DiagnosticMind
Assessments Scorecards Audit Engine
Manifesto Method About
Insights Contact
EN PT
Como os dados pessoais são tratados

Política de Privacidade

Última atualização: 11 de Julho de 2026 · Versão 1.1

A DiagnosticMind opera em setores regulados onde a conformidade é o mínimo, não o feito. Esta página existe para tornar legível a realidade operacional de como esta plataforma trata dados pessoais — não para encenar teatro de conformidade. O detalhe abaixo é o protocolo real.

Nesta página

  1. Identidade e responsável pelo tratamento
  2. Que dados são recolhidos, e porquê
  3. Matriz de base legal
  4. Sub-processadores
  5. Transferências internacionais
  6. Cookies e analítica
  7. Os seus direitos
  8. Segurança
  9. Tratamento por IA
  10. Alterações a esta política
  11. Riscos residuais reconhecidos

01Identidade e responsável pelo tratamento

O responsável pelo tratamento dos dados pessoais tratados por este website e pela plataforma SaaS de auditoria é:

Nome legalPaulo Fernando Marques Ramada (Empresário em Nome Individual)
NIF193385902
País de estabelecimentoPortugal
Morada fiscalDisponível a pedido a contactos comerciais verificados
Contacto principalcontact@diagnosticmind.eu
Contacto de proteção de dadosprivacy@diagnosticmind.eu
DesignaçãoContacto de Proteção de Dados (não Encarregado de Proteção de Dados — um Empresário em Nome Individual a solo não pode ser operacionalmente independente de si próprio, pelo que se usa a designação honesta e igualmente credível)

O responsável está estabelecido na União Europeia; não é exigido representante ao abrigo do artigo 27.º.

02Que dados são recolhidos, e porquê

2.1 Avaliações e scorecards públicos (funil anónimo)

CategoriaRecolhidoRetençãoBase legal
Endereço de email (apenas se optar por receber resultados)Opcional24 meses a partir da recolhaConsentimento — Art. 6(1)(a)
Respostas da avaliaçãoSimGuardadas apenas como dados anonimizados de benchmark — nenhum email, nome ou outro identificador é conservado com as respostas (removido no servidor). Retidas indefinidamente como input agregado de benchmark.Interesse legítimo — conjunto de dados de benchmark (Art. 6(1)(f))
Endereço IP (logs da Cloudflare)Sim30 dias (predefinição da Cloudflare)Interesse legítimo — segurança (Art. 6(1)(f))
Fingerprint de browser ou dispositivoNão — o Cloudflare Web Analytics é sem cookiesN/AN/A

2.2 Plataforma SaaS de auditoria — contas de utilizador

CategoriaRecolhidoRetençãoBase legal
Endereço de emailSimDuração da conta + 6 meses após encerramentoExecução de contrato — Art. 6(1)(b)
Nome (se fornecido)OpcionalDuração da conta + 6 meses após encerramentoExecução de contrato
Tokens de magic linkTransitório15 minutos no máximoExecução de contrato
Tokens de sessãoSim7 dias renováveisExecução de contrato
Endereço IP (trilho de auditoria)Sim90 diasObrigação legal + interesse legítimo

2.3 Conteúdo de auditoria SaaS — alta sensibilidade

Quando os clientes SaaS usam a plataforma de auditoria, o conteúdo de auditoria que introduzem (constatações, evidências, não-conformidades, ações corretivas, nomes de pessoas auditadas, dados de terceiros referidos em auditorias) é tratado por conta deles. O cliente é o responsável pelo tratamento desses dados; a DiagnosticMind é o subcontratante. Os termos do tratamento regem-se pelo Adenda de Tratamento de Dados.

CategoriaRetençãoBase legal
Constatações, evidências, NCs, ACs de auditoriaDuração da conta + 6 meses após cancelamento (30 dias de recuperação + 30 dias de eliminação total)Execução de contrato (como subcontratante) — Art. 6(1)(b) + Art. 28
Nomes de pessoas auditadas (no conteúdo de auditoria)IgualO cliente é responsável pelo tratamento; o fornecedor é subcontratante
Dados de terceiros referidos em auditoriasIgualO cliente é responsável pelo tratamento
Uma Adenda de Tratamento de Dados assinada é um pré-requisito, não uma formalidade, antes de os clientes SaaS carregarem dados de auditoria. Sem ela, ambas as partes estão em incumprimento do artigo 28.º do RGPD.

2.4 Categorias especiais de dados (artigo 9.º do RGPD)

Não são recolhidas intencionalmente categorias especiais de dados. Se o conteúdo de auditoria carregado pelos clientes SaaS incluir dados de saúde, penais ou outros do artigo 9.º de terceiros, o cliente (como responsável pelo tratamento) é responsável pela base legal do artigo 9.º. Esta responsabilidade é tornada explícita na Adenda de Tratamento de Dados.

03Matriz de base legal

AtividadeBase legalArtigo do RGPD
Pontuação de avaliação públicaInteresse legítimoArt. 6(1)(f)
Captura de email para resultados de avaliaçãoConsentimentoArt. 6(1)(a)
Envio de newsletterConsentimentoArt. 6(1)(a)
Gestão de conta SaaSExecução de contratoArt. 6(1)(b)
Conteúdo de auditoria SaaS (como subcontratante)Execução de contratoArt. 6(1)(b) + Art. 28
Registo de segurança (endereços IP)Interesse legítimoArt. 6(1)(f)
Conjunto de dados de benchmark (anonimizado)Interesse legítimoArt. 6(1)(f)
Tratamento por IA das respostas (ponderação de interesse legítimo substancialmente considerada — a documentação formal da LIA é diferida para revisão jurídica)Interesse legítimoArt. 6(1)(f)

04Sub-processadores

Os dados pessoais são partilhados apenas com os sub-processadores abaixo, cada um vinculado por acordo escrito que inclui obrigações de confidencialidade e segurança. Todas as transferências fora da UE assentam nas Cláusulas Contratuais-Tipo combinadas com o EU-US Data Privacy Framework.

Fornecedor Serviço Região Mecanismo de transferência DPA
Cloudflare, Inc. Workers, D1, KV, R2, Pages, Web Analytics (sem cookies) Edge global (sede nos EUA) SCC + EU-US Data Privacy Framework cloudflare.com
Anthropic, PBC Claude API (Sonnet 4.6) — inferência de IA para narrativas de avaliação, sugestões de auditoria, chat de especialista EUA SCC + EU-US Data Privacy Framework anthropic.com
Resend, Inc. Email transacional (magic links, resultados de avaliação) EUA SCC + EU-US Data Privacy Framework resend.com

Anthropic — factos adicionais. É usado o tier Standard API. As entradas e saídas enviadas para a Anthropic API não são usadas para treinar os modelos da Anthropic, de acordo com os Termos Comerciais da Anthropic. A retenção predefinida é de 30 dias para monitorização de abuso. A Retenção Zero de Dados está disponível a pedido para clientes enterprise e será acionada no primeiro contrato SaaS pago que a exija.

Notificação de alteração de sub-processadores. Qualquer alteração a esta lista será notificada por email aos clientes pagos existentes e atualizada na página da Adenda de Tratamento de Dados pelo menos 30 dias antes de o novo sub-processador entrar em funcionamento.

05Transferências internacionais

A Cloudflare, a Anthropic e a Resend são fornecedores sediados nos EUA. Todas as transferências assentam nas Cláusulas Contratuais-Tipo da Comissão Europeia (Módulo 2 — responsável para subcontratante), complementadas pelo EU-US Data Privacy Framework, onde o fornecedor está certificado ao abrigo do DPF. Material de avaliação de impacto da transferência está disponível a pedido para clientes enterprise.

O EU-US Data Privacy Framework mantém-se válido: o Tribunal Geral da UE confirmou-o em 3 de setembro de 2025 (Latombe c. Comissão, T-553/23). Está pendente um recurso para o Tribunal de Justiça da UE (C-703/25 P, interposto em 31 de outubro de 2025). Como as Cláusulas Contratuais-Tipo são o mecanismo de transferência principal aqui utilizado — com o Data Privacy Framework como complemento e não como base única — as transferências mantêm-se lícitas independentemente do resultado do recurso. Os desenvolvimentos são monitorizados.

06Cookies e analítica

Esta plataforma não usa cookies de publicidade de terceiros, cookies de analítica de terceiros, nem qualquer rastreio que exija um banner de consentimento de cookies. A única analítica é o Cloudflare Web Analytics, que é sem cookies e agrega o tráfego no edge sem armazenar fingerprints de browser.

Cookies funcionais (ou armazenamento local equivalente) são usados apenas pela plataforma SaaS de auditoria para continuidade da sessão de autenticação. São estritamente necessários ao funcionamento da plataforma e não estão sujeitos a consentimento ao abrigo da isenção do artigo 5.º(3) da Diretiva ePrivacy.

07Os seus direitos

Ao abrigo do RGPD, tem o direito de:

  • Aceder aos seus dados pessoais (Art. 15)
  • Retificar dados inexatos (Art. 16)
  • Apagar — pedir a eliminação (Art. 17)
  • Limitar o tratamento (Art. 18)
  • Portabilidade dos dados que forneceu (Art. 20)
  • Opor-se ao tratamento baseado em interesse legítimo (Art. 21)
  • Retirar o consentimento a qualquer momento, quando o tratamento se baseie em consentimento (Art. 7(3))

Como exercer os seus direitos

Envie o seu pedido para privacy@diagnosticmind.eu. O tempo de resposta é de 30 dias a contar da receção de um pedido válido, prorrogável por 60 dias para pedidos complexos com notificação ao abrigo do artigo 12.º(3).

Verificação de identidade

  • Se for titular de conta SaaS, envie o pedido a partir do email registado na conta.
  • Se não for titular de conta, é exigido um documento de identificação oficial para verificar o pedido. O documento é eliminado imediatamente após a verificação. A correspondência de verificação é retida durante 12 meses para trilho de auditoria.

Direito de apresentar reclamação

A autoridade de controlo principal é a Comissão Nacional de Proteção de Dados (CNPD) em Portugal. Mantém o direito de apresentar reclamação junto da CNPD ou da sua autoridade de controlo local — cnpd.pt.

08Segurança

As medidas técnicas e organizativas que protegem os dados pessoais estão documentadas na página de Segurança. Destaques:

  • HTTPS imposto com HSTS preload
  • Cifragem em repouso por predefinição da Cloudflare para D1, KV, R2
  • Autenticação sem palavra-passe (magic links — sem palavras-passe armazenadas)
  • Notificação de violação em 72 horas à autoridade e aos clientes afetados, ao abrigo dos artigos 33.º e 34.º

09Tratamento por IA

As funcionalidades de IA da plataforma estão documentadas em detalhe na página de Governação de IA. Resumo relevante para o tratamento de dados:

  • O modelo usado é o Claude Sonnet 4.6, acedido via Anthropic Standard API.
  • As entradas e saídas não são usadas para treinar os modelos da Anthropic.
  • Todas as sugestões de IA na plataforma de auditoria são revisíveis, editáveis, e as decisões finais são tomadas pelo auditor-líder humano — nunca aplicadas automaticamente.
  • Autoclassificação ao abrigo do EU AI Act: Risco Limitado (aplicam-se as obrigações de transparência do artigo 50.º a partir de 2 de agosto de 2026).

10Alterações a esta política

Esta política é versionada. Alterações materiais — ou seja, alterações que afetem a base legal, a retenção, os sub-processadores ou os seus direitos — serão notificadas por email aos clientes pagos existentes com pelo menos 30 dias de antecedência e refletidas na data de atualização no topo desta página. Alterações editoriais não-materiais (clarificações, correção de erros) são feitas silenciosamente.

11Riscos residuais reconhecidos

Para total transparência:

  • Uma Avaliação de Impacto sobre a Proteção de Dados formal está comprometida antes do primeiro cliente SaaS pago. Ainda não está concluída porque conduzi-la sem clientes ativos assentaria em padrões de tratamento hipotéticos.
  • Documentação legal revista por advogado está comprometida no primeiro contrato enterprise. As páginas atuais são defensáveis com o melhor esforço — exatas, ponderadas e refletindo a realidade operacional, mas ainda não revistas por assessoria jurídica externa.
  • Registos formais das Atividades de Tratamento (artigo 30.º) e uma Avaliação de Interesse Legítimo documentada estão comprometidos no primeiro contrato enterprise. A análise substantiva subjacente a ambos foi realizada; apenas a documentação formal é diferida.

Estes residuais são aceites conscientemente, não ocultados.

Última atualização 11 de Julho de 2026 · Versão 1.1 Privacidade · Processamento de Dados · Governação de IA · Segurança
DiagnosticMind
Assessments Scorecards Audit Engine
Manifesto Method About
Newsletter Contact
© 2026 DiagnosticMind
Privacy Data Processing AI Governance Security