InovaQBpowered by Celvi Healthcare

Celvimed, Lda. · NIPC 518072908 · Rua Luís Azevedo Coutinho, 4460-140 Senhora da Hora, Portugal

Contacto: geral@celvihealthcare.com · Última atualização: 2026-05-07

Política de Privacidade

A presente Política de Privacidade descreve como a Celvimed, Lda. recolhe, utiliza e protege os dados pessoais dos utilizadores do InovaQB (acessível em www.inovaqb.pt), em conformidade com o Regulamento (UE) 2016/679 — Regulamento Geral sobre a Proteção de Dados (RGPD) e com a Lei n.º 58/2019, de 8 de agosto.

1. Responsável pelo tratamento

O responsável pelo tratamento dos dados é a Celvimed, Lda., NIPC 518072908, com sede em Rua Luís Azevedo Coutinho, 4460-140 Senhora da Hora, Portugal. Para qualquer questão relacionada com proteção de dados, pode contactar-nos através de geral@celvihealthcare.com.

A Celvimed não está obrigada à designação formal de Encarregado de Proteção de Dados (EPD/DPO) nos termos do artigo 37.º do RGPD, atuando o responsável pelo tratamento como ponto de contacto para os titulares dos dados.

2. Dados pessoais que tratamos

Recolhemos e tratamos as seguintes categorias de dados:

  • Dados de registo e autenticação — nome, endereço de correio eletrónico e palavra-passe (armazenada apenas em forma irreversível com algoritmo bcrypt, custo 10 rondas). Recolhemos também a data de confirmação do email e a data da última alteração de palavra-passe (para invalidar sessões antigas em caso de reset).
  • Dados de utilização do serviço — sessões de estudo criadas, perguntas respondidas, taxa de acerto, marcadores, notas pessoais e destaques sobre cada pergunta.
  • Dados de pagamento — quando subscreves um plano pago, o pagamento é processado pela Stripe Payments Europe, Limited. Não armazenamos dados de cartão de crédito nos nossos sistemas — apenas o identificador de cliente Stripe, o estado da subscrição e (opcionalmente, se preencheres) o NIF e o nome para fatura. Estes últimos são usados exclusivamente para emissão de fatura em software certificado pela Autoridade Tributária.
  • Dados técnicos — endereço IP (apenas o prefixo de rede, anonimizado por hash SHA-256), agente de utilizador e data dos pedidos. Estes dados são usados para aplicar limites de taxa, proteção anti-bot e diagnóstico de erros. Cookies essenciais conforme descrito na nossa Política de Cookies.
  • Audit log de acções administrativas — quando uma acção administrativa é realizada (mudança de estado de um report, candidatura ou importação de perguntas), registamos o utilizador admin, a acção, o recurso afetado e o hash do IP. Não recolhemos conteúdos das mensagens — apenas metadata.
  • Candidaturas a colaborador (/colaborar) — quando submetes uma candidatura, recolhemos nome completo, número da Ordem dos Médicos, email, telemóvel, faculdade, ano e nota da PNA, fase de carreira, especialidade e mensagem opcional. Estes dados são usados exclusivamente para avaliar a candidatura; conservados durante o processo (até 12 meses) ou até pedires a eliminação.
  • Programa de indicação (referrals) — para gerir o programa de indicação previsto nos Termos e Condições, recolhemos e tratamos: (i) um código de referral pessoal gerado automaticamente para cada conta; (ii) a relação entre quem te indicou e tu (apenas se entrares pelo link de outro utilizador ou indicares o seu email no momento do registo, ambos opcionais); (iii) a marca temporal em que o teu registo é qualificado para efeitos de recompensa do utilizador que te indicou (i.e. a primeira vez que subscreveres um plano pago); (iv) o histórico de recompensas atribuídas no programa. O email indicado no campo opcional "convidado por" no registo é apenas usado para encontrar a conta correspondente — não é gravado em campo próprio.
  • Licenças Premium gratuitas — quando recebes uma licença Premium atribuída fora do fluxo de pagamento Stripe (oferta administrativa, recompensa do programa de indicação, campanha promocional), guardamos o tipo de oferta, a duração, a data de início e fim, e quem atribuiu (utilizador admin ou atribuição automática por trigger do programa).
  • Comunicações — quando nos contactas por correio eletrónico, mantemos o histórico da conversa para responder e dar seguimento ao pedido.

3. Finalidades e bases legais

Tratamos os teus dados pessoais para as seguintes finalidades:

  • Prestação do serviço (criação e gestão da conta, execução de sessões de estudo, registo de progresso, processamento de subscrições) — base legal: execução do contrato (art. 6.º, n.º 1, alínea b) do RGPD).
  • Cumprimento de obrigações legais (faturação, conservação de registos contabilísticos e fiscais, resposta a pedidos de autoridades) — base legal: cumprimento de obrigação jurídica (art. 6.º, n.º 1, alínea c) do RGPD).
  • Segurança e prevenção de abuso (limitar tentativas de login, detetar tráfego malicioso, manter logs de auditoria mínimos) — base legal: interesse legítimo (art. 6.º, n.º 1, alínea f) do RGPD).
  • Auditoria de consentimento de cookies (registo do momento em que reconheces o banner de cookies) — base legal: obrigação jurídica e interesse legítimo conjuntos.
  • Gestão do programa de indicação e ofertas promocionais (geração de códigos pessoais, associação entre o convidador e o convidado, qualificação por pagamento, atribuição de licenças Premium gratuitas) — base legal: execução do contrato relativamente à pessoa que recebe a recompensa, e interesse legítimo relativamente à pessoa indicada (manter um registo da fonte de aquisição). Sempre que possível, mostramos apenas dados agregados ao utilizador que indicou (e.g. número de convidados qualificados), sem expor emails ou outros identificadores das pessoas convidadas.

Não realizamos decisões individuais automatizadas com efeitos significativos no titular dos dados, na aceção do artigo 22.º do RGPD.

4. Subcontratantes e partilha de dados

Para fornecer o serviço, recorremos a subcontratantes selecionados, que tratam dados em nosso nome e ao abrigo de contratos de tratamento de dados nos termos do artigo 28.º do RGPD:

  • Vercel Inc. — alojamento da aplicação web e telemetria de desempenho (Speed Insights — anonimizada). Servidores na União Europeia. Transferências para os Estados Unidos da América abrangidas pelo EU-US Data Privacy Framework e por cláusulas contratuais-tipo aprovadas pela Comissão Europeia.
  • Neon Inc. — alojamento da base de dados (PostgreSQL), com servidores em Frankfurt (Alemanha).
  • Stripe Payments Europe, Limited — processamento de pagamentos. Sede na Irlanda. Os dados de cartão são tratados diretamente pela Stripe e nunca passam pelos nossos servidores.
  • Sendinblue SAS (Brevo) — envio de email transaccional (boas-vindas, reset de password, confirmação de subscrição, avisos de fim de plano). Sede em Paris, França. Apenas recebem o endereço de email do destinatário e o conteúdo da mensagem.
  • Sentry GmbH — recolha de erros e desempenho da aplicação. Servidores em Frankfurt (Alemanha). Anonimizamos informações pessoais por defeito (sem cookies, sem IPs em claro).
  • Upstash Inc. — armazenamento de contadores de rate limiting (Redis efémero). Apenas recebe identificadores internos (hash de IP ou ID de utilizador) e contagens. Sem dados pessoais identificáveis.
  • Cloudflare, Inc. — proteção anti-bot via Cloudflare Turnstile no formulário de registo, recuperação de password e candidaturas. Cookies próprios apenas no domínio challenges.cloudflare.com (não no nosso).

Não vendemos, alugamos nem cedemos dados pessoais a terceiros para fins de marketing.

5. Conservação dos dados

  • Dados da conta e atividade de estudo — enquanto a conta estiver ativa. Quando solicitares a eliminação da conta, os dados serão apagados num prazo máximo de 30 dias, salvo na medida em que a sua conservação seja exigida por obrigação legal.
  • Dados de faturação — pelo prazo legalmente exigido em Portugal (atualmente 10 anos, nos termos do Código Comercial e das obrigações fiscais aplicáveis), mesmo após a eliminação da conta.
  • Logs técnicos e de auditoria — até 90 dias.
  • Registos de consentimento de cookies — pelo período de validade da política consentida, acrescido de 5 anos para efeitos probatórios.

6. Os teus direitos

Enquanto titular dos dados, tens os seguintes direitos:

  • Direito de acesso aos teus dados pessoais (art. 15.º RGPD);
  • Direito de retificação de dados inexatos ou incompletos (art. 16.º);
  • Direito ao apagamento ("direito a ser esquecido", art. 17.º) — disponível diretamente na tua área de conta;
  • Direito à limitação do tratamento (art. 18.º);
  • Direito à portabilidade dos dados (art. 20.º);
  • Direito de oposição ao tratamento baseado em interesses legítimos (art. 21.º);
  • Direito de retirar consentimento a qualquer momento, sem que isso comprometa a licitude do tratamento previamente realizado.

Para exercer qualquer destes direitos, envia-nos um pedido por correio eletrónico para geral@celvihealthcare.com. Responderemos no prazo máximo de 30 dias.

Sem prejuízo dos meios anteriores, tens igualmente o direito de apresentar reclamação à autoridade de controlo competente — em Portugal, a Comissão Nacional de Proteção de Dados (CNPD).

7. Segurança dos dados

Adotamos medidas técnicas e organizativas adequadas ao risco, designadamente:

  • Cifragem TLS de todas as comunicações; HSTS com inclusão na preload list dos browsers.
  • Armazenamento irreversível das palavras-passe com bcrypt (custo 10 rondas).
  • Verificação obrigatória de email antes de qualquer pagamento.
  • JWT com TTL curto (7 dias) e revogação selectiva por mudança de password (sessões antigas inválidas após reset).
  • Limites de taxa nos endpoints públicos (registo, login, reset password, candidaturas) e proteção anti-bot via Cloudflare Turnstile.
  • Cabeçalhos de segurança HTTP estritos (CSP, X-Frame-Options DENY, Permissions-Policy restritiva, X-Content-Type-Options nosniff).
  • Audit log de todas as acções administrativas críticas (mudança de estado de reports, candidaturas, importações).
  • Princípio do mínimo privilégio nos acessos administrativos e rotação periódica de chaves de API e secrets.
  • Cópias de segurança contínuas (Point-In-Time Recovery do Neon) e procedimentos de recuperação de desastre documentados internamente.

Apesar destas medidas, nenhum sistema é absolutamente impenetrável; em caso de violação de dados pessoais que represente risco para os direitos e liberdades dos titulares, notificaremos a CNPD e os utilizadores afetados nos prazos legalmente exigidos.

Para reportar vulnerabilidades de segurança de forma responsável, consulta /.well-known/security.txt.

8. Menores

O serviço destina-se a estudantes e profissionais de medicina, sendo previsível que os utilizadores sejam maiores de idade. Não tratamos conscientemente dados de menores de 16 anos. Se souberes que um menor com menos de 16 anos nos forneceu dados sem consentimento dos titulares das responsabilidades parentais, contacta-nos para que procedamos à eliminação imediata.

9. Alterações a esta política

Esta Política de Privacidade pode ser atualizada para refletir alterações legislativas, evoluções tecnológicas ou novas funcionalidades do serviço. Sempre que o façamos, atualizaremos a data no topo da página e, em caso de alterações materiais, notificar-te-emos por correio eletrónico.

Política de PrivacidadeTermos e CondiçõesPolítica de Cookies← Voltar ao início