Política de Privacidade

O Kind Care ("nós", "nos", "nosso") é um serviço operado a partir de Portugal. Somos o responsável pelo tratamento dos dados pessoais processados através do serviço Kind Care (akind.care e a aplicação Kind Care).

Questões, reclamações ou pedidos relativos a dados: contact@akind.care.

Identificação legal: Kind Care, NIF [NIF_TBD], Portugal.

Esta política abrange o website Kind Care, a aplicação web progressiva Kind Care e todos os serviços de backend que mantemos para os suportar. Não abrange serviços de terceiros a que chegue através de ligações (por exemplo, as páginas de pagamento da Stripe ou um portal externo de médico de família).

3.1 Dados da conta

Endereço de email, nome, palavra-passe em formato hash (se não iniciar sessão com a Google) e a função organizacional que escolhe ao registar-se.

3.2 Dados do paciente e de cuidados

O Kind Care funciona primeiro localmente. A informação que introduz sobre um paciente — nome, plano de cuidados, medicamentos, notas de visita, observações, sinalizações de preocupação, registos de líquidos — é guardada no seu dispositivo numa base de dados encriptada do navegador. Um subconjunto é sincronizado com o nosso servidor para que fique disponível nos seus outros dispositivos e para os cuidadores com quem partilhar.

3.3 Dados relativos à saúde (RGPD Artigo 9.º)

Parte da informação que tratamos é de categoria especial, referente a dados de saúde: medicamentos, bem-estar observado, registo de líquidos, preocupações. Apenas a tratamos para lhe prestar o serviço de coordenação, com o seu consentimento explícito e com o fundamento de que é manifestamente necessária para a prestação direta de cuidados ao paciente que está a coordenar.

3.4 Dados de pagamento

Se subscrever um plano pago, o pagamento é processado pela Stripe. Nunca vemos nem guardamos o número do seu cartão. Guardamos o seu ID de cliente Stripe, o estado da subscrição e o período de faturação.

3.5 Dados técnicos

Endereço IP (para limitação de pedidos e prevenção de abuso), informação sobre navegador/sistema operativo, relatórios de erro (através da nossa instância auto-alojada de Bugsink; os corpos dos pedidos são removidos antes do envio) e análises anónimas de visualizações de páginas (através da nossa instância auto-alojada de Umami — sem cookies, sem rastreio entre sites).

• Contrato (RGPD Artigo 6.º, n.º 1, alínea b)) — para prestar o serviço que subscreveu.
• Consentimento explícito (Artigo 9.º, n.º 2, alínea a)) — para o tratamento de dados de saúde.
• Interesses legítimos (Artigo 6.º, n.º 1, alínea f)) — para prevenção de fraude, segurança e melhoria do serviço com recurso a análises anónimas.
• Obrigação legal (Artigo 6.º, n.º 1, alínea c)) — para manter registos financeiros, responder a pedidos legais e respeitar os direitos dos titulares dos dados.

Os dados do lado do servidor são alojados na União Europeia (Alemanha). Os dados locais permanecem no seu dispositivo e não nos são transmitidos a menos que escolha sincronizar.

Partilhamos dados apenas com subcontratantes necessários para o funcionamento do serviço:

• Hetzner Online GmbH (Alemanha) — alojamento na nuvem para a API, base de dados e cópias de segurança.
• Stripe — processamento de pagamentos. Processa diretamente os seus dados de pagamento.
• MxRoute — envio de emails transacionais (verificação de conta, reposição de palavra-passe).
• Cloudflare — rede de entrega de conteúdos e alojamento estático do site de marketing e da PWA.
• Bugsink (auto-alojado) — monitorização de erros.
• Umami (auto-alojado) — análises de utilização anónimas.

Os cuidadores a quem conceder acesso através de um link de partilha recebem acesso ao subconjunto de dados que autorizar. Nunca concedemos a um cuidador acesso transversal à plataforma; o acesso é sempre controlado pelo titular e revogável.

Não vendemos os seus dados, não os partilhamos para fins publicitários nem permitimos que terceiros os tratem para fins próprios.

• Dados da conta — enquanto a sua conta estiver ativa, mais 30 dias após a eliminação por motivos operacionais (após esse período são apagados).
• Dados de cuidados no nosso servidor — o mesmo que acima; o seu dispositivo mantém uma cópia local até que a apague.
• Registos de faturação — pelo período exigido pela legislação fiscal e contabilística aplicável (tipicamente 7 anos).
• Relatórios de erro — 90 dias.
• Análises — apenas agregadas, sem conservação de identificadores pessoais.

Ao abrigo do Regulamento Geral sobre a Proteção de Dados da UE (e legislações nacionais equivalentes), tem direito a:

• Aceder a uma cópia dos seus dados (direito de acesso).
• Corrigir inexatidões (direito de retificação).
• Eliminar os seus dados (direito ao apagamento).
• Exportar os seus dados num formato portátil (direito de portabilidade).
• Restringir ou opor-se a tratamentos específicos.
• Retirar o consentimento a qualquer momento, quando o tratamento se basear nele.
• Apresentar reclamação à autoridade de proteção de dados do seu Estado-Membro de residência, de trabalho ou onde tenha ocorrido a alegada infração.

Envie um email para contact@akind.care a partir do endereço associado à sua conta. Procuramos responder no prazo de 30 dias. Para eliminação de conta, pode também utilizar a opção Eliminar conta nas Definições — os seus dados são removidos no prazo de 30 dias.

O nosso tratamento principal ocorre na UE (Alemanha). Os seguintes subcontratantes estão estabelecidos fora da UE/EEE e podem transferir dados pessoais internacionalmente:

• Stripe, Inc. (Estados Unidos) — processamento de pagamentos.
• Cloudflare, Inc. (Estados Unidos) — entrega de conteúdo e alojamento estático.
• MxRoute (Estados Unidos) — envio de emails transacionais.

As transferências para estes subcontratantes são efetuadas ao abrigo das Cláusulas Contratuais-Tipo da Comissão Europeia. Para residentes no Reino Unido, aplica-se adicionalmente a Adenda de Transferência Internacional de Dados do Reino Unido. Para residentes na Suíça, aplicam-se salvaguardas equivalentes nos termos da nova LPD suíça.

Os nossos serviços de seguimento de erros e analítica autoalojados funcionam em infraestrutura na UE e não transferem dados para fora da UE. Para solicitar cópias dos mecanismos de transferência em vigor, contacte contact@akind.care.

O Kind Care não se destina a ser utilizado por pessoas com menos de 18 anos para criarem a sua própria conta. A informação sobre pacientes menores (por exemplo, um pai ou mãe a coordenar os cuidados de um filho) é tratada em nome do adulto titular da conta responsável por essa coordenação.

A aplicação Kind Care não define cookies de autenticação para utilizadores finais. O seu token de acesso é mantido apenas em memória e o token de atualização é guardado no seu dispositivo, no IndexedDB do navegador. Utilizamos uma pequena quantidade de localStorage para preferências não identificáveis, como o tema (claro/escuro) e a vista de público escolhida na página inicial — estes nunca saem do seu navegador. O painel de administração (utilizado apenas pela equipa do Kind Care) usa um cookie de sessão estrito same-site.

Não utilizamos cookies publicitários, nem rastreadores entre sites, nem fingerprinting.

O nosso fornecedor de análises (Umami, auto-alojado) não define cookies nem recolhe dados pessoais — não é necessário banner de consentimento ao abrigo da Diretiva ePrivacy.

Todo o tráfego é encriptado com TLS. As palavras-passe são salgadas e armazenadas em hash com o algoritmo predefinido do Identity. Os registos do servidor nunca contêm corpos de pedidos (para evitar fugas de dados de saúde). O acesso dos cuidadores é limitado por paciente, por token e é revogável pelo titular.

Nenhum sistema é totalmente seguro; se tomarmos conhecimento de uma violação que afete os seus dados, notificá-lo-emos no prazo de 72 horas, conforme exigido pelo Artigo 33.º do RGPD.

Se alterarmos esta política de forma significativa, notificaremos os utilizadores com sessão iniciada por email e publicaremos um aviso no site com, pelo menos, 14 dias de antecedência em relação à entrada em vigor.

Questões ou reclamações: contact@akind.care.

Não ficou satisfeito com a nossa resposta? Pode apresentar reclamação à autoridade de proteção de dados do seu Estado-Membro de residência, de trabalho ou onde tenha ocorrido a alegada infração. O Comité Europeu para a Proteção de Dados publica um diretório das autoridades em edpb.europa.eu.