Em conformidade com o RGPD (UE) 2016/679, o EU AI Act (UE) 2024/1689 e a legislação portuguesa aplicável
MENAHEALTH SOLUTIONS, Lda.
A Mena.ai trata dados de saúde — a categoria de Dados Pessoais mais sensível prevista no RGPD. Esta Política explica, de forma transparente e acessível, quais os dados que tratamos, com que fundamento, durante quanto tempo e quais os direitos de cada Titular dos Dados. Recomenda-se a sua leitura integral antes da utilização da Plataforma.
Parte I — Contexto e Enquadramento
1. OBJETO E FINALIDADES DA POLÍTICA
A presente Política de Privacidade (a "Política") tem por objeto:
- Explicar como é que a Mena.ai, enquanto Subcontratante, trata os Dados Pessoais dos Pacientes em nome e por conta do Cliente, sem prejuízo do disposto na Adenda relativa ao Tratamento de Dados Pessoais (cf. DPA, Anexo II dos T&C);
- Informar o Cliente e os Utilizadores Autorizados sobre como é que a Mena.ai, enquanto Responsável pelo Tratamento, trata os respetivos Dados Pessoais para fins de gestão da Conta de Utilizador, faturação e comunicações de serviço;
- Demonstrar o compromisso da Mena.ai com a proteção de Dados Pessoais, em conformidade com a Lei Aplicável;
- Facilitar o cumprimento, pelo Cliente, dos seus deveres de informação perante os Pacientes, através de um enquadramento transparente sobre as práticas da Mena.ai relativas ao Tratamento de Dados Pessoais.
A Política aplica-se às operações de tratamento de Dados Pessoais realizadas pela Mena.ai no contexto do Serviço prestado aos seus Clientes, regulado pelos Termos e Condições de Utilização da Plataforma ("T&C"), em conformidade com as melhores práticas da indústria, com o Regulamento (UE) 2016/679, de 27 de abril de 2016 ("RGPD") e com a Lei n.º 58/2019, de 8 de agosto.
Os termos iniciados por letra maiúscula utilizados na presente Política e que não se encontrem aqui definidos têm o significado que lhes é atribuído nos Termos e Condições de Utilização da Plataforma Mena.ai.
2. ÂMBITO DO TRATAMENTO
A presente Política abrange dois regimes de tratamento distintos:
- Enquanto Responsável pelo Tratamento, a Mena.ai trata os Dados Pessoais do Cliente e dos Utilizadores Autorizados nos termos da Secção 3.1.;
- Enquanto Subcontratante, o tratamento de Dados Pessoais dos Pacientes rege-se pelo disposto na Adenda relativa ao Tratamento de Dados Pessoais (DPA, Anexo II dos T&C). A Mena.ai não estabelece qualquer relação contratual direta com os Pacientes, cabendo ao Cliente informá-los sobre o tratamento dos seus Dados Pessoais nos termos da Lei Aplicável.
Distinção fundamental: a Mena.ai não recolhe diretamente Dados Pessoais de Pacientes para finalidades próprias. Os Dados Clínicos são introduzidos pelo Utilizador Autorizado ou, quando a funcionalidade estiver disponível, diretamente pelo Paciente através da Plataforma, no âmbito da relação clínica estabelecida com o Utilizador Autorizado. Em qualquer caso, o Utilizador Autorizado é o Responsável pelo Tratamento desses dados e quem detém a relação clínica direta com os Pacientes. A Mena.ai trata esses dados unicamente por conta e sob instruções documentadas do Utilizador Autorizado, conforme regulado na DPA.
2.1. Matriz de Funções
A tabela seguinte identifica, para cada função, as categorias de Dados Pessoais tratadas, as finalidades e o fundamento de licitude aplicável:
| Função | Categorias de Dados Pessoais | Finalidades | Fundamento de Licitude |
|---|---|---|---|
| Responsável pelo Tratamento | Dados de Identificação; Dados Profissionais; Dados de Faturação; Dados de Suporte e Comunicações; Dados Técnicos e de Utilização | Gestão Contratual; Prestação do Serviço; Cumprimento de Obrigações Legais; Segurança e Melhoria da Plataforma | Execução Contratual; Obrigação Legal; Interesse Legítimo; Consentimento (quando aplicável) |
| Subcontratante | Cf. DPA (Anexo II dos T&C) | Cf. DPA (Anexo II dos T&C) | Cf. DPA (Anexo II dos T&C) |
3. CATEGORIAS DE DADOS PESSOAIS E FINALIDADES DO TRATAMENTO
3.1. Dados do Cliente e dos Utilizadores Autorizados (Mena.ai como Responsável)
Enquanto Responsável pelo Tratamento, a Mena.ai trata as seguintes categorias de Dados Pessoais do Cliente e dos Utilizadores Autorizados, para as finalidades e com os fundamentos de licitude indicados:
| Categoria | Dados Concretos | Finalidade | Fundamento de Licitude |
|---|---|---|---|
| Dados de Identificação e Profissionais | Nome completo, data de nascimento, género, país de residência, contacto telefónico, qualificações, número de cédula profissional, título profissional | Registo, autenticação e verificação de elegibilidade | Execução Contratual; Obrigação Legal (verificação de cédula) |
| Dados de Conta | Endereço de correio eletrónico, palavra-passe (em formato hash), preferências de Conta | Acesso à Plataforma e gestão da Conta de Utilizador | Execução Contratual |
| Dados Fiscais e de Faturação | NIF, morada de faturação, dados de pagamento (tokenizados via prestador de pagamentos) | Faturação e cumprimento de obrigações fiscais e contabilísticas | Execução Contratual; Obrigação Legal |
| Dados da Clínica/Consultório | Denominação, morada, NIF da entidade contratante, quando aplicável | Gestão contratual de planos Enterprise | Execução Contratual |
| Dados Técnicos e de Utilização | Logs de acesso, funcionalidades utilizadas, frequência de uso, endereço IP, tipo de dispositivo, identificadores de sessão | Segurança da Plataforma, prevenção de fraude, melhoria do serviço e análise estatística agregada | Interesse Legítimo |
| Suporte e Comunicações | Conteúdo de comunicações trocadas com o suporte, pedidos de assistência | Prestação de suporte técnico e gestão da relação com o Cliente | Execução Contratual; Interesse Legítimo |
| Dados Recolhidos por Cookies | Conforme descrito na Secção 13 | Conforme descrito na Secção 13 | Consentimento; Interesse Legítimo (cookies essenciais) |
| Dados Recolhidos para Recrutamento | Nome, dados de contacto, histórico profissional e referências, quando aplicável | Avaliação de candidaturas a vagas na Mena.ai | Diligências pré-contratuais; Consentimento (conservação para futuras vagas) |
A disponibilização, pelo Cliente, dos Dados de Identificação, Profissionais, de Conta e de Faturação constitui requisito necessário à celebração e execução do contrato de prestação de serviços, sem o qual a Mena.ai fica impossibilitada de prestar o Serviço e de cumprir as obrigações legais a que está sujeita. Os dados de Suporte e Comunicações são fornecidos a título voluntário no contexto do relacionamento contratual, não sendo a sua ausência impeditiva da prestação do Serviço.
3.2. Dados dos Pacientes (Mena.ai como Subcontratante)
Enquanto Subcontratante, a Mena.ai trata, por conta e sob instruções documentadas do Utilizador Autorizado, os Dados Pessoais dos Pacientes (incluindo Dados Clínicos, Conteúdo Gerado por IA a partir destes, gravações de sessões, transcrições e demais dados constantes do Conteúdo do Utilizador). As finalidades, fundamentos de licitude, condições de tratamento e medidas de segurança aplicáveis encontram-se reguladas na Adenda relativa ao Tratamento de Dados Pessoais (DPA, Anexo II dos T&C).
Adicionalmente, a Mena.ai disponibiliza uma Aplicação para Pacientes, integrada com a Plataforma, que permite ao Paciente interagir com o Utilizador Autorizado, prestar consentimentos e gerir as suas preferências relativamente ao tratamento dos seus Dados Pessoais. O tratamento de Dados Pessoais no contexto desta aplicação realiza-se pela Mena.ai na qualidade de Subcontratante do Utilizador Autorizado, sendo regulado pela DPA (Anexo II dos T&C) e, quando aplicável, por avisos de privacidade específicos disponibilizados na própria aplicação.
O Utilizador Autorizado, na qualidade de Responsável pelo Tratamento, é quem determina as finalidades e os meios do tratamento dos Dados Pessoais dos Pacientes, sendo-lhe dirigíveis os pedidos de exercício de direitos pelos Titulares dos Dados nos termos dos artigos 15.º a 22.º do RGPD. A Mena.ai assiste o Utilizador Autorizado no cumprimento destas obrigações, nos termos do artigo 28.º, n.º 3, alíneas e) e f), do RGPD, conforme detalhado na DPA.
4. PRINCÍPIOS FUNDAMENTAIS
A Mena.ai, alinhada com as exigências decorrentes da Lei Aplicável, estrutura os seus compromissos através dos seguintes princípios fundamentais:
- Princípio da Licitude, Lealdade e Transparência: a Mena.ai garante que o tratamento de Dados Pessoais é alicerçado num dos fundamentos de licitude previstos na Lei Aplicável, sendo conduzido de forma transparente e respeitando os direitos e liberdades dos Titulares dos Dados.
- Princípio da Limitação das Finalidades: os Dados Pessoais são recolhidos exclusivamente para finalidades específicas, legítimas e pré-determinadas, não sendo objeto de operações de tratamento posteriores para fins incompatíveis com aqueles para os quais foram recolhidos.
- Princípio da Minimização de Dados: a Mena.ai trata apenas os Dados Pessoais estritamente necessários para as finalidades de tratamento definidas, assegurando que tais dados têm uma relação direta e proporcional com o Serviço.
- Princípio da Exatidão: a Mena.ai mantém os Dados Pessoais exatos e atualizados e, quando tal não se verifique, procede à sua retificação ou eliminação sem demora injustificada.
- Princípio da Limitação da Conservação: a Mena.ai conserva os Dados Pessoais apenas durante o período necessário às finalidades para as quais foram recolhidos, sendo definidos prazos específicos de conservação para cada categoria de dados, após os quais os dados são eliminados, pseudonimizados ou anonimizados, de forma a salvaguardar os direitos e liberdades fundamentais dos Titulares dos Dados.
- Princípio da Integridade e Confidencialidade: a Mena.ai, mediante a adoção de medidas técnicas e organizativas adequadas, assegura a integridade e confidencialidade dos Dados Pessoais, prevenindo o seu tratamento não autorizado, perda, destruição ou danificação acidental.
- Princípio da Responsabilidade: a Mena.ai implementa e mantém medidas técnicas e organizativas adequadas a demonstrar o cumprimento com os princípios anteriormente enunciados e com a Lei Aplicável, incorporando os requisitos de proteção de Dados Pessoais desde a conceção (Privacy by Design) e por defeito (Privacy by Default).
Parte II — Segurança, IA Generativa e Conservação de Dados Pessoais
5. MEDIDAS TÉCNICAS E ORGANIZATIVAS
Enquanto Responsável pelo Tratamento, a Mena.ai implementa medidas técnicas e organizativas adequadas à proteção dos Dados Pessoais do Cliente e dos Utilizadores Autorizados, incluindo:
| Encriptação | Tratamento e transmissão de Dados Pessoais com recurso a mecanismos de encriptação adequados em trânsito e em repouso, em conformidade com as melhores práticas da indústria. |
|---|---|
| Controlo de Acessos | Acesso aos Dados Pessoais nos sistemas internos restrito, por função, às equipas com necessidade operacional justificada, com contas nominativas e revogação imediata em caso de cessação de funções. |
| Autenticação Multifator (MFA) | Autenticação multifator obrigatória para acessos administrativos e disponibilizada aos Utilizadores Autorizados, com revogação imediata em caso de cessação de funções. |
| Registos de Auditoria (Logs) | Manutenção de registos de acesso e alteração nos sistemas onde os Dados Pessoais são armazenados, em conformidade com as funcionalidades de auditoria disponibilizadas pelos subcontratantes relevantes. |
| Pseudonimização | Pseudonimização de Dados Pessoais sempre que adequado, com mecanismos que limitam a associação a Titulares dos Dados específicos. |
| Segregação entre Regimes | Dados Pessoais tratados no âmbito do papel de Responsável pelo Tratamento mantidos em sistemas separados dos dados tratados no âmbito do papel de Subcontratante, prevenindo acesso cruzado entre os dois regimes de tratamento. |
| Gestão de Vulnerabilidades | Monitorização contínua, atualização periódica de componentes e testes de segurança regulares. |
| Resposta a Incidentes | Plano documentado de resposta a incidentes de segurança, incluindo procedimentos de deteção, contenção, erradicação, recuperação e notificação. |
| Cópias de Segurança | Realização periódica de cópias de segurança em ambientes seguros, com ciclo de rotação definido, exclusivamente para efeitos de recuperação em caso de falha. |
| Privacy by Design e Privacy by Default | Integração dos requisitos de proteção de dados desde a conceção e por defeito, incluindo minimização de dados, conservação limitada e controlos granulares disponibilizados ao utilizador. |
| Confidencialidade | Vinculação contratual de todos os colaboradores e prestadores de serviços a obrigações de confidencialidade, subsistentes para além da cessação da relação contratual. |
| Formação e Sensibilização | Formação obrigatória, na admissão e periódica, dos colaboradores com acesso a Dados Pessoais, em matérias de proteção de dados e segurança da informação. |
| Relação com Subcontratantes | Seleção de subcontratantes com avaliação prévia das práticas de segurança e formalização de acordos de tratamento nos termos do artigo 28.º do RGPD; preferência por tratamento primário no Espaço Económico Europeu (EEE); transferências para fora do EEE cobertas por mecanismos legais aprovados. |
Enquanto Subcontratante, as medidas técnicas e organizativas implementadas pela Mena.ai encontram-se descritas na DPA (Anexo II dos T&C).
6. INTERAÇÃO ENTRE DADOS PESSOAIS E FUNCIONALIDADES DE IA GENERATIVA
A Mena.ai reconhece a sensibilidade associada ao tratamento de Dados Pessoais por sistemas de Inteligência Artificial, especialmente no contexto da prestação de cuidados de saúde mental, e adota uma abordagem responsável e transparente, de acordo com as melhores práticas da indústria, para melhor proteger os Dados Pessoais dos seus Clientes e dos Pacientes.
6.1. Fluxo de Dados
A Mena.ai integra modelos de IA Generativa nas funcionalidades do Software, em particular para a produção e organização de documentação clínica, sínteses, análise de transcrições, transcrição de gravações para texto (Speech-to-Text) e demais funcionalidades descritas na Documentação. No âmbito do papel de Subcontratante, as condições de tratamento, medidas de segurança e garantias aplicáveis encontram-se reguladas na DPA. O tratamento de Dados Pessoais, no contexto das funcionalidades de IA Generativa, obedece, em síntese, ao seguinte fluxo:
- Input do Utilizador Autorizado: o Utilizador Autorizado interage com modelos de IA Generativa através de instruções (prompts), ao solicitar ações sobre conteúdos carregados ou ao iniciar workflows na Plataforma;
- Recuperação de Contexto: o sistema identifica e extrai os segmentos relevantes do Conteúdo do Utilizador, que são incorporados como contexto adicional no input submetido ao modelo;
- Transmissão Segura: o input estruturado é transmitido aos modelos de IA com recurso a mecanismos de encriptação adequados em trânsito;
- Geração do Resultado: o modelo processa o input recebido e gera uma resposta após o processamento, salvo nas condições previstas na cláusula 6.2.;
- Apresentação e Armazenamento: o Resultado é apresentado ao Utilizador Autorizado e armazenado no histórico da respetiva Conta de Utilizador.
6.2. Dados Pessoais para Treino de Modelos de IA Generativa
A Mena.ai não utiliza, por defeito, o Conteúdo do Utilizador para treino de modelos de IA Generativa.
Sem prejuízo do disposto no número anterior, mediante consentimento prévio, livre, específico e informado do Cliente, prestado pela respetiva direção ou representante legal devidamente habilitado, obtido em momento separado da aceitação dos T&C e através de mecanismo dedicado disponibilizado na Plataforma, a Mena.ai pode utilizar Conteúdo do Utilizador, em formato anonimizado, para fins de melhoria, treino, avaliação e desenvolvimento dos sistemas de inteligência artificial e demais funcionalidades da Plataforma. Quando o Conteúdo do Utilizador inclua Dados Pessoais dos Pacientes, aplicam-se cumulativamente as condições de licitude previstas na cláusula 14.3 da DPA, designadamente a anonimização prévia ou a obtenção de consentimento dos Pacientes nos termos aí descritos.
O consentimento abrange a recolha, anonimização e tratamento subsequente para os fins indicados, podendo ser retirado a qualquer momento, com efeitos para o futuro, sem afetar a licitude do tratamento já realizado nem os modelos já treinados com base nesse consentimento. O processo de anonimização aplica técnicas adequadas a impossibilitar a reidentificação dos Titulares dos Dados, em conformidade com as orientações do Comité Europeu para a Proteção de Dados.
O consentimento previsto nesta cláusula é distinto e separado de qualquer outro consentimento, designadamente do consentimento que o Cliente, na qualidade de Responsável pelo Tratamento, deve obter dos Pacientes para a recolha e tratamento dos respetivos Dados Pessoais. As condições aplicáveis ao tratamento de Dados Pessoais dos Pacientes para fins de treino encontram-se reguladas na DPA.
6.3. Utilização de Dados Públicos e Dados Anonimizados/Agregados
Dados Públicos e Dados de Utilização agregados e anonimizados podem ser utilizados pela Mena.ai para:
- Melhorar modelos de IA, nomeadamente para tarefas de classificação e extração de informação;
- Realizar avaliações internas de desempenho (benchmarking) para avaliar a qualidade dos modelos implementados;
- Realizar fine-tuning de modelos de IA, com vista a otimizar a sua precisão, relevância e capacidade de resposta.
6.4. Análise de Padrões Emocionais e Cognitivos na Transcrição
Em complemento à cláusula 15.4 dos T&C, a Plataforma poderá integrar funcionalidades de análise de padrões emocionais e de padrões cognitivos a partir da transcrição textual de sessões previamente gravadas pelo Utilizador Autorizado. O tratamento é realizado nas seguintes condições:
- Finalidade: apoio ao Utilizador Autorizado na identificação de indicadores de estados emocionais e de padrões cognitivos a partir do conteúdo textual da transcrição, como ferramenta auxiliar à prática clínica;
- Categorias de Dados: conteúdo textual da transcrição de sessões gravadas (Conteúdo do Utilizador), do qual são inferidos indicadores de estados emocionais — dados que podem constituir dados relativos à saúde na aceção do artigo 4.º, n.º 15, do RGPD;
- Fundamento de licitude: consentimento explícito do Paciente, nos termos do artigo 9.º, n.º 2, alínea a), do RGPD, a obter pelo Utilizador Autorizado previamente à ativação da funcionalidade;
- Natureza dos resultados: meramente indicativos, não constituindo diagnóstico clínico, sujeitos a validação obrigatória pelo Utilizador Autorizado;
- Limitações técnicas: esta análise não envolve análise de biomarcadores de voz, imagem facial ou outros dados biométricos;
- Desativação: o Utilizador Autorizado pode desativar esta análise a qualquer momento, por sessão ou globalmente, sem impacto nas restantes funcionalidades através do painel de definições da Plataforma ou, quando tal não seja possível, mediante contacto para support@mena-ai.pt;
- Conservação: os resultados são conservados como parte do Conteúdo do Utilizador, nos prazos definidos na DPA (Anexo II dos T&C).
O tratamento no âmbito desta análise é realizado integralmente no Espaço Económico Europeu (EEE), sem recurso a subcontratantes externos, nos termos da cláusula 15.4 dos T&C.
7. PRAZOS DE CONSERVAÇÃO DE DADOS PESSOAIS
Sem prejuízo dos direitos dos Titulares dos Dados, em particular do Direito ao Apagamento, a Mena.ai conserva os Dados Pessoais apenas durante o período estritamente necessário para a prossecução das finalidades para as quais foram recolhidos e tratados, ou pelo período mínimo exigido para o cumprimento de obrigações legais ou regulatórias aplicáveis. Findo tal período, os dados serão eliminados ou anonimizados de forma segura.
A tabela seguinte define os prazos de conservação e os critérios de eliminação aplicáveis a cada categoria de Dados Pessoais tratados pela Mena.ai na qualidade de Responsável pelo Tratamento:
| Categoria | Prazo de Conservação | Critério | Fundamento Legal |
|---|---|---|---|
| Dados de Identificação e Profissionais | 5 anos a contar da data de extinção da relação contratual | Prazo Prescricional | Art. 310.º do Código Civil |
| Dados de Conta | Período de vigência da Subscrição e da Conta em modo de leitura, nos termos da cláusula 17 dos T&C | Execução Contratual | Art. 6.º(1)(b) RGPD |
| Dados de Faturação | 10 anos após emissão de faturas | Cumprimento de Obrigações Legais | Art. 19.º do Decreto-Lei n.º 28/2019 |
| Dados Técnicos e de Utilização | 12 meses, salvo conservação adicional para investigação de incidentes | Interesse Legítimo (segurança da Plataforma) | Art. 6.º(1)(f) RGPD |
| Suporte e Comunicações | 5 anos a contar da data de extinção da relação contratual | Prazo Prescricional | Art. 310.º do Código Civil |
| Dados Recolhidos por Cookies | Conforme indicado na Secção 13 e na configuração de cada cookie | Consentimento ou Interesse Legítimo | Art. 6.º(1)(a) e (f) RGPD |
| Dados de Recrutamento | Duração do processo de recrutamento; 12 meses adicionais mediante consentimento | Diligências pré-contratuais; Consentimento | Art. 6.º(1)(b) e (a) RGPD |
A determinação dos prazos de conservação baseia-se nos seguintes critérios:
- Execução Contratual: Dados Pessoais necessários para a execução do contrato são mantidos enquanto a respetiva relação contratual subsistir, podendo, após o seu termo, ser conservados pelo período adicional necessário ao cumprimento de obrigações legais.
- Cumprimento de Obrigações Legais: Dados Pessoais necessários para cumprimento de obrigações legais são conservados pelos prazos legalmente aplicáveis.
- Prazos de Prescrição: os Dados Pessoais podem ser conservados pelo período necessário para a declaração, exercício ou defesa de direitos em processos judiciais, administrativos ou arbitrais.
- Backups e Cópias de Segurança: a eliminação dos dados em ambientes de produção não é simultânea à eliminação em cópias de segurança, que seguem um ciclo rotativo. Durante esse período, os dados presentes em backups são mantidos exclusivamente para efeitos de recuperação em caso de falha.
Findo o Período de Continuidade previsto na cláusula 17.2 dos T&C, os Dados Pessoais conservados pela Mena.ai destinam-se exclusivamente ao cumprimento de obrigações jurídicas próprias da Mena.ai (e.g., resposta a pedidos de autoridades competentes, defesa em juízo) e não a serviço ao Cliente. A recuperação destes dados, quando excecionalmente solicitada, fica sujeita à cláusula 17.2.5 dos T&C.
Os prazos de conservação aplicáveis aos Dados Pessoais dos Pacientes, tratados pela Mena.ai na qualidade de Subcontratante, encontram-se regulados na DPA (Anexo II dos T&C) e refletem, entre outras, as obrigações deontológicas de conservação de registos clínicos previstas pela Ordem dos Psicólogos Portugueses.
Parte III — Direitos dos Titulares
8. DIREITOS DO CLIENTE E DOS UTILIZADORES AUTORIZADOS
8.1. Direitos Aplicáveis
Nos termos do RGPD e da Lei Aplicável, o Cliente e os Utilizadores Autorizados, na qualidade de Titulares dos Dados Pessoais tratados pela Mena.ai como Responsável pelo Tratamento, têm os seguintes direitos:
- Direito de Informação (Arts. 13.º e 14.º RGPD): receber informação clara e transparente sobre o tratamento dos seus Dados Pessoais, finalidades, fundamentos de licitude, prazos de conservação e demais elementos previstos na lei.
- Direito de Acesso (Art. 15.º RGPD): obter confirmação sobre o tratamento dos seus Dados Pessoais e aceder a tais dados, bem como às informações relacionadas com o tratamento.
- Direito de Retificação (Art. 16.º RGPD): solicitar a retificação de Dados Pessoais inexatos ou incompletos.
- Direito ao Apagamento (Art. 17.º RGPD): solicitar o apagamento dos seus Dados Pessoais, sem prejuízo das obrigações legais de conservação que sobre a Mena.ai impendam.
- Direito à Limitação do Tratamento (Art. 18.º RGPD): solicitar a limitação do tratamento dos seus Dados Pessoais nas situações previstas na lei.
- Direito à Portabilidade dos Dados (Art. 20.º RGPD): receber os seus Dados Pessoais num formato estruturado, de uso corrente e leitura automática, e transmiti-los a outro Responsável pelo Tratamento, quando aplicável.
- Direito de Oposição (Art. 21.º RGPD): opor-se ao tratamento dos seus Dados Pessoais quando este se baseie em interesse legítimo, bem como em qualquer momento, ao tratamento para fins de marketing direto.
- Direito de Não Sujeição a Decisões Automatizadas (Art. 22.º RGPD): não ficar sujeito a decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos na sua esfera clínica ou que o afetem significativamente de forma similar.
- Direito de Retirar o Consentimento (Art. 7.º(3) RGPD): nas situações em que o tratamento se baseie no consentimento, retirá-lo a qualquer momento, sem afetar a licitude do tratamento já realizado.
- Direito de Reclamação (Art. 77.º RGPD): apresentar reclamação à autoridade de controlo competente, conforme indicado na Secção 11.
Os Pacientes são, igualmente, titulares dos direitos previstos nos artigos 15.º a 22.º do RGPD relativamente aos seus Dados Pessoais. Uma vez que, quanto aos dados do Paciente, a Mena.ai atua como Subcontratante do Utilizador Autorizado (Responsável pelo Tratamento), os pedidos de exercício de direitos são dirigidos diretamente ao Utilizador Autorizado, cabendo a este responder nos prazos e termos legais. A Mena.ai assiste o Utilizador Autorizado no cumprimento destas obrigações, nos termos do artigo 28.º, n.º 3, alíneas e) e f), do RGPD, conforme detalhado na DPA.
9. DECISÕES AUTOMATIZADAS E DEFINIÇÃO DE PERFIS
A Mena.ai não toma decisões com efeitos clínicos ou similares baseadas exclusivamente no tratamento automatizado de Dados Pessoais, nos termos do artigo 22.º do RGPD. As funcionalidades automatizadas e de IA Generativa integradas na Plataforma são instrumentais e estão sujeitas a supervisão humana obrigatória pelo Utilizador Autorizado, nos termos da cláusula 15 dos T&C. Em particular, a funcionalidade descrita na Secção 6.4 não constitui definição de perfis nem decisão automatizada na aceção do artigo 22.º do RGPD, na medida em que os seus resultados são meramente indicativos, estão sujeitos a validação humana obrigatória e a funcionalidade é desativável pelo Utilizador Autorizado.
A Mena.ai não realiza definição de perfis (profiling) sobre o Cliente, os Utilizadores Autorizados ou os Pacientes para fins comerciais, publicitários ou de tomada de decisão automatizada. As análises agregadas e estatísticas relativas à utilização da Plataforma são realizadas com base em dados pseudonimizados ou anonimizados.
10. COMO EXERCER OS DIREITOS
Os Titulares dos Dados podem exercer os direitos descritos na Secção 8 através dos seguintes canais:
- Por correio eletrónico para privacy@mena-ai.pt;
- Por correio postal para a sede social da Mena.ai, indicada na Secção 19;
- Através das funcionalidades de gestão de Conta disponíveis na Plataforma, quando aplicável.
A Mena.ai responderá aos pedidos no prazo legal aplicável, podendo solicitar informação adicional para confirmar a identidade do requerente, sempre que tal se mostre necessário para a salvaguarda dos seus direitos.
O exercício de direitos é gratuito, salvo nos casos previstos no artigo 12.º, n.º 5, do RGPD, designadamente pedidos manifestamente infundados ou excessivos, em particular pelo seu carácter repetitivo.
11. DIREITO DE RECLAMAÇÃO À AUTORIDADE DE CONTROLO
Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, o Titular dos Dados tem o direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD), autoridade de controlo competente em Portugal, ou a outra autoridade de controlo competente do Estado-Membro da União Europeia onde resida ou trabalhe.
| Autoridade | Comissão Nacional de Proteção de Dados (CNPD) |
|---|---|
| Morada | Av. D. Carlos I, n.º 134, 1.º, 1200-651 Lisboa |
| Website | www.cnpd.pt |
| Correio eletrónico | geral@cnpd.pt |
Recomenda-se que, antes de apresentar qualquer reclamação à CNPD, o Titular dos Dados nos contacte previamente através dos canais indicados na Secção 10, para tentarmos resolver a questão diretamente e com a maior celeridade possível.
Parte IV — Informações Complementares
12. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS PESSOAIS
Relativamente aos Dados Pessoais do Cliente e dos Utilizadores Autorizados tratados pela Mena.ai na qualidade de Responsável pelo Tratamento, as operações de tratamento têm lugar primariamente no Espaço Económico Europeu (EEE), através dos subcontratantes identificados no Anexo I-A.
Caso, excecionalmente, venha a ser necessária uma transferência para fora do EEE, a Mena.ai assegurará a existência de um mecanismo de transferência adequado nos termos do Capítulo V do RGPD, designadamente:
| Decisão de Adequação | País terceiro reconhecido pela Comissão Europeia como garantindo nível de proteção adequado. |
|---|---|
| Cláusulas Contratuais-Tipo | Decisão de Execução (UE) 2021/914 da Comissão Europeia, na sua versão aplicável, com adoção dos módulos relevantes em função da relação entre as partes. |
| Regras Vinculativas Aplicáveis às Empresas (BCR) | Aprovadas pela autoridade supervisora competente para grupos multinacionais. |
| EU-U.S. Data Privacy Framework (DPF) | Quando aplicável a subcontratantes certificados nos Estados Unidos da América. |
O Cliente pode solicitar informação sobre os mecanismos de transferência aplicáveis a cada subcontratante, bem como cópias dos instrumentos legais em vigor, através de privacy@mena-ai.pt.
Relativamente aos Dados Pessoais dos Pacientes, as condições e mecanismos aplicáveis a eventuais transferências internacionais encontram-se regulados na DPA (Anexo II dos T&C).
13. COOKIES E TECNOLOGIAS DE RASTREAMENTO
13.1. Tipos de Cookies Utilizados
A Plataforma utiliza cookies e tecnologias de rastreamento equivalentes para garantir o seu funcionamento, melhorar a experiência do Utilizador Autorizado e analisar a sua utilização. As categorias de cookies utilizadas são:
| Categoria | Finalidade | Fundamento de Licitude |
|---|---|---|
| Essenciais (estritamente necessários) | Autenticação, segurança de sessão, preferências básicas. Sem estes cookies a Plataforma não funciona. | Interesse Legítimo / Execução Contratual |
| Funcionais | Memorizar preferências do Utilizador Autorizado (idioma, configurações de interface) entre sessões. | Consentimento |
| Analíticos | Compreender como a Plataforma é utilizada, com base em dados pseudonimizados e analisados de forma agregada, com vista à melhoria do Serviço. | Consentimento |
| Marketing | Quando aplicável, exibir comunicações personalizadas através de plataformas terceiras. Apenas ativados mediante consentimento prévio e explícito. | Consentimento |
13.2. Gestão do Consentimento
Aquando do primeiro acesso à Plataforma, o Utilizador Autorizado é informado sobre a utilização de cookies e dispõe de mecanismos para aceitar, recusar ou personalizar a sua utilização, exceto quanto aos cookies estritamente necessários, cuja recusa impossibilita a utilização da Plataforma.
O Utilizador Autorizado pode, a qualquer momento, alterar as suas preferências de cookies através do painel de configurações da Plataforma ou das definições do seu navegador.
14. DADOS DE MENORES
A Plataforma destina-se exclusivamente a profissionais de psicologia ou a entidades contratantes com capacidade jurídica plena, não sendo destinada a menores de 18 anos. A Mena.ai não recolhe diretamente Dados Pessoais de menores no âmbito da relação com o Cliente ou os Utilizadores Autorizados.
Quando o Paciente seja menor de idade, o consentimento dos representantes legais é exigido para o tratamento dos seus Dados Pessoais e, adicionalmente, em separado e expressamente, para a gravação de Sessões e a análise por sistemas de IA dos respetivos conteúdos. O Utilizador Autorizado é o único responsável pela recolha e documentação destes consentimentos.
Sempre que o Utilizador Autorizado, no exercício da sua atividade profissional, introduza na Plataforma Dados Pessoais de Pacientes menores de idade, é da sua exclusiva responsabilidade obter e documentar o consentimento dos respetivos representantes legais, nos termos do artigo 8.º do RGPD e da legislação aplicável, bem como cumprir os deveres deontológicos aplicáveis. As condições específicas aplicáveis ao tratamento destes dados pela Mena.ai, na qualidade de Subcontratante, encontram-se reguladas na DPA.
15. AVALIAÇÕES DE IMPACTO SOBRE A PROTEÇÃO DE DADOS (AIPD)
A Mena.ai realiza Avaliações de Impacto sobre a Proteção de Dados (AIPD) sempre que um tratamento, em particular com recurso a novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, nos termos do artigo 35.º do RGPD.
Quando, no âmbito da prestação do Serviço e da utilização de sistemas de IA Generativa, a Mena.ai realize Avaliações de Impacto sobre a Proteção de Dados (AIPD) nos termos do artigo 35.º do RGPD, mantém as mesmas documentadas e atualizadas, podendo, mediante pedido fundamentado, disponibilizar os respetivos sumários ao Cliente, sem prejuízo da preservação de informação coberta por segredo comercial ou direitos de propriedade intelectual.
16. DEVERES DE INFORMAÇÃO E OBRIGAÇÕES DO CLIENTE
Sem prejuízo das obrigações da Mena.ai enquanto Responsável pelo Tratamento, o Cliente reconhece e aceita que, na qualidade de Responsável pelo Tratamento dos Dados Pessoais dos Pacientes, lhe compete:
- Informar os Pacientes, de forma clara, transparente e acessível, sobre o tratamento dos seus Dados Pessoais, incluindo a utilização da Plataforma e dos sistemas de IA, nos termos dos artigos 13.º e 14.º do RGPD;
- Obter o consentimento informado, livre, específico e explícito dos Pacientes, sempre que tal seja exigível, designadamente para o tratamento de dados de saúde, gravação de sessões, análise de padrões emocionais e cognitivos nas transcrições (conforme descrito na Secção 6.4), devendo o consentimento para esta última funcionalidade cumprir os requisitos do artigo 9.º, n.º 2, alínea a), do RGPD;
- Responder, nos prazos legais, aos pedidos de exercício de direitos formulados pelos Pacientes, com a assistência da Mena.ai prevista na DPA;
- Manter os Dados Pessoais dos Pacientes exatos e atualizados, nos termos da Lei Aplicável e das normas deontológicas aplicáveis;
- Notificar a Mena.ai, sem demora injustificada, de qualquer pedido relevante de Titular dos Dados ou autoridade de controlo que possa afetar o tratamento realizado pela Mena.ai.
Parte V — Disposições Finais
17. ALTERAÇÕES À POLÍTICA DE PRIVACIDADE
A Mena.ai pode alterar a presente Política, nomeadamente para refletir alterações legislativas, regulatórias ou operacionais, comprometendo-se a notificar o Cliente das alterações relevantes com a antecedência razoável prevista nos T&C, através do endereço de correio eletrónico associado à Conta.
A versão atualizada da presente Política está permanentemente disponível em https://mena-ai.pt/pt/privacy/. Cada versão indica a data de entrada em vigor e o número de versão. O Cliente é responsável por consultar regularmente a versão em vigor.
18. APROVAÇÃO E CONTROLO DE VERSÕES
| Versão | Data | Responsável | Alterações Principais |
|---|---|---|---|
| 1.0 | Maio 2026 | Direção da Mena.ai | — |
19. CONTACTOS E DISPOSIÇÕES FINAIS
19.1. Identificação do Responsável pelo Tratamento
| Denominação social | MENAHEALTH SOLUTIONS, Lda. |
|---|---|
| Sede social | Av. 25 de Abril n.º 207, 2.º Andar, Sala 4, 4830-512 Póvoa de Lanhoso |
| NIPC | 519322738 |
| Website | mena-ai.pt |
| Contacto geral | support@mena-ai.pt |
| Contacto de privacidade | privacy@mena-ai.pt / dpo@mena-ai.pt |
| Contacto jurídico | legal@mena-ai.pt |
19.2. Lei Aplicável e Foro Competente
A presente Política é regida e interpretada em conformidade com o direito português e com a Lei Aplicável. Para a resolução de quaisquer litígios emergentes da presente Política, são competentes os tribunais judiciais da Comarca de Lisboa, com expressa renúncia a qualquer outro, sem prejuízo do direito do Titular dos Dados de apresentar reclamação à autoridade de controlo competente, nos termos da Secção 11.
19.3. Hierarquia de Documentos
Em caso de conflito entre disposições da presente Política e dos T&C, prevalece o disposto nos T&C, salvo no que respeita ao tratamento de Dados Pessoais, em que prevalece o disposto na presente Política e na DPA.
19.4. Nulidade Parcial
A nulidade ou ineficácia de qualquer disposição da presente Política não afeta a validade das restantes disposições. A disposição nula ou ineficaz será substituída por outra que, sendo válida e eficaz, melhor traduza a intenção subjacente à disposição original.
Anexo I-A — Subcontratantes
A Mena.ai recorre a subcontratantes para a prestação do Serviço, com quem celebrou ou se compromete a celebrar acordos de subcontratação nos termos do artigo 28.º do RGPD.
A lista sempre atualizada de subcontratantes — incluindo entidade, serviço prestado, localização, categorias de dados tratados e mecanismo de transferência aplicável — encontra-se permanentemente disponível em https://platform.mena-ai.pt/pt/subprocessors.
A publicação da lista atualizada na referida página constitui o meio principal de comunicação ao Cliente da composição em vigor dos subcontratantes, sem prejuízo da notificação prévia relativamente à contratação ou substituição de subcontratantes nos termos da DPA (Anexo II dos T&C).
O Cliente é responsável por consultar regularmente esta página e pode opor-se à contratação ou substituição de subcontratantes nos termos da DPA.