Adenda de Tratamento de Dados
A DiagnosticMind opera em setores regulados onde a conformidade é o mínimo, não o feito. Esta página existe para tornar legível a realidade operacional de como esta plataforma trata dados por conta de clientes — não para encenar teatro de conformidade. O detalhe abaixo é o protocolo real.
01Partes e âmbito
Esta Adenda de Tratamento de Dados (a DPA) rege o tratamento de dados pessoais por Paulo Fernando Marques Ramada, Empresário em Nome Individual (o Fornecedor, também referido como DiagnosticMind), por conta do cliente que subscreve a plataforma SaaS de auditoria DiagnosticMind (o Cliente), ao abrigo do artigo 28.º do Regulamento (UE) 2016/679 (o RGPD).
| Fornecedor (Subcontratante) | Paulo Fernando Marques Ramada, Empresário em Nome Individual, sob a marca DiagnosticMind. NIF 193385902. Portugal. |
|---|---|
| Cliente (Responsável) | Conforme identificado na página de assinatura da DPA celebrada. |
| Serviço | Plataforma SaaS de auditoria DiagnosticMind — audit.diagnosticmind.eu |
| Contacto de proteção de dados | privacy@diagnosticmind.eu |
| Contacto geral | contact@diagnosticmind.eu |
Esta DPA aplica-se sempre que o Cliente carregue, introduza ou de outra forma dê origem ao tratamento de dados pessoais na plataforma SaaS de auditoria. O Cliente é o responsável pelo tratamento; o Fornecedor é o subcontratante.
A versão PDF descarregável desta DPA é idêntica ao conteúdo desta página. Divergência entre as duas seria um risco contratual e é operacionalmente proibida.
02Definições
Os termos usados nesta DPA têm o significado dado no artigo 4.º do RGPD. Em particular:
- Dados Pessoais — qualquer informação relativa a uma pessoa singular identificada ou identificável tratada pelo Fornecedor por conta do Cliente na plataforma SaaS de auditoria.
- Tratamento — qualquer operação efetuada sobre Dados Pessoais, incluindo recolha, armazenamento, consulta, modificação, divulgação e eliminação.
- Sub-processador — qualquer terceiro contratado pelo Fornecedor para auxiliar no Tratamento de Dados Pessoais.
- Violação de Dados Pessoais — uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação ou acesso não autorizados a Dados Pessoais.
03Objeto e duração
Objeto: Tratamento de Dados Pessoais carregados pelo Cliente na plataforma SaaS de auditoria no âmbito da condução de auditorias, geração de relatórios e gestão de programas de auditoria.
Duração: Durante o período da subscrição do Cliente à plataforma SaaS de auditoria, acrescido do período de retenção pós-cessação definido na Secção 11.
04Natureza, finalidade, categorias
4.1 Natureza e finalidade do Tratamento
Alojamento, armazenamento, consulta, tratamento, análise assistida por IA e apresentação de conteúdo de auditoria introduzido pelo Cliente; transmissão de relatórios de auditoria a destinatários designados pelo Cliente; disponibilização do conjunto completo de funcionalidades da plataforma SaaS de auditoria de acordo com o tier de subscrição do Cliente.
4.2 Categorias de titulares de dados
- Colaboradores e utilizadores autorizados do Cliente na plataforma SaaS de auditoria
- Pessoas auditadas nomeadas ou referidas no conteúdo de auditoria carregado pelo Cliente
- Terceiros nomeados ou referidos no conteúdo de auditoria carregado pelo Cliente
4.3 Categorias de Dados Pessoais
- Dados de conta: endereços de email, nomes (se fornecidos), tokens de sessão, endereços IP
- Conteúdo de auditoria: constatações, evidências, não-conformidades, ações corretivas, nomes de pessoas auditadas, dados de terceiros referidos em auditorias
- Quaisquer outros Dados Pessoais que o Cliente opte por carregar na plataforma SaaS de auditoria
Categorias especiais de dados (artigo 9.º do RGPD): não recolhidas intencionalmente por conceção da plataforma. Se o Cliente optar por carregar categorias especiais de dados no conteúdo de auditoria, o Cliente é responsável pela base legal do artigo 9.º e deve informar o Fornecedor por escrito com antecedência.
05Obrigações do Cliente (responsável)
O Cliente garante que:
- Tem uma base legal para o Tratamento que instrui o Fornecedor a efetuar.
- Prestou a informação exigida aos titulares dos dados ao abrigo dos artigos 13.º e 14.º do RGPD.
- Não carregará categorias especiais de dados sem aviso escrito prévio ao Fornecedor.
- Não instruirá o Fornecedor a efetuar Tratamento que viole o RGPD ou outra lei de proteção de dados aplicável.
- Mantém as suas próprias medidas técnicas e organizativas para a segurança dos Dados Pessoais fora da plataforma SaaS de auditoria.
06Obrigações do Fornecedor (subcontratante)
O Fornecedor deve:
- Tratar Dados Pessoais apenas com base em instruções documentadas do Cliente, incluindo quanto a transferências internacionais, salvo se exigido pelo direito da União ou de um Estado-Membro (caso em que o Fornecedor informará o Cliente dessa exigência legal antes do Tratamento, salvo se essa lei proibir tal informação por motivos de interesse público relevante).
- Assegurar que o pessoal autorizado a tratar Dados Pessoais está vinculado por confidencialidade.
- Implementar as medidas técnicas e organizativas documentadas na página de Segurança, que faz parte desta DPA por referência.
- Contratar sub-processadores apenas nas condições da Secção 7.
- Auxiliar o Cliente a responder a pedidos de titulares de dados que exerçam os seus direitos ao abrigo dos artigos 15.º a 22.º do RGPD, tendo em conta a natureza do Tratamento.
- Auxiliar o Cliente com as obrigações de segurança, notificação de violações, avaliações de impacto sobre a proteção de dados e consulta prévia à autoridade de controlo, tendo em conta a natureza do Tratamento e a informação à disposição do Fornecedor.
- Por opção do Cliente, eliminar ou devolver todos os Dados Pessoais ao Cliente após o fim da prestação dos serviços, de acordo com a Secção 11.
- Disponibilizar ao Cliente toda a informação necessária para demonstrar o cumprimento do artigo 28.º do RGPD, e permitir e contribuir para auditorias de acordo com a Secção 9.
07Sub-processadores
Autorização geral. O Cliente concede ao Fornecedor autorização geral para contratar os sub-processadores listados abaixo para o Tratamento de Dados Pessoais.
| Fornecedor | Serviço | Região | Mecanismo de transferência | DPA |
|---|---|---|---|---|
| Cloudflare, Inc. | Workers, D1, KV, R2, Pages, Web Analytics (sem cookies) | Edge global (sede nos EUA) | SCC + EU-US Data Privacy Framework | cloudflare.com |
| Anthropic, PBC | Claude API (Sonnet 4.6) — inferência de IA para narrativas de avaliação, sugestões de auditoria, chat de especialista | EUA | SCC + EU-US Data Privacy Framework | anthropic.com |
| Resend, Inc. | Email transacional (magic links, resultados de avaliação) | EUA | SCC + EU-US Data Privacy Framework | resend.com |
Notificação de alteração. O Fornecedor notificará o Cliente por email de qualquer adição ou substituição pretendida de sub-processadores com pelo menos 30 dias de antecedência, dando ao Cliente a oportunidade de se opor por fundamentos razoáveis e documentados relacionados com a proteção de Dados Pessoais. Se o Cliente se opuser e as partes não chegarem a acordo, o Cliente pode cessar os serviços afetados com reembolso pro-rata das taxas pré-pagas.
Repercussão nos sub-processadores. O Fornecedor impõe a cada sub-processador obrigações de proteção de dados não menos protetoras do que as desta DPA. O Fornecedor mantém-se plenamente responsável perante o Cliente pelo cumprimento das obrigações de cada sub-processador.
08Transferências internacionais
Os Dados Pessoais podem ser transferidos para os Estados Unidos para os sub-processadores listados na Secção 7. Tais transferências assentam em:
- As Cláusulas Contratuais-Tipo da Comissão Europeia (Módulo 2 — responsável para subcontratante, com o Módulo 3 para transferência ulterior quando o sub-processador contrata sub-processadores adicionais), incorporadas por referência; e
- O EU-US Data Privacy Framework, quando o sub-processador está certificado ao abrigo do DPF.
Material de avaliação de impacto da transferência está disponível ao Cliente a pedido.
O EU-US Data Privacy Framework mantém-se válido na sequência do acórdão do Tribunal Geral da UE de 3 de setembro de 2025 (Latombe c. Comissão, T-553/23); está pendente um recurso para o Tribunal de Justiça da UE (C-703/25 P). As Cláusulas Contratuais-Tipo são o mecanismo de transferência principal, com o Data Privacy Framework como complemento, pelo que as transferências se mantêm lícitas independentemente do recurso.
09Direitos de auditoria
O Cliente tem o direito de auditar o cumprimento desta DPA pelo Fornecedor até uma (1) vez por ano, com 30 dias de aviso escrito, durante o horário de expediente, e de forma que não perturbe injustificadamente as operações do Fornecedor.
O Cliente suporta o custo da auditoria, exceto quando a auditoria revele incumprimento material desta DPA, caso em que o Fornecedor reembolsará os custos de auditoria razoáveis e documentados do Cliente.
O Cliente aceita que o Fornecedor pode satisfazer os requisitos de auditoria fornecendo relatórios de auditoria de terceiros recentes, certificações de sub-processadores e as medidas técnicas e organizativas documentadas, quando estas abordem adequadamente o âmbito de auditoria do Cliente.
10Notificação de Violação de Dados Pessoais
O Fornecedor notificará o Cliente de qualquer Violação de Dados Pessoais que afete os dados do Cliente sem demora injustificada e no prazo de 48 horas após ter conhecimento.
A notificação incluirá, na medida do então conhecido:
- Natureza da violação, incluindo categorias e número aproximado de titulares de dados e de registos afetados
- Consequências prováveis da violação
- Medidas tomadas ou propostas para tratar a violação e mitigar os possíveis efeitos adversos
- Ponto de contacto para mais informação
O Fornecedor cooperará com a investigação do Cliente e prestará assistência razoável no cumprimento das obrigações de notificação do Cliente ao abrigo dos artigos 33.º e 34.º do RGPD.
11Cessação, eliminação, devolução
Após a cessação da subscrição do Cliente:
- Período de recuperação de 30 dias — os dados do Cliente são preservados e a conta pode ser reativada mediante pedido escrito do Cliente.
- A partir do dia 31: fase de eliminação — os Dados Pessoais são eliminados dos sistemas de produção num prazo adicional de 30 dias. Tempo total decorrido da cessação até à eliminação completa: 60 dias.
- Cópias de segurança — os Dados Pessoais podem persistir nas cópias de recuperação point-in-time do Cloudflare D1 por até 30 dias adicionais, após os quais ficam irrecuperáveis. Os dados de backup não são acessíveis operacionalmente e são sobrescritos na janela rotativa de PITR.
O Cliente pode pedir a devolução dos Dados Pessoais em formato legível por máquina (exportação JSON/CSV) em qualquer momento durante o período de recuperação de 30 dias.
O Fornecedor prestará confirmação escrita da eliminação mediante pedido.
12Responsabilidade
A responsabilidade do Fornecedor ao abrigo desta DPA rege-se pelo contrato de serviço principal entre as partes. Na ausência de um quadro de responsabilidade separado, a responsabilidade total por qualquer reclamação decorrente desta DPA está limitada às taxas pagas pelo Cliente ao Fornecedor nos 12 meses anteriores ao evento que dá origem à reclamação, exceto quando tal limitação seja proibida pelo RGPD ou outra lei imperativa (em particular o artigo 82.º do RGPD — o direito dos titulares dos dados a indemnização).
13Alterações a esta DPA
O Fornecedor pode atualizar esta DPA para refletir alterações operacionais, regulatórias ou legais. Alterações materiais — ou seja, alterações que afetem materialmente os direitos do Cliente ou as obrigações do Fornecedor — serão notificadas por email aos clientes pagos existentes com pelo menos 30 dias de antecedência. A utilização continuada da plataforma SaaS de auditoria pelo Cliente após a data de eficácia constitui aceitação.
Se o Cliente se opuser a uma alteração material, pode cessar os serviços afetados com reembolso pro-rata das taxas pré-pagas.
14Lei aplicável e foro
Esta DPA rege-se pela lei portuguesa e pelo RGPD. Os tribunais competentes de Portugal têm jurisdição exclusiva sobre qualquer litígio decorrente desta DPA, sem prejuízo do direito dos titulares dos dados de apresentarem reclamações junto da sua autoridade de controlo ou de procurarem recurso judicial ao abrigo dos artigos 77.º a 79.º do RGPD.
15Anexo: Medidas técnicas e organizativas
As medidas técnicas e organizativas aplicadas pelo Fornecedor para proteger Dados Pessoais estão documentadas na página de Segurança e fazem parte desta DPA por referência. Destaques para as medidas do lado do subcontratante:
- HTTPS imposto com HSTS preload (max-age de 1 ano, includeSubDomains, pronto para preload)
- Cifragem em repouso por predefinição da Cloudflare para D1, KV, R2
- Autenticação sem palavra-passe (magic links — sem palavras-passe armazenadas)
- Autenticação multifator comprometida para utilizadores SaaS no 3.º trimestre de 2026
- Tokens de sessão — duração renovável de 7 dias
- Trilho de auditoria — retenção de IP de 90 dias para atividade de conta SaaS
- Cópia de segurança — recuperação point-in-time do Cloudflare D1, 30 dias rotativos
- Objetivos de recuperação — RTO 24 horas, RPO 24 horas; teste anual documentado de recuperação de desastres
- Gestão de vulnerabilidades — CVEs críticos corrigidos em 30 dias; revisão de rotina trimestral
- Resposta a incidentes — notificação em 72 horas à autoridade de controlo e aos clientes afetados ao abrigo dos artigos 33.º–34.º