Última actualização: 22 de Maio de 2026
Política de privacidade
1. Quem somos
A plataforma Practiq é detida e operada pela Starlight Group SA (Pty) Ltd, uma sociedade privada constituída na República da África do Sul, sob a marca “Practiq” (“Practiq”, “nós”, “nosso”). Os dados de contacto constam da última secção desta política.
2. O nosso papel ao abrigo da POPIA
A Practiq processa informação pessoal em duas qualidades distintas.
- Operador (artigo 1.º). Quando uma prática clínica utiliza a Practiq para registar informação sobre os seus doentes e pessoal, a prática é a Parte Responsável e a Practiq é o Operador. Processamos a informação do doente apenas mediante instrução documentada da prática e ao abrigo do Aditamento ao Processamento de Dados em /popia.
- Parte Responsável. Quanto à nossa própria relação de cliente com a prática (criação de conta, facturação, suporte, comunicações de marketing ao pessoal que tenha aderido), somos a Parte Responsável e processamos a informação descrita abaixo para os nossos próprios fins legítimos.
Os doentes devem dirigir pedidos sobre a sua informação clínica à prática tratante. A prática designa um Oficial de Informação no onboarding; os respectivos contactos estão disponíveis a pedido junto da prática.
3. Informação pessoal que recolhemos
Recolhemos as seguintes categorias de informação pessoal.
- Informação de conta — nome, e-mail profissional, credenciais de acesso (as palavras-passe são guardadas como hashes com salt; o valor original nunca nos é visível), papel dentro da prática, e metadados de autenticação (momentos de sessão, impressões digitais de dispositivo, IP).
- Informação operacional da prática — nome da prática, localização, profissão, dados de facturação, plano de subscrição, tokens de método de pagamento (detidos pelo nosso fornecedor de facturação; nunca armazenamos números de cartão completos), facturas emitidas pela prática.
- Informação pessoal do doente — apenas os campos que a prática escolher registar: informação identificadora, dados de contacto, identificadores de plano médico, marcações, encontros clínicos, condições, medicação, alergias, observações, formulários, anexos e (quando a prática os activa) gravações áudio e rascunhos gerados por IA. Identificadores como o número de identificação e o número de plano médico são cifrados na camada da aplicação com uma chave única por tenant.
- Comunicações — e-mails, mensagens na aplicação, e tíquetes de suporte trocados connosco.
- Informação de utilização e diagnóstico — interacções com funcionalidades, relatórios de erro, e telemetria de desempenho. Nunca associamos identificadores de doente a esta telemetria; identificadores de utilizador e de tenant são as únicas ligações de volta à conta.
- Cookies e tecnologias semelhantes — cookies estritamente necessários para autenticação e persistência de sessão, e ainda preferências de primeira parte (ex.: estado colapsado da barra lateral). Não usamos cookies de publicidade de terceiros na superfície da aplicação.
4. Como usamos a informação pessoal
Usamos informação pessoal para os seguintes fins.
- Prestar os Serviços. Operar a plataforma, autenticar utilizadores, alojar registos clínicos e de facturação, gerar transcrições e rascunhos de IA quando a prática os solicita, enviar comunicações transaccionais (confirmações de marcação, lembretes, reposições de palavra-passe, facturas, avisos de segurança).
- Apoiar clientes. Responder a pedidos, investigar incidentes, e prestar assistência técnica.
- Garantir a segurança da plataforma. Detectar e prevenir fraude, abuso e acesso não autorizado; manter o registo de auditoria; investigar incidentes de segurança suspeitos.
- Melhorar os Serviços. Análise de utilização agregada e desidentificada. Não usamos informação pessoal de doente para treinar qualquer modelo de aprendizagem automática, e não permitimos que os nossos subprocessadores o façam.
- Cumprir obrigações legais. Cumprir a POPIA, o direito fiscal, a legislação antibranqueamento, o National Health Act e pedidos de reguladores.
5. Base legal para o processamento
Para informação processada em nome de práticas, a nossa base legal decorre da instrução da prática, do consentimento do doente obtido pela prática, do interesse legítimo da prática na prestação de cuidados de saúde, e das obrigações aplicáveis de retenção médica.
Para informação que processamos como Parte Responsável, baseamo-nos em: execução de contrato (para prestar os Serviços); interesse legítimo (para proteger e melhorar a plataforma); obrigação legal (para cumprir requisitos regulamentares); e consentimento (quando exigido — por exemplo para e-mails de marketing de produto a utilizadores que tenham aderido).
6. Partilha com terceiros
Partilhamos informação pessoal apenas com as seguintes categorias de destinatários:
- Subprocessadores que fornecem a infra-estrutura subjacente, a transcrição, a inferência de IA, os pagamentos, o e-mail, o SMS, a analítica, e a monitorização de erros. A lista actual, o papel de cada fornecedor e as salvaguardas em vigor são publicados em /security.
- Outros utilizadores na mesma prática, na medida em que o respectivo papel o permita.
- Consultores profissionais (contabilistas, auditores, conselheiros jurídicos) sob obrigações escritas de confidencialidade.
- Autoridades quando obrigados por processo legal ou quando a divulgação seja necessária para proteger vidas ou investigar um crime grave.
- Uma entidade sucessora no caso de fusão, aquisição, reestruturação ou venda de praticamente todos os nossos activos, sujeito à continuidade das protecções desta política.
Não vendemos informação pessoal.
7. Transferências transfronteiriças
Os dados de produção estão alojados na União Europeia (República da Irlanda, eu-west-1). Alguns subprocessadores operam em jurisdições fora da África do Sul ou do Espaço Económico Europeu. Sempre que a informação pessoal seja transferida para um país que não disponha de lei que assegure um nível adequado de protecção comparável à POPIA, apoiamo-nos nas salvaguardas contratuais dos nossos acordos com esses subprocessadores que os vinculam a padrões que se aproximam dos artigos 19.º e 21.º da POPIA, em conformidade com o artigo 72.º.
8. Retenção
- Registos clínicos — retidos por pelo menos o período exigido pela orientação do HPCSA (tipicamente dez anos a contar da data da última entrada, mais para doentes menores). Após pedidos de eliminação, os campos identificadores são anonimizados mas o histórico clínico é retido desidentificado, em conformidade com expectativas regulamentares.
- Registos operacionais (facturas, facturação, registos de auditoria) são retidos por sete anos para cumprir requisitos fiscais e de responsabilização da POPIA.
- Informação de conta é retida durante a vigência da relação e por um período razoável posterior para tratar pedidos de reactivação e disputas (tipicamente até dois anos), sendo depois eliminada ou anonimizada.
- Gravações áudio e rascunhos gerados por IA seguem as mesmas regras de retenção dos registos clínicos a que se associam.
9. Segurança
Mantemos medidas técnicas e organizacionais adequadas à sensibilidade da informação clínica. Estas estão descritas em detalhe em /security e incluem cifragem em trânsito e em repouso, cifragem na camada da aplicação para identificadores sensíveis, isolamento ao nível de linha entre tenants, controlo de acesso baseado em papéis com privilégios mínimos por defeito, registo de auditoria em cada mutação, cópias de segurança diárias cifradas, e um processo de resposta a incidentes testado externamente.
10. Os seus direitos
Os doentes e utilizadores na África do Sul têm os seguintes direitos ao abrigo da POPIA, exercidos sem custos salvo se os pedidos forem manifestamente infundados ou excessivos:
- Acesso — ser informado de que informação pessoal detemos e receber uma cópia.
- Correcção — ter informação incorrecta corrigida.
- Eliminação — ter informação pessoal destruída ou eliminada, sujeito a obrigações de retenção.
- Oposição — opor-se ao processamento com fundamentos razoáveis.
- Retirada do consentimento — quando o processamento se baseia em consentimento, retirá-lo a qualquer momento, sem afectar o processamento lícito anterior.
- Reclamação — apresentar uma reclamação ao Regulador da Informação da África do Sul (inforegulator.org.za).
Os doentes devem enviar pedidos à prática tratante. Honraremos os pedidos válidos encaminhados através da prática no prazo de trinta (30) dias, mais cedo sempre que razoavelmente possível. Os utilizadores podem exercer os seus direitos directamente connosco através dos contactos abaixo.
11. Informação de menores
Os registos clínicos de menores são processados pelas práticas no curso normal da prestação de cuidados. Confiamos na prática para obter o consentimento exigido pela POPIA junto de uma pessoa competente antes de processar a informação pessoal de uma criança. Os nossos Serviços não se dirigem a crianças para auto-registo.
12. Marketing
Enviamos e-mails transaccionais (essenciais à operação do serviço) sem consentimento separado. Notícias de produto, conteúdo educativo e e-mails promocionais são enviados apenas a utilizadores que tenham aderido. Cada uma dessas mensagens contém um link de cancelamento de subscrição num clique.
13. Tomada de decisão automatizada e IA
As funcionalidades de IA na plataforma geram rascunhos que apoiam a prática clínica. Não decidem autonomamente sobre cuidados, prescrições ou facturação. Cada artefacto gerado por IA é apresentado a um profissional para revisão e edição antes de ser finalizado e não pode, por desenho, ser emitido sem essa revisão. Não usamos informação pessoal de doente para treinar qualquer modelo, e os nossos subprocessadores de IA estão contratualmente proibidos de o fazer.
14. Alterações a esta política
Podemos actualizar esta política periodicamente. As alterações materiais serão anunciadas através do changelog na aplicação e notificadas por e-mail aos titulares das contas com pelo menos trinta (30) dias de antecedência face à sua entrada em vigor. A data de “Última actualização” no topo desta página regista a revisão mais recente.
15. Contacto
Starlight Group SA (Pty) Ltd, sob a marca Practiq.
Todos os pedidos — privacidade, pedidos de titulares de dados, divulgações de segurança, suporte geral: support@starlightgroupsa.co.za.
Emitido por Starlight Group SA (Pty) Ltd, sob a marca Practiq