo 6.º do RGPD. A plataforma não comercializa dados pessoais, não utiliza os dados para finalidades incompatíveis com as que justificam o tratamento e não realiza decisões exclusivamente automatizadas que produzam efeitos jurídicos ou efeitos significativos semelhantes, tal como previsto no artigo 22.º do RGPD. Os dados são tratados com medidas técnicas e organizativas adequadas, em conformidade com o artigo 32.º, de forma a assegurar a segurança, integridade e confidencialidade da informação.

A True Care mantém mecanismos que permitem aos titulares exercer os seus direitos nos termos dos artigos 12.º a 22.º do RGPD, nomeadamente o direito de acesso, retificação, oposição, apagamento, limitação e portabilidade, bem como o direito de apresentar reclamação perante a autoridade de controlo competente.

Este capítulo estabelece o enquadramento institucional e legal do responsável pelo tratamento. Os capítulos seguintes identificam, de forma detalhada, as categorias de dados pessoais tratados, a respetiva origem, as finalidades específicas do tratamento e as bases jurídicas que legitimam cada operação.

CAPÍTULO 2 | CATEGORIAS DE DADOS TRATADOS E ORIGEM DA INFORMAÇÃO

A atividade da True Care assenta no tratamento de diferentes categorias de dados pessoais que podem ter origens distintas. Esta distinção é essencial porque determina as obrigações de informação aplicáveis nos termos dos artigos 13.º e 14.º do Regulamento Geral sobre a Proteção de Dados e condiciona o modo como os titulares podem exercer os seus direitos previstos nos artigos 15.º a 22.º. Para evitar ambiguidades, este capítulo descreve, de forma clara, todas as categorias de informação tratadas pela plataforma e a respetiva origem.

A primeira categoria corresponde a dados institucionais de clínicas, estabelecimentos de saúde e outras entidades prestadoras de cuidados médicos que se encontram publicamente acessíveis. Estes dados incluem designações comerciais, moradas, contactos gerais, especialidades divulgadas publicamente, acordos com seguradoras, horários de funcionamento e informação equivalente. Podem ser obtidos a partir de websites oficiais das próprias entidades, registos e diretórios públicos, bases de dados disponibilizadas por autoridades competentes, ordens ou associações profissionais e outras fontes que disponibilizem este tipo de informação ao público. Quando a informação pública incluir elementos que identifiquem profissionais associados à entidade, como nomes ou qualificações de médicos ou outros profissionais de saúde, esses dados são tratados como dados pessoais, nos termos do artigo 4.º, número 1, e utilizados exclusivamente com finalidade informativa, de forma contextualizada e em respeito pelo princípio da minimização previsto no artigo 5.º, número 1, alínea c). O tratamento destes dados obtidos de forma indireta cumpre o dever de informação previsto no artigo 14.º do RGPD.

A segunda categoria corresponde aos dados fornecidos diretamente pelas clínicas ou profissionais que decidem colaborar com a plataforma. Esta informação pode incluir descrições institucionais, fotografias, logótipos, listas de profissionais, dados comerciais, horários atualizados, políticas internas, condições de atendimento, elementos gráficos ou qualquer outra informação que a entidade pretenda disponibilizar. Estes dados completam ou substituem parte da informação obtida de fontes públicas e constituem um perfil validado cuja publicação decorre de uma relação contratual, sendo o respetivo tratamento necessário para a execução desse contrato, nos termos do artigo 6.º, número 1, alínea b).

A terceira categoria corresponde aos dados recolhidos no âmbito da utilização da plataforma por parte dos utilizadores. Inclui os dados necessários à criação e gestão de contas, como nome, endereço de correio eletrónico e credenciais de acesso, bem como dados técnicos gerados durante o acesso e utilização do website, como endereços IP, logs de sessão e identificadores de dispositivos. Estes dados são tratados para permitir o funcionamento da plataforma e a prestação do serviço, nos termos do artigo 6.º, número 1, alínea b). Inclui ainda a informação fornecida através da utilização de funcionalidades específicas, como a publicação de avaliações. Quando o utilizador descreve a sua experiência clínica, o conteúdo pode revelar dados relativos à saúde, classificados como categorias especiais de dados pessoais nos termos do artigo 9.º, número 1. O tratamento destes dados só ocorre mediante consentimento explícito do utilizador, tal como previsto no artigo 9.º, número 2, alínea a), e é estritamente limitado à disponibilização, gestão e moderação das avaliações.

Existe ainda a possibilidade de tratamento de dados associados ao exercício de direitos, à apresentação de pedidos de esclarecimento ou ao contacto com a True Care para efeitos de suporte. Nestes casos, o tratamento é limitado ao necessário para responder ao pedido ou para cumprir obrigações legais, nos termos do artigo 6.º, número 1, alínea c), bem como ao dever de cooperação e transparência previsto no artigo 12.º.

Esta classificação das categorias de dados estabelece a base necessária para os capítulos seguintes, que detalham as finalidades concretas do tratamento, as respetivas bases jurídicas e os direitos que assistem às clínicas, aos profissionais e aos utilizadores.

CAPÍTULO 3 | FINALIDADES DO TRATAMENTO DE DADOS

O tratamento de dados realizado pela True Care responde a finalidades específicas, determinadas e legítimas, em conformidade com os princípios previstos no artigo 5.º do RGPD. A plataforma não trata informação para finalidades amplas ou indeterminadas, nem utiliza os dados de forma incompatível com os propósitos que justificam cada operação. Cada categoria de dados descrita no capítulo anterior corresponde a finalidades distintas, diretamente relacionadas com o modelo funcional da plataforma e com as necessidades operacionais inerentes ao seu funcionamento.

A primeira finalidade consiste na agregação, organização e disponibilização de informação institucional sobre clínicas, estabelecimentos de saúde e respetivos profissionais. Esta finalidade assenta no interesse legítimo da True Care, nos termos do artigo 6.º, n.º 1, alínea f), permitindo que os utilizadores identifiquem com facilidade entidades prestadoras de cuidados de saúde e consultem informação essencial sobre localização, especialidades, contactos e acordos com seguradoras. Trata-se de uma atividade exclusivamente informativa, que não envolve recomendação, certificação ou validação. Sempre que estes dados não são obtidos junto do titular, a True Care cumpre o dever de informação previsto no artigo 14.º do RGPD.

A segunda finalidade consiste na gestão dos perfis validados das clínicas que decidem colaborar com a plataforma. Nessas situações, a True Care trata informação fornecida diretamente pela entidade para apresentar perfis completos e atualizados. O tratamento é necessário para a execução do contrato celebrado com a clínica, nos termos do artigo 6.º, n.º 1, alínea b).

A terceira finalidade corresponde à criação, gestão e manutenção de contas de utilizador. Os dados são tratados para permitir o registo, a autenticação, a gestão de sessões e o funcionamento das funcionalidades associadas à conta, com fundamento no artigo 6.º, n.º 1, alínea b). O tratamento respeita o princípio da minimização previsto no artigo 5.º, n.º 1, alínea c), não sendo utilizado para criar perfis comportamentais nem para finalidades que excedam o necessário ao funcionamento do serviço.

A quarta finalidade diz respeito ao tratamento associado às avaliações deixadas por utilizadores autenticados. O conteúdo das avaliações pode revelar dados relativos à saúde, que constituem categorias especiais de dados pessoais nos termos do artigo 9.º, n.º 1. O tratamento só ocorre mediante consentimento explícito, livre e informado do utilizador, conforme previsto no artigo 9.º, n.º 2, alínea a), e articula-se com o consentimento como base geral do artigo 6.º, n.º 1, alínea a). O tratamento é estritamente limitado à disponibilização e moderação das avaliações. A True Care não realiza decisões exclusivamente automatizadas com efeitos jurídicos ou semelhantes, cumprindo o artigo 22.º do RGPD.

A quinta finalidade relaciona-se com a manutenção técnica e a segurança da plataforma. São tratados dados técnicos de navegação, como endereços IP, logs e identificadores de dispositivos, para garantir a integridade e segurança do serviço, prevenir incidentes e detetar acessos indevidos. Este tratamento decorre do interesse legítimo da True Care, nos termos do artigo 6.º, n.º 1, alínea f), e do cumprimento da obrigação de implementar medidas adequadas de segurança imposta pelo artigo 32.º do RGPD.

A sexta finalidade consiste na resposta a pedidos de informação, na gestão do exercício de direitos pelos titulares e na manutenção das comunicações operacionais. O tratamento é necessário para cumprir obrigações legais no âmbito dos artigos 12.º e 15.º a 22.º do RGPD, bem como para assegurar o regular funcionamento do serviço.

A sétima finalidade corresponde ao cumprimento de obrigações legais que possam exigir a conservação ou disponibilização de dados a autoridades judiciais ou administrativas. O tratamento decorre do artigo 6.º, n.º 1, alínea c), e é estritamente limitado ao necessário para cumprir essas obrigações.

A oitava finalidade consiste na produção de estatísticas agregadas e anonimizadas sobre a utilização da plataforma. A informação é tratada de forma a garantir a impossibilidade de identificação dos titulares, em conformidade com o considerando 26 e com o artigo 89.º do RGPD. Estes dados não permitem reversão, não identificam indivíduos e não são utilizados para segmentação comercial.

Cada uma destas finalidades é sustentada pelas respetivas bases jurídicas, assegurando que o tratamento realizado pela True Care é sempre legítimo, proporcional e transparente.

CAPÍTULO 4 | BASES JURÍDICAS DO TRATAMENTO DE DADOS

O tratamento de dados pessoais realizado pela True Care assenta sempre numa das bases jurídicas previstas no artigo 6.º do Regulamento Geral sobre a Proteção de Dados, bem como, quando aplicável, nas condições que permitem o tratamento de categorias especiais de dados nos termos do artigo 9.º. Cada operação de tratamento tem de ser justificável à luz destas disposições, e o tratamento nunca é realizado com base em finalidades vagas ou numa interpretação extensiva das normas. Este capítulo estabelece, de forma clara, as bases jurídicas que legitimam cada tipo de tratamento identificado nos capítulos anteriores.

A primeira base jurídica relevante é o interesse legítimo, previsto no artigo 6.º, número 1, alínea f). Este fundamento é utilizado exclusivamente para o tratamento de informação institucional acessível ao público, recolhida de fontes abertas, e para determinados tratamentos necessários à segurança e manutenção técnica da plataforma. O interesse legítimo consiste em disponibilizar um diretório informativo sobre prestadores de cuidados de saúde e assegurar o funcionamento seguro e contínuo do serviço. A utilização desta base jurídica exige uma ponderação entre os interesses da True Care e os direitos e liberdades dos titulares dos dados, tal como previsto no considerando 47. Esta ponderação é efetuada de forma conservadora, limitando o tratamento ao estritamente necessário e garantindo que qualquer entidade tem o direito de se opor nos termos do artigo 21.º.

A segunda base jurídica aplicável é a execução de contrato, prevista no artigo 6.º, número 1, alínea b). Este fundamento é utilizado quando o tratamento é necessário para a prestação do serviço a utilizadores autenticados, incluindo a criação e gestão de contas, e quando existe relação contratual direta com uma clínica ou prestador que fornece informação para criação de perfis validados. Nestes casos, o tratamento é limitado ao necessário para cumprir as obrigações decorrentes do contrato, não sendo utilizado para finalidades adicionais ou incompatíveis, em conformidade com o princípio da limitação das finalidades previsto no artigo 5.º, número 1, alínea b).

A terceira base jurídica é o consentimento explícito do titular dos dados, aplicável nos casos em que o tratamento envolve categorias especiais de dados, designadamente dados relativos à saúde. O artigo 9.º, número 2, alínea a), exige um consentimento explícito, específico e informado sempre que o tratamento possa revelar informação sobre o estado de saúde do titular. Este fundamento aplica-se exclusivamente às avaliações deixadas pelos utilizadores quando estas descrevem experiências clínicas que possam permitir inferências sobre saúde, tratamento, sintomas ou outros elementos abrangidos pelo número 1 do mesmo artigo. O consentimento é recolhido de forma clara e pode ser retirado a qualquer momento, sem afetar a licitude do tratamento anteriormente realizado, em conformidade com o artigo 7.º.

A quarta base jurídica decorre do cumprimento de obrigações legais, nos termos do artigo 6.º, número 1, alínea c). Existem situações em que a True Care pode ser legalmente obrigada a tratar ou conservar determinados dados, nomeadamente no contexto de pedidos formulados por autoridades judiciais ou administrativas, de investigação de incidentes de segurança, de cumprimento de obrigações decorrentes da aplicação da Lei n.º 58/2019 ou de outras normas aplicáveis. Este fundamento legitima apenas o tratamento estritamente necessário ao cumprimento da obrigação, não permitindo extensões indevidas.

Quando o tratamento de dados não é realizado junto do titular, aplica-se o artigo 14.º do RGPD, que impõe um dever de informação acrescido. Esta obrigação surge, em particular, aquando da criação de perfis básicos a partir de dados públicos. A True Care cumpre este dever de forma expressa, clara e tempestiva, identificando a origem dos dados, as finalidades do tratamento, as bases legais aplicáveis e os direitos que assistem ao titular, incluindo o direito de oposição.

Determinados tratamentos, designadamente os relacionados com a manutenção técnica da plataforma, a segurança da informação e a prevenção de acessos indevidos, encontram fundamento adicional no artigo 32.º do RGPD, que impõe ao responsável pelo tratamento a implementação de medidas técnicas e organizativas adequadas para garantir a integridade, confidencialidade e disponibilidade dos dados. Este dever legal justifica o tratamento de dados técnicos como endereços IP, registos de acesso e identificadores de dispositivos, na medida em que tais operações são indispensáveis à segurança do sistema.

Por fim, quando a True Care produz estatísticas agregadas ou anonimizadas, o tratamento encontra fundamento nos princípios estabelecidos no considerando 26 e no artigo 89.º, que permitem operações de análise estatística desde que os dados não permitam identificar, direta ou indiretamente, os titulares. Estes dados, uma vez anonimizados, deixam de constituir dados pessoais e, portanto, deixam de estar sujeitos ao RGPD.

Em todas estas situações, a True Care garante que o tratamento é realizado de forma proporcional, necessária e transparente, assegurando que cada operação se encontra firmemente ancorada numa base legal válida e aplicável às circunstâncias do caso concreto.

CAPÍTULO 5 | DIREITOS DOS TITULARES DOS DADOS

Os titulares dos dados têm o direito de exercer, a qualquer momento, os direitos previstos nos artigos 12.º a 22.º do RGPD, de forma livre, informada e sem encargos. A True Care garante que todos os pedidos são analisados e respondidos de forma diligente e transparente, assegurando que o exercício destes direitos não é restringido por obstáculos artificiais, atrasos injustificados ou exigências desproporcionadas. Os direitos previstos no RGPD aplicam-se tanto a utilizadores registados como a profissionais e clínicas cujos dados sejam tratados pela plataforma, incluindo nos casos em que a informação tenha sido recolhida a partir de fontes públicas.

O primeiro direito é o direito de acesso, previsto no artigo 15.º. Este direito permite que qualquer titular obtenha confirmação sobre se os seus dados são ou não objeto de tratamento e, sendo esse o caso, aceda ao conjunto de informações previstas nesse artigo, incluindo as finalidades do tratamento, as categorias de dados em causa, os destinatários, os prazos de conservação e a origem dos dados. Quando os dados não tenham sido recolhidos diretamente junto do titular, o direito de acesso abrange igualmente a identificação da fonte, nos termos do artigo 14.º, número 2, alínea f).

O titular tem igualmente o direito de retificação, previsto no artigo 16.º, que lhe permite solicitar a correção de dados inexatos ou a atualização de dados incompletos. A True Care assegura que qualquer pedido legítimo de retificação é implementado com brevidade, especialmente no que respeita à informação institucional que, estando acessível ao público, deve manter-se exata e atualizada.

O direito ao apagamento, previsto no artigo 17.º, aplica-se em situações específicas, incluindo quando os dados deixaram de ser necessários para as finalidades que motivaram o tratamento, quando o titular retira o consentimento que fundamentava o tratamento de categorias especiais de dados, ou quando o titular se opõe ao tratamento e não existam interesses legítimos prevalecentes. No caso dos perfis criados a partir de dados públicos, o titular pode solicitar a remoção da informação, sendo o pedido avaliado de acordo com os critérios de licitude, transparência e equilíbrio previstos no RGPD e na legislação aplicável, sem prejuízo da liberdade de informação e do interesse público, quando aplicáveis.

O direito de oposição, previsto no artigo 21.º, tem especial relevância sempre que o tratamento se baseia no interesse legítimo. Qualquer clínica, profissional ou utilizador pode opor-se ao tratamento dos seus dados pessoais em qualquer momento e por motivos relacionados com a sua situação particular. Nestes casos, o tratamento cessará, salvo se a True Care demonstrar razões imperiosas e legítimas que prevaleçam sobre os direitos e liberdades do titular ou se o tratamento for necessário para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

O artigo 18.º confere ao titular o direito à limitação do tratamento, que obriga a True Care a suspender temporariamente certas operações sempre que estejam reunidas as condições previstas nesse artigo, nomeadamente quando o titular contesta a exatidão dos dados, quando o tratamento é ilícito, quando os dados já não são necessários, mas o titular requer a sua conservação para efeitos de exercício ou defesa de direitos, ou quando existe oposição pendente de verificação.

O direito à portabilidade dos dados, previsto no artigo 20.º, aplica-se aos dados fornecidos pelo titular e tratados com base no consentimento ou na execução de contrato. Este direito permite ao titular receber os dados num formato estruturado e de leitura automática ou solicitar a sua transmissão direta para outra entidade, quando tecnicamente viável.

Sempre que o tratamento assenta no consentimento, o titular tem o direito de o retirar a qualquer momento, em conformidade com o artigo 7.º, número 3. A retirada do consentimento não prejudica a licitude do tratamento realizado até essa data, mas implica a cessação imediata do tratamento de qualquer dado sensível cuja licitude dependesse exclusivamente do consentimento.

O titular pode ainda apresentar uma reclamação à autoridade de controlo competente, nos termos do artigo 77.º do RGPD. Em Portugal, essa autoridade é a Comissão Nacional de Proteção de Dados, disponível em www.cnpd.pt. A apresentação da reclamação não prejudica a possibilidade de o titular exercer outros meios de reação administrativa ou judicial.

Todos os pedidos relacionados com direitos devem ser apresentados através dos contactos indicados no final desta política. A True Care responderá no prazo máximo de trinta dias, salvo quando, nos termos do artigo 12.º, número 3, a complexidade do pedido ou o número de pedidos em curso justificar uma prorrogação moderada do prazo. Em todos os casos, o titular será informado da decisão, da fundamentação correspondente e dos mecanismos de reação disponíveis.

CAPÍTULO 6 |RECOLHA INDIRETA DE DADOS E DEVER DE INFORMAÇÃO (ARTIGO 14.º RGPD)

A True Care recolhe determinados dados pessoais que não são obtidos diretamente junto do titular, mas a partir de fontes públicas acessíveis, como websites institucionais, registos profissionais ou diretórios disponibilizados por entidades oficiais. Sempre que este tipo de recolha ocorre, aplica-se o regime do artigo 14.º do RGPD, que impõe ao responsável pelo tratamento o dever de informar os titulares de forma clara, completa e tempestiva. Este dever acrescido resulta do facto de o titular não estar presente no momento da recolha e, por isso, não ter conhecimento imediato das finalidades, da base jurídica e das condições do tratamento.

O cumprimento do artigo 14.º exige que a True Care comunique aos titulares um conjunto de informações específicas, incluindo a identidade do responsável pelo tratamento, as finalidades do tratamento, as bases jurídicas aplicáveis, as categorias de dados recolhidos, a origem da informação, os destinatários, os prazos de conservação e os direitos de acesso, retificação, oposição, limitação, apagamento e portabilidade. Esta comunicação é efetuada no momento em que a informação é integrada na plataforma ou no prazo máximo admissível, garantindo que o titular não é surpreendido com o tratamento dos seus dados.

A principal base jurídica aplicável a este tipo de recolha é o interesse legítimo da True Care, nos termos do artigo 6.º, número 1, alínea f). O interesse consiste em disponibilizar um diretório informativo que permita aos utilizadores identificar prestadores de cuidados de saúde e compreender os serviços que estes oferecem. A utilização desta base jurídica exige uma ponderação rigorosa, conforme previsto no considerando 47 do RGPD, garantindo que o tratamento não afeta de forma desproporcionada os direitos e liberdades dos titulares. Esta ponderação é efetuada de forma particularmente conservadora, assegurando que o tratamento se limita a dados estritamente institucionais, que não são sensíveis e que são já publicamente acessíveis.

A recolha indireta não permite que a True Care oculte a origem dos dados. Em conformidade com o artigo 14.º, número 2, alínea f), o titular é sempre informado da fonte da informação, exceto nos casos em que a identificação exata da fonte seja tecnicamente impossível ou exija meios manifestamente desproporcionados, situações que constituem exceções limitadas ao dever de informação, previstas no artigo 14.º, número 5. Mesmo nesses casos, a True Care mantém o compromisso de garantir a máxima transparência possível e de fornecer ao titular informação suficiente para compreender a origem geral dos dados.

O artigo 14.º prevê igualmente a obrigação de informar o titular sobre o seu direito de oposição ao tratamento, nos termos do artigo 21.º. Este direito assume particular relevância no contexto da recolha indireta, permitindo que qualquer clínica, profissional ou entidade prestadora de cuidados de saúde solicite a remoção dos seus dados da plataforma quando não deseje figurar no diretório. A oposição é analisada caso a caso, tendo em conta o equilíbrio entre o interesse legítimo da True Care e os direitos do titular. Quando a oposição prevalecer – o que será a regra na maioria dos casos, dado o caráter informativo e não essencial do tratamento – o tratamento cessa imediatamente e os dados são removidos da plataforma.

O cumprimento do artigo 14.º é articulado com o princípio da transparência previsto no artigo 5.º, número 1, alínea a), e com o direito à informação consagrado no artigo 13.º, cujos conteúdos são aplicáveis, com as devidas adaptações, aos casos de recolha indireta. A True Care assegura que esta informação é disponibilizada de forma clara, compreensível e facilmente acessível, sem exigir que o titular realize diligências excessivas para a obter.

Por fim, a recolha indireta respeita o princípio da minimização previsto no artigo 5.º, número 1, alínea c), limitando-se à informação institucional necessária para permitir a apresentação de perfis básicos de entidades prestadoras de cuidados de saúde. A plataforma não recolhe, por via indireta, dados sensíveis, dados clínicos, dados relativos ao estado de saúde ou quaisquer elementos que excedam o âmbito da informação institucional publicamente disponibilizada.

Este capítulo clarifica o enquadramento aplicável às operações de recolha indireta e estabelece os mecanismos que garantem que o tratamento é realizado em estrita conformidade com o artigo 14.º do RGPD. Os capítulos seguintes detalham os critérios de conservação, as medidas de segurança e os procedimentos aplicáveis às transferências internacionais.

CAPÍTULO 7 | CONSERVAÇÃO DOS DADOS E CRITÉRIOS DE RETENÇÃO

A conservação de dados pessoais pela True Care obedece ao princípio da limitação da conservação previsto no artigo 5.º, número 1, alínea e), do RGPD, segundo o qual os dados devem ser conservados apenas durante o período necessário para as finalidades que justificam o seu tratamento. A determinação desses prazos não é arbitrária: resulta da natureza dos dados, da finalidade respetiva, da existência de obrigações legais específicas e da necessidade de assegurar a defesa de direitos ou o cumprimento de obrigações contratuais. A True Care não conserva dados por períodos indeterminados, nem prolonga a retenção para finalidades incompatíveis com as que justificaram o tratamento inicial.

Os dados institucionais recolhidos de fontes públicas são conservados enquanto forem necessários para a apresentação de perfis básicos de clínicas, estabelecimentos de saúde e profissionais associados, desde que subsista a respetiva disponibilização pública. Sempre que o titular exerça o direito de oposição previsto no artigo 21.º ou solicite a remoção dos dados, a conservação é cessada, salvo se subsistirem motivos legítimos prevalecentes que justifiquem a manutenção temporária de determinados elementos, nomeadamente para efeitos de documentação interna do pedido ou para prevenir a republicação não intencional da informação.

Nos casos em que existe uma relação contratual com uma clínica ou prestador, os dados fornecidos diretamente pela entidade são conservados durante todo o período de vigência do contrato e até ao cumprimento integral das obrigações associadas. Após a cessação da relação contratual, estes dados podem ser conservados por um período limitado para efeitos de prova, defesa de direitos, gestão de litígios ou cumprimento de obrigações legais, designadamente fiscais e comerciais, em conformidade com o artigo 6.º, número 1, alínea c), e com os prazos de prescrição aplicáveis. A conservação para estes efeitos é estritamente limitada ao necessário.

Os dados de utilizadores associados à criação, gestão e manutenção de contas são conservados enquanto a conta permanecer ativa. Caso o utilizador solicite o apagamento ou proceda ao encerramento da conta, os dados são eliminados, exceto quando a conservação seja necessária para o cumprimento de obrigações legais ou para efeitos de defesa de direitos num eventual diferendo, nos termos do artigo 17.º, número 3. Os dados necessários para garantir a segurança da plataforma e prevenir fraudes podem ser conservados por um período limitado após o encerramento da conta, não superior ao estritamente necessário à finalidade respetiva.

As avaliações deixadas pelos utilizadores, que podem envolver dados sensíveis nos termos do artigo 9.º, são conservadas enquanto o utilizador mantiver o respetivo consentimento. O titular pode solicitar a eliminação da avaliação a qualquer momento, nos termos dos artigos 7.º e 17.º. Quando uma avaliação é removida, a True Care elimina o conteúdo integral, podendo conservar elementos mínimos, devidamente anonimizados ou pseudonimizados, quando necessário para efeitos de moderação, prevenção de abusos ou prova em caso de litígio, desde que tal conservação seja fundamentada e proporcionada.

Os dados técnicos gerados automaticamente através da utilização da plataforma, incluindo endereços IP, registos de acesso, metadados de navegação e identificadores de dispositivos, são conservados apenas pelo período necessário para garantir a segurança, estabilidade e integridade do serviço, nos termos do artigo 32.º. Regra geral, estes dados não são conservados por período superior a doze meses, salvo se existirem motivos legítimos que justifiquem uma conservação mais longa, como a investigação de incidentes de segurança ou o cumprimento de obrigações legais específicas.

A informação tratada no âmbito do exercício de direitos pelos titulares, pedidos de esclarecimento ou comunicações operacionais é conservada apenas pelo tempo necessário para documentar o pedido, garantir a sua correta resolução e permitir a demonstração do cumprimento das obrigações impostas pelos artigos 12.º e seguintes do RGPD. Este prazo é limitado e proporcional, cessando após a conclusão do processo, salvo quando seja necessário conservar documentação para efeitos de defesa de direitos.

Os dados que tenham sido anonimizados deixam de constituir dados pessoais nos termos do considerando 26 do RGPD e podem ser conservados por períodos superiores para fins estatísticos, de melhoria do serviço ou de análise de padrões de utilização, desde que a anonimização seja irreversível e não permita, direta ou indiretamente, a reidentificação dos titulares.

A True Care revê periodicamente as suas políticas de retenção para garantir que todos os prazos se mantêm adequados, proporcionados e compatíveis com o quadro legal aplicável. Sempre que seja identificado um período de conservação excessivo ou desnecessário, os dados são eliminados ou anonimizados de forma definitiva.

CAPÍTULO 8 | SEGURANÇA, SUBCONTRATANTES E TRANSFERÊNCIAS INTERNACIONAIS

A True Care adota medidas técnicas e organizativas adequadas para garantir a segurança, integridade e confidencialidade dos dados pessoais tratados, em conformidade com o artigo 32.º do RGPD. Estas medidas são definidas após avaliação dos riscos associados ao tratamento, considerando a natureza dos dados, o contexto da operação, os riscos previsíveis de acesso não autorizado e os potenciais impactos sobre os titulares. O objetivo é assegurar um nível de segurança adequado, que impeça a destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais, ainda que resultante de operações acidentais ou ilícitas.

As medidas técnicas e organizativas incluem controlos de acesso rigorosos, encriptação de dados em trânsito e em repouso quando adequado, mecanismos de autenticação reforçada, segmentação lógica de informação, registos de atividades relevantes, monitorização de eventos de segurança e revisão periódica dos sistemas. A True Care implementa ainda procedimentos internos destinados a garantir que as operações de tratamento são realizadas apenas por pessoas devidamente autorizadas e vinculadas por obrigações de confidencialidade, em conformidade com os artigos 28.º, número 3, e 29.º do RGPD.

O tratamento de dados pessoais pode envolver a utilização de subcontratantes que prestam serviços técnicos ou operacionais, como alojamento de dados, suporte aplicacional, monitorização de infraestrutura ou ferramentas de comunicação. Nos termos do artigo 28.º, a True Care recorre apenas a subcontratantes que ofereçam garantias suficientes de cumprimento das exigências do RGPD e que assumam obrigações contratuais claras quanto à segurança, confidencialidade e limitação das finalidades. A relação com cada subcontratante é formalizada através de contrato escrito que especifica o objeto, a duração, a natureza e a finalidade do tratamento, o tipo de dados, as categorias de titulares e as obrigações impostas ao subcontratante. Estes contratos incluem ainda disposições relativas à assistência na resposta ao exercício de direitos, à notificação de incidentes de segurança e ao cumprimento de auditorias ou verificações legais.

Sempre que o tratamento envolva transferências internacionais de dados pessoais para países fora do Espaço Económico Europeu, aplicam-se as regras definidas nos artigos 44.º a 49.º do RGPD. A True Care assegura que nenhuma transferência é realizada sem que exista um mecanismo jurídico adequado, incluindo decisões de adequação adotadas pela Comissão Europeia, cláusulas contratuais-tipo aprovadas pela Comissão ou, quando aplicável, mecanismos alternativos previstos no quadro legal vigente. A utilização de transferências baseadas em derrogações previstas no artigo 49.º é limitada a situações excecionais e estritamente necessárias ao funcionamento do serviço.

A True Care realiza avaliações de impacto sempre que uma operação de tratamento possa resultar num risco elevado para os direitos e liberdades dos titulares, nos termos do artigo 35.º do RGPD. Estas avaliações incluem a análise dos riscos inerentes ao tratamento, a identificação das medidas de mitigação necessárias e a verificação da adequação das garantias implementadas. Quando aplicável, e salvo disposição legal em contrário, a True Care consulta a autoridade de controlo competente, nos termos do artigo 36.º.

No caso de ocorrer um incidente de segurança que comprometa a integridade, a confidencialidade ou a disponibilidade de dados pessoais, a True Care cumpre a obrigação de notificação à autoridade de controlo prevista no artigo 33.º, no prazo legalmente aplicável, e, quando o incidente possa implicar um risco elevado para os titulares, comunica-o igualmente aos próprios titulares, em conformidade com o artigo 34.º. A comunicação é efetuada de forma clara e transparente, identificando a natureza da violação, as potenciais consequências e as medidas adotadas para mitigar os seus efeitos.

A True Care verifica regularmente a eficácia das medidas técnicas e organizativas implementadas e ajusta-as sempre que necessário, tendo em conta a evolução tecnológica, as melhores práticas de segurança e as exigências legais aplicáveis. Este processo contínuo assegura que o tratamento de dados pessoais permanece conforme com o RGPD e adequado aos riscos inerentes às operações realizadas.

CAPÍTULO 9 | CONTACTOS, RECLAMAÇÕES E ALTERAÇÕES À POLÍTICA

O titular dos dados pode contactar a True Care para qualquer questão relacionada com o tratamento dos seus dados pessoais, para exercer os direitos previstos nos artigos 12.º a 22.º do RGPD ou para solicitar esclarecimentos sobre o conteúdo desta política. O responsável pelo tratamento é a RHM Solutions, LDA., que pode ser contactada através do endereço eletrónico geral@truecare.pt ou por via postal para a sede identificada no Capítulo 2. Os pedidos recebidos são analisados de forma diligente e respondidos no prazo previsto no artigo 12.º, n.º 3, sem custos para o titular, salvo nos casos excecionais previstos no n.º 5 do mesmo artigo.

O titular tem ainda o direito de apresentar uma reclamação junto da autoridade de controlo competente, nos termos do artigo 77.º do RGPD. Em Portugal, esta função é desempenhada pela Comissão Nacional de Proteção de Dados (CNPD), acessível em www.cnpd.pt, sem prejuízo da possibilidade de instaurar outros meios de reação administrativa ou judicial, quando aplicáveis. A apresentação de reclamação não depende de contacto prévio com a True Care, embora esta se encontre disponível para cooperar e resolver qualquer questão relacionada com a proteção de dados.

A presente Política de Privacidade pode ser revista ou atualizada sempre que tal se revele necessário para refletir alterações legislativas, orientações de autoridades de controlo, decisões judiciais relevantes, evolução tecnológica ou modificações na forma como a True Care trata dados pessoais. As alterações são publicadas no website com indicação clara da data da última atualização, em conformidade com o artigo 13.º, n.º 3, do RGPD. Quando uma alteração tenha impacto substancial sobre o tratamento ou exija novo consentimento, os titulares serão informados de forma adequada e, quando aplicável, o consentimento será novamente solicitado nos termos do artigo 7.º, n.º 3.

A utilização continuada da plataforma após a publicação das alterações significa que o titular tomou conhecimento da versão atualizada da política. A True Care recomenda que os titulares consultem periodicamente este documento para se manterem informados sobre a forma como os seus dados pessoais são tratados.

CONTACTOS

Para mais informações ou para o exercício de quaisquer direitos relacionados com o tratamento de dados pessoais, o titular pode contactar:

RHM Solutions, LDA.

Rua Adelino Amaro da Cosa, 327 Maia

geral@truecare.pt

Esta Política de Privacidade integra-se com os Termos e Condições de Utilização, a Política de Cookies e demais documentos legais publicados pela True Care.