Privacy Policy

A presente Política de Privacidade (a "Política") tem por objeto:

• Explicar como é que a Mena.ai, enquanto Subcontratante, trata os Dados Pessoais dos Pacientes em nome e por conta do Cliente, sem prejuízo do disposto na Adenda relativa ao Tratamento de Dados Pessoais (cf. DPA, Anexo II dos T&C);
• Informar o Cliente e os Utilizadores Autorizados sobre como é que a Mena.ai, enquanto Responsável pelo Tratamento, trata os respetivos Dados Pessoais para fins de gestão da Conta de Utilizador, faturação e comunicações de serviço;
• Demonstrar o compromisso da Mena.ai com a proteção de Dados Pessoais, em conformidade com a Lei Aplicável;
• Facilitar o cumprimento, pelo Cliente, dos seus deveres de informação perante os Pacientes, através de um enquadramento transparente sobre as práticas da Mena.ai relativas ao Tratamento de Dados Pessoais.

A Política aplica-se às operações de tratamento de Dados Pessoais realizadas pela Mena.ai no contexto do Serviço prestado aos seus Clientes, regulado pelos Termos e Condições de Utilização da Plataforma ("T&C"), em conformidade com as melhores práticas da indústria, com o Regulamento (UE) 2016/679, de 27 de abril de 2016 ("RGPD") e com a Lei n.º 58/2019, de 8 de agosto.

Os termos iniciados por letra maiúscula utilizados na presente Política e que não se encontrem aqui definidos têm o significado que lhes é atribuído nos Termos e Condições de Utilização da Plataforma Mena.ai.

A presente Política abrange dois regimes de tratamento distintos:

1. Enquanto Responsável pelo Tratamento, a Mena.ai trata os Dados Pessoais do Cliente e dos Utilizadores Autorizados nos termos da Secção 3.1.;
2. Enquanto Subcontratante, o tratamento de Dados Pessoais dos Pacientes rege-se pelo disposto na Adenda relativa ao Tratamento de Dados Pessoais (DPA, Anexo II dos T&C). A Mena.ai não estabelece qualquer relação contratual direta com os Pacientes, cabendo ao Cliente informá-los sobre o tratamento dos seus Dados Pessoais nos termos da Lei Aplicável.

Distinção fundamental: a Mena.ai não recolhe diretamente Dados Pessoais de Pacientes para finalidades próprias. Os Dados Clínicos são introduzidos pelo Utilizador Autorizado ou, quando a funcionalidade estiver disponível, diretamente pelo Paciente através da Plataforma, no âmbito da relação clínica estabelecida com o Utilizador Autorizado. Em qualquer caso, o Utilizador Autorizado é o Responsável pelo Tratamento desses dados e quem detém a relação clínica direta com os Pacientes. A Mena.ai trata esses dados unicamente por conta e sob instruções documentadas do Utilizador Autorizado, conforme regulado na DPA.

A Mena.ai, alinhada com as exigências decorrentes da Lei Aplicável, estrutura os seus compromissos através dos seguintes princípios fundamentais:

• Princípio da Licitude, Lealdade e Transparência: a Mena.ai garante que o tratamento de Dados Pessoais é alicerçado num dos fundamentos de licitude previstos na Lei Aplicável, sendo conduzido de forma transparente e respeitando os direitos e liberdades dos Titulares dos Dados.
• Princípio da Limitação das Finalidades: os Dados Pessoais são recolhidos exclusivamente para finalidades específicas, legítimas e pré-determinadas, não sendo objeto de operações de tratamento posteriores para fins incompatíveis com aqueles para os quais foram recolhidos.
• Princípio da Minimização de Dados: a Mena.ai trata apenas os Dados Pessoais estritamente necessários para as finalidades de tratamento definidas, assegurando que tais dados têm uma relação direta e proporcional com o Serviço.
• Princípio da Exatidão: a Mena.ai mantém os Dados Pessoais exatos e atualizados e, quando tal não se verifique, procede à sua retificação ou eliminação sem demora injustificada.
• Princípio da Limitação da Conservação: a Mena.ai conserva os Dados Pessoais apenas durante o período necessário às finalidades para as quais foram recolhidos, sendo definidos prazos específicos de conservação para cada categoria de dados, após os quais os dados são eliminados, pseudonimizados ou anonimizados, de forma a salvaguardar os direitos e liberdades fundamentais dos Titulares dos Dados.
• Princípio da Integridade e Confidencialidade: a Mena.ai, mediante a adoção de medidas técnicas e organizativas adequadas, assegura a integridade e confidencialidade dos Dados Pessoais, prevenindo o seu tratamento não autorizado, perda, destruição ou danificação acidental.
• Princípio da Responsabilidade: a Mena.ai implementa e mantém medidas técnicas e organizativas adequadas a demonstrar o cumprimento com os princípios anteriormente enunciados e com a Lei Aplicável, incorporando os requisitos de proteção de Dados Pessoais desde a conceção (Privacy by Design) e por defeito (Privacy by Default).

Enquanto Responsável pelo Tratamento, a Mena.ai implementa medidas técnicas e organizativas adequadas à proteção dos Dados Pessoais do Cliente e dos Utilizadores Autorizados, incluindo:

Enquanto Subcontratante, as medidas técnicas e organizativas implementadas pela Mena.ai encontram-se descritas na DPA (Anexo II dos T&C).

A Mena.ai reconhece a sensibilidade associada ao tratamento de Dados Pessoais por sistemas de Inteligência Artificial, especialmente no contexto da prestação de cuidados de saúde mental, e adota uma abordagem responsável e transparente, de acordo com as melhores práticas da indústria, para melhor proteger os Dados Pessoais dos seus Clientes e dos Pacientes.

Sem prejuízo dos direitos dos Titulares dos Dados, em particular do Direito ao Apagamento, a Mena.ai conserva os Dados Pessoais apenas durante o período estritamente necessário para a prossecução das finalidades para as quais foram recolhidos e tratados, ou pelo período mínimo exigido para o cumprimento de obrigações legais ou regulatórias aplicáveis. Findo tal período, os dados serão eliminados ou anonimizados de forma segura.

A tabela seguinte define os prazos de conservação e os critérios de eliminação aplicáveis a cada categoria de Dados Pessoais tratados pela Mena.ai na qualidade de Responsável pelo Tratamento:

A determinação dos prazos de conservação baseia-se nos seguintes critérios:

• Execução Contratual: Dados Pessoais necessários para a execução do contrato são mantidos enquanto a respetiva relação contratual subsistir, podendo, após o seu termo, ser conservados pelo período adicional necessário ao cumprimento de obrigações legais.
• Cumprimento de Obrigações Legais: Dados Pessoais necessários para cumprimento de obrigações legais são conservados pelos prazos legalmente aplicáveis.
• Prazos de Prescrição: os Dados Pessoais podem ser conservados pelo período necessário para a declaração, exercício ou defesa de direitos em processos judiciais, administrativos ou arbitrais.
• Backups e Cópias de Segurança: a eliminação dos dados em ambientes de produção não é simultânea à eliminação em cópias de segurança, que seguem um ciclo rotativo. Durante esse período, os dados presentes em backups são mantidos exclusivamente para efeitos de recuperação em caso de falha.

Findo o Período de Continuidade previsto na cláusula 17.2 dos T&C, os Dados Pessoais conservados pela Mena.ai destinam-se exclusivamente ao cumprimento de obrigações jurídicas próprias da Mena.ai (e.g., resposta a pedidos de autoridades competentes, defesa em juízo) e não a serviço ao Cliente. A recuperação destes dados, quando excecionalmente solicitada, fica sujeita à cláusula 17.2.5 dos T&C.

Os prazos de conservação aplicáveis aos Dados Pessoais dos Pacientes, tratados pela Mena.ai na qualidade de Subcontratante, encontram-se regulados na DPA (Anexo II dos T&C) e refletem, entre outras, as obrigações deontológicas de conservação de registos clínicos previstas pela Ordem dos Psicólogos Portugueses.

A Mena.ai não toma decisões com efeitos clínicos ou similares baseadas exclusivamente no tratamento automatizado de Dados Pessoais, nos termos do artigo 22.º do RGPD. As funcionalidades automatizadas e de IA Generativa integradas na Plataforma são instrumentais e estão sujeitas a supervisão humana obrigatória pelo Utilizador Autorizado, nos termos da cláusula 15 dos T&C. Em particular, a funcionalidade descrita na Secção 6.4 não constitui definição de perfis nem decisão automatizada na aceção do artigo 22.º do RGPD, na medida em que os seus resultados são meramente indicativos, estão sujeitos a validação humana obrigatória e a funcionalidade é desativável pelo Utilizador Autorizado.

A Mena.ai não realiza definição de perfis (profiling) sobre o Cliente, os Utilizadores Autorizados ou os Pacientes para fins comerciais, publicitários ou de tomada de decisão automatizada. As análises agregadas e estatísticas relativas à utilização da Plataforma são realizadas com base em dados pseudonimizados ou anonimizados.

Os Titulares dos Dados podem exercer os direitos descritos na Secção 8 através dos seguintes canais:

• Por correio eletrónico para privacy@mena-ai.pt;
• Por correio postal para a sede social da Mena.ai, indicada na Secção 19;
• Através das funcionalidades de gestão de Conta disponíveis na Plataforma, quando aplicável.

A Mena.ai responderá aos pedidos no prazo legal aplicável, podendo solicitar informação adicional para confirmar a identidade do requerente, sempre que tal se mostre necessário para a salvaguarda dos seus direitos.

O exercício de direitos é gratuito, salvo nos casos previstos no artigo 12.º, n.º 5, do RGPD, designadamente pedidos manifestamente infundados ou excessivos, em particular pelo seu carácter repetitivo.

Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, o Titular dos Dados tem o direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD), autoridade de controlo competente em Portugal, ou a outra autoridade de controlo competente do Estado-Membro da União Europeia onde resida ou trabalhe.

Recomenda-se que, antes de apresentar qualquer reclamação à CNPD, o Titular dos Dados nos contacte previamente através dos canais indicados na Secção 10, para tentarmos resolver a questão diretamente e com a maior celeridade possível.

Relativamente aos Dados Pessoais do Cliente e dos Utilizadores Autorizados tratados pela Mena.ai na qualidade de Responsável pelo Tratamento, as operações de tratamento têm lugar primariamente no Espaço Económico Europeu (EEE), através dos subcontratantes identificados no Anexo I-A.

Caso, excecionalmente, venha a ser necessária uma transferência para fora do EEE, a Mena.ai assegurará a existência de um mecanismo de transferência adequado nos termos do Capítulo V do RGPD, designadamente:

O Cliente pode solicitar informação sobre os mecanismos de transferência aplicáveis a cada subcontratante, bem como cópias dos instrumentos legais em vigor, através de privacy@mena-ai.pt.

Relativamente aos Dados Pessoais dos Pacientes, as condições e mecanismos aplicáveis a eventuais transferências internacionais encontram-se regulados na DPA (Anexo II dos T&C).

A Plataforma destina-se exclusivamente a profissionais de psicologia ou a entidades contratantes com capacidade jurídica plena, não sendo destinada a menores de 18 anos. A Mena.ai não recolhe diretamente Dados Pessoais de menores no âmbito da relação com o Cliente ou os Utilizadores Autorizados.

Quando o Paciente seja menor de idade, o consentimento dos representantes legais é exigido para o tratamento dos seus Dados Pessoais e, adicionalmente, em separado e expressamente, para a gravação de Sessões e a análise por sistemas de IA dos respetivos conteúdos. O Utilizador Autorizado é o único responsável pela recolha e documentação destes consentimentos.

Sempre que o Utilizador Autorizado, no exercício da sua atividade profissional, introduza na Plataforma Dados Pessoais de Pacientes menores de idade, é da sua exclusiva responsabilidade obter e documentar o consentimento dos respetivos representantes legais, nos termos do artigo 8.º do RGPD e da legislação aplicável, bem como cumprir os deveres deontológicos aplicáveis. As condições específicas aplicáveis ao tratamento destes dados pela Mena.ai, na qualidade de Subcontratante, encontram-se reguladas na DPA.

A Mena.ai realiza Avaliações de Impacto sobre a Proteção de Dados (AIPD) sempre que um tratamento, em particular com recurso a novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, nos termos do artigo 35.º do RGPD.

Quando, no âmbito da prestação do Serviço e da utilização de sistemas de IA Generativa, a Mena.ai realize Avaliações de Impacto sobre a Proteção de Dados (AIPD) nos termos do artigo 35.º do RGPD, mantém as mesmas documentadas e atualizadas, podendo, mediante pedido fundamentado, disponibilizar os respetivos sumários ao Cliente, sem prejuízo da preservação de informação coberta por segredo comercial ou direitos de propriedade intelectual.

Sem prejuízo das obrigações da Mena.ai enquanto Responsável pelo Tratamento, o Cliente reconhece e aceita que, na qualidade de Responsável pelo Tratamento dos Dados Pessoais dos Pacientes, lhe compete:

1. Informar os Pacientes, de forma clara, transparente e acessível, sobre o tratamento dos seus Dados Pessoais, incluindo a utilização da Plataforma e dos sistemas de IA, nos termos dos artigos 13.º e 14.º do RGPD;
2. Obter o consentimento informado, livre, específico e explícito dos Pacientes, sempre que tal seja exigível, designadamente para o tratamento de dados de saúde, gravação de sessões, análise de padrões emocionais e cognitivos nas transcrições (conforme descrito na Secção 6.4), devendo o consentimento para esta última funcionalidade cumprir os requisitos do artigo 9.º, n.º 2, alínea a), do RGPD;
3. Responder, nos prazos legais, aos pedidos de exercício de direitos formulados pelos Pacientes, com a assistência da Mena.ai prevista na DPA;
4. Manter os Dados Pessoais dos Pacientes exatos e atualizados, nos termos da Lei Aplicável e das normas deontológicas aplicáveis;
5. Notificar a Mena.ai, sem demora injustificada, de qualquer pedido relevante de Titular dos Dados ou autoridade de controlo que possa afetar o tratamento realizado pela Mena.ai.

A Mena.ai pode alterar a presente Política, nomeadamente para refletir alterações legislativas, regulatórias ou operacionais, comprometendo-se a notificar o Cliente das alterações relevantes com a antecedência razoável prevista nos T&C, através do endereço de correio eletrónico associado à Conta.

A versão atualizada da presente Política está permanentemente disponível em https://mena-ai.pt/pt/privacy/. Cada versão indica a data de entrada em vigor e o número de versão. O Cliente é responsável por consultar regularmente a versão em vigor.