Documento legal
Política de Privacidade
Índice
- Identidade e contactos do Responsável pelo Tratamento
- Que dados recolhemos e para que fins
- Bases legais do tratamento
- Com quem partilhamos os seus dados
- Transferências internacionais de dados
- Durante quanto tempo conservamos os seus dados
- Os seus direitos enquanto titular de dados
- Cookies e tecnologias de rastreamento
- Segurança dos dados
- Alterações a esta Política
1. Identidade e contactos do Responsável pelo Tratamento
O Responsável pelo Tratamento dos dados pessoais recolhidos através do website privuskuzola.pt é:
| Campo | Informação |
|---|---|
| Denominação | Privus Kuzola |
| Morada | Rua Vale Formoso de Cima 237 A, Lisboa, Portugal |
| Email de contacto RGPD | privacidade@privuskuzola.pt |
| Telefone | +351 936 246 971 |
| Website | privuskuzola.pt |
Para qualquer questão relacionada com o tratamento dos seus dados pessoais, contacte-nos através do email privacidade@privuskuzola.pt. Respondemos no prazo máximo de 30 dias corridos (Art. 12.º, n.º 3 RGPD).
2. Que dados recolhemos e para que fins
Recolhemos dados pessoais exclusivamente para as finalidades indicadas, através dos canais abaixo identificados.
2.1 Formulário de diagnóstico (Privus Audit)
Quando preenche o formulário de diagnóstico no website, recolhemos os seguintes dados:
- Nome completo — para identificação e personalização da comunicação
- Endereço de email — para envio do briefing detalhado e do relatório de diagnóstico
- Nome da empresa — para contextualização do diagnóstico
- Sector de actividade — para selecção da metodologia de diagnóstico adequada
- Descrição da situação actual (opcional) — para preparação do diagnóstico
Estes dados são transmitidos através do serviço Formspree (ver secção 4) e utilizados exclusivamente para processar o diagnóstico contratado.
2.2 Pagamentos — Stripe
O processamento de pagamentos é realizado pela Stripe Payments Europe, Limited. Quando efectua um pagamento, os dados de pagamento (número de cartão, data de validade, CVV, nome do titular) são recolhidos e processados directamente pela Stripe — a Privus Kuzola não tem acesso nem armazena dados de cartão de pagamento.
A Privus Kuzola recebe da Stripe apenas: confirmação de pagamento, montante, referência da transacção e email de faturação. Estes dados são utilizados para confirmação do serviço e emissão de recibo.
2.3 Prestação de serviços de consultoria
No âmbito da prestação dos serviços contratados (Privus Audit, Privus Compliance, Privus Protect, Privus Control), recolhemos e tratamos dados da empresa cliente e dos seus colaboradores necessários para a elaboração da documentação RGPD. Estes dados são tratados nos termos do contrato de prestação de serviços celebrado com o cliente e do DPA associado.
2.4 Dados de navegação — Google Analytics 4
Com o seu consentimento prévio, recolhemos dados de navegação através do Google Analytics 4 para compreender como os visitantes utilizam o website e melhorar a experiência de utilização. Os dados recolhidos incluem páginas visitadas, duração da visita, fonte do tráfego e dados de dispositivo. O endereço IP é anonimizado antes de qualquer processamento (função anonymize_ip activada).
O Google Analytics 4 utiliza cookies para recolher estes dados. Pode gerir as suas preferências na nossa Política de Cookies.
2.5 Comunicações por email
Quando nos contacta por email, tratamos os dados pessoais presentes na comunicação (nome, email, conteúdo da mensagem) para responder ao seu pedido. Estes dados são conservados pelo prazo necessário à gestão da comunicação e pelo período de prescrição dos direitos associados.
2.6 Calculadora de Score de Maturidade Regulatória
Quando utiliza a calculadora de score disponível em privuskuzola.pt/calculadora.html, recolhemos os seguintes dados após conclusão do diagnóstico:
- Nome completo — para personalização da comunicação de seguimento
- Endereço de email — para envio da cópia do score e recomendações prioritárias
- Nome da empresa (opcional) — para contextualização do diagnóstico
- Score total e por dimensão — resultado do diagnóstico, não constituindo dados pessoais por si só mas associado ao titular quando combinado com os dados de identificação acima
- Respostas ao questionário — para elaboração das recomendações
Estes dados são transmitidos através do serviço Formspree (ver secção 4) e utilizados exclusivamente para: (i) envio da cópia do score ao titular; (ii) contacto comercial de seguimento para apresentação do Privus Audit. A base legal é a execução de diligências pré-contratuais a pedido do titular — Art. 6.º(1)(b) RGPD.
3. Bases legais do tratamento
| Finalidade | Base legal | Artigo RGPD |
|---|---|---|
| Processamento do formulário de diagnóstico e prestação do serviço Audit | Execução de diligências pré-contratuais a pedido do titular | Art. 6.º(1)(b) |
| Confirmação e gestão de pagamento | Execução do contrato de prestação de serviços | Art. 6.º(1)(b) |
| Prestação dos serviços Compliance e Control | Execução do contrato de prestação de serviços | Art. 6.º(1)(b) |
| Prestação do serviço Protect (verificação técnica e certificação) | Execução do contrato de prestação de serviços | Art. 6.º(1)(b) |
| Processamento de dados da Calculadora de Score | Execução de diligências pré-contratuais a pedido do titular | Art. 6.º(1)(b) |
| Emissão de fatura e arquivo contabilístico | Cumprimento de obrigação legal | Art. 6.º(1)(c) |
| Análise de comportamento de navegação (GA4) | Consentimento do titular | Art. 6.º(1)(a) |
| Resposta a comunicações por email | Interesse legítimo — gestão de comunicações comerciais | Art. 6.º(1)(f) |
Nota sobre o consentimento: Quando o tratamento se baseia no consentimento, tem o direito de o revogar a qualquer momento, sem que isso afecte a licitude do tratamento efectuado antes da revogação (Art. 7.º, n.º 3 RGPD). A revogação é tão fácil quanto o consentimento — utilize o painel de gestão de cookies disponível no rodapé do website.
4. Com quem partilhamos os seus dados
A Privus Kuzola não vende, cede nem partilha dados pessoais com terceiros para fins comerciais. Os seus dados são partilhados exclusivamente com os seguintes subcontratantes, nos termos do Art. 28.º do RGPD:
| Subcontratante | Função | Dados transmitidos | País | Garantias |
|---|---|---|---|---|
| Formspree, Inc. | Recepção e transmissão de dados de formulários | Nome, email, empresa, sector, situação actual | EUA | SCCs — Decisão 2021/914/UE |
| Stripe Payments Europe, Ltd. | Processamento de pagamentos | Dados de faturação; confirmação de pagamento | Irlanda (UE) | DPA — Art. 28.º RGPD |
| Google LLC (GA4) | Análise de comportamento de navegação | Dados de navegação anonimizados; cookies | EUA | EU-US Data Privacy Framework |
| GitHub, Inc. | Alojamento do website (GitHub Pages) | Endereço IP; dados de acesso ao servidor | EUA | SCCs — Decisão 2021/914/UE |
| [Contabilista/TOC] | Contabilidade e fiscalidade | Dados de faturação | Portugal | DPA — Art. 28.º RGPD |
Podemos ainda partilhar dados pessoais com autoridades públicas competentes (CNPD, Autoridade Tributária, autoridades judiciais) quando tal seja exigido por obrigação legal ou decisão judicial, nos termos do Art. 6.º(1)(c) do RGPD.
5. Transferências internacionais de dados
Alguns dos nossos subcontratantes estão localizados fora do Espaço Económico Europeu (EEE). As transferências para países terceiros são efectuadas ao abrigo dos seguintes mecanismos legais:
- Formspree (EUA) — Cláusulas Contratuais Tipo (SCCs) aprovadas pela Comissão Europeia através da Decisão 2021/914/UE de 4 de junho de 2021
- Google LLC — GA4 (EUA) — EU-US Data Privacy Framework, adoptado pela Decisão de Adequação da Comissão Europeia de 10 de julho de 2023
- GitHub, Inc. (EUA) — Cláusulas Contratuais Tipo (SCCs) — Decisão 2021/914/UE
- Stripe Payments Europe, Ltd. — Sede na Irlanda (UE); dados processados dentro do EEE; eventuais transferências para Stripe, Inc. (EUA) ao abrigo de SCCs
Pode obter cópia dos mecanismos aplicáveis contactando privacidade@privuskuzola.pt.
6. Durante quanto tempo conservamos os seus dados
| Categoria de dados | Prazo de conservação | Fundamento |
|---|---|---|
| Dados do formulário de diagnóstico (Audit) | Duração do serviço + 3 anos | Prazo de prescrição contratual — Art. 309.º CC |
| Dados da Calculadora de Score (nome, email, score) | 3 anos após a data de submissão | Prazo de prescrição contratual — Art. 309.º CC; interesse legítimo de contacto comercial |
| Dados de pagamento (referência Stripe) | 10 anos | Obrigação fiscal — Art. 52.º CIVA; Art. 123.º CIRC |
| Dados de faturação e arquivo contabilístico | 10 anos | Obrigação fiscal — Art. 40.º DL 158/2009 (SNC) |
| Dados de correspondência por email | 3 anos após último contacto | Interesse legítimo; prazo de prescrição geral |
| Dados de navegação GA4 (com consentimento) | 14 meses (configuração GA4) | Orientação CNPD/CNIL — prazo máximo recomendado |
| Logs de consentimento de cookies | 5 anos após a data do consentimento | Princípio da responsabilidade demonstrada — Art. 5.º(2) RGPD |
| Documentação de prestação de serviços | 10 anos após conclusão do serviço | Prazo de prescrição da responsabilidade civil — Art. 309.º CC |
No final de cada prazo, os dados são eliminados de forma segura ou anonimizados, de modo que não permitam a identificação do titular.
7. Os seus direitos enquanto titular de dados
Ao abrigo do RGPD, tem os seguintes direitos, que pode exercer a qualquer momento através do email privacidade@privuskuzola.pt:
| Direito | Conteúdo | Artigo | Prazo de resposta |
|---|---|---|---|
| Acesso | Obter confirmação de que tratamos dados seus e, se sim, cópia dos dados tratados e informação sobre o tratamento | Art. 15.º | 30 dias |
| Rectificação | Solicitar a correcção de dados inexactos ou o complemento de dados incompletos | Art. 16.º | 30 dias |
| Apagamento | Solicitar a eliminação dos seus dados quando já não são necessários, o consentimento foi revogado, ou o tratamento é ilícito — sujeito a limitações legais | Art. 17.º | 30 dias |
| Limitação | Solicitar a suspensão do tratamento em circunstâncias específicas (contestação da exactidão, ilicitude do tratamento, fins judiciais) | Art. 18.º | 30 dias |
| Portabilidade | Receber os dados que nos forneceu em formato estruturado de uso corrente (ex: CSV, JSON), quando o tratamento se baseia em consentimento ou contrato | Art. 20.º | 30 dias |
| Oposição | Opor-se ao tratamento baseado em interesse legítimo ou para fins de marketing directo — a oposição ao marketing é sempre atendida sem necessidade de justificação | Art. 21.º | 10 dias úteis |
| Não sujeição a decisões automatizadas | Solicitar revisão humana de decisões tomadas exclusivamente com base em tratamento automatizado que produzam efeitos jurídicos ou significativos | Art. 22.º | 30 dias |
O exercício dos direitos é gratuito. A primeira cópia dos dados (direito de acesso) é sempre gratuita. Em caso de pedidos manifestamente infundados ou excessivos, podemos cobrar uma taxa razoável ou recusar, com fundamentação escrita (Art. 12.º, n.º 5 RGPD).
Para exercer qualquer dos direitos acima, envie pedido escrito para privacidade@privuskuzola.pt com identificação do direito que pretende exercer e cópia do documento de identificação. Responderemos no prazo máximo de 30 dias corridos.
Direito de reclamação junto da CNPD
Se considerar que o tratamento dos seus dados viola o RGPD ou a Lei n.º 58/2019, tem o direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD):
- Website: www.cnpd.pt
- Email: geral@cnpd.pt
- Telefone: (+351) 213 928 400
- Morada: Av. D. Carlos I, 134, 1.º — 1200-651 Lisboa
O direito de reclamação junto da CNPD não prejudica outros meios de recurso administrativo ou judicial.
8. Cookies e tecnologias de rastreamento
O website privuskuzola.pt utiliza cookies e tecnologias similares. Para informação detalhada sobre os cookies utilizados, as suas finalidades, prazos e como gerir as suas preferências, consulte a nossa Política de Cookies.
Em resumo: utilizamos apenas cookies essenciais (necessários para o funcionamento do website, sem consentimento prévio) e cookies analíticos do Google Analytics 4 (apenas com o seu consentimento expresso). Não utilizamos cookies de marketing ou retargeting.
9. Segurança dos dados
Implementámos medidas técnicas e organizativas adequadas para proteger os dados pessoais que tratamos, em conformidade com o Art. 32.º do RGPD, tendo em conta o estado da arte, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento:
- Transmissão de dados cifrada através de protocolo HTTPS/TLS em todas as comunicações
- Processamento de pagamentos exclusivamente através da Stripe, com certificação PCI DSS — a Privus Kuzola não armazena dados de cartão
- Acesso aos dados de clientes restrito aos colaboradores com necessidade operacional justificada (need-to-know)
- Subcontratantes seleccionados com base em garantias adequadas de segurança e conformidade, com DPA celebrado
- Procedimento documentado de resposta a violações de dados, com notificação à CNPD no prazo de 72 horas quando legalmente exigido (Art. 33.º RGPD)
Em caso de violação de dados pessoais que seja susceptível de implicar um risco elevado para os seus direitos e liberdades, será notificado sem demora injustificada, nos termos do Art. 34.º do RGPD.
10. Alterações a esta Política
Esta Política de Privacidade pode ser actualizada para reflectir alterações nas nossas práticas de tratamento de dados, na legislação aplicável ou nos serviços prestados. Em caso de alterações materiais, notificaremos os clientes com contratos activos através do email registado e actualizaremos a data de "última actualização" no cabeçalho deste documento.
Recomendamos que consulte periodicamente esta Política. A versão em vigor é sempre a disponível em privuskuzola.pt/politica-privacidade.html.
A utilização continuada do website após a entrada em vigor de alterações a esta Política implica a aceitação das mesmas, na medida em que o tratamento se baseie em interesse legítimo ou execução de contrato. Para tratamentos baseados em consentimento, solicitaremos novo consentimento quando as alterações forem materialmente relevantes.