VoltarPierre

Política de Privacidade · Pierre

Versão: 3.5 · Em vigor desde: 18 de junho de 2026

1. Objetivo desta Política

A presente Política de Privacidade tem por objetivo informar os titulares dos dados sobre a recolha e o tratamento de dados pessoais efectuados pela Constelação Singela Unipessoal, Lda (entidade jurídica que opera a plataforma com a marca Pierre), no âmbito da operação da plataforma Pierre, disponível em https://usepierre.com.

Este documento foi preparado em conformidade com o art. 13.º e art. 14.º do RGPD (transparência) e demais legislação aplicável.

2. Identificação do Responsável e do Encarregado de Proteção de Dados

| Campo | Valor | |---|---| | Responsável pelo tratamento | Constelação Singela Unipessoal, Lda | | NIF / NIPC | 516 868 160 | | Sede | Avenida da Liberdade 180A, 1.º Tivoli Fórum, 1250-146 Lisboa, Portugal | | Conservatória do Registo Comercial | Odivelas, sob o n.º 516 868 160 | | Marca da plataforma | Pierre (https://usepierre.com) | | Encarregado de Proteção de Dados | designação formal pendente de avaliação (Art. 37.º RGPD); contacto de proteção de dados: dpo@usepierre.com | | Email de proteção de dados / RGPD | dpo@usepierre.com | | Prazo de resposta | 30 dias máximo (Art. 12.º, n.º 3 RGPD), podendo ser prorrogado para 90 dias em casos complexos |

3. Quando a Pierre actua como Responsável vs. Subcontratante

3.1. Responsável pelo tratamento (Art. 4.º, n.º 7 RGPD)

A Pierre actua como Responsável quando trata directamente dados pessoais para finalidades próprias:

  • Gestão de relações contratuais e pré-contratuais (clientes, candidatos, parceiros, leads no pipeline CRM-light);
  • Faturação dos seus próprios serviços;
  • Marketing transacional sobre produtos próprios;
  • Gestão de acessos à plataforma (logs, sessões, MFA);
  • Cumprimento de obrigações legais próprias (fiscal, contabilística);
  • Tratamento dos dados anonimizados para benchmarks e diretório público (com bases adicionais, ver §6);
  • Gestão do módulo de Honorários para Médicos (Pierre β): a Pierre trata dados do médico (identificação, dados financeiros dos seus atos) e referências de paciente pseudonimizadas, no âmbito do contrato de prestação de serviços ao próprio médico;
  • Manutenção de um contexto interno por fornecedor (estrutura corporativa, grupo-mãe, histórico de fusões/aquisições, nomes anteriores, linhas de produto), recolhido de fontes públicas, para apoiar as operações da Pierre e enriquecer o diretório partilhado de fornecedores.

3.2. Subcontratante (Art. 28.º RGPD)

A Pierre actua como Subcontratante quando trata dados que pertencem ao Cliente e existem na plataforma porque foram lá colocados pelo Cliente:

  • Dados de fornecedores externos do Cliente (NIF, contactos, condições comerciais);
  • Dados de produtos, encomendas, faturas, stock geridos pelo Cliente;
  • Dados de lotes em consignação (modelo, número de série, validade) introduzidos pelo Cliente;
  • Dados de orçamentos cirúrgicos (referência interna anonimizada do paciente, lente seleccionada, médico, entidade pagadora), quando o módulo Surgical Quotes está activo;
  • Dados de potenciais pacientes geridos no módulo Patient Leads: a clínica (Tenant) é a Responsável pelos dados de contacto dos potenciais pacientes que recolhe e introduz na plataforma, e a Pierre actua como Subcontratante, tratando-os apenas por conta e segundo as instruções da clínica;
  • Conversas com o AI Agent (Pierre β) e respectivos resultados, guardadas no AgentSession do Tenant;
<!-- DRAFT: needs counsel review -->
  • Conteúdo das mensagens e anexos trocados pelos Utilizadores do Cliente com a equipa Pierre através do canal de apoio ao cliente Linha Pierre (ver §5.11): o Cliente é Responsável pelos dados que coloca nessas mensagens e anexos, e a Pierre actua como Subcontratante, tratando-os para prestar o apoio pedido;
  • Dados pessoais de pacientes/utentes que não devem ser carregados na plataforma; caso o sejam, em violação dos Termos, a Pierre actua à mesma como subcontratante para fins de cumprimento mínimo.

Para Tenants em planos pagos, está disponível o Acordo de Subcontratação de Tratamento de Dados (DPA) assinado eletronicamente (ver docs/legal/dpa-template.md). Para Tenants no plano STARTER, este documento serve de DPA por adesão.

3.3. Princípios gerais aplicados

Conforme o art. 5.º RGPD, aplicamos:

a) Licitude, lealdade e transparência; b) Limitação das finalidades, recolha para fins determinados, explícitos e legítimos; c) Minimização, só os dados estritamente necessários; d) Exactidão, dados actualizados, com mecanismos para corrigir/apagar inexactidões; e) Limitação da conservação, pelo período estritamente necessário; f) Integridade e confidencialidade, medidas técnicas e organizativas adequadas (Art. 32.º); g) Responsabilidade, capazes de demonstrar conformidade.

4. A quem se aplica esta política

a) Utilizadores das Tenants (clínicas), funcionários ou colaboradores das organizações clientes; b) Supplier Users, fornecedores que se registaram via /s/sign-up (self sign-up) ou aceitaram um claim de perfil pré-existente; c) Fornecedores externos sem conta, destinatários de magic-links; d) Visitantes, pessoas que acedem a páginas públicas (/sign-in, /pricing, /legal/*, /onboarding); e) Subscritores de comunicações, newsletter ou demos; f) Leads no pipeline CRM-light, empresas (clínicas e fornecedores) que receberam um cold-invite ou que foram identificadas pela equipa Pierre como prospects; g) Candidatos a colaboradores, quando aplicável (recrutamento da equipa Pierre); h) Médicos, utilizadores do módulo de Honorários para Médicos; i) Potenciais pacientes, titulares cujos dados de contacto são tratados através do módulo Patient Leads, por conta da clínica; j) Pessoas singulares associadas a fornecedores, cujo nome e cargo profissional possam constar, a partir de fontes públicas, do contexto interno que a Pierre mantém sobre cada fornecedor;

<!-- DRAFT: needs counsel review -->

k) Pessoas singulares cujos dados constem das mensagens ou anexos de apoio que os Utilizadores do Cliente enviam à equipa Pierre através da Linha Pierre (por exemplo, um terceiro identificável numa captura de ecrã), tratadas por conta do Cliente enquanto Responsável.

5. Que dados pessoais tratamos

5.1. Dados de utilizadores das Tenants

| Categoria | Exemplos | Origem | |---|---|---| | Identificação | Nome próprio, apelido, email profissional, função | Convite emitido por Tenant ADMIN; nome obrigatório (mínimo de duas palavras) | | Autenticação | Hash da palavra-passe, ID Supabase Auth, token MFA (futuro) | Supabase Auth (subcontratante) | | Atividade | Última sessão, browser, IP truncado, data de criação | Auto-recolha durante uso | | Permissões por módulo | Conjunto de módulos (ORDERS, RFQ, CONSIGNMENT, etc.) atribuído pelo ADMIN | Definido pelo Tenant ADMIN em /settings/users | | Preferências | Idioma, modo de digest de email, eventos opt-in/opt-out | Definido pelo utilizador | | Sugestões | Mensagens enviadas via widget de feedback | Voluntário | | Conversas com AI Agent | Prompts + respostas + tool calls + créditos consumidos | Quando o utilizador interage com Pierre β |

5.2. Dados de fornecedores

| Categoria | Exemplos | Origem | |---|---|---| | Contacto profissional | Nome do contacto, email do fornecedor | Carregado pelo Tenant OU self sign-up | | Identidade da empresa | Razão social, NIF, morada, website | Carregado pelo Tenant OU self sign-up + ToS/DPA acceptance fields (tosAcceptedAt, tosVersion, etc.) | | Sessão magic-link | Token (hashed), IP da resposta, hora, user-agent | Gerado quando o fornecedor abre o link | | Resposta | Identidade da pessoa que assina, função, email | Voluntariamente preenchido pelo fornecedor | | Resposta por email | Texto livre da resposta do fornecedor a um pedido (encomenda, cotação, consignação, devolução), que pode conter nome, email ou telefone do signatário | Recebido quando o fornecedor responde por email a um pedido; classificado automaticamente por IA quanto à intenção (ver §5.6) | | Anti-bot signal | Cloudflare Turnstile token | Verificação no sign-up (não persistido após verify) | | Lotes em consignação | Modelo, referência, número de série, potência (IOLs) | Carregado pelo Tenant ou pelo fornecedor via portal |

Base legal específica para fornecedores externos: o tratamento dos dados de contacto profissional dos fornecedores é necessário para a execução do contrato comercial entre o Cliente (Tenant) e o fornecedor (ver Art. 6.º, n.º 1, alínea b). A Pierre actua como subcontratante.

5.3. Dados de leads (pipeline CRM-light, Master only)

| Categoria | Exemplos | Origem | |---|---|---| | Empresa | Nome, NIF, kind (CLINIC/SUPPLIER) | Importação Infarmed, manual pelo Master, ou auto-criada após self sign-up | | Contacto inicial | Nome do contacto, email, telefone | Pesquisa pública ou indicação | | Estado | COLD/CONTACTED/WARM/NEGOTIATING/WON/LOST + notas | Operador Master regista durante o ciclo |

Tratamento como Responsável, finalidade prospeção comercial. Base legal: interesse legítimo (Art. 6.º(1)(f)) com possibilidade de opt-out via email para dpo@usepierre.com.

5.4. Dados de visitantes

| Categoria | Exemplos | Origem | |---|---|---| | Tráfego anonimizado | IP truncado, user-agent, página acedida, referer | Logs de acesso (90 dias) | | Cookies estritamente necessários | Sessão Supabase, preferências de UI, impersonation HMAC | Definidos pelo browser |

Não usamos cookies de tracking publicitário (Google Analytics, Meta Pixel, etc.); ver Política de Cookies.

5.5. Dados de pagamento

Não armazenamos dados de cartão. O processamento é integralmente delegado em Stripe Payments Europe Ltd. (Irlanda). Apenas guardamos:

  • stripeCustomerId opaco;
  • Tipo de método de pagamento (cartão / SEPA Direct Debit) + brand+last4 do cartão ou last4 do IBAN, para mostrar ao Cliente em /settings/billing;
  • Histórico de eventos de subscrição (criação, alteração de plano, falha de pagamento).

Mandatos SEPA são geridos integralmente pela Stripe.

5.6. Dados processados pelo AI Agent (Pierre β)

Quando o Utilizador pergunta algo ao agente:

  • O prompt do utilizador é enviado a Anthropic PBC (sub-processor, EUA, com SCCs + DPF + zero data retention configurado) para inferência;
  • Tool calls que o agente faz (consultar encomendas, fornecedores, faturas) executam dentro da plataforma Pierre, com permissões iguais às do Utilizador (não privilegiadas);
  • A resposta é guardada no AgentSession do Tenant para histórico e revisão pelo Master quando aplicável;
  • Acções escritas (criar RFQ, editar produto) requerem confirmação explícita do Utilizador.

Os prompts NÃO são usados pela Anthropic para treinar modelos (zero data retention setting).

Classificação automática de respostas de fornecedor por email. De forma distinta do Pierre β (que é iniciado pelo Utilizador), quando um fornecedor responde por email a um pedido (encomenda, cotação, consignação ou devolução), o texto da resposta é enviado à Anthropic PBC (mesmo sub-processor, EUA, com SCCs + DPF + zero data retention) para classificar automaticamente a intenção da resposta (confirma, propõe alterações, recusa, indica prazo, faz pergunta ou outro). A leitura resultante (intenção, confiança, resumo) e o texto da resposta ficam guardados em SupplierReplyReading, isolados por Tenant, durante 180 dias, sendo depois apagados pelo cron de retenção. Um utilizador ADMIN ou SUPERVISOR do Tenant pode confirmar ou corrigir a classificação. A Anthropic não usa estes dados para treinar modelos (zero data retention).

5.7. Dados de potenciais pacientes (Patient Leads)

Quando a clínica usa o módulo Patient Leads, a Pierre trata, por conta da clínica:

| Categoria | Exemplos | Origem | |---|---|---| | Identificação | Nome do potencial paciente | Introduzido pela clínica ou recolhido via formulário/email da clínica | | Contacto | Email, telefone | Idem | | Dados adicionais | Data de nascimento | Idem | | Interesse | Mensagem e origem do interesse (ex.: formulário web, indicação, campanha) | Idem |

A clínica (Tenant) é a Responsável por estes dados; a Pierre actua como Subcontratante (ver §3.2). É a clínica (Responsável) que é responsável por informar os potenciais pacientes nos termos do Art. 14.º RGPD (por exemplo, no momento da recolha) e pela base legal da captação dos leads; a Pierre, como Subcontratante, não presta essa informação.

5.8. Dados de honorários do médico

No módulo de Honorários para Médicos, a Pierre trata:

| Categoria | Exemplos | Origem | |---|---|---| | Dados financeiros | Valores faturados e recebidos por ato, fonte de rendimento | Importação/registo no âmbito do serviço ao médico | | Referências de paciente pseudonimizadas | Identificador irreversível por ato (sem nome do paciente) | Gerado de forma pseudonimizada na importação |

As referências de paciente são pseudonimizadas: um identificador irreversível que não contém o nome nem permite reidentificar o paciente a partir da plataforma.

5.9. Dados de análise de utilização (analytics)

Para compreender e melhorar a utilização da plataforma, a Pierre recolhe eventos de uso (páginas vistas, interações com funcionalidades) através do PostHog. Estes dados de análise são recolhidos apenas com o consentimento de cookies do utilizador (ver Política de Cookies); sem esse consentimento, o analytics não é activado.

5.10. Dados de contexto de fornecedores (inteligência corporativa)

Para qualificar e manter atualizado o diretório partilhado de fornecedores e dar contexto às suas operações, a Pierre mantém um brief interno por fornecedor com informação sobre a empresa, recolhida de fontes públicas (sítio oficial do fornecedor, registos públicos como o NIF.pt e o Infarmed, e imprensa especializada).

| Categoria | Exemplos | Origem | |---|---|---| | Perfil da empresa | Estrutura corporativa, grupo-mãe/holding, histórico de fusões e aquisições, nomes anteriores, linhas de produto | Pesquisa em fontes públicas pela Pierre | | Nomes de pessoas singulares associadas | Nome e cargo de dirigentes ou de partes envolvidas numa operação de M&A, quando publicamente noticiados e relevantes para o contexto da empresa | Idem (só quando consta de fonte pública) | | Novidades do fornecedor | Título, resumo, data e fonte de novidades, lançamentos, rebrands ou recolhas, com indicação da origem (sistema Pierre ou o próprio fornecedor) | Pesquisa em fontes públicas; no futuro, também publicação do próprio fornecedor |

Estes dados são tratados pela Pierre como Responsável (Art. 4.º, n.º 7 RGPD), para finalidade própria de qualificação do diretório e contexto operacional. Base legal: interesse legítimo (Art. 6.º, n.º 1, alínea f), balanceado contra o impacto reduzido: a informação é recolhida apenas de fontes públicas, no contexto profissional das pessoas (cargo numa empresa), não inclui categorias especiais de dados, e o brief completo nunca é exposto aos utilizadores das clínicas (é interno e só acessível à equipa Master da Pierre). Na ficha do fornecedor visível às clínicas aparece apenas um subconjunto sobre a empresa (grupo-mãe, nomes anteriores, novidades publicadas), não o brief interno.

Qualquer pessoa nomeada pode exercer os seus direitos, incluindo oposição ao tratamento e eliminação, contactando dpo@usepierre.com; nesse caso a Pierre remove o seu nome do brief interno sem demora indevida (ver §10). A Pierre revê periodicamente estes briefs e remove informação que deixe de ser exata ou necessária.

5.11. Conteúdo de mensagens de apoio e anexos (Linha Pierre)

<!-- DRAFT: needs counsel review -->

A Linha Pierre é o canal de apoio ao cliente em que os Utilizadores do Cliente trocam mensagens e anexos directamente com a equipa Pierre, dentro da plataforma (ou por resposta ao email de apoio). A finalidade é a prestação de apoio ao cliente: esclarecer dúvidas, diagnosticar e resolver problemas reportados.

| Categoria | Exemplos | Origem | |---|---|---| | Conteúdo da mensagem | Texto livre escrito pelo Utilizador do Cliente e pela equipa Pierre numa conversa de apoio | Introduzido na Linha Pierre ou por resposta ao email de apoio | | Anexos | Ficheiros carregados pelo Utilizador (tipicamente capturas de ecrã, mas também PDF ou outros documentos) para ilustrar o pedido | Idem | | Metadados da conversa | Assunto, estado (aberta/adiada/fechada), prioridade, autor de cada mensagem, datas, recibos de leitura | Auto-recolha durante a conversa |

Os anexos são guardados num bucket privado dedicado (tenant-support), isolado por Cliente, e só acessíveis através de ligações assinadas de curta duração; nunca são públicos.

Possibilidade de dados de saúde / de paciente. A Linha Pierre destina-se a apoio operacional sobre a plataforma e o Cliente não deve incluir dados pessoais de pacientes nas mensagens ou anexos. Contudo, uma captura de ecrã pode, inadvertidamente, conter dados pessoais de um terceiro (por exemplo, um paciente identificável). Quando tal sucede, a Pierre trata esses dados por conta do Cliente (que é o Responsável), apenas para prestar o apoio pedido, ao abrigo das mesmas medidas de segurança e isolamento por Cliente aplicáveis aos restantes dados. O Cliente é responsável por minimizar os dados que partilha e por mascarar ou omitir dados de paciente sempre que não sejam necessários ao pedido de apoio.

Co-piloto de IA da Linha Pierre. Para ajudar a equipa Pierre a responder mais depressa, quando um Utilizador do Cliente envia uma mensagem de apoio, o texto da conversa (não os anexos) é enviado à Anthropic PBC (o mesmo subcontratante já usado pelo Pierre β, EUA, com SCCs + DPF + zero data retention configurado, através do Vercel AI Gateway) para rascunhar uma sugestão de resposta. Essa sugestão:

  • é apresentada apenas a um operador humano da equipa Pierre, que a revê e decide;
  • nunca é entregue automaticamente ao Cliente: só é enviada se, e quando, um operador humano a aprovar (podendo editá-la ou descartá-la);
  • os anexos não são enviados à Anthropic pelo co-piloto;
  • a Anthropic não usa estes dados para treinar modelos (zero data retention).

O conteúdo da conversa e os anexos ficam guardados associados à conversa de apoio, isolados por Cliente, enquanto a relação contratual durar e sujeitos à limpeza descrita em §9.

6. Finalidades, bases legais e períodos de conservação

| Finalidade | Base legal RGPD | Retenção | |---|---|---| | Operar a conta do Utilizador (login, sessões) | Art. 6.º(1)(b), execução do contrato | Vida da subscrição | | Enviar emails transacionais (encomendas, cotações, faturas, lembretes, notificações, magic-links) | Art. 6.º(1)(b), execução do contrato | 90 dias após cessação | | Calcular benchmarks de preços anonimizados (cross-tenant) | Art. 6.º(1)(f), interesse legítimo, balanceado contra o impacto mínimo (dados anonimizados, opt-out) | Indefinido como agregado anonimizado | | Listagem agregada no diretório público de fornecedores | Art. 6.º(1)(f), interesse legítimo, com opt-out por fornecedor e por Tenant | Até retirada do consentimento ou opt-out | | Manter contexto interno e diretório de fornecedores (intel corporativa de fontes públicas) | Art. 6.º(1)(f), interesse legítimo (qualificar o diretório + contexto de ops), balanceado: só fontes públicas, contexto profissional, brief nunca exposto ao tenant, oposição/eliminação via dpo@usepierre.com | Enquanto for exato e útil ao diretório; revisto periodicamente; eliminado a pedido do titular | | Detetar uso abusivo (rate-limit, BotID, Turnstile no sign-up) | Art. 6.º(1)(f), interesse legítimo de proteger a plataforma | 30 dias | | Cumprir obrigações fiscais e contabilísticas (faturação Cegid, SAF-T) | Art. 6.º(1)(c), obrigação legal | 10 anos (art. 52.º Código do IVA) | | Prevenir fraude, segurança e auditoria | Art. 6.º(1)(f), interesse legítimo + Art. 6.º(1)(c) | 7 anos (auditoria) | | Responder a sugestões via widget de feedback | Art. 6.º(1)(f), interesse legítimo (melhorar produto) | Indefinido (retomar contexto), com possibilidade de apagamento mediante pedido | | Inferência via AI Agent (Pierre β) | Art. 6.º(1)(b), execução do contrato (funcionalidade pedida pelo Utilizador) | Sessão guardada por 90 dias; cron /api/cron/data-retention apaga automaticamente | | Classificação automática de respostas de fornecedor por email (leitura AI de intenção) | Art. 6.º(1)(b), execução do contrato | 180 dias; cron /api/cron/data-retention apaga automaticamente |

<!-- DRAFT: needs counsel review -->

| Apoio ao cliente via Linha Pierre (conteúdo de mensagens e anexos; rascunho de resposta por co-piloto de IA com revisão humana, ver §5.11) | Art. 6.º(1)(b), execução do contrato (apoio ao Serviço); a Pierre trata por conta do Cliente os dados que este coloca nas mensagens | Enquanto durar a relação contratual; eliminado com a conta após a cessação (ver §9) | | Gestão de potenciais pacientes (Patient Leads) | A clínica (Responsável) determina a base legal da captação, tipicamente o consentimento do titular no momento da recolha (Art. 6.º(1)(a)) ou o interesse legítimo da clínica quando aplicável (Art. 6.º(1)(f)), com direito de oposição/retirada via dpo@usepierre.com; a Pierre, como Subcontratante, trata estes dados apenas sob instrução da clínica | Período razoável definido pela clínica, com limpeza periódica | | Gestão de honorários do médico | Art. 6.º(1)(b), execução do contrato com o médico | Enquanto durar a relação + retenção legal aplicável | | Análise de utilização (analytics, PostHog) | Art. 6.º(1)(a), consentimento, dado através do banner de cookies | Período de conservação do PostHog | | Pipeline de leads (prospect outreach) | Art. 6.º(1)(f), interesse legítimo + opt-out | Até opt-out ou conversão | | Marketing transacional (changelog, manutenções, novidades produto) | Art. 6.º(1)(f), interesse legítimo + opt-out claro em cada mensagem | Até opt-out | | Newsletter externa | Art. 6.º(1)(a), consentimento explícito | Até retirada do consentimento | | Registo de prestação de contas de candidaturas recusadas (snapshot de consentimento + facto da recusa) | Art. 6.º(1)(c) (responsabilização, Art. 5.º(2)) e Art. 6.º(1)(f) (defesa de direitos) | Como registo de auditoria; eliminado pela rotina de retenção de auditoria |

7. Com quem partilhamos os dados (subcontratantes)

| Subcontratante | Localização | Função | Garantias | |---|---|---|---| | Vercel Inc. | EUA, com funções pinned em UE (arn1, Estocolmo) | Hospedagem aplicacional, CDN | DPA Vercel + DPF (EUA-UE) | | Supabase Inc. | UE (Estocolmo, eu-north-1) | Base de dados PostgreSQL, autenticação, blob storage (anexos de fatura, logos) | DPA Supabase + dados na UE | | Resend Inc. | EU + EUA (SCC + DPF) | Envio transacional de email | DPA Resend + SCC + DPF | | Stripe Payments Europe Ltd. | Irlanda (UE) | Processamento de pagamentos (cartão + SEPA Direct Debit) | PCI-DSS Level 1, dados na UE | | Cloudware, S.A. (Cegid) | Portugal | Faturação eletrónica certificada AT (n.º 2397/AT) | Dados em servidores Cegid em Portugal; sub-processor essencial para emissão das faturas Constelação Singela aos Tenants | | Anthropic PBC | EUA | AI Gateway para Pierre β (Claude Sonnet 4.6 / Opus 4.6 via Vercel AI Gateway) | DPF + SCCs + zero data retention configurado; prompts e respostas NÃO usados para treino | | Cloudflare, Inc. | EUA | Turnstile (anti-bot no sign-up de fornecedores) | DPF + SCCs; processa apenas signal, não conteúdo | | Sentry (Functional Software, Inc.) | UE / EUA | Observabilidade de erros (opcional, gated por env var; mascaramento PII por defeito) | DPF + SCCs | | PostHog | União Europeia | Análise de utilização (analytics), apenas após consentimento de cookies | Dados alojados na UE; eventos encaminhados por proxy no próprio domínio (/ingest) |

Não vendemos dados a terceiros, nem partilhamos para fins de marketing externo.

Transferências para fora da UE (Vercel, Resend, Anthropic, Cloudflare, Sentry) ocorrem ao abrigo de:

  • Cláusulas Contratuais-Tipo (SCC) da Comissão Europeia;
  • Data Privacy Framework (DPF), Vercel, Resend, Anthropic e Cloudflare são certificados.

Sub-processors descontinuados desde a v1.1: Neon Postgres (decommissioned 2026-05-05; substituído por Supabase Postgres exclusivamente). Vercel Blob (substituído por Supabase Storage para anexos de fatura e logos).

8. Funcionalidades cross-tenant: anonimização e justificação

8.1. Benchmark de preços

  • Calculado quando há ≥ 3 ordens de ≥ 2 Tenants distintas para o mesmo produto canónico (MasterProduct), no período de 90 dias;
  • Mostra mediana e contagem agregada ("baseado em 12 compras de 4 clínicas, 90 dias");
  • Nunca expõe nomes de Tenants ou preços individuais, apenas a mediana de mercado e a posição relativa do Tenant que consulta;
  • O Tenant pode desactivar a contribuição em /settings.

8.2. Diretório público de fornecedores

  • Apenas fornecedores que sirvam ≥ 3 Tenants distintas podem ser promovidos;
  • Apresentado com contagem em buckets ("serve 3-10 clínicas"), nunca com lista nominal;
  • O fornecedor pode reivindicar (claim) a sua listagem ou pedir remoção (opt-out) a qualquer momento via /s/opt-out/<token>;
  • Os Tenants podem desactivar a contribuição em /settings.

8.3. Consignação cross-tenant (módulo Consignment Management)

  • Fornecedores autenticados com módulo activo vêem em /s/consignment o stock próprio que distribuíram por várias Tenants Pierre;
  • Cada Tenant continua a ver apenas o seu próprio stock;
  • Base legal: execução do contrato comercial entre Tenant e fornecedor (o fornecedor já sabe o que distribuiu; Pierre apenas consolida a vista para gestão).

8.4. Justificação RGPD

Estes tratamentos baseiam-se no interesse legítimo (Art. 6.º, n.º 1, alínea f)), com balanceamento favorável dado:

a) A finalidade legítima: transparência de mercado, descoberta de fornecedores, gestão de inventário cross-clínica; b) A minimização: apenas agregados, nunca identificadores; c) A possibilidade de opt-out clara e fácil para Tenants e fornecedores; d) A inexistência de impacto significativo nos direitos dos titulares.

Avaliação de impacto disponível mediante pedido a dpo@usepierre.com.

9. Retenção de dados

| Tipo de dado | Período de retenção | |---|---| | Conta activa | Vida da subscrição | | Conta cancelada (exportação) | 180 dias após cancelamento | | Conta cancelada (apagamento ativo) | 180 dias após cancelamento (alinhamento com cláusula 10.4 dos Termos) | | Backups | Até 90 dias adicionais | | Faturação e contabilidade (lei portuguesa) | 10 anos | | Logs de auditoria de acessos | 7 anos | | Logs técnicos (rate-limit, erros) | 30 dias | | Tokens magic-link expirados | Limpos por cron diário (/api/cron/data-retention às 03:00 UTC), máximo 14 dias após expiração | | Sessões do AI Agent | 90 dias (cron de retenção) | | Leitura AI de respostas de fornecedor (SupplierReplyReading) | 180 dias (cron de retenção) |

<!-- DRAFT: needs counsel review -->

| Conversas e anexos de apoio (Linha Pierre: SupportThread / SupportMessage + bucket tenant-support) | Enquanto durar a relação contratual; eliminados com a conta após a cessação | | Drafts órfãos (cart RFQ, encomenda DRAFT) | 60 dias sem edição → arquivados pelo cron | | Eventos Stripe (BillingEvent) | 365 dias | | Potenciais pacientes (Patient Leads) | Período razoável definido pela clínica, com limpeza periódica | | Dados de análise de utilização (analytics) | Período de conservação do PostHog | | Dados de honorários do médico | Enquanto durar a relação com o médico + retenção legal aplicável | | Contexto interno de fornecedores (profileMd, novidades) | Enquanto for exato e relevante para o diretório; revisto periodicamente e eliminado a pedido do titular | | Registo de candidatura recusada (signup PENDING rejeitado, sem acesso a app e sem fatura emitida): os dados pessoais do registo são apagados de imediato no momento da rejeição (princípio da minimização, Art. 5.º(1)(c)/(e)). Conserva-se apenas um registo de prestação de contas da recusa (data, motivo, autor da decisão e o comprovativo da aceitação de Termos e DPA no momento do registo, incluindo o email de quem aceitou), como registo de auditoria, eliminado pela rotina de retenção de registos de auditoria. | Dados pessoais: apagados de imediato na rejeição. Registo de auditoria da recusa: eliminado pela rotina de retenção de registos de auditoria |

10. Os seus direitos (Art. 15.º a 22.º RGPD)

Pode exercer os seguintes direitos contactando dpo@usepierre.com (ou directamente via /settings na app, em planos pagos):

| Direito | Como exercer | |---|---| | Acesso (Art. 15.º) | Pedido por email, resposta em 30 dias | | Rectificação (Art. 16.º) | Edição directa em /settings (ADMIN pode ajustar nomes via inline editor em /settings/users); pedido escrito caso necessite ajuste por nós | | Apagamento / direito ao esquecimento (Art. 17.º) | Pedido por email; aplicável se não houver obrigação legal de retenção | | Limitação do tratamento (Art. 18.º) | Pedido por email | | Portabilidade (Art. 20.º) | Exportação JSON/CSV/Excel disponível em /settings/billing/export (planos pagos), /api/reports/monthly-orders, /api/reports/consignment | | Oposição (Art. 21.º) | Para tratamentos baseados em interesse legítimo (incluindo benchmarks, pipeline de leads): basta indicar opt-out em /settings/identity ou email a dpo@usepierre.com | | Não decisão automatizada (Art. 22.º) | A plataforma não toma decisões automatizadas com efeitos jurídicos sobre os utilizadores. O AI Agent (Pierre β) só executa acções escritas após confirmação explícita do Utilizador |

10.1. Reclamação à autoridade de controlo

Em qualquer momento, tem o direito de apresentar reclamação à autoridade portuguesa:

Comissão Nacional de Proteção de Dados (CNPD) Av. D. Carlos I, n.º 134, 1.º, 1200-651 Lisboa Tel: (+351) 213 928 400 · Email: geral@cnpd.pt Site: https://www.cnpd.pt

11. Segurança técnica e organizacional (Art. 32.º RGPD)

Aplicamos as seguintes medidas:

  • Cifra em trânsito: TLS 1.3 em todas as comunicações;
  • Cifra em repouso: discos da Supabase encriptados (AES-256); tokens OAuth do subcontratante Cegid encriptados com AES-256-GCM com chave dedicada;
  • Isolamento multi-tenant: extensão Prisma withTenant() aplica filtro automático em todos os modelos sensíveis;
  • Autenticação: Supabase Auth com bcrypt + JWT de sessão; cross-pollination guard impede o mesmo email de existir em User (tenant) e SupplierUser (fornecedor);
  • Permissões por módulo: UserModule enum + UserModulePermission granular; ADMIN/MASTER short-circuit a true; requireModule() server-side gate em todas as páginas sensíveis;
  • Magic-links: tokens HMAC-SHA256, expiração de 14 dias, single-use; SupplierToken dedicado com TTL automático;
  • Rate-limiting: Upstash Redis, caps per-kind + global por tenant; auditoria 24h em /admin/ops/emails;
  • Auditoria: todas as decisões críticas (aprovações, mudanças de papel/módulo, acessos Master, re-aceitação legal) ficam em AuditLog imutável durante 7 anos;
  • Backups: automáticos diários, restauro testado trimestralmente (docs/runbooks/database-backups.md + docs/runbooks/restore-database.md);
  • Segregação de ambientes: produção isolada de staging;
  • Acesso a dados em produção: restrito à equipa Master da Pierre, com ImpersonationLog automático + banner permanente vermelho durante a impersonação;
  • AI Agent: confirmação explícita necessária para qualquer acção escrita; tool calls executam com permissões do Utilizador (não escalam); zero data retention configurado na Anthropic;
  • Anti-bot: Cloudflare Turnstile no sign-up de fornecedores;
  • Analytics na UE com consentimento: os eventos de análise de utilização passam por um proxy no próprio domínio (/ingest) que os encaminha para a infraestrutura PostHog na União Europeia; o analytics só é activado após o consentimento de cookies do utilizador;
  • Cron de retenção: /api/cron/data-retention corre diariamente às 03:00 UTC e apaga magic-links expirados, sessões do agente >90d, drafts órfãos >60d, e eventos Stripe >365d.

11.1. Notificação de violação

Em caso de violação que envolva risco para os direitos dos titulares, a Pierre notifica:

  • A CNPD em 72 horas (Art. 33.º RGPD);
  • Os titulares afectados, sempre que o risco seja elevado (Art. 34.º RGPD);
  • Os Tenants afectados via email aos administradores.

Quando a Pierre actua como Subcontratante, notifica o Tenant (Responsável) sem demora indevida, sendo o Responsável que cumpre o prazo de 72 horas junto da CNPD; o prazo de 72 horas aplica-se diretamente à Pierre apenas quando esta é o Responsável pelo tratamento.

12. Menores

A Pierre é uma ferramenta B2B, destinada a profissionais e organizações, e não é dirigida a menores. Em Portugal, a idade de consentimento digital é de 13 anos (Lei n.º 58/2019, Art. 16.º). Não tratamos conscientemente dados de menores. Se souber que um menor nos forneceu dados, contacte-nos imediatamente para apagamento.

13. Alterações a esta política

Atualizações materiais a esta Política são comunicadas:

  • Por email aos administradores das Tenants, 30 dias antes da entrada em vigor;
  • Banner persistente na plataforma para todos os Utilizadores;
  • Porta de re-aceitação: quando há uma versão materialmente alterada, o Administrador da Tenant tem de reaceitar a nova versão em /settings/legal-reacceptance antes de continuar a operar a plataforma (controlado pelo incremento de DPA_CURRENT_VERSION);
  • Histórico de versões em docs/legal/CHANGELOG.md.

A continuação da utilização após a entrada em vigor constitui aceitação tácita das novas versões. O Tenant pode rescindir sem custos antes da entrada em vigor.

14. Contactos

  • Geral / proteção de dados: dpo@usepierre.com
  • Pedidos de exercício de direitos: dpo@usepierre.com (assunto: "Exercício de direitos RGPD")
  • Suporte técnico: support@usepierre.com
  • Faturação: support@usepierre.com
  • Postal: Constelação Singela Unipessoal, Lda, Avenida da Liberdade 180A, 1.º Tivoli Fórum, 1250-146 Lisboa

Versão 3.0 · Constelação Singela Unipessoal, Lda. Documento em vigor desde 1 de junho de 2026.

Para histórico de versões e alterações materiais, ver docs/legal/CHANGELOG.md.