Política de Privacidade
1. Introdução
A Umebi está comprometida com a proteção da privacidade e da segurança dos dados pessoais dos seus utilizadores e profissionais de saúde mental. Este documento explica de forma clara e transparente como recolhemos, utilizamos, armazenamos, partilhamos e protegemos os seus dados pessoais, em conformidade com:
- o Regulamento (UE) 2016/679 — Regulamento Geral sobre a Proteção de Dados ("RGPD");
- a Lei n.º 58/2019, de 8 de agosto, que assegura a execução do RGPD em Portugal;
- demais legislação e orientações aplicáveis emitidas pela Comissão Nacional de Proteção de Dados ("CNPD").
A política aplica‑se a todos os visitantes, utilizadores registados, profissionais de saúde mental, parceiros e a qualquer pessoa que interaja com a plataforma umebi.com e aplicações móveis (doravante, «Plataforma»).
2. Responsável pelo Tratamento e Contacto
O responsável pelo tratamento é Umebi, Lda.
Para qualquer questão relacionada com a proteção de dados, poderá contactar‑nos através do e‑mail hello@umebi.com.
3. Que Dados Pessoais Recolhemos
Recolhemos apenas os dados estritamente necessários (princípio da minimização):
3.1 Dados fornecidos por todos os utilizadores
- Nome completo e apelido;
- Endereço de e‑mail;
- Contacto telefónico;
- Data de nascimento (para verificação de idade mínima);
- Número de Identificação Fiscal (NIF);
- Morada (país, código‑postal, cidade, rua e número);
- Dados de pagamento (últimos 4 dígitos do cartão; token Stripe) — nunca retemos dados completos de cartão.
3.2 Dados fornecidos por profissionais de saúde mental
- Número de cédula profissional/inscrição na Ordem dos Psicólogos Portugueses (OPP);
- Documento de identificação (cartão de cidadão ou passaporte);
- Certificado de registo criminal atualizado;
- Diplomas e certificados académicos;
- Dados bancários para processamento de honorários.
3.3 Dados de utilização e técnicos
- Endereço IP, tipo de dispositivo, sistema operativo, navegador e idioma;
- Registos (logs) de acesso, eventos na aplicação e métricas de uso;
- Cookies e identificadores semelhantes (ver ponto 8).
3.4 Dados sensíveis de saúde
Quando utiliza os nossos serviços de teleterapia, pode partilhar informações relativas à sua saúde mental. Esses dados são considerados categorias especiais ao abrigo do art. 9.º do RGPD e apenas são tratados com consentimento explícito e/ou quando necessários para a prestação de cuidados de saúde por profissionais sujeitos a dever de sigilo.
4. Finalidades e Fundamentos Jurídicos
| Finalidade | Fundamento Jurídico | Exemplos |
|---|---|---|
| Criação e gestão da conta | Art.º 6.º 1 b) RGPD — execução de contrato | Activação de conta, recuperação de palavra‑passe |
| Prestação de serviços de teleterapia (dados de saúde) | Art.º 9.º 2 h) RGPD — prestação de cuidados de saúde / consentimento explícito | Sessões de vídeo, troca de mensagens entre utilizador e terapeuta |
| Processamento de pagamentos | Art.º 6.º 1 b) & 1 c) RGPD — execução de contrato / obrigação legal | Cobrança via Stripe, emissão de faturas |
| Cumprimento de obrigações legais e regulatórias | Art.º 6.º 1 c) RGPD — obrigação legal | Requisitos da OPP, ERS, AT, prevenção de branqueamento de capitais |
| Melhorias na Plataforma e apoio ao cliente | Art.º 6.º 1 f) RGPD — interesse legítimo | Análise de métricas de utilização, testes A/B, resposta a tickets |
| Marketing directo (newsletter) | Art.º 6.º 1 a) RGPD — consentimento | Envio de artigos e recursos de bem‑estar |
| Prevenção de fraude e segurança | Art.º 6.º 1 f) RGPD — interesse legítimo | Deteção de acessos suspeitos, verificação de identidade |
Pode retirar o consentimento a qualquer momento, sem afectar a licitude do tratamento efectuado até essa data.
5. Destinatários e Transferências Internacionais
Partilhamos dados apenas com subcontratantes ("processadores") que:
- actuam de acordo com instruções documentadas da Umebi;
- oferecem garantias adequadas de segurança;
- celebraram acordos de tratamento de dados connosco.
5.1 Principais subcontratantes
| Categoria | Entidade | Localização | Salvaguardas |
|---|---|---|---|
| Pagamentos | Stripe Payments Europe, Ltd. | UE | Criptografia PCI‑DSS, Cláusulas‑tipo (SCC) |
| Alojamento | Vercel Inc. | UE (regiões Frankfurt/Paris) | ISO 27001, SOC 2, encriptação em repouso |
| Analítica | Google Ireland Ltd. (Google Analytics 4 — IP anónimo) | UE/EEE | IP mascarado, controlos de retenção |
Se ocorrer transferência para país fora do EEE, garantimos mecanismos adequados (SCC, decisões de adequação ou BCR).
5.2 Divulgação de dados públicos
Os dados tornados públicos na Plataforma pelos profissionais de saúde mental ou pelos utilizadores — por exemplo nome, fotografia de perfil ou comentários — podem ser reutilizados noutros espaços da Umebi (incluindo materiais promocionais), sem necessidade de pedido de autorização adicional. Pressupomos que, ao disponibilizar estes dados em modo público, o titular aceita essa utilização.
Se, em qualquer momento, não pretender que os seus dados públicos sejam partilhados desta forma, basta enviar um e‑mail para privacy@umebi.com solicitando a exclusão, que será processada sem demora injustificada.
6. Segurança
Adotamos medidas técnicas e organizativas em linha com o art. 32.º do RGPD, incluindo:
- Encriptação TLS 1.3 de todas as comunicações;
- Encriptação AES‑256 dos dados em repouso e backups;
- Autenticação multifator para contas sensíveis;
- Registo e monitorização contínua de acessos e eventos;
- Testes de intrusão e avaliações de vulnerabilidade regulares;
- Política de gestão de incidentes com notificação à CNPD e aos titulares no prazo legal.
7. Conservação
Conservamos os dados apenas pelo período estritamente necessário:
- Conta: enquanto durar a relação contratual; 5 anos após última atividade para defesa de direitos;
- Dados de faturação: 10 anos (art. 123.º‑4 CIRC e 40.º CIVA);
- Logs de aplicação: até 24 meses para fins de segurança e auditoria;
- Currículos e documentos dos profissionais: 6 anos após cessação da parceria para cumprimento de obrigações legais.
Findos os prazos, os dados são eliminados ou anonimizados de forma irreversível.
8. Cookies e Tecnologias Semelhantes
A Umebi utiliza:
- Cookies estritamente necessários (login, preferências de sessão);
- Cookies de desempenho (Google Analytics 4) com IP anonimizado e retenção de 14 meses;
Pode gerir cookies nas definições do seu navegador. A desativação de certos cookies poderá afetar o funcionamento da Plataforma.
9. Direitos dos Titulares
Nos termos dos arts. 15.º a 22.º RGPD, tem direito a:
- Acesso aos seus dados;
- Retificação de dados inexatos ou incompletos;
- Apagamento («direito a ser esquecido»), quando aplicável;
- Limitação do tratamento;
- Oposição ao tratamento baseado em interesse legítimo ou marketing;
- Portabilidade dos dados para outro responsável;
- Retirar consentimento a qualquer momento;
- Não ficar sujeito(a) a decisões exclusivamente automatizadas com efeitos significativos.
O pedido deve ser submetido via dashboard ou por e‑mail para privacy@umebi.com. Responderemos, em regra, no prazo de 30 dias.
10. Crianças e Adolescentes
A Umebi não se destina a menores de 18 anos. Se tomarmos conhecimento de que recolhemos dados de menor, removeremos essas informações imediatamente.
11. Decisões Automatizadas e Perfilagem
A Umebi não realiza perfilagem automatizada que produza efeitos jurídicos ou o(a) afete significativamente. O algoritmo de matching entre utilizador e terapeuta apoia‑se em critérios objetivos (disponibilidade, área de especialização) mas a decisão final permanece humana.
12. Alterações a esta Política
Poderemos atualizar este documento periodicamente. Notificaremos alterações materiais (que impactem os seus direitos) com 30 dias de antecedência por e‑mail ou in‑app. A data da última atualização encontra‑se no final deste documento.
13. Contactos, Reclamações e Supervisão
- E‑mail: privacy@umebi.com
Se considerar que o tratamento dos seus dados viola o RGPD, pode reclamar junto da CNPD (www.cnpd.pt) ou junto da autoridade de controlo do seu país de residência.
Última atualização: 6 de Agosto de 2025