⚠️ Rascunho — carece de revisão jurídica antes da publicação
Versão: 1.0Em vigor desde:

Acordo de Subcontratação de Tratamento de Dados (DPA)

Entre o Cliente Profissional (Responsável pelo Tratamento) e a iBetterCoach (Subcontratante)

Versão: 1.0 Data: [a definir]

⚠️ Aviso: Modelo preparado como base. Carece de revisão por advogado português especializado em RGPD antes de utilização com clientes reais.

Preambulo

Este Acordo de Subcontratação de Tratamento de Dados ("DPA") regula o tratamento de dados pessoais efetuado pela iBetterCoach ("Subcontratante") por conta do Cliente Profissional ("Responsável pelo Tratamento") no âmbito da utilização da Plataforma iBetterCoach.

Este DPA constitui parte integrante das Condições de Utilização e é aplicável sempre que o Cliente Profissional, no exercício da sua atividade enquanto Personal Trainer, nutricionista, professor de educação física, fisioterapeuta ou outro profissional da area da saúde, do desporto ou do bem-estar, recolha, armazene ou processe dados pessoais de Atletas (titulares dos dados) através da Plataforma.

Em caso de conflito entre o DPA e as Condições de Utilização, prevalece o DPA quanto a tratamento de dados pessoais.

1. Definições

Os termos utilizados neste DPA tem o significado que lhes e atribuído pelo Regulamento (UE) 2016/679 (RGPD), designadamente:

  • Dados Pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável.
  • Tratamento: qualquer operação ou conjunto de operações efetuadas sobre dados pessoais.
  • Responsável pelo Tratamento (Controller): a pessoa singular ou coletiva que determina as finalidades e os meios do tratamento. Neste DPA, e o Cliente Profissional.
  • Subcontratante (Processor): a pessoa singular ou coletiva que trata os dados pessoais por conta do Responsável. Neste DPA, e a iBetterCoach.
  • Sub-subcontratante: terceiro contratado pelo Subcontratante para auxiliar no tratamento (ex.: Clerk, Supabase, Vercel).
  • Titular dos Dados: o Atleta cujos dados pessoais são tratados.
  • Dados de Saúde: dados pessoais relativos a saúde física ou mental do Titular, incluindo a prestação de serviços de saúde, qualificados como categoria especial nos termos do artigo 9.º do RGPD.
  • Violação de Dados: violação da segurança que provoque destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais.

2. Objeto e duração

2.1 Objeto

A iBetterCoach trata, em nome do Cliente Profissional, dados pessoais necessários a:

  • Gestão da relação profissional entre o Cliente é os seus Atletas
  • Recolha de anamnese de saúde e avaliação física
  • Geração de prescrições de treino e nutrição com apoio do motor algorítmico e da camada de IA
  • Acompanhamento de progresso, registo de sessões e comunicação Cliente-Atleta
  • Integração com wearables (quando autorizada pelo Atleta)
  • Geração de projeções clínicas (CurrentClinicalView, ClinicalDeltaView, TrainingImplicationsView, NutritionImplicationsView)

2.2 Duração

Este DPA vigora durante todo o período em que o Cliente Profissional utilize a Plataforma é termina automaticamente com o cancelamento da conta, sem prejuízo das obrigações que devam subsistir após o termo (devolução ou apagamento de dados, confidencialidade, cooperação em pedidos de titulares).

3. Tipos de dados e titulares

3.1 Categorias de Dados Pessoais tratados

  • Dados de identificação: nome, data de nascimento, sexo, fotografia, contactos
  • Dados antropométricos: peso, altura, perímetros, percentagem de massa gorda, dados de bioimpedância
  • Dados de saúde (categoria especial, art. 9.º RGPD): anamnese clínica, antecedentes patológicos, medicação, alergias, lesões, restrições médicas, dados de wearables (frequência cardiaca, HRV, sono, glicose continua quando aplicável)
  • Dados desportivos: objetivos, histórico de treino, RM, cargas, volumes, progressão
  • Dados nutricionais: preferências, restrições, intolerâncias, registo alimentar
  • Dados de utilização: logs de acesso, interações com a Plataforma, prescrições geradas

3.2 Categorias de Titulares

  • Atletas registados pelo Cliente Profissional na Plataforma
  • Membros da equipa do Cliente Profissional (estagiarios, assistentes, co-treinadores) com acesso autorizado pelo Cliente

4. Obrigações da iBetterCoach (Subcontratante)

A iBetterCoach compromete-se a:

  1. Tratar os dados pessoais apenas com base em instruções documentadas do Cliente Profissional, salvo obrigação legal contrária. As Condições de Utilização, este DPA e as configurações da Plataforma constituem instruções documentadas válidas.

  2. Garantir que as pessoas autorizadas a tratar os dados (colaboradores e prestadores) estão vinculadas por dever de confidencialidade ou sob obrigação legal de confidencialidade adequada.

  3. Implementar medidas técnicas e organizativas adequadas para garantir um nível de segurança compatível com o risco, incluindo (sem se limitar a):

    • Encriptação em transito (TLS 1.2+) e em repouso (AES-256)
    • Pseudonimização quando aplicável
    • Autenticação forte e gestão granular de permissões (Clerk + Row Level Security do Supabase)
    • Backups regulares com testes de restauro
    • Monitorização de logs de acesso e deteção de anomalias
    • Plano de continuidade e recuperação de desastres
    • Formação da equipa em RGPD e segurança

  4. Respeitar as condições para recurso a sub-subcontratantes, conforme o ponto 5.

  5. Auxiliar o Cliente Profissional, na medida do possível e tendo em conta a natureza do tratamento, a:

    • Responder a pedidos de exercício de direitos por parte dos Atletas
    • Cumprir as obrigações de segurança dos arts. 32.º a 36.º do RGPD
    • Conduzir Avaliações de Impacto sobre a Proteção de Dados (DPIA)

  6. Notificar o Cliente sem demora injustificada e no máximo em 48 horas após tomar conhecimento de uma violação de dados pessoais que lhe diga respeito.

  7. Após o término da prestação de serviços, e por opção do Cliente, devolver ou apagar todos os dados pessoais, salvo se o direito da União ou de Portugal exigir a sua conservação.

  8. Disponibilizar ao Cliente toda a informação necessária para demonstrar o cumprimento das obrigações do art. 28.º do RGPD e permitir auditorias, incluindo inspeções, conduzidas pelo Cliente ou por outro auditor por este mandatado, mediante aviso prévio razoável e não mais do que uma vez por ano (excepto em caso de incidente).

  9. Manter um Registo de Atividades de Tratamento nos termos do art. 30.º, n.º 2, do RGPD.

5. Sub-subcontratantes

5.1 Autorização geral

O Cliente Profissional autoriza expressamente a iBetterCoach a recorrer a sub-subcontratantes para a prestação do serviço, designadamente:

Sub-subcontratanteServiçoLocalizaçãoSalvaguarda
Supabase Inc.Base de dados PostgreSQL, autenticação alternativa, storageUE (Frankfurt)DPA + SCC
Clerk Inc.Autenticação, gestão de utilizadores e gestão de organizaçõesEUADPA + SCC + DPF
Vercel Inc.Hosting, edge functions, CDNUE (Frankfurt) preferencialDPA + SCC + DPF
Anthropic, PBC (camada IA filler)Geração de texto auxiliar a partir de prompts pseudonimizados — sem acesso a dados de saúde identificáveisEUADPA + SCC + opção de não-treino ativada
Provedor de email transacional (a definir, ex.: Resend, Postmark, SendGrid)Envio de emails de serviçoUE preferencialDPA + SCC

Nota sobre cadeia de pagamentos. A iBetterCoach utiliza a Clerk como subprocessador para autenticação e gestão de organizações, e utiliza Stripe, Inc. diretamente como processador de pagamentos. Os dados de cartão do Cliente (PAN, CVV) são tokenizados diretamente no browser pela Stripe, sem que a iBetterCoach ou a Clerk os recebam ou armazenem.

A lista atualizada de sub-subcontratantes da iBetterCoach está disponível em [URL a definir]/legal/sub-subcontratantes.

5.2 Notificação de alterações

A iBetterCoach notificara o Cliente com pelo menos 30 dias de antecedência sobre qualquer alteração na lista de sub-subcontratantes (adição, substituição, remoção). O Cliente poderá objetar fundadamente a essa alteração no prazo de 14 dias. Se a objeção for considerada razoável, a iBetterCoach procurara uma solução alternativa; caso não seja possível, o Cliente poderá resilir o contrato sem penalização.

5.3 Responsabilidade

A iBetterCoach mantém-se integralmente responsável perante o Cliente pelo cumprimento das obrigações do RGPD por parte dos sub-subcontratantes.

6. Direitos dos titulares

A iBetterCoach disponibiliza ao Cliente Profissional ferramentas técnicas para responder aos pedidos dos Atletas relativos aos seus direitos, designadamente:

  • Acesso (art. 15.º)
  • Retificação (art. 16.º)
  • Apagamento / direito ao esquecimento (art. 17.º)
  • Limitação do tratamento (art. 18.º)
  • Portabilidade (art. 20.º) — exportação em formato estruturado (JSON, CSV)
  • Oposição (art. 21.º)
  • Não sujeição a decisões automatizadas (art. 22.º) — a Plataforma garante que nenhuma prescrição tem efeito sem validação humana do profissional

Caso um Atleta contacte diretamente a iBetterCoach, esta encaminhará o pedido para o Cliente Profissional sem demora.

7. Transferências internacionais

Sempre que dados pessoais sejam transferidos para fora do EEE, a iBetterCoach garante a aplicação de Cláusulas Contratuais Tipo (SCC) aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia, complementadas, quando necessário, por medidas suplementares (encriptação reforcada, pseudonimização, restrições contratuais ao acesso por autoridades públicas), em conformidade com o acordao Schrems II (C-311/18) e com o EU-US Data Privacy Framework vigente.

8. Segurança e violações de dados

8.1 Medidas de segurança

A iBetterCoach mantém um conjunto de medidas técnicas e organizativas detalhadas no documento security-guidelines.md da governance, atualizadas de forma continua.

8.2 Notificação de violação

Em caso de violação de dados pessoais, a iBetterCoach:

  1. Notifica o Cliente em 48 horas após tomar conhecimento, com:
    • Natureza da violação e categorias de dados envolvidos
    • Número aproximado de Titulares e registos afetados
    • Possíveis consequências
    • Medidas adotadas ou propostas para mitigar
  2. Coopera plenamente com o Cliente para a notificação a CNPD (em 72h) e, se aplicável, aos Titulares.

9. Auditorias

O Cliente tem o direito de auditar o cumprimento deste DPA por parte da iBetterCoach, mediante:

  • Pedido escrito com 30 dias de antecedência
  • Frequência máxima de uma auditoria por ano (excepto incidente)
  • Auditor independente sujeito a obrigação de confidencialidade
  • Custos suportados pelo Cliente, salvo se a auditoria revelar incumprimento material

A iBetterCoach pode, em alternativa, disponibilizar relatórios de auditoria de terceiros (ex.: SOC 2, ISO 27001, auditoria RGPD por entidade independente) que satisfacam o pedido.

10. Devolução e apagamento de dados

Após o termo do contrato, e por opção do Cliente exercida no prazo de 30 dias, a iBetterCoach:

  • Devolve os dados pessoais em formato estruturado (JSON ou CSV) através de mecanismo seguro, ou
  • Apaga todos os dados pessoais

Decorrido o prazo de 30 dias sem instruções do Cliente, a iBetterCoach apaga automaticamente os dados, salvo obrigação legal de conservação.

11. Responsabilidade

Cada Parte responde pelos danos causados pelo incumprimento das suas obrigações nos termos do art. 82.º do RGPD. A responsabilidade da iBetterCoach perante o Cliente está sujeita ao limite de responsabilidade previsto nas Condições de Utilização, salvo em caso de dolo ou negligência grave.

12. Lei aplicável e foro

Este DPA rege-se pelo direito português. Qualquer litigio será submetido ao foro da Comarca de [a definir], com expressa renuncia a qualquer outro.

13. Aceitação

Este DPA considera-se aceite pelo Cliente Profissional no momento da criação da conta na Plataforma e/ou no primeiro carregamento de dados pessoais de Atletas, sem necessidade de assinatura física, em linha com o art. 28.º, n.º 9, do RGPD que admite forma eletrónica.

O Cliente pode solicitar versão assinada bilateralmente através de dpo@ibettercoach.com.

Documento preparado para a iBetterCoach. Carece de revisão jurídica formal antes de publicação.

Este documento pode ser atualizado. A versão aplicável é sempre a disponível nesta página.

Outros documentos legais