Última actualização: 22 de Maio de 2026
POPIA e processamento de dados
1. Visão geral
A Protection of Personal Information Act, 2013 (“POPIA”) rege o processamento de informação pessoal na África do Sul. Esta página descreve como a Starlight Group SA (Pty) Ltd, sob a marca “Practiq” (“Practiq”), apoia as práticas no cumprimento das suas obrigações POPIA, e estabelece o Aditamento ao Processamento de Dados (“DPA”) que faz parte de cada relação com o cliente.
2. Papéis
Ao abrigo do artigo 1.º da POPIA, a prática clínica que utiliza a Practiq é a Parte Responsável pela informação pessoal dos seus doentes e do seu pessoal. A Practiq é o Operador: processamos informação pessoal apenas com base em instruções documentadas da prática e apenas para o propósito de fornecer a plataforma.
Para a nossa própria relação de cliente com a prática (conta, facturação, suporte), a Practiq é ela própria uma Parte Responsável. A Política de Privacidade em /privacy explica esse processamento em detalhe.
3. Oficial de Informação
O artigo 56.º da POPIA exige que cada Parte Responsável designe um Oficial de Informação. Cada prática regista o seu Oficial de Informação no onboarding; o campo é editável nas definições da prática e não pode ficar em branco. O Oficial de Informação da própria Practiq pode ser contactado em support@starlightgroupsa.co.za.
4. Artigos da POPIA que implementamos directamente
- Artigo 15.º (processamento ulterior). Quando a prática activa o escriba de IA, cada gravação requer consentimento explícito do doente por consulta. O guião de consentimento é editável nas definições da prática e é capturado e armazenado junto da gravação.
- Artigo 19.º (salvaguardas de segurança). As medidas técnicas e organizacionais estão documentadas em detalhe em /security.
- Artigo 21.º (obrigações do Operador). Processamos informação pessoal apenas com autorização da prática, tratamo-la como confidencial, e notificamos a prática de violações em conformidade com o artigo 22.º.
- Artigo 22.º (notificação de violação). Sempre que tenhamos fundamentos razoáveis para acreditar que informação pessoal foi acedida ou adquirida por pessoa não autorizada, notificamos o Oficial de Informação da prática logo que razoavelmente possível e, em qualquer caso, nas setenta e duas (72) horas seguintes à identificação da violação. A notificação inclui a natureza do comprometimento, as categorias de dados afectadas, as medidas tomadas, e os passos que a prática poderá querer tomar.
- Artigo 23.º (acesso e portabilidade). Cada registo de doente pode ser exportado como arquivo legível por máquina (JSON acompanhado dos documentos anexos) a partir da página de detalhe do doente.
- Artigo 24.º (correcção e eliminação). Um doente pode pedir a correcção ou eliminação da sua informação pessoal. A eliminação é implementada como um período de carência de trinta (30) dias (durante o qual a prática pode cancelar o pedido, por exemplo se o doente está em tratamento activo), seguido da anonimização automática dos campos identificadores. O histórico clínico é retido desidentificado pelo período exigido pelo HPCSA.
- Artigo 25.º (notificação de recusa). Sempre que nós ou a prática recusemos um pedido do titular dos dados, o titular recebe as razões por escrito e é informado do direito de reclamar junto do Regulador da Informação.
- Artigo 72.º (transferências transfronteiriças). Os dados de produção estão alojados na União Europeia. Os sub-operadores noutras jurisdições estão vinculados por salvaguardas contratuais que se aproximam dos padrões da POPIA.
5. Aditamento ao Processamento de Dados
O seguinte Aditamento ao Processamento de Dados (“DPA”) está incorporado nos Termos de Serviço em /terms. Ao usar os Serviços, considera-se que a prática e a Practiq concordaram com ele. Uma cópia PDF assinada está disponível em /api/legal/dpa para a prática contra-assinar para os seus próprios registos.
6. DPA — definições
Os termos com inicial maiúscula que não estejam definidos neste DPA têm o significado dado na POPIA ou nos Termos de Serviço. “Operador” significa Starlight Group SA (Pty) Ltd. “Parte Responsável” significa a prática. “Informação Pessoal” tem o significado dado no artigo 1.º da POPIA.
7. DPA — objecto, duração, natureza e finalidade
O Operador processa Informação Pessoal dos doentes e pessoal da Parte Responsável com a finalidade de fornecer a plataforma software-as-a-service Practiq. O processamento prossegue durante a vigência da subscrição activa, acrescido de qualquer período de retenção exigido por lei ou pelas obrigações de retenção clínica da Parte Responsável.
8. DPA — categorias de titulares e de Informação Pessoal
Titulares dos dados: doentes da Parte Responsável e pessoal da Parte Responsável. Categorias de Informação Pessoal: informação identificadora (nome, data de nascimento, número de identificação), dados de contacto, identificadores de plano médico, histórico clínico (encontros, condições, observações, medicação, alergias, documentos anexos), gravações áudio (quando activadas), e rascunhos gerados por IA (quando activados).
9. DPA — obrigações do Operador
O Operador compromete-se a:
- processar Informação Pessoal apenas com base em instruções documentadas da Parte Responsável, salvo quando exigido em contrário pela lei sul-africana (caso em que o Operador informará a Parte Responsável a menos que essa lei o proíba);
- tratar a Informação Pessoal como confidencial;
- assegurar que as pessoas autorizadas a processar Informação Pessoal estão sujeitas a compromissos adequados de confidencialidade;
- implementar e manter as medidas técnicas e organizacionais descritas em /security;
- notificar a Parte Responsável de qualquer comprometimento de segurança real ou razoavelmente suspeito que afecte a Informação Pessoal, sem atraso indevido e, em qualquer caso, nas setenta e duas (72) horas seguintes à identificação;
- auxiliar a Parte Responsável, tendo em conta a natureza do processamento, no cumprimento das suas obrigações de resposta aos pedidos de titulares dos dados ao abrigo da POPIA;
- na cessação dos Serviços, eliminar ou devolver toda a Informação Pessoal à escolha da Parte Responsável, salvo quanto às cópias que devam ser retidas por lei.
10. DPA — sub-operadores
A Parte Responsável autoriza o Operador a recorrer aos sub-operadores listados em /security. O Operador dará à Parte Responsável um aviso prévio de pelo menos trinta (30) dias (por meio de anúncio na aplicação e e-mail ao titular da conta) antes de adicionar ou substituir um sub-operador que afecte materialmente o processamento de Informação Pessoal. A Parte Responsável pode opor-se com fundamentos razoáveis; se o Operador não conseguir acomodar a oposição, a Parte Responsável pode rescindir a parte afectada dos Serviços mediante notificação escrita.
O Operador continua responsável perante a Parte Responsável pelos actos e omissões dos seus sub-operadores no que respeita à Informação Pessoal.
11. DPA — transferências internacionais
Sempre que a Informação Pessoal seja transferida para um país que não disponha de lei que assegure um nível adequado de protecção substancialmente semelhante à POPIA, o Operador apoia-se nas salvaguardas contratuais dos seus acordos com sub-operadores que vinculam esses sub-operadores a padrões que se aproximam dos artigos 19.º e 21.º da POPIA. O artigo 72.º(1)(a) da POPIA aplica-se em conformidade.
12. DPA — assistência aos direitos dos titulares
O Operador fornece ferramentas na plataforma que permitem à Parte Responsável responder a pedidos de acesso (artigo 23.º) e de eliminação (artigo 24.º) dentro dos prazos legais. A exportação de dados do doente produz um arquivo legível por máquina contendo todos os campos armazenados acompanhados dos documentos anexos. A eliminação processa-se em conformidade com o n.º 4 desta página.
13. DPA — auditoria e inspecção
Mediante aviso escrito razoável e a expensas da Parte Responsável, o Operador disponibilizará a informação necessária para demonstrar a conformidade com este DPA e com a POPIA. Quando a Parte Responsável pretenda verificar a conformidade, o Operador pode propor um auditor independente mutuamente aceitável em lugar de uma inspecção no local. A informação de auditoria é fornecida sob obrigações de confidencialidade e pode ser limitada quando a divulgação comprometeria a segurança de outros clientes ou violaria uma obrigação de sigilo devida a terceiros.
14. DPA — devolução e eliminação de dados
Após a cessação, a Parte Responsável pode exportar a Informação Pessoal da plataforma durante trinta (30) dias. Após esse período, o Operador elimina ou anonimiza irreversivelmente a Informação Pessoal, retendo apenas o que for exigido por lei (em particular a retenção de registo clínico exigida pelo HPCSA) numa base estritamente limitada.
15. DPA — responsabilidade e ordem de prevalência
A responsabilidade de cada parte ao abrigo deste DPA está sujeita ao, e faz parte do, limite agregado de responsabilidade e exclusões estabelecidos nos Termos de Serviço. Em caso de conflito entre os Termos de Serviço e este DPA quanto ao processamento de Informação Pessoal, prevalece este DPA.
16. DPA — vigência e lei aplicável
Este DPA vigora simultaneamente com os Termos de Serviço e é regido pelas leis da República da África do Sul. As partes submetem-se à jurisdição não exclusiva do High Court da África do Sul.
17. Resumo de retenção
- Registos clínicos — retidos por pelo menos dez (10) anos a contar da última entrada, mais para doentes menores, em conformidade com a orientação do HPCSA. Os pedidos de eliminação resultam em anonimização, não destruição, do histórico clínico.
- Registos operacionais (facturas, facturação, registos de auditoria) — sete (7) anos.
- Informação de conta — duração da relação acrescida de até dois (2) anos.
18. Contacto
Todos os pedidos — privacidade, pedidos de titulares de dados, divulgações de segurança: support@starlightgroupsa.co.za.
Regulador da Informação da África do Sul: inforegulator.org.za.
Emitido por Starlight Group SA (Pty) Ltd, sob a marca Practiq