1. Encriptação dos dados

Dados em trânsito

Todos os dados transmitidos através do nosso site e das nossas aplicações, como informação médica, dados inseridos para verificação de identidade, dados da conta e encomendas, são encriptados com TLS 1.2 ou superior.

Dados em repouso

Os dados guardados nas nossas bases de dados e cópias de segurança são encriptados com AES-256 ou criptografia equivalente de nível profissional.

Segurança avançada

Estas medidas seguem o padrão de segurança avançado exigido pelo artigo 32.º do RGPD / RGPD do Reino Unido.

2. Localização dos servidores e alojamento

Alojamento de dados na UE

Todos os dados pessoais dos utilizadores da UE são alojados exclusivamente em servidores dentro do Espaço Económico Europeu (EEE).

Centros de dados certificados

A Transtoyou usa centros de dados certificados segundo ISO 27001, SOC 2 e em conformidade com todos os requisitos relevantes do RGPD.

Transferências internacionais

Nenhum dado pessoal é transferido para fora do EEE, exceto quando isso acontece ao abrigo de:

Cláusulas Contratuais-Tipo (CCT)
Uma decisão de adequação da Comissão Europeia
O consentimento explícito do titular dos dados

3. Acesso e portabilidade dos dados do utilizador (Regulamento dos Dados da UE)

Os utilizadores podem aceder, descarregar e exportar os dados da sua conta e os dados gerados pelos serviços diretamente no painel da Transtoyou.

Sempre que for tecnicamente possível, os utilizadores também podem pedir à Transtoyou que transmita estes dados a um terceiro indicado por si, de acordo com as regras aplicáveis da UE sobre acesso e portabilidade dos dados, incluindo o Regulamento dos Dados da UE quando aplicável.

Acede aos teus dados

Descarrega e exporta os teus dados diretamente no teu painel.

Ir para o painel

4. Verificação de identidade (verificação de ID)

A Transtoyou pode exigir uma verificação de identidade única para:

Processos de receita médica de maior risco

Percursos de cuidados de saúde transgénero quando exigido por lei ou por normas de segurança

Suspeita de uso indevido, sinais de fraude ou informação médica inconsistente

Obrigações regulamentares ou da farmácia

Como funciona a verificação de identidade

A verificação de identidade envolve o reconhecimento automático de um documento de identificação oficial válido e uma correspondência facial para confirmar a identidade.

Dados biométricos são tratados apenas para verificação de identidade única, prevenção de fraude e prescrição segura. Não são usados para marketing, criação de perfis ou qualquer outra finalidade.

A base legal para o tratamento biométrico assenta no artigo 9.º, n.º 2 do RGPD / RGPD do Reino Unido, em conjunto com o artigo 6.º, n.º 1, com apoio de AIPD, limitação rigorosa da finalidade e regras de conservação.

Verificação por terceiros

A verificação de identidade é feita por um fornecedor externo especializado, que atua como subcontratante em nome da Transtoyou.

A Transtoyou não guarda cópia do documento de identificação. Recebemos apenas o estado da verificação e metadados limitados necessários para conformidade e prevenção de fraude.

A conservação pelo fornecedor é limitada ao que for legalmente exigido e regulada pelo nosso Acordo de Tratamento de Dados.

5. Autenticação de dois fatores (2FA)

Equipa, médicos e farmácias

Obrigatório

A 2FA é obrigatória em todos os inícios de sessão, de acordo com as melhores práticas para proteger o acesso a dados médicos.

Clientes

Opcional, mas recomendado

A 2FA é opcional, mas muito recomendada. Depois de ativada, é necessário um segundo passo de autenticação, como SMS, ao iniciar sessão ou ao fazer uma encomenda.

6. Operações sensíveis e controlo de acesso

As avaliações médicas e aprovações de receitas médicas são feitas apenas por médicos licenciados com sessão iniciada através de 2FA, com acesso limitado apenas aos dados do paciente necessários.
Não é exigida uma nova autenticação adicional, como biometria, aos médicos durante ações sensíveis, mas existe um Controlo de Acesso Baseado em Funções (RBAC) rigoroso.
Todos os acessos aos registos médicos são registados e auditáveis.

7. Registos de auditoria e registo de acessos

Registo completo

A Transtoyou mantém registos de todos os acessos a dados de consulta, receitas médicas, verificação de identidade e registos de utilizadores.

Revisão regular

Os registos são revistos periodicamente para detetar acessos não autorizados ou anomalias.

Acesso restrito

Apenas pessoas autorizadas com uma função operacional definida podem aceder a registos médicos.

8. Segurança das consultas por vídeo e chat

Plataforma de consulta segura

A Transtoyou usa uma plataforma segura para consultas por vídeo e chat, com ligações encriptadas (TLS/DTLS/SRTP) e controlos de acesso rigorosos.

Gravações de consultas

As consultas por vídeo e/ou chat só podem ser gravadas quando necessário para:

Segurança clínica
Controlo de qualidade
Formação relacionada com a segurança do paciente
Tratamento de litígios ou reclamações, por exemplo se um utilizador ou médico contestar o que foi dito durante uma consulta

Período de conservação: 90 dias

As gravações são guardadas em segurança durante um período limitado de 90 dias, após o qual são apagadas automaticamente, salvo se for necessário conservá-las durante mais tempo devido a uma reclamação aberta, obrigação legal ou investigação em curso. Isto segue o princípio da limitação da conservação previsto no RGPD / RGPD do Reino Unido.

Medidas de proteção importantes

O acesso às gravações é estritamente limitado ao médico responsável e a elementos autorizados da equipa de conformidade ou resolução de litígios, ao abrigo do RBAC e com registo completo de auditoria.
As gravações nunca são usadas para marketing, criação de perfis ou qualquer finalidade não relacionada.
Os utilizadores são informados antes do início da consulta de que pode haver gravação, qual a finalidade da gravação e durante quanto tempo será guardada.

9. Proteção contra violações de dados

O nosso protocolo de resposta

Em caso de violação de dados, a Transtoyou:

Notifica as autoridades

Notifica a autoridade de proteção de dados competente, por exemplo a Andmekaitse Inspektsioon na Estónia, no prazo de 72 horas, conforme exigido pelos artigos 33.º e 34.º do RGPD.

Notifica os utilizadores afetados

Se existir um risco elevado para as pessoas, estas serão notificadas diretamente.

Análise da causa

É feita uma análise da causa após cada incidente, com medidas corretivas tomadas de imediato.

10. Medidas de segurança interna

Revisão dos direitos de acesso

Os direitos de acesso são revistos regularmente e de imediato quando há mudança de função ou saída da organização.

Formação em segurança

A formação em segurança e privacidade é obrigatória para todas as pessoas com acesso a dados pessoais ou médicos.

Atualizações regulares

As políticas de segurança e os controlos técnicos são revistos e atualizados regularmente.

11. Acordos de tratamento de dados e subcontratantes

A Transtoyou assinou Acordos de Tratamento de Dados (DPA) com todos os subcontratantes terceiros, incluindo fornecedores de alojamento, fornecedores de verificação de identidade, farmácias, médicos e ferramentas de marketing.
Os subcontratantes só podem tratar dados segundo as instruções e a supervisão da Transtoyou.
A lista atual de subcontratantes está disponível mediante pedido através de: privacy@transtoyou.com

12. Registo das atividades de tratamento (art. 30.º do RGPD)

A Transtoyou mantém um Registo das Atividades de Tratamento (ROPA) interno de acordo com o artigo 30.º do RGPD.

Este registo inclui:

Todas as atividades de tratamento
Finalidades
Categorias de dados pessoais
Subcontratantes
Locais de armazenamento
Prazos de conservação
Medidas de segurança aplicadas

Está disponível para as autoridades de supervisão mediante pedido.

13. Avaliações de Impacto sobre a Proteção de Dados (AIPD)

Para todos os tratamentos de dados médicos ou dados pessoais sensíveis, a Transtoyou realiza regularmente Avaliações de Impacto sobre a Proteção de Dados (AIPD) de acordo com o artigo 35.º do RGPD.

Também são realizadas AIPD antes da introdução de novas tecnologias ou fluxos de trabalho que apresentem riscos elevados para a privacidade.

14. Responsável interno pela privacidade (não DPO)

A Transtoyou não é legalmente obrigada a nomear um Encarregado da Proteção de Dados (DPO) ao abrigo do artigo 37.º do RGPD, uma vez que trabalhamos sob confidencialidade profissional médica.

Ainda assim, nomeámos um responsável interno pela privacidade para supervisionar:

Conformidade com a privacidade
Manutenção do nosso registo de tratamento
Execução de AIPD
Revisão de acordos com subcontratantes

Esta pessoa atua como principal ponto de contacto para questões de privacidade e apoia auditorias, resposta a violações e redução de riscos.

Dúvidas ou comunicação de uma preocupação

Se tiveres dúvidas sobre segurança dos dados ou quiseres comunicar uma vulnerabilidade suspeita, contacta-nos:

Equipa de Privacidade e Segurança

Para questões e preocupações de segurança:
privacy@transtoyou.com

Comunicar uma vulnerabilidade

Encontraste uma falha de segurança? Diz-nos:
privacy@transtoyou.com

A tua segurança é a nossa prioridade

Investimos continuamente na proteção dos teus dados pessoais e médicos com medidas de segurança avançadas.

Política de Privacidade Direitos RGPD

Tipo

Intervalo de preço

Saúde sexual e desempenho

Saúde hormonal e vitalidade

Cabelo e couro cabeludo

Contraceção

Saúde hormonal e reprodutiva

Saúde vaginal e menstrual

Transição e terapia hormonal

Soluções de saúde complementares

Bem-estar mental e apoio geral

Dor e recuperação

Doenças crónicas e metabolismo

Alergias, infeções e saúde urinária

Dermatologia e saúde íntima

Ajuda e suporte

Ferramentas eHealth gratuitas

Sobre a Transtoyou eHealth

Transtoyou nas redes sociais