LEGAL

Conformidade RGPD

Última atualização: Março 2026

1. Compromisso com o RGPD

A nutrios está comprometida com o cumprimento integral do Regulamento (UE) 2016/679 — Regulamento Geral de Proteção de Dados (RGPD). Tratamos dados pessoais, incluindo dados de categorias especiais (dados de saúde), com o mais elevado nível de proteção e transparência. Esta página descreve as medidas específicas implementadas para garantir a conformidade.

2. Responsável pelo Tratamento

A nutrios atua como responsável pelo tratamento dos dados pessoais dos utilizadores da Plataforma. No contexto da relação entre nutricionistas e atletas, a nutrios atua como subcontratante, processando dados de saúde em nome do nutricionista (responsável pelo tratamento). Os nutricionistas que utilizam a Plataforma são responsáveis por garantir uma base legal válida para o tratamento dos dados de saúde dos seus atletas.

3. Encarregado de Proteção de Dados (DPO)

A nutrios designou um Encarregado de Proteção de Dados (DPO) que pode ser contactado para quaisquer questões relacionadas com o tratamento de dados pessoais:

  • Email: dpo@nutrios.pt
  • Morada: disponibilizada mediante pedido formal ao DPO.

O DPO é responsável por supervisionar a conformidade com o RGPD, fornecer aconselhamento sobre avaliações de impacto e servir de ponto de contacto com a autoridade de controlo (CNPD).

4. Base Legal do Tratamento

O tratamento de dados pessoais na nutrios é fundamentado nas seguintes bases legais previstas nos artigos 6.o e 9.o do RGPD:

  • Execução de contrato (Art. 6.o(1)(b)): tratamento necessário para a prestação dos serviços subscritos.
  • Consentimento explícito (Art. 9.o(2)(a)): para o tratamento de dados de saúde dos atletas, recolhido de forma livre, específica, informada e inequívoca.
  • Interesse legítimo (Art. 6.o(1)(f)): para melhoria do serviço, segurança da Plataforma e prevenção de fraude, sempre precedido de avaliação de proporcionalidade.
  • Obrigação legal (Art. 6.o(1)(c)): para cumprimento de obrigações fiscais, contabilísticas e regulamentares.

5. Categorias Especiais de Dados

A nutrios trata dados de categorias especiais, nomeadamente dados relativos à saúde (peso, composição corporal, alergias, condições médicas, planos alimentares). Estes dados são tratados com salvaguardas reforçadas, incluindo: encriptação em repouso com AES-256, controlo de acesso rigoroso baseado em funções (RBAC), e registo de auditoria de todos os acessos. O tratamento destes dados é fundamentado no consentimento explícito do titular, que pode ser retirado a qualquer momento.

6. Medidas Técnicas e Organizativas

Em conformidade com o artigo 32.o do RGPD, implementamos as seguintes medidas:

  • Encriptação: AES-256 para dados em repouso; TLS 1.3 para dados em trânsito.
  • Autenticação: hash de palavras-passe com Argon2id; suporte a autenticação de dois fatores (TOTP).
  • Controlo de acessos: modelo RBAC com princípio do menor privilégio; sessões com expiração automática.
  • Auditoria: registo completo de operações sobre dados pessoais, com timestamp, utilizador e tipo de operação.
  • Backups: cópias de segurança encriptadas com procedimentos de recuperação testados.
  • Infraestrutura: servidores localizados na União Europeia; auto-alojamento com controlo total sobre os dados.
  • Avaliação de vulnerabilidades: revisões periódicas de segurança e atualizações de dependências.

7. Retenção de Dados

Aplicamos os seguintes períodos de retenção:

  • Dados de conta: durante a vigência da conta + 24 meses após cancelamento.
  • Dados de saúde: durante a vigência da conta + 12 meses após cancelamento.
  • Dados de faturação: 10 anos conforme obrigações fiscais.
  • Registos de auditoria: 36 meses para fins de segurança e conformidade.
  • Mensagens de chat: durante a vigência da conta + 6 meses após cancelamento.

Após os períodos indicados, os dados são eliminados de forma segura e irrecuperável.

8. Direitos dos Titulares

Garantimos o exercício efetivo de todos os direitos previstos nos artigos 15.o a 22.o do RGPD:

  • Direito de acesso (Art. 15.o): obter cópia completa dos dados tratados.
  • Direito de retificação (Art. 16.o): corrigir dados inexatos diretamente na Plataforma ou mediante pedido.
  • Direito ao apagamento (Art. 17.o): solicitar a eliminação dos dados, exceto quando exista obrigação legal de conservação.
  • Direito à limitação (Art. 18.o): restringir o tratamento em caso de contestação ou tratamento ilícito.
  • Direito à portabilidade (Art. 20.o): exportar dados em formato JSON ou CSV.
  • Direito de oposição (Art. 21.o): opor-se ao tratamento baseado em interesse legítimo.

Os pedidos devem ser dirigidos ao DPO em dpo@nutrios.pt e serão respondidos no prazo máximo de 30 dias. Em caso de insatisfação, pode apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD).

9. Transferências Internacionais

A nutrios privilegia o alojamento e tratamento de dados dentro do Espaço Económico Europeu (EEE). Quando seja estritamente necessário transferir dados para fora do EEE (por exemplo, para fornecedores de serviços de pagamento), asseguramos a existência de salvaguardas adequadas, incluindo Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia ou decisões de adequação.

10. Avaliação de Impacto (DPIA)

Dada a natureza dos dados tratados (dados de saúde), a nutrios realiza Avaliações de Impacto sobre a Proteção de Dados (DPIA) conforme o artigo 35.o do RGPD, previamente à implementação de novos tratamentos que possam resultar num elevado risco para os direitos dos titulares. Os resultados das DPIA são documentados e revistos periodicamente.

11. Notificação de Violações

Em caso de violação de dados pessoais, a nutrios notificará a autoridade de controlo (CNPD) no prazo máximo de 72 horas, nos termos do artigo 33.o do RGPD. Se a violação representar um elevado risco para os direitos e liberdades dos titulares, estes serão igualmente notificados sem demora injustificada, conforme o artigo 34.o do RGPD.

12. Subcontratantes

Os subcontratantes envolvidos no tratamento de dados são selecionados com base nas suas garantias de conformidade com o RGPD e estão vinculados por contratos de subcontratação nos termos do artigo 28.o do RGPD. Mantemos um registo atualizado de todos os subcontratantes, disponível mediante pedido ao DPO.