Política de Privacidade
Última atualização: 6 de Junho de 2026
1. Quem somos (Responsável pelo Tratamento)
Esta Política aplica-se ao tratamento de dados pessoais efetuado no âmbito da plataforma Curas, acessível em curas.app ("Curas", "Plataforma", "nós"). A Plataforma é operada pela Dalbott Lda.
Identificação do Responsável pelo Tratamento (Art. 4.º, n.º 7 e Art. 13.º, n.º 1, alínea a), RGPD):
| Denominação social | Dalbott Lda. |
| NIPC | 518 789 624 |
| Sede | Rua Roberto Ivens, n.º 739, 4450-255 Matosinhos, Portugal |
| Email geral | customersupport@curas.app |
| Email privacidade | privacy@curas.app |
| Email DPO | dpo@curas.app |
Encarregado de Proteção de Dados (DPO): designado nos termos do Art. 37.º, n.º 1, alínea c), RGPD, em articulação com o Art. 12.º, n.º 1, alínea b), da Lei 58/2019, por tratar dados de saúde em larga escala quando os titulares revelem informação clínica através da Plataforma. O DPO da Dalbott Lda. é Raquel Rodrigues. Todas as comunicações relativas à proteção de dados devem ser dirigidas a dpo@curas.app.
Natureza da Plataforma: a Curas opera como marketplace de intermediação entre terapeutas e clientes finais. A Curas NÃO é prestadora de cuidados de saúde. Os atos terapêuticos são praticados exclusivamente pelos terapeutas, fora da Plataforma, sob responsabilidade exclusiva destes.
2. Princípio geral
Esta Política existe para cumprir o dever de transparência imposto pelos artigos 12.º, 13.º e 14.º do RGPD. Comprometemo-nos a:
- Tratar apenas os dados estritamente necessários a cada finalidade (minimização, Art. 5.º/1/c).
- Tratar os dados de forma lícita, leal e transparente (Art. 5.º/1/a).
- Conservar os dados apenas durante o tempo necessário (limitação da conservação, Art. 5.º/1/e).
- Proteger os dados com medidas técnicas e organizativas adequadas (integridade e confidencialidade, Art. 5.º/1/f).
- Poder demonstrar o cumprimento (responsabilidade, Art. 5.º/2).
Se algum ponto te suscitar dúvidas, contacta-nos em privacy@curas.app.
3. Que dados recolhemos
3.1. Terapeutas (utilizadores profissionais subscritores)
| Categoria | Exemplos | Origem |
|---|---|---|
| Identificação | Nome, data de nascimento, NIF | Registo |
| Contacto | Email, telemóvel, morada do consultório | Registo |
| Profissional | Modalidades, formação autodeclarada, declaração de compromisso, experiência, biografia | Dashboard |
| Perfil público | Fotografia, descrição, preços, disponibilidade, políticas de cancelamento | Dashboard |
| Subscrição | Plano, histórico de pagamentos, referências Stripe, estado de trial | Stripe |
| Faturação | NIF, morada, faturas | Obrigação legal |
| Uso | Logs, IP, device fingerprint, páginas, ações | Automático |
| Comunicações | Mensagens com clientes e suporte | Automático |
| Conteúdo gerado | Respostas a reviews, ofertas publicadas (Premium) | Dashboard |
3.2. Clientes (utilizadores finais)
| Categoria | Exemplos | Origem |
|---|---|---|
| Identificação | Nome, data de nascimento (validação maioridade) | Registo |
| Contacto | Email, telemóvel (opcional) | Registo |
| Perfil | Foto (opcional), localização (distrito/concelho) | Registo |
| Uso | Pesquisas, visualizações, favoritos, cliques | Automático |
| Reservas | Histórico, cancelamentos, estado | Ação do utilizador |
| Reviews | Avaliações e comentários | Ação do utilizador |
| Comunicações | Mensagens com terapeutas e suporte | Automático |
| Dados de saúde (eventuais) | Motivos de procura, sintomas, condições clínicas que o cliente escolha partilhar | Voluntária, pelo titular |
3.3. Visitantes (não registados)
| Categoria | Exemplos | Origem |
|---|---|---|
| Técnicos | IP, user-agent, dispositivo, resolução | Automático |
| Navegação | Páginas visitadas, tempo, referrer, UTM | Automático |
| Cookies | Essenciais e (com consentimento) funcionais/analíticos/marketing | Ver Cookie Policy |
4. Para que fins e com que bases legais
A Curas só trata dados pessoais quando existe uma base legal válida nos termos do Art. 6.º RGPD (e, para dados de saúde, do Art. 9.º/2).
| Finalidade | Base legal | Retenção |
|---|---|---|
| Criar e gerir conta (Terapeuta ou Cliente) | Execução de contrato (Art. 6.º/1/b) | Ativa + 24 meses |
| Faturação de subscrições | Obrigação legal (Art. 6.º/1/c) + CIVA + DL 28/2019 | 10 anos |
| Pagamentos via Stripe | Execução contrato + obrigação legal | 10 anos (faturação) |
| Reservas e mensagens Cliente↔Terapeuta | Execução de contrato (Art. 6.º/1/b) | 24 meses após última sessão |
| Publicação e moderação de reviews | Contrato + interesse legítimo (moderação) | Enquanto o perfil existir |
| Suporte ao utilizador | Execução de contrato | 3 anos após fecho do ticket |
| Analytics de produto (pseudonimizado) | Interesse legítimo (Art. 6.º/1/f) com LIA | 14 meses |
| Prevenção de fraude, logs de auditoria | Interesse legítimo (Art. 6.º/1/f) | 12m logs, 24m indícios |
| Marketing direto (newsletter) | Consentimento (Art. 6.º/1/a) + Art. 13.º-A Lei 41/2004 | Até retirada |
| Obrigações DSA (Art. 30.º KYC, Art. 16.º denúncias) | Obrigação legal (Art. 6.º/1/c + Reg. UE 2022/2065) | 6 meses após resolução |
| Defesa em juízo | Interesse legítimo + obrigação legal | Prazos de prescrição (regra 20 anos, Art. 309.º CC) |
| Dados de saúde revelados em mensagens/reviews | Consentimento explícito (Art. 9.º/2/a) — ver §5 | Conforme finalidade primária |
Nota sobre interesse legítimo: sempre que invocamos o Art. 6.º/1/f, efetuamos e documentamos um teste de ponderação (LIA — Legitimate Interests Assessment) conforme orientação do EDPB. Tens o direito de te opor a este tratamento nos termos do Art. 21.º RGPD — ver §11.
5. Dados de saúde (Art. 9.º RGPD)
Dados de saúde são categoria especial (Art. 9.º/1 RGPD) com proteção reforçada (Art. 4.º/15 + Considerando 35).
5.1. Contextos em que a Curas pode tratar dados de saúde
A Curas não recolhe ativamente dados de saúde. No entanto, estes podem surgir:
- Mensagens entre Cliente e Terapeuta (sintomas, condições, motivos de procura);
- Reviews públicos (referência à condição que levou à consulta);
- Campo "motivo da consulta" na marcação;
- Conteúdo de ofertas promocionais (Premium) com referência a patologias.
5.2. Base legal: consentimento explícito (Art. 9.º/2/a)
A Curas fundamenta o tratamento de dados de saúde revelados na Plataforma no consentimento explícito do titular (Art. 9.º/2/a RGPD).
Não invocamos o Art. 9.º/2/h (prestação de cuidados de saúde) porque a Curas não é prestadora de cuidados — opera como intermediário. A alínea h) exige que o responsável seja profissional de saúde ou entidade sujeita a segredo profissional, o que não é o caso.
5.3. Papel do Terapeuta
O Terapeuta é responsável pelo tratamento autónomo dos dados clínicos recolhidos e processados fora da Plataforma (notas clínicas, historial, plano de tratamento). A Curas não acede nem trata esses dados.
5.4. Medidas reforçadas
- Cifragem em repouso (AES-256) e em trânsito (TLS 1.3) para mensagens;
- Controlo de acesso baseado em função (RBAC): apenas os intervenientes e um número mínimo de agentes autorizados em casos estritamente necessários;
- Logs de acesso a mensagens com auditoria permanente;
- Avisos contextuais recomendando não partilhar dados clínicos sensíveis pela Plataforma;
- Procedimento expedito de apagamento a pedido do titular (Art. 17.º);
- Avaliação de Impacto sobre a Proteção de Dados (DPIA — Art. 35.º/3/b) obrigatória antes de launch.
6. Quando contactas um terapeuta
Esta secção explica em detalhe o tratamento dos teus dados quando carregas em Contactar ou Enviar mensagem no perfil de um terapeuta ou na página de um evento. Cumpre o dever de informação no momento da recolha (Art. 13.º RGPD) e a transparência sobre o fluxo de partilha com o terapeuta.
6.1. O que acontece quando envias a mensagem
- Crias (ou abres uma já existente) uma Conversa entre ti e o terapeuta que escolheste, dentro da Plataforma Curas.
- A Curas armazena a tua mensagem, a hora de envio e o identificador da conversa, e notifica o terapeuta por email e/ou notificação in-app, de acordo com as preferências dele.
- O terapeuta lê e responde dentro da Plataforma. As respostas seguem o mesmo caminho técnico.
- Toda a troca fica visível para ambos os intervenientes na vossa caixa de mensagens.
6.2. Quem é responsável pelo tratamento (controller)
Por orientação do parecer EDPB 07/2020 (§51-53) sobre os conceitos de controller e processor, este fluxo configura uma relação controller-to-controller (não joint controllership):
| Momento | Quem decide a finalidade | Papel |
|---|---|---|
| Conversa e mensagens dentro da Plataforma | Dalbott Lda. (Curas) | Responsável pelo tratamento (Art. 4.º/7 RGPD) — define a finalidade (facilitar o contacto inicial), os meios técnicos e as salvaguardas. |
| Após o terapeuta receber e usar a tua mensagem fora da Plataforma (resposta por outro canal, agendamento de sessão, anotações próprias) | O terapeuta | Responsável autónomo pelo tratamento dos dados que recebeu — passa a decidir as suas próprias finalidades e meios. |
A Curas não responde pelas decisões autónomas do terapeuta após a receção da mensagem. Cada terapeuta na Plataforma assume, no aceite dos Termos, obrigações de segurança razoável, limitação da finalidade ao pedido inicial, resposta aos teus pedidos enquanto titular dos dados (Art. 15.º a 22.º RGPD) e notificação à Curas em caso de violação de dados.
6.3. Que dados são partilhados com o terapeuta
- O teu nome tal como consta no teu perfil;
- A tua fotografia de perfil, se a tiveres definido;
- O conteúdo da mensagem que escreves;
- A data e hora do envio;
- O serviço ou evento a que o contacto está associado (quando aplicável).
O teu email e telefone não são partilhadosna conversa. Só são revelados ao terapeuta se tu próprio os escreveres no corpo da mensagem ou se mais tarde marcares uma sessão (caso em que se aplica o tratamento descrito em §4 — "Reservas").
6.4. Finalidades e bases legais
| Finalidade | Base legal (Art. 6.º RGPD) |
|---|---|
| Permitir o primeiro contacto entre ti e o terapeuta que escolheste | Execução de contrato e diligências pré-contratuais (Art. 6.º/1/b) — usas a Plataforma para te ligares a um profissional. |
| Notificar o terapeuta da chegada da mensagem por email e/ou in-app | Execução de contrato (Art. 6.º/1/b) com o terapeuta + interesse legítimo no funcionamento do serviço (Art. 6.º/1/f). |
| Segurança do serviço (anti-fraude, anti-spam, moderação) | Interesse legítimo (Art. 6.º/1/f) com teste de ponderação documentado. |
| Dados de saúde que decidas voluntariamente partilhar | Consentimento explícito (Art. 9.º/2/a) — manifestado ao escolheres revelar essa informação. Ver §5. |
6.5. Retenção
- Mensagens guardadas pela Curas — 24 meses após a última troca; depois eliminadas ou anonimizadas (ver §8);
- Cópia que o terapeuta retém fora da Plataforma — sob responsabilidade exclusiva do terapeuta, segundo as suas próprias políticas, com as obrigações mínimas assumidas nos Termos da Curas (limitação da finalidade, segurança razoável, prazos de prescrição).
6.6. Os teus direitos neste fluxo
Tens direito a (Art. 15.º a 22.º RGPD):
- Acesso, retificação, apagamento, limitação e oposição em qualquer momento — exerces directamente em privacy@curas.app ou dpo@curas.app;
- Retirar o consentimento sobre dados de saúde que tenhas revelado, com efeito futuro (Art. 7.º/3);
- Exercer os mesmos direitos directamente junto do terapeuta sobre a cópia que ele guardar fora da Plataforma — a Curas pode ajudar a encaminhar o pedido se contactares a DPO;
- Reclamar à CNPD a qualquer momento (Art. 77.º RGPD), nos contactos indicados em §11.
6.7. Recomendações
- Escreve apenas o necessário para combinar uma primeira conversa. Detalhes clínicos profundos pertencem à sessão, não à mensagem inicial;
- Não escrevas dados sensíveis de terceiros sem autorização;
- Se preferires não partilhar informação de saúde através da Plataforma, podes pedir ao terapeuta que te contacte por outro canal — fica ao critério de cada profissional.
7. Com quem partilhamos (subcontratantes)
Todos os subcontratantes (processors, Art. 4.º/8 RGPD) estão vinculados por Contrato de Subcontratação (DPA) nos termos do Art. 28.º/3 RGPD.
| Subcontratante | Finalidade | Localização | Base de transferência |
|---|---|---|---|
| Stripe Payments Europe, Ltd. + Stripe, Inc. | Processamento de pagamentos e gestão de subscrições | Irlanda + EUA | SCC (Art. 46.º/2/c) + DPF + TIA |
| Wasabi Technologies, Inc. | Armazenamento de imagens (fotografias de perfil, capas, galerias) | EUA (região configurável) | SCC + TIA |
| Sendinblue SAS (Brevo) | Emails transacionais (SMTP) e comunicações | França (UE) | Intra-UE (sem transferência internacional) |
| Google Ireland Ltd. + Google LLC | Autenticação OAuth e infraestrutura corporativa (Workspace) | Irlanda + EUA | SCC + DPF + TIA |
| Render Services, Inc. | Hosting da aplicação (frontend Next.js + backend Node) e base de dados PostgreSQL | Frankfurt, Alemanha (UE) | Dados em repouso na UE; provider sediado nos EUA — SCC + DPF + TIA aplicáveis a acessos administrativos |
Outros subcontratantes ocasionais:
- Fornecedor de Livro de Reclamações Eletrónico (Art. 3.º DL 74/2017) — a designar;
- Fornecedor de entidade RAL (Lei 144/2015) — CNIACC ou CASA por defeito;
- Software certificado de faturação (Decreto-Lei 28/2019) — a designar antes da cobrança de pagamentos reais;
- Escritórios de advogados e contabilistas, sujeitos a segredo profissional.
Atualizações: esta lista é mantida atualizada. Alterações de subcontratantes serão refletidas aqui com comunicação prévia aos titulares conforme §14.
8. Transferências internacionais
Sempre que os dados são transferidos para fora do EEE, a Curas garante que uma das condições do Capítulo V do RGPD está preenchida. Instrumentos utilizados:
- Cláusulas Contratuais-Tipo (SCC) — Decisão de Execução (UE) 2021/914, Art. 46.º/2/c RGPD. Assinadas com cada subcontratante em país terceiro.
- Data Privacy Framework UE-EUA (DPF) — Decisão de Adequação de 10.07.2023, quando o subcontratante esteja certificado. Alerta: sob escrutínio judicial, pode ser invalidada (Schrems I C-362/14, Schrems II C-311/18).
- Transfer Impact Assessment (TIA) — avaliação caso a caso dos riscos à luz das Recomendações EDPB 01/2020, tendo em conta FISA 702, EO 12333, CLOUD Act e medidas suplementares.
- Medidas suplementares técnicas — cifragem em trânsito (TLS 1.3), em repouso (AES-256), pseudonimização quando possível.
Pode ser disponibilizada cópia das SCC e TIA mediante pedido fundamentado a privacy@curas.app.
9. Quanto tempo guardamos (retenção)
Aplicamos o princípio da limitação da conservação (Art. 5.º/1/e RGPD). Os dados são conservados apenas durante o tempo estritamente necessário ou pelo prazo imposto por lei.
| Tipo de dado | Prazo | Fundamento |
|---|---|---|
| Conta ativa | Enquanto ativa | Execução de contrato |
| Conta cancelada | 24 meses após término + deleção | Prazos de prescrição |
| Conta Pausada do Terapeuta (§7.5/§10.1 dos Termos) | 12 meses sem reativação → aviso 30d → deleção automática | Minimização + limitação |
| Mensagens Cliente↔Terapeuta | 24 meses após última sessão | Contrato + prevenção de litígios |
| Reviews públicos | Enquanto o perfil existir; anonimizados se o Cliente apagar a conta | Liberdade de expressão + utilidade pública |
| Faturas (subscrições) | 10 anos | Art. 123.º/2 CIRC + Art. 52.º/2 CIVA |
| Dados fiscais | 10 anos | Obrigação legal fiscal |
| Logs de segurança | 12 meses | Interesse legítimo |
| Indícios de fraude | 24 meses após deteção | Interesse legítimo + AML quando aplicável |
| Analytics pseudonimizado | 14 meses | Standards + balance test |
| Cookies de sessão | Até fim da sessão | Essencial |
| Cookies persistentes funcionais/analíticos | Máximo 12 meses | Recomendação CNPD 2015 + ePrivacy |
| Dados de suporte | 3 anos após fecho do ticket | Prazos Lei 24/1996 |
| Denúncias DSA | 6 meses após resolução | Obrigação DSA |
| Registos de consentimentos | 5 anos após retirada | Accountability Art. 5.º/2 + 7.º |
Após cada prazo, os dados são eliminados ou anonimizados de forma irreversível, consoante a finalidade (Art. 32.º).
10. Cookies e tecnologias semelhantes
A Curas utiliza cookies nos termos do Art. 5.º/3 da Diretiva 2002/58/CE (ePrivacy) e do Art. 5.º da Lei 41/2004.
| Categoria | Finalidade | Base legal | Consentimento? |
|---|---|---|---|
| Essenciais | Sessão, autenticação | Necessidade técnica (exceção ePrivacy) | Não |
| Funcionais | Preferências, UX | Consentimento | Sim |
| Analíticos | Métricas de uso (se forem introduzidos) | Consentimento granular | Sim |
| Marketing | Publicidade, retargeting | Consentimento granular | Sim |
Banner de consentimento: apresentamos banner à primeira visita com opções Aceitar tudo / Rejeitar tudo / Personalizar em pé de igualdade visual, sem dark patterns proibidos (Guidelines EDPB 03/2022 + Art. 25.º/3/b DSA). Para detalhes completos, consulta a Política de Cookies dedicada.
11. Os teus direitos
Enquanto titular dos dados, tens os seguintes direitos (artigos 15.º a 22.º RGPD):
| Direito | Artigo | Descrição |
|---|---|---|
| Acesso | 15.º | Saber que dados temos e obter cópia |
| Retificação | 16.º | Corrigir dados inexatos |
| Apagamento ("direito a ser esquecido") | 17.º | Eliminar quando já não sejam necessários |
| Limitação | 18.º | Suspender temporariamente o tratamento |
| Portabilidade | 20.º | Receber em formato estruturado (JSON/CSV) |
| Oposição | 21.º | Opor-te a tratamentos com base em interesse legítimo ou marketing |
| Decisões automatizadas | 22.º | Não ser sujeito a decisões exclusivamente automatizadas |
| Retirar consentimento | 7.º/3 | A qualquer momento, sem efeito retroativo |
| Reclamação à CNPD | 77.º | Apresentar reclamação junto da autoridade de controlo |
Como exercer os teus direitos
- Email: privacy@curas.app ou dpo@curas.app;
- Prazo de resposta: até 30 dias (prorrogáveis por 60d em casos complexos, Art. 12.º/3);
- Gratuidade: o exercício é gratuito, salvo pedidos manifestamente infundados ou excessivos (Art. 12.º/5);
- Verificação de identidade: podemos pedir elementos para confirmar identidade (Art. 12.º/6).
Reclamação à autoridade de controlo
Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134, 1.º, 1200-651 Lisboa
Telefone: +351 213 928 400
Email: geral@cnpd.pt
Website: www.cnpd.pt
12. Segurança
A Curas implementa medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, nos termos do Art. 32.º RGPD.
12.1. Medidas técnicas
- Cifragem em trânsito: TLS 1.3;
- Cifragem em repouso: AES-256 para BDs e backups;
- Autenticação multifator (MFA) obrigatória para contas administrativas;
- Segregação de ambientes (dev, staging, produção);
- Princípio do menor privilégio e RBAC;
- Logging e monitorização contínua (SIEM);
- Backups encriptados, geograficamente distribuídos, testados periodicamente;
- Pseudonimização de identificadores em analytics;
- Varrimentos de vulnerabilidades (SAST/DAST) periódicos.
12.2. Medidas organizativas
- Formação obrigatória em proteção de dados para colaboradores;
- Acordos de Confidencialidade (NDAs);
- DPIA para tratamentos de elevado risco (Art. 35.º);
- DPAs (Art. 28.º) com todos os subcontratantes;
- Verificação prévia e revisão anual de subcontratantes;
- Procedimento documentado de resposta a incidentes.
12.3. Resposta a violações (Art. 33.º e 34.º)
- Notificação à CNPD: em 72 horas após conhecimento, salvo se for improvável risco para direitos e liberdades (Art. 33.º/1);
- Comunicação aos titulares: quando a violação implique elevado risco, sem demora injustificada, em linguagem clara (Art. 34.º);
- Registo interno: todas as violações são registadas para accountability (Art. 33.º/5);
- Protocolo documentado com fases (0-4h, 4-24h, 24-48h, 48-72h, pós-incidente) e playbooks por cenário.
13. Menores
A Curas destina-se exclusivamente a utilizadores com idade igual ou superior a 18 anos. Esta decisão é mais restritiva que o limiar de 13 anos da Lei 58/2019 (Art. 16.º/1), fundamentada em razões sanitárias:
- As terapias podem envolver decisões sobre a própria saúde que exigem capacidade plena;
- A Curas não implementa mecanismos de consentimento parental (Art. 8.º RGPD) — o requisito de maioridade evita esta complexidade;
- O tratamento de dados clínicos de menores exige garantias adicionais (Considerando 38).
Procedimento em caso de deteção de menor: suspensão imediata da conta e eliminação dos dados em 30 dias, salvo obrigação legal de conservação em contrário. O tutor legal pode contactar privacy@curas.app para eliminação imediata nos termos do Art. 17.º.
14. Alterações à Política
- Notificação: alterações substanciais são notificadas por email com 30 dias de antecedência;
- Versão anterior: mantemos publicamente disponíveis as versões anteriores;
- Direito de recusa: podes cancelar a conta antes da entrada em vigor, sem penalização (Art. 7.º/3 + Art. 10.º DL 24/2014);
- Versão em vigor: a publicada em curas.app/privacy, com data e versão no topo.
15. Contactos
Para todas as questões sobre proteção de dados e privacidade:
Dalbott Lda. (operadora da plataforma Curas)
NIPC: 518 789 624
Morada: Rua Roberto Ivens, n.º 739, 4450-255 Matosinhos, Portugal
Email dedicado: privacy@curas.app
Encarregado de Proteção de Dados (DPO): Raquel Rodrigues · dpo@curas.app