Saltar para o conteúdo
Voltar

Privacidade

Última atualização: 25 de março de 2026

1. Responsável pelo tratamento de dados

O responsável pelo tratamento dos dados pessoais tratados através do site Medituga é Bruno Rodrigues Veloso, pessoa singular responsável pelo projeto Medituga. Para questões relacionadas com privacidade e proteção de dados, pode ser contactado em medituga@medituga.com.

2. Dados que recolhemos

  • Informação da conta Google (nome, email, avatar) via OAuth — utilizada exclusivamente para autenticação.
  • Vacinas favoritas — armazenadas na base de dados Supabase, associadas à conta do utilizador.
  • Vacinas vistas recentemente — armazenadas localmente no navegador (localStorage) e, se o utilizador tiver sessão iniciada, sincronizadas com a base de dados Supabase para persistência entre dispositivos.
  • Preferências de tema e idioma — armazenadas localmente no navegador (localStorage).
  • Registos de auditoria — ações sobre favoritos (adicionar/remover) são registadas para fins de segurança e proteção contra abuso.
  • Dados de pagamento e subscrição — quando o utilizador subscreve o plano Pro ou efetua uma doação, o Stripe (processador de pagamentos) recolhe e armazena os dados de pagamento (cartão, IBAN). O Medituga armazena apenas o identificador de cliente Stripe, o plano ativo e o estado da subscrição. Não temos acesso aos dados completos do cartão.
  • Doações — podem ser efetuadas sem autenticação. O Medituga não retém dados pessoais do doador além do registo no Stripe.
  • Notas clínicas (Pro) — notas de texto livre armazenadas na base de dados Supabase, associadas à conta do utilizador. As notas são privadas e acessíveis apenas pelo próprio. O Medituga não solicita nem permite dados identificáveis de pacientes; um detetor de PII alerta o utilizador caso sejam detetados padrões suspeitos.

3. Dados de validadores clínicos

  • Se o utilizador for um profissional de saúde convidado como validador clínico, recolhemos adicionalmente:
  • Nome completo, especialidade médica e referência profissional mínima (ex: número de cédula) — para verificação da identidade e qualificações.
  • Propostas de correção de conteúdo — incluindo a secção alvo, alteração proposta, justificação e fontes clínicas indicadas.
  • Anexos de imagem associados a propostas — armazenados em bucket privado no Supabase, acessíveis apenas ao próprio autor e ao administrador.
  • A qualidade de validador é atribuída por convite e pode ser revogada a qualquer momento.
  • O validador pode solicitar a eliminação de todos os seus dados de validador (propostas, perfil) contactando medituga@medituga.com.

4. Dados que NÃO recolhemos

  • Não recolhemos dados de pacientes, registos de saúde nem informação médica pessoal. O Medituga não trata dados relativos à saúde de pessoas identificadas na aceção do Art.º 9.º do RGPD.
  • Não utilizamos cookies de rastreamento. O Vercel Analytics é desenhado para ser respeitador da privacidade e não utiliza cookies.
  • Não recolhemos endereços IP para fins de rastreamento ou profiling. Os nossos subcontratantes (Supabase, Vercel) podem registar IPs nos seus logs técnicos de segurança, conforme as respetivas políticas de privacidade.

5. Base legal para o tratamento

  • Consentimento (Art.º 6.º/1/a RGPD) — a autenticação via Google OAuth é voluntária. Ao iniciar sessão, o utilizador consente o tratamento dos dados de autenticação. O utilizador pode retirar o consentimento a qualquer momento, deixando de utilizar o login e solicitando a eliminação dos dados (Art.º 7.º/3 RGPD).
  • Interesse legítimo (Art.º 6.º/1/f RGPD) — a gestão de favoritos, a proteção contra abuso (rate limiting, audit logs), a manutenção da segurança e fiabilidade do serviço baseiam‑se no interesse legítimo do Medituga em prestar um serviço funcional e seguro, sem prevalecer sobre os direitos e liberdades fundamentais dos utilizadores.
  • Execução de contrato (Art.º 6.º/1/b RGPD) — o tratamento de dados de pagamento e subscrição é necessário para a execução do contrato de subscrição Pro entre o utilizador e o Medituga.

6. Armazenamento e localização de dados

  • Os dados da conta e favoritos são armazenados no Supabase, em infraestrutura situada na União Europeia.
  • A aplicação é alojada no Vercel, com CDN global e pontos de presença na UE e noutras regiões.
  • Os dados locais (tema, idioma) permanecem exclusivamente no navegador do utilizador. Os dados de vacinas recentes são armazenados localmente e, para utilizadores autenticados, sincronizados com o Supabase.
  • Se e quando existirem transferências de dados para fora da UE (por exemplo, infraestrutura Vercel nos EUA), estas serão realizadas ao abrigo de cláusulas contratuais‑tipo (SCC) e demais mecanismos previstos pelo RGPD.

7. Retenção de dados

  • Os dados da conta, favoritos e vacinas vistas recentemente são mantidos enquanto a conta estiver ativa.
  • Os registos de auditoria são mantidos por um máximo de 90 dias e depois eliminados.
  • O utilizador pode eliminar todos os seus dados a qualquer momento através do botão "Apagar todos os meus dados" na página de perfil, ou contactando medituga@medituga.com.
  • Dados de subscrição são mantidos enquanto a subscrição estiver ativa e pelo período necessário para cumprimento de obrigações fiscais e legais. Os dados de pagamento são retidos pelo Stripe conforme a sua política de retenção.

8. Direitos do utilizador (RGPD Art.º 15.º–22.º)

  • O utilizador pode exercer, nos termos do RGPD, os seguintes direitos sobre os seus dados pessoais:
  • Direito de acesso (Art.º 15.º) — saber que dados pessoais são tratados.
  • Direito de retificação (Art.º 16.º) — corrigir dados inexatos ou incompletos.
  • Direito ao apagamento (Art.º 17.º) — solicitar a eliminação dos dados; disponível diretamente na página de perfil, sem prejuízo de obrigações legais de conservação.
  • Direito à limitação do tratamento (Art.º 18.º) — restringir o tratamento em determinadas circunstâncias.
  • Direito à portabilidade (Art.º 20.º) — receber os dados num formato estruturado, de uso corrente e de leitura automática.
  • Direito de oposição (Art.º 21.º) — opor‑se ao tratamento baseado em interesse legítimo, por motivos relacionados com a sua situação particular.
  • Para exercer qualquer destes direitos, o utilizador pode contactar medituga@medituga.com. Responderemos, em regra, no prazo máximo de 1 mês (Art.º 12.º/3 RGPD), podendo esse prazo ser prorrogado por mais 2 meses em casos de especial complexidade, sendo o utilizador informado dessa prorrogação.
  • O utilizador tem ainda o direito de apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD) — www.cnpd.pt.

9. Subcontratantes e serviços de terceiros

  • Google (Google Ireland Ltd.) — autenticação OAuth. Política de Privacidade: https://policies.google.com/privacy.
  • Supabase (Supabase Inc.) — base de dados e autenticação, região UE. DPA disponível em: https://supabase.com/legal/dpa.
  • Vercel (Vercel Inc.) — alojamento e analytics sem cookies. DPA disponível em: https://vercel.com/legal/dpa.
  • Stripe (Stripe Technology Europe Ltd., Irlanda) — processamento de pagamentos, subscrições e doações. Política de Privacidade: https://stripe.com/privacy. O Stripe pode transferir dados para os EUA ao abrigo de cláusulas contratuais-tipo (SCC).
  • Mantemos acordos de tratamento de dados (DPA) com os nossos subcontratantes, conforme o Art.º 28.º do RGPD.

10. Segurança

  • Toda a comunicação com o Serviço é feita através de HTTPS.
  • A base de dados utiliza Row Level Security (RLS) — cada utilizador só acede aos seus próprios dados.
  • Existem registos de auditoria automáticos para ações sobre favoritos, com vista à deteção de abuso e incidentes de segurança.
  • É aplicado rate limiting para prevenção de uso abusivo (por exemplo, limite máximo de favoritos por conta).
  • Não armazenamos dados médicos sensíveis nem dados relativos à saúde de pessoas identificadas.

11. Alterações a esta política

Esta Política de Privacidade pode ser atualizada a qualquer momento. Em caso de alterações significativas, informaremos os utilizadores através da aplicação. Recomendamos a consulta periódica desta página para se manter informado sobre o tratamento dos seus dados pessoais.

12. Contacto

Para questões relacionadas com a privacidade e proteção dos seus dados pessoais, contacte Bruno Rodrigues Veloso, responsável pelo projeto Medituga, em medituga@medituga.com.