Política de Privacidade

1. Quem somos

A UpHill S.A. (doravante “UpHill”) pessoa coletiva n.º 513509593, matriculada na Conservatória do Registo Comercial sob o mesmo número, com sede na Estrada Municipal 506, Ubimedical, 6200-284 Covilhã, doravante abreviadamente designada por “UpHill” é a responsável pelo tratamento dos seus dados pessoais recolhidos através da plataforma “Liber” (doravante “Plataforma”) para as finalidades abaixo identificadas, em particular, os dados recolhidos na para que o utilizador se possa registar e usufruir dos serviços disponibilizados na Plataforma.

2. Privacidade de Dados Pessoais

A UpHill garante aos utilizadores desta Plataforma (doravante “Utilizadores”) o respeito pela sua privacidade, adotando as medidas necessárias para proteger os seus dados pessoais.

A UpHill está consciente da sua responsabilidade na recolha e tratamento dos dados pessoais que lhe são confiados e de os manter seguros, assegurando a total privacidade, confidencialidade e integridade dos mesmos, no escrupuloso cumprimento da lei, nomeadamente do disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (doravante “RGPD”), da Lei n.º 58/2019 que assegura a execução, na ordem jurídica nacional, do RGPD (doravante “LPDP”) e qualquer outra legislação ou regulamentos relativos a proteção de dados pessoais e privacidade aplicável que se encontre em vigor.

Neste contexto, a UpHill pretende, entre outras, dar a conhecer aos Utilizadores as situações em que ocorre tratamento dos seus dados pessoais, bem como informar sobre o modo como os seus dados pessoais são recolhidos, quem são os seus destinatários, como é protegida a respectiva privacidade na utilização dos serviços disponibilizados na Plataforma (“Serviços”), assim como, sobre os seus direitos em relação aos tratamentos de dados pessoais realizados pela UpHill.

3. O que são Dados Pessoais?

Entende-se por dados pessoais qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável. É considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social.

Outras Definições Importantes:

Autoridade de controlo: uma autoridade pública independente criada por um Estado-Membro da União Europeia, com a responsabilidade pela fiscalização da aplicação do RGPD, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação dos dados na União Europeia. Em Portugal, a autoridade de controlo é a Comissão Nacional de Proteção de Dados (doravante “CNPD”).

Categorias especiais de dados: Dados pessoais que poderão ter uma natureza mais sensível em determinadas situações. Estes podem versar sobre a origem racial ou étnica do seu titular, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde.

Consentimento: manifestação de vontade, livre, específica, informada e inequívoca, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os Dados Pessoais que lhe dizem respeito sejam objeto de tratamento para determinada finalidade.

Responsável pelo Tratamento: pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de Dados Pessoais, neste caso a UpHill.

Subcontratante: pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os Dados Pessoais por conta do Responsável pelo Tratamento.

Titular de Dados Pessoais: pessoa singular identificada ou identificável cujos Dados Pessoais são recolhidos através da Plataforma.

Tratamento(s): operação ou conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.


4. Responsável pelo Tratamento

A UpHill cujos dados de identificação e contacto estão indicados no início desta Política (1. Quem somos ?) é a responsável pelo tratamento dos dados pessoais dos Utilizadores para as finalidades abaixo indicadas.


5. Encarregado da Proteção de Dados Pessoais (doravante “EPDP”)

O EPDP tem a função de o esclarecer em relação a qualquer dúvida ou preocupação relativa à forma como os seus dados pessoais são tratados e que zela pela garantia do exercício dos seus direitos.

Poderá contactar o EPDP da UpHill, através do seguinte endereço:

dpo@libercare.com


6. Princípios Gerais Aplicáveis ao Tratamento de Dados Pessoais

No Tratamento de Dados Pessoais recolhidos através da Plataforma, a UpHill compromete-se a assegurar que os mesmos são:

  • Objeto de um tratamento lícito, leal e transparente em relação ao Titular dos Dados Pessoais;

  • Recolhidos para finalidades determinadas, explícitas e legítimas, não sendo tratados posteriormente de uma forma incompatível com essas finalidades;

  • Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;

  • Exatos e atualizados sempre que necessário, sendo adotadas medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;

  • Conservados de uma forma que permita a identificação do Titular dos Dados Pessoais apenas durante o período necessário para as finalidades para as quais os dados são tratados.

  • Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou dano acidental, sendo adotadas as medidas técnicas ou organizativas adequadas.


7. Finalidades, Fundamentos de Licitude e Prazos de Conservação no Tratamento de Dados Pessoais

Os Dados Pessoais recolhidos através da Plataforma podem ser tratados, pela UpHill, para as finalidades de adesão aos Serviços, gestão da comunicação com os Utilizadores, incluindo para prestação de informações e esclarecimento de dúvidas sobre as condições e funcionamento dos Serviços disponibilizados pela UpHill na Plataforma. Assim, os dados recolhidos, através da Plataforma, são tratados de acordo com os seguintes fundamentos de licitude e de acordo com os seguintes prazos de conservação:

 

Categoria de Dados: Dados de contato (email; telefone); dados de identificação (nome) e informação relativa ao pedido de informação ou sobre a reclamação efetuada. 

Finalidade: Realização de uma reclamação ou elaboração de pedidos de informação (e.g., pedidos de esclarecimento sobre os Serviços). 

Legitimidade: Interesse legítimo da UpHill em responder às reclamações e pedidos informativos efetuados. 

Prazo de Conservação: Apenas durante o período necessário em responder às reclamações ou pedidos de esclarecimento efetuados e cumprir com as obrigações legais aplicáveis.


Categoria de Dados: Dados de contacto (email). 

Finalidade: Subscrição para recebimento de newsletters e/ou outros materiais informativos. 

Legitimidade: Consentimento

Prazo de Conservação: Durante 3 anos, findo o qual  a UpHill enviará e-mail a confirmar a renovação do consentimento prestado.


Categoria de Dados: Dados de contacto (email). 

Finalidade: Envio de informação comercial (marketing direto), nomeadamente sobre promoções dos Serviços. 

Legitimidade: Consentimento

Prazo de Conservação: Durante 3 anos, findo o qual  a UpHill enviará e-mail a confirmar a renovação do consentimento prestado.


Categoria de Dados: Dados de identificação: género; nome; documento de identificação; número de contribuinte.    Dados de contato: endereço de correio eletrónico; telefone/telemóvel; morada;  dados demográficos: nacionalidade. 

Finalidade: Responder a pedidos de informação em processos judiciais ou pedidos de autoridades administrativas ou outras entidades terceiras, para detetar e prevenir fraudes. 

Legitimidade: Obrigações legais 

Prazo de Conservação: Apenas durante o período necessário para responder em processos judiciais ou pedidos de autoridades administrativas ou outras entidades terceiras, para detetar e prevenir fraudes. 


Categoria de Dados: Dados de identificação: género; faixa etária; dados relativos aos gostos e preferências e qualidade dos Serviços providenciados pela UpHill. 

Finalidade: Inquéritos de satisfação 

Legitimidade: Interesse legítimo da UpHill em obter a perspetiva do consumidor em relação aos seus Serviços e poder melhor a qualidade de prestação dos mesmos. 

Prazo de Conservação: Apenas durante o período necessário para análise dos temas sujeitos a inquérito.


Categoria de Dados: Dados de identificação: nome; dados de contato: endereço de correio eletrónico; dados de interação online: endereço de IP, identificador do browser/dispositivo, password e nome de utilizador. 

Finalidade: Registo e Login na Plataforma para subscrever os Serviços

Legitimidade: Interesse legítimo da UpHill em fornecer informações sobre os produtos e/ou diligências pré-contratuais no caso de pedido de adesão à prestação dos Serviços. 

Prazo de Conservação: Os dados pessoais são tratados apenas durante a subscrição dos serviços pelos Utilizadores da Plataforma.


Categoria de Dados:  Dados de identificação, dados de contacto, género, identificação civil, data de nascimento, número nacional de utente, número de identificação fiscal, identificação no subsistema/seguro,  endereço de IP, identificador do browser/dispositivo, dados relacionados com o pagamento dos serviços UpHill (e.g., n.º de identificação fiscal, número de telemóvel associado a MB Way) e Categorias especiais de dados, em particular, dados relacionados com a saúde e bem-estar (incluindo tratamentos, exames, marcação de consultas médicas, doenças, patologias dos Utilizadores associados aos Serviços prestados), sob múltiplos formatos, nomeadamente texto e/ou suporte documental ou imagem.

Finalidade: Contratação da prestação dos  Serviços na Plataforma. 

Legitimidade: Diligências pré-contratuais e contratuais para adesão e utilização dos Serviços pelo Utilizador. O tratamento de dados relativos à saúde dos Utilizadores ou de outras Categorias especiais de dados é realizado por profissionais de saúde, colaboradores da UpHill, para efeitos de gestão de cuidados de saúde, nomeadamente medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos de saúde e bem estar, ao abrigo do artigo 9.º alínea h) do n.º 2 e  n.º3.

Prazo de Conservação: Os dados pessoais são tratados apenas durante a contratação e execução da prestação dos Serviços contratados pelos Utilizadores da Plataforma ou, por um período de tempo mais longo, quando necessário, para o cumprimento de obrigações legais a que a UpHill está adstrita.


Categoria de Dados: Dados de identificação e de contacto (nome; data nascimento; nº identificação civil; identificação fiscal; morada; nacionalidade) , fotografia e fotocópia do cartão do cidadão.

Finalidade: Prevenção de fraude

Legitimidade: Cumprimento de obrigações legais relacionadas com prevenção de branqueamento de capitais.

Prazo de Conservação: Os dados pessoais são tratados apenas durante a subscrição dos serviços pelos Utilizadores da Plataforma.


Categoria de Dados: Dados de contacto e nome dos representantes dos parceiros da UpHill

Finalidade: Para cumprimento do contrato celebrado entre a UpHill e os seus parceiros e gestão das utilizações realizadas pelos beneficiários dos Serviços.

Legitimidade: Execução contratual

Prazo de Conservação: Os dados pessoais são tratados apenas durante a subscrição dos serviços pelos Utilizadores da Plataforma e durante o contrato celebrado entre a UpHill e os seus parceiros.

 

8. Em que circunstâncias comunicamos os Dados Pessoais dos Utilizadores?

8.1. Entidades Terceiras: A UpHill pode recorrer a outras entidades para a prestação de determinados serviços. Eventualmente essa prestação de serviços poderá implicar o acesso, por estas entidades, a dados pessoais dos Utilizadores. Tal será o caso de fornecedores ou prestadores de serviços da UpHill (e.g., entidades que prestem serviços de suporte como profissionais de consultoria e de armazenamento de dados).

 

Nesses casos, a UpHill assegura através de contratos e cláusulas para Tratamento Dados Pessoais que, qualquer entidade Subcontratante que trate os Dados Pessoais em nome e por sua conta, oferece garantias de execução de medidas técnicas e organizativas adequadas, de forma a que o Tratamento satisfaça os requisitos exigidos pelo RGPD e LPDP ou outra lei aplicável à matéria, assegurando a confidencialidade e a segurança dos dados, incluindo o cumprimento dos direitos dos Titulares de Dados Pessoais.

 

A UpHill poderá, ainda, transmitir Dados Pessoais dos Utilizadores a entidades terceiras, quando tais comunicações sejam necessárias (i) à luz da lei aplicável, (ii) no cumprimento de obrigações jurídicas/ordens judiciais (e.g., entidades reguladoras como a ERS), (iii) para responder a solicitações de autoridades públicas ou governamentais e outras autoridades administrativas, (iv) quando se afigure necessário no cumprimento de uma obrigação legal, regulamentar ou de outra natureza, bem como (v) para assegurar a segurança dos Titulares de Dados Pessoais, ou de alguma outra forma prevenir condutas fraudulentas.

 

Por regra, os Dados Pessoais dos Utilizadores não são transferidos para países terceiros (fora da União Europeia), sendo mantidos em servidores localizados dentro do espaço da União Europeia. No entanto, o recurso a determinados Subcontratantes para a prestação de serviços de suporte que envolva o Tratamento de alguns Dados Pessoais por conta da UpHill, será limitado a países terceiros relativamente aos quais exista uma decisão de adequação adotada pela Comissão Europeia ou, quando assim não seja, com suporte em acordo vinculativo estabelecido de acordo com as cláusulas-tipo de proteção de dados adotadas pela Comissão Europeia, acompanhadas, sempre que justificado, de medidas necessárias e adequadas à luz da lei aplicável para assegurar a proteção dos Dados Pessoais objeto de uma tal transferência, cumprindo rigorosamente as disposições legais previstas no RGPD e LPDP ou outra legislação aplicável, relativas a tais transferências, sendo disponibilizado aos Titulares dos Dados obter cópia das garantias apropriadas e adequadas junto do EPDP respetivo.

 

8.2.  Prestadores de Serviços de Saúde: Quanto aos dados relativos à saúde do Utilizador e outras Categorias especiais de dados, estes serão, em observância da lei aplicável, de acesso reservado aos médicos e outros profissionais de saúde clínicos adstritos à prestação dos seus cuidados de saúde. Nos casos em que assim não seja, quando os dados de saúde dos Utilizadores e outras categorias especiais de dados forem acedidos por colaboradores não clínicos, a UpHill assegurará que tais colaboradores assumem obrigações de confidencialidade contratuais perante aquela e, em certos casos, que tais pessoas apenas tratarão os dados dos Utilizadores sob a responsabilidade e supervisão de um profissional de saúde. Entre os casos em que o suporte técnico tem acesso aos dados de saúde do Utilizador  e outras

Categorias especiais de dados encontram-se o tratamento de dados para efeito de faturação dos serviços de saúde.


9. Quais são os direitos do Utilizador enquanto Titular de Dados Pessoais?

A UpHill garante aos Utilizadores, enquanto Titulares de Dados Pessoais e, em qualquer momento, o direito de acesso, retificação, atualização, limitação e apagamento dos seus Dados Pessoais, o direito de oposição e à retirada do Consentimento, sem que tal comprometa a licitude do tratamento efetuado ao abrigo desse Consentimento, bem como o direito à portabilidade dos dados, nos termos e condições legalmente estabelecidos.

Direito de acesso: sempre que o Utilizador solicitar o acesso aos seus dados pessoais recolhidos, pode obter confirmação sobre o Tratamento realizado pela UpHill aos seus Dados Pessoais, nomeadamente obter as seguintes informações:

  1. Razões pelas quais os Dados Pessoais são tratados;

  2. Tipos de Dados Pessoais que são tratados;

  3. Entidades a quem a UpHill pode transmitir os Dados Pessoais;

  4. Prazo de conservação dos Dados Pessoais ou, se tal não for possível, os critérios para a fixação desse prazo;

  5. Direitos de que goza em relação ao Tratamento dos Dados Pessoais.


Direito de retificação: sempre que o Utilizador considerar que os Dados Pessoais (Dados Pessoais objetivos que tenham sido fornecidos por si) estão incompletos ou incorretos, pode requerer a sua retificação, ou que os mesmos sejam completados.

Direito ao apagamento: o Utilizador pode solicitar que os Dados Pessoais sejam apagados quando se verifique uma das seguintes situações:

  1. Os Dados Pessoais deixem de ser necessários para a finalidade que motivou a sua recolha ou Tratamento;

  2. Quando seja retirado o Consentimento em que se baseia o Tratamento e não exista outro fundamento jurídico para o mesmo;

  3. Quando seja apresentada oposição ao Tratamento e não existam interesses legítimos prevalecentes, que justifiquem esse Tratamento;

  4. Quando os Dados Pessoais tenham sido tratados ilicitamente; e

  5. Quando os Dados Pessoais tenham que ser apagados ao abrigo de uma obrigação jurídica.


O direito ao apagamento não se aplica quando o Tratamento seja necessário para os seguintes efeitos:

  1. Exercício da liberdade de expressão e de informação;

  2. Cumprimento de obrigação legal que exija o Tratamento;

  3. Conforme já exposto, fins estatísticos e de investigação científica na medida em que o exercício do direito ao apagamento prejudique gravemente a obtenção dos objetivos desse Tratamento; ou

  4. Declaração, exercício ou defesa de um direito num processo judicial.


Direito à limitação do Tratamento: a limitação do Tratamento permite ao Utilizador solicitar à UpHill que restrinja o acesso a determinados Dados Pessoais, ou que suspenda determinadas atividades do mesmo. Concretamente, o Utilizador pode requerer a limitação do Tratamento dos Dados Pessoais nos seguintes casos:

  1. Se contestar a exatidão dos Dados Pessoais, durante um período de tempo que permita à UpHill verificar essa exatidão;

  2. Se a UpHill já não precisar dos Dados Pessoais para uma determinada finalidade de Tratamento;

  3. Se tiver apresentado oposição ao tratamento, exceto se se verificar que os interesses legítimos da UpHill prevalecem sobre os do Utilizador.


Direito à portabilidade: O Utilizador poder solicitar o recebimento dos Dados Pessoais que forneceu, num formato estruturado, de uso corrente e de leitura automática. Têm, ainda, o direito de pedir que estes sejam transmitidos a outro Responsável pelo Tratamento, desde que tal seja tecnicamente possível. O direito à portabilidade aplica-se aos seguintes casos:

  1. Quando o Tratamento se basear no Consentimento expresso ou na execução do contrato celebrado com a UpHill para usufruir dos Serviços; e

  2. Quando o Tratamento em causa for realizado por meios automatizados.

Direito de oposição: O Utilizador tem o direito de se opor ao Tratamento nas seguintes situações:

  1. Quando o Tratamento se basear no interesse legítimo do Responsável pelo Tratamento;

  2. Quando o Tratamento for realizado para fins diversos daqueles para os quais os dados foram recolhidos, mas que sejam compatíveis com os mesmos;

  3. Quando o Tratamento for feito para fins de marketing direto.


Nesses casos, a UpHill deixa de tratar os Dados Pessoais, a não ser que tenham razões legítimas para realizar esse Tratamento, e estas prevaleçam sobre os interesses dos Utilizadores.

Direito a retirar o Consentimento prestado: Nos casos em que o Tratamento tenha como base de legitimidade o Consentimento, o Utilizador poderá retirar o mesmo em qualquer momento.

 

Direito de apresentar reclamações junto da Autoridade de Controlo:

Caso o Utilizador pretenda apresentar alguma reclamação relativamente a matérias relacionadas com o Tratamento dos Dados Pessoais, poderão fazê-lo junto da CNPD, a Autoridade de Controlo competente em Portugal.

Para mais informações, deve aceder a www.cnpd.pt.

Qualquer pedido de exercício de direitos ou reclamação relativa ao tratamento de dados por parte da UpHill, será objeto de análise circunstanciada a que será dada resposta no prazo de 30 (trinta) dias, sem prejuízo da prorrogação do mesmo em caso de manifesta complexidade da situação submetida.

10. Como pode o Utilizador exercer os seus direitos enquanto Titular de Dados Pessoais?

Para tratar de assuntos relacionados com a proteção de Dados Pessoais recolhidos na Plataforma deverá contactar a UpHill através de dpo@libercare.com.

11. Quais as medidas adotadas pela UpHill para assegurar a segurança dos Dados Pessoais dos Utilizadores?

Os Dados Pessoais são armazenados em servidores de alta segurança em provedores de alojamento estabelecidos na União Europeia que cumprem as mais rigorosas exigências internacionais. As bases de dados em que os mesmos são armazenados estão cifradas e as mesmas são virtualmente inacessíveis exceto através da interface da Plataforma.

 

Os serviços de alojamento aos quais a UpHill subcontrata a prestação de serviços garantem as mais rigorosas exigências em termos de segurança, não só no que toca ao acesso através da Internet, mas também do ponto de vista do acesso físico, no que toca aos servidores e às próprias instalações onde os mesmos estão instalados. Por outro lado, existe um conjunto de auditorias técnicas e organizacionais executadas de forma regular para garantir o escrupuloso cumprimento das medidas adequadas à segurança da informação. Os dados são encriptados em trânsito (TLS 1.2 SHA256-RSA) e em armazenamento (AES256). Existe integração com sistemas de Single Sign-on (para evitar credenciais próprias). As cópias de segurança são diárias e encriptadas e armazenadas em localização distinta. Por outro lado, existe monitorização constante relativa a ameaças e tentativas de ataques, vulnerabilidades da infraestrutura e do Código.

 

Adicionalmente, a UpHill é  ainda certificada pela ISO27001:2022 (em particular, pela British Standards Institution). A ISO 27001 é uma norma reconhecida internacionalmente para Sistemas de Gestão de Segurança da Informação (SGSI) e fornece uma abordagem sistemática para gestão das informações confidenciais e garantir a confidencialidade, integridade e disponibilidade da informação tratada e guaradada, incluindo dados pessoais. A abordagem de melhores práticas da ISO 27001 garante que as organizações mantenham um elevado nível em matéria de segurança da informação.

12. Política de Cookies

A UpHill utiliza cookies na Plataforma para melhorar a experiência do utilizador e permitir realizar determinadas operações de forma segura. Consulte, por favor, aqui a informação respeitante à Política de Cookies.

13. Alterações à Política de Privacidade

A UpHill reserva-se o direito de alterar a presente Política de Privacidade a todo o tempo. Em caso de modificação da Política de Privacidade, a data da última alteração, disponível no topo desta página, é também atualizada. Caso a alteração seja substancial, será colocado um aviso na Plataforma.

14. Lei aplicável e foro competente

A Política de Privacidade, bem como a recolha, tratamento ou transmissão de Dados do Utilizador, são regulados pelo disposto no RGPD, pela LPDP e por qualquer regulamentação aplicável em Portugal.

 

Em caso de litígio relacionado com o disposto na presente Política é competente o tribunal da Comarca de Lisboa para dirimir o mesmo.

 

Atualizado em 14/02/2024