1. Criptografia de Dados

Dados em Trânsito

Todos os dados transmitidos através do nosso website e aplicações (por exemplo, informações médicas, entradas de verificação de identidade, dados da conta e encomendas) são encriptados utilizando TLS 1.2 ou superior.

Dados em Repouso

Os dados armazenados nas nossas bases de dados e backups são encriptados utilizando AES-256 ou criptografia equivalente padrão da indústria.

Segurança de Última Geração

Estas medidas seguem o padrão de segurança "de última geração" exigido pelo Artigo 32 do RGPD / RGPD do Reino Unido.

2. Localizações de Servidores e Alojamento

Alojamento de Dados da UE

Todos os dados pessoais dos utilizadores da UE são alojados exclusivamente em servidores dentro do Espaço Económico Europeu (EEE).

Centros de Dados Certificados

A Transtoyou utiliza centros de dados certificados de acordo com ISO 27001, SOC 2, e em conformidade com todos os requisitos relevantes do RGPD.

Transferências Internacionais

Nenhum dado pessoal é transferido para fora do EEE, a menos que isso ocorra sob:

Cláusulas Contratuais Padrão (CCPs)
Uma decisão de adequação da Comissão Europeia
O consentimento explícito do titular dos dados

3. Acesso e Portabilidade de Dados do Utilizador (Lei de Dados da UE)

Os utilizadores podem aceder, descarregar e exportar os dados da sua conta e gerados pelo serviço diretamente através do seu painel da Transtoyou.

Quando tecnicamente viável, os utilizadores podem também solicitar que a Transtoyou transmita esses dados a um terceiro designado pelo utilizador, em conformidade com as regras aplicáveis de acesso e portabilidade de dados da UE, incluindo a Lei de Dados da UE quando relevante.

Acede aos Teus Dados

Descarrega e exporta os teus dados diretamente do teu painel.

Ir para o Painel

4. Verificação de Identidade (Verificação de ID)

A Transtoyou pode exigir uma verificação de identidade única para:

Caminhos de prescrição de alto risco

Caminhos de cuidados de saúde para pessoas trans onde exigido por lei ou normas de segurança

Suspeita de uso indevido, indicadores de fraude ou informações médicas inconsistentes

Obrigações regulamentares ou da farmácia

Como Funciona a Verificação de ID

A verificação de identidade envolve o reconhecimento automatizado de um documento de identificação válido emitido pelo governo e uma correspondência facial para confirmar a identidade.

Dados biométricos é processado exclusivamente para verificação de identidade única, prevenção de fraudes e prescrição segura. Não é utilizado para marketing, perfilagem ou qualquer outro propósito.

A base legal para o processamento biométrico baseia-se no Artigo 9(2) do RGPD / RGPD do Reino Unido, juntamente com o Artigo 6(1), apoiado por DPIAs, limitação estrita de finalidade e regras de retenção.

Verificação de Terceiros

A verificação de identidade é realizada por um fornecedor especializado de terceiros atuando como processador em nome da Transtoyou.

A Transtoyou não armazena uma cópia do documento de identificação. Recebemos apenas um status de verificação e metadados limitados necessários para conformidade e prevenção de fraudes.

A retenção do fornecedor é limitada ao que é legalmente exigido e regido pelo nosso Acordo de Processamento de Dados.

5. Autenticação de Dois Fatores (2FA)

Funcionários, Médicos e Farmácias

Obrigatório

A 2FA é obrigatória para todos os logins, de acordo com as melhores práticas para garantir o acesso a dados médicos.

Clientes

Opcional, mas Recomendado

A 2FA é opcional, mas fortemente recomendada. Uma vez ativada, um segundo passo de autenticação (por exemplo, SMS) é necessário ao fazer login ou ao realizar um pedido.

6. Operações Sensíveis e Controlo de Acesso

As revisões médicas e aprovações de receitas são realizadas apenas por médicos licenciados que efetuaram login via 2FA, com acesso restrito apenas aos dados do doente necessários.
Nenhuma re-autenticação adicional (por exemplo, biometria) é exigida para os médicos durante ações sensíveis, mas um Controlo de Acesso Baseado em Funções (RBAC) rigoroso está em vigor.
Todo o acesso aos registos médicos é registado e auditável.

7. Registos de Auditoria e Registo de Acesso

Registo Abrangente

A Transtoyou mantém registos de todos os acessos aos dados de consulta, receitas, verificação de identidade e registos de utilizadores.

Revisão Regular

Os registos são periodicamente revistos para detetar acessos não autorizados ou anomalias.

Acesso Restrito

Apenas indivíduos autorizados com um papel operacional definido podem aceder aos registos médicos.

8. Segurança nas Consultas por Vídeo e Chat

Plataforma de Consulta Segura

A Transtoyou utiliza uma plataforma de consulta por vídeo e chat segura com conexões encriptadas (TLS/DTLS/SRTP) e controles de acesso rigorosos.

Gravações de Consultas

As consultas por vídeo e/ou chat podem ser gravadas apenas quando necessário para:

Segurança clínica
Garantia de qualidade
Formação relacionada com a segurança do doente
Tratamento de disputas ou queixas (por exemplo, se um utilizador ou médico contestar o que foi dito durante uma consulta)

Período de Retenção: 90 Dias

As gravações são armazenadas de forma segura por um período limitado de retenção de 90 dias, após o qual são automaticamente eliminadas, a menos que uma retenção mais longa seja necessária devido a uma reclamação aberta, obrigação legal ou investigação em curso. Isto segue o princípio de limitação de armazenamento do GDPR/UK GDPR.

Medidas de Segurança Importantes

O acesso às gravações é estritamente limitado ao médico designado e ao pessoal autorizado de conformidade ou resolução de disputas, sob RBAC e com registo completo de auditoria.
As gravações nunca são utilizadas para marketing, perfilagem ou qualquer outro propósito não relacionado.
Os utilizadores são informados antes do início da consulta de que a gravação pode ocorrer, o propósito da gravação e o período de retenção.

9. Proteção contra Violação de Dados

O Nosso Protocolo de Resposta

No caso de uma violação de dados, a Transtoyou:

Notificar Autoridades

Notifica a autoridade de proteção de dados relevante (por exemplo, Andmekaitse Inspektsioon na Estónia) dentro de 72 horas, conforme exigido pelos Artigos 33 e 34 do GDPR.

Notificar Utilizadores Afetados

Se houver um alto risco para os indivíduos, eles serão notificados diretamente.

Análise da Causa Raiz

Uma análise da causa raiz é realizada após cada incidente, com ações corretivas tomadas imediatamente.

10. Medidas de Segurança Interna

Revisão de Direitos de Acesso

Os direitos de acesso são revistos de forma recorrente e imediatamente após uma mudança de função ou rescisão.

Formação em Segurança

A formação em consciencialização de segurança e privacidade é obrigatória para todo o pessoal com acesso a dados pessoais ou médicos.

Atualizações Regulares

As políticas de segurança e os controles técnicos são revistos e atualizados regularmente.

11. Acordos de Processamento de Dados & Subprocessadores

A Transtoyou assinou Acordos de Processamento de Dados (DPAs) com todos os processadores terceiros (incluindo fornecedores de alojamento, fornecedores de verificação de identidade, farmácias, médicos e ferramentas de marketing).
Os subprocessadores só podem processar dados sob instrução e supervisão da Transtoyou.
Uma lista atual de subprocessadores está disponível mediante pedido através de: privacy@transtoyou.com

12. Registo de Atividades de Processamento (Art. 30 GDPR)

A Transtoyou mantém um registo interno Registo de Atividades de Tratamento (ROPA) de acordo com o Artigo 30 do RGPD.

Este registo inclui:

Todas as atividades de tratamento
Finalidades
Categorias de dados pessoais
Tratadores
Locais de armazenamento
Períodos de retenção
Medidas de segurança aplicadas

Está disponível para as autoridades de supervisão mediante solicitação.

13. Avaliações de Impacto sobre a Proteção de Dados (AIPD)

Para todo o tratamento de dados médicos ou pessoais sensíveis, a Transtoyou realiza regularmente Avaliações de Impacto sobre a Proteção de Dados (AIPD) de acordo com o Artigo 35 do RGPD.

As AIPD também são realizadas antes da introdução de novas tecnologias ou fluxos de trabalho que apresentem riscos elevados para a privacidade.

14. Responsável Interno pela Privacidade (não-DPO)

A Transtoyou não é legalmente obrigada a nomear um Responsável pela Proteção de Dados (DPO) ao abrigo do Artigo 37 do RGPD, uma vez que operamos sob a confidencialidade profissional médica.

No entanto, nomeámos um responsável interno pela privacidade para supervisionar:

Conformidade com a privacidade
A manutenção do nosso registo de tratamento
Execução de DPIAs
Revisão dos contratos com os processadores

Esta pessoa atua como o principal ponto de contacto para questões de privacidade e apoia auditorias, resposta a violações e mitigação de riscos.

Questões ou Relato de uma Preocupação

Se tiver perguntas sobre segurança de dados, ou se desejar relatar uma vulnerabilidade (suspeita), entre em contacto connosco:

Equipa de Privacidade e Segurança

Para questões e preocupações de segurança:
privacy@transtoyou.com

Relatar uma Vulnerabilidade

Encontrou um problema de segurança? Informe-nos:
privacy@transtoyou.com

A tua segurança é a nossa prioridade

Investimos continuamente na proteção dos teus dados pessoais e médicos com medidas de segurança de última geração.

Política de Privacidade Direitos do GDPR

Tipo

Faixa de Preço

Saúde sexual e desempenho

Saúde hormonal e vitalidade

Cuidado com o cabelo e couro cabeludo

Anticoncepção

Saúde hormonal e reprodutiva

Saúde vaginal e menstrual

Transição e cuidados hormonais

Soluções de saúde de apoio

Apoio mental e geral

Dor e recuperação

Crônico e metabólico

Alergia, infecção e trato urinário

Dermatologia e íntimo

Visão geral de suporte

Suas ferramentas gratuitas de eHealth

Sobre o Transtoyou eHealth

Transtoyou nas redes sociais