Política de Privacidade
1. Uma visão geral da proteção de dados
1.1 Aspetos gerais
Estas diretrizes fornecem uma visão geral rápida do que acontece com os seus dados pessoais quando visita o nosso website. Dados pessoais são todas as informações que podem permitir identificá-lo pessoalmente.
Quem é o responsável?
O tratamento de dados neste website é realizado pelo operador do site. Os dados de contacto são indicados mais adiante, na secção "Controlador de Dados".
Como recolhemos os seus dados?
- Diretamente: quando nos os comunica (por exemplo, através de formulários).
- Automaticamente: através dos nossos sistemas informáticos durante a visita ao site (por exemplo, dados do navegador ou endereço IP).
Como utilizamos os seus dados
Parte dos dados é recolhida para garantir o correto funcionamento do site. Outros dados podem ser utilizados para analisar como os visitantes utilizam o nosso website.
Que direitos tem relativamente aos seus dados?
O utilizador tem o direito de obter, a qualquer momento e gratuitamente, informações sobre os dados guardados, a sua origem, os destinatários e a finalidade da recolha. Tem também o direito de retificação, eliminação, limitação do tratamento, oposição, bem como à portabilidade dos dados. É também possível apresentar uma reclamação a uma autoridade de controlo competente.
Análise e ferramentas de terceiros
Durante a visita ao nosso website, o comportamento de navegação pode ser analisado através de cookies e ferramentas de análise. Tais análises são normalmente realizadas de forma anónima, pelo que não é possível identificar pessoalmente um utilizador. Mais detalhes e as possibilidades de oposição são indicados nas secções seguintes.
2. Informações gerais e obrigatórias
2.1 Proteção de dados
A proteção dos seus dados pessoais é muito importante para nós. Tratamos os seus dados de forma confidencial e em conformidade com as disposições legais em matéria de proteção de dados, em particular o RGPD, bem como a presente política de privacidade.
2.2 Controlador de Dados
rankingCoach GmbH
c/o Design Offices
Erftstr. 15-17
50672 Colónia – Alemanha
Telefone: +49 221 828 298 34
E-mail: support@rankingcoach.com
2.3 Finalidades e bases jurídicas do tratamento
Tratamos os dados pessoais para fornecer o nosso website, para comunicações, para fins de análise e para o cumprimento de obrigações contratuais. As bases jurídicas do tratamento são o art. 6.º, n.º 1, alíneas a), b) e f) do RGPD.
2.4 Destinatários e transferência de dados para países terceiros
Os dados podem ser transmitidos a prestadores de serviços externos. A lista de subcontratantes está disponível no nosso registo. As transferências para países terceiros ocorrem exclusivamente com base em garantias adequadas (por exemplo, cláusulas contratuais padrão da UE ou EU-US Data Privacy Framework).
2.5 Período de conservação
Os dados são conservados apenas pelo tempo necessário para atingir as finalidades para as quais foram recolhidos ou enquanto subsistirem obrigações legais de conservação.
2.6 Os seus direitos
Tem, a qualquer momento, os seguintes direitos em relação aos seus dados pessoais:
- Direito de acesso (art. 15.º RGPD) – informações sobre os dados tratados por nós.
- Direito de retificação (art. 16.º RGPD) – correção de dados inexatos ou incompletos.
- Direito à eliminação (art. 17.º RGPD) – na medida em que não existam obrigações de conservação.
- Direito à limitação do tratamento (art. 18.º RGPD).
- Direito à portabilidade dos dados (art. 20.º RGPD).
- Direito de oposição (art. 21.º RGPD), em particular contra atividades de marketing direto.
- Direito de revogação do consentimento (art. 7.º, n.º 3 RGPD), com efeitos para o futuro.
- Direito de reclamação junto da autoridade de controlo competente (art. 77.º RGPD).
2.7 Autoridade de controle
Uma lista das autoridades de controle para a proteção de dados está disponível no seguinte link:
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
2.8 Obrigação de fornecer os dados
O fornecimento dos dados pessoais é facultativo. No entanto, para a celebração de contratos (por exemplo, o processamento de pagamentos) algumas informações podem ser necessárias.
2.9 Criptografia e transações de pagamento
Todas as transmissões de dados efetuadas através do nosso site – incluindo os pedidos enviados através de formulários e os dados de pagamento – ocorrem exclusivamente de forma criptografada através de ligações SSL/TLS. Desta forma, os seus dados estão protegidos contra o acesso não autorizado por terceiros.
2.10 Oposição ao envio de e-mails promocionais
É expressamente proibida a utilização dos dados de contacto publicados no âmbito da obrigação de "Impressum" para o envio de material publicitário ou informativo não expressamente solicitado. Os operadores deste site reservam-se expressamente o direito de intentar ações legais em caso de envio não solicitado de informações promocionais, por exemplo, através de mensagens de spam.
3. Responsável pela proteção de dados
Responsável pela proteção de dados previsto por lei
Nomeámos para a nossa empresa o seguinte Responsável pela proteção de dados:
Colin Simbach
TÜV Informationstechnik GmbH
Grupo TÜV NORD
IT Security, Business Security & Privacy
Langemarckstraße 20
45141 Essen – Alemanha
Telefone: +49 201 8999 461
E-mail: privacyguard@tuvit.de
4. Recolha de dados no nosso website
Cookies e gestão do consentimento
O nosso site utiliza cookies. Os cookies são pequenos ficheiros de texto que são armazenados no seu dispositivo.
Cookies tecnicamente necessários
Alguns cookies são tecnicamente indispensáveis para o funcionamento do nosso website. Tais cookies não requerem consentimento. A base jurídica é o art. 25.º, n.º 2 TTDSG, bem como o art. 6.º, n.º 1, alínea f) RGPD (interesse legítimo na correta prestação dos nossos serviços).
Cookies de análise e marketing
Todos os outros cookies, que não são tecnicamente necessários (por exemplo, para análises, estatísticas ou marketing), são utilizados apenas mediante o seu consentimento explícito. A base jurídica é o art. 25.º, n.º 1 TTDSG, em conjugação com o art. 6.º, n.º 1, alínea a) RGPD. O consentimento pode ser revogado a qualquer momento através das definições presentes no banner de cookies.
Ferramenta de gestão do consentimento
Utilizamos Usercentrics para recolher e documentar o seu consentimento para o uso de determinados cookies ou tecnologias no seu dispositivo. O fornecedor é Usercentrics GmbH, Sendlinger Straße 80331 Munique, Alemanha. A base jurídica é o art. 6.º, n.º 1, alínea c) RGPD (obrigação legal), bem como o art. 7.º RGPD.
Ficheiros de registo do servidor
Quando visita o nosso website, o nosso fornecedor de alojamento recolhe e armazena automaticamente algumas informações nos chamados "ficheiros de registo do servidor", que são transmitidas pelo seu navegador. Tais informações incluem:
- Tipo e versão do navegador
- Sistema operativo utilizado
- URL de proveniência (referrer)
- Nome do host do dispositivo que acede
- Data e hora do acesso
- Endereço IP
Estes dados não são combinados com outras fontes de dados. A recolha serve para a monitorização técnica, segurança e otimização do serviço.
Base jurídica: art. 6.º, n.º 1, alínea f) RGPD (interesse legítimo em garantir o funcionamento seguro e estável do website).
Formulário de contacto
Quando nos envia um pedido através do nosso formulário de contacto, tratamos os dados que nos fornece para responder ao seu pedido e, se necessário, para eventuais comunicações posteriores. Os seus dados não serão transmitidos a terceiros sem o seu consentimento explícito.
Base jurídica: art. 6.º, n.º 1, alínea a) RGPD (consentimento). Pode revogar a qualquer momento o seu consentimento com efeito para o futuro, enviando-nos uma simples comunicação por e-mail.
Período de conservação: os dados são conservados até à completa gestão do seu pedido ou até à revogação do consentimento, salvo eventuais obrigações legais de conservação.
Registo no nosso website
É possível registar-se no nosso site para utilizar funcionalidades adicionais. Os dados recolhidos neste contexto são utilizados exclusivamente para fornecer o serviço para o qual foi efetuado o registo.
As informações obrigatórias devem ser fornecidas na íntegra, caso contrário o registo não poderá ser concluído.
Finalidades: gestão de contas de utilizador, notificações sobre alterações aos serviços ou atualizações técnicas.
Base jurídica: art. 6.º, n.º 1, alínea a) RGPD (consentimento).
Revogação: o consentimento pode ser revogado a qualquer momento com simples comunicação por e-mail.
Período de conservação: os dados são conservados enquanto a conta de utilizador permanecer ativa. Permanecem inalteradas eventuais obrigações de conservação previstas por lei.
Registo via Facebook Connect
Em alternativa, pode registar-se também via Facebook Connect. Ao clicar em "Iniciar sessão com Facebook" será redirecionado para a plataforma do Facebook. Com o seu consentimento, o Facebook transmite-nos determinados dados do seu perfil, incluindo nome, endereço de e-mail, imagem de perfil ou de capa, sexo, data de nascimento, país, idioma e o seu ID do Facebook.
Utilizamos estes dados exclusivamente para criar e personalizar a sua conta de utilizador. Base jurídica: o tratamento ocorre com base no seu consentimento explícito nos termos do art. 6.º, n.º 1, alínea a) RGPD.
Mais informações estão disponíveis na Política de Privacidade do Facebook e nos Termos de Utilização do Facebook.
Registo via Google Connect
Em alternativa, pode comodamente registar-se via Google Connect.Ao clicar em "Iniciar sessão com Google" será redirecionado para a plataforma do Google. Com o seu consentimento, o Google transmite-nos alguns dados do seu perfil, como nome, endereço de e-mail, imagem de perfil ou configurações de idioma. Utilizamos estes dados exclusivamente para criar e personalizar a sua conta de utilizador. Base jurídica: o tratamento baseia-se no seu consentimento explícito nos termos do art. 6.º, n.º 1, alínea a) RGPD.
Mais informações estão disponíveis na Política de Privacidade do Google e nos Termos de Utilização do Google.
Tratamento de dados relativos a clientes e contratos
Tratamos dados pessoais na medida em que isso seja necessário para o estabelecimento, execução ou cessação de uma relação contratual.
Exemplos: nome, endereço, coordenadas bancárias, serviços reservados, histórico de utilização.
Base jurídica: art. 6.º, n.º 1, alínea b) RGPD (execução de um contrato ou medidas pré-contratuais).
Período de conservação: os dados são conservados até à cessação da relação contratual, respeitando as obrigações de conservação previstas por lei.
Transmissão de dados em caso de encomenda de conteúdos digitais
Para a execução do contrato pode ser necessário transmitir os seus dados a terceiros, por exemplo, a fornecedores de serviços de pagamento (bancos, Stripe, PayPal, etc.).
Não ocorre qualquer outra comunicação dos dados, salvo se tiver expressado um consentimento explícito.
Base jurídica: art. 6.º, n.º 1, alínea b) RGPD.
5. Utilização de subcontratantes e fornecedores terceiros (subcontratantes) nos termos do art. 28.º RGPD
5.1 Princípio geral
No âmbito da prestação dos nossos serviços, utilizamos fornecedores externos cuidadosamente selecionados ("subcontratantes" ou "subcontratantes") nos termos do art. 28.º RGPD.
Estes sujeitos tratam os dados pessoais exclusivamente em nosso nome e de acordo com as nossas instruções, com base num contrato de nomeação de responsável pelo tratamento (Data Processing Agreement) nos termos do art. 28.º, n.º 3 RGPD.
5.2 Categorias de subcontratantes
Utilizamos subcontratantes nas seguintes áreas:
- Alojamento e infraestrutura (serviços cloud, bases de dados, CDN)
- Gestão de software de marketing online (SEO, Ads, Listings)
- Apoio ao cliente e comunicação
- Faturação e gestão de pagamentos
- Gestão de contratos com parceiros e clientes finais
- Monitorização do site e melhoria de produtos
- Medidas de cibersegurança
- Atividades de marketing (incluindo testemunhos)
- Gestão de pessoal e candidaturas
- Envio de newsletters
- Processamento suportado por inteligência artificial
- Comunicação interna
- Infraestruturas de dados e plataformas de análise
5.3 Lista de subcontratantes utilizados
SUBEMPREITEIROS
|
Fornecedor / Subencarregado |
Finalidade / Âmbito de utilização |
Tipo de dados (lista completa) |
País / País terceiro / Mecanismo |
Medidas técnicas e organizacionais (TOM) |
Prazo de conservação |
Link de privacidade |
Categoria |
|
Advantago GmbH & Co. KG |
Gestão de presença digital |
Razão social, endereço comercial, números de telefone, e-mail (empresarial), horário de funcionamento, categorias/setores, logotipos/imagens, URLs/links de perfis, localizações/geodados, nome e e-mail do contato (se aplicável) |
Alemanha (UE) |
Autenticação, controle de acesso |
Na exclusão da conta do cliente |
Gestão de software de marketing online |
|
|
Afi Technologies Inc. |
Backup de e-mails |
Conteúdo de e-mails, anexos, assunto, remetentes/destinatários/CC/BCC, IDs de mensagem, data e hora, cabeçalhos de roteamento (incl. IP), pastas/etiquetas, metadados |
EUA / SCC |
Criptografia ponta a ponta, rotação de backups |
Backup contínuo (“rolling backup”) |
Suporte ao cliente e comunicação, cibersegurança |
|
|
Amazon Web Services (AWS) |
Hospedagem e serviços em nuvem |
Todos os dados armazenados nos sistemas, ex.: nome, endereço, e-mail, telefone, ID de usuário/cliente, dados de login/acesso, dados de uso/servidor/aplicação, localização, imagens/ficheiros, dados de contrato/pedido/faturação, suporte/comunicação, backups |
EUA / Irlanda / SCC, DPF |
Criptografia, controle de acesso, certificações de conformidade |
30 dias após encerramento do contrato |
Gestão de software de marketing online, infraestrutura de dados e plataformas analíticas |
|
|
Anthropic PBC |
Inteligência artificial generativa (Claude) |
Prompt/texto inserido, possíveis metadados contextuais (timestamp, ID da solicitação), saídas/gerações |
EUA / SCC |
Isolamento de API, controle de acesso |
Nenhum armazenamento por padrão |
Processamento com IA |
|
|
Atlassian US, Inc. |
Gestão de projetos (Jira, Confluence) |
Nomes, e-mails, IDs de usuário, funções/permissões, títulos de projetos, tickets/comentários/anexos, ficheiros, carimbos de data/hora, registos de atividade/acesso, endereço IP, webhooks/integrações |
EUA / SCC |
Controle de acesso, criptografia |
Fim do projeto + 90 dias |
Suporte ao cliente e comunicação interna |
|
|
Celonis Inc. (make.com) |
Automação de processos |
Dados dos sistemas conectados (ex.: nomes, e-mails, telefones, endereços, IDs de clientes/tickets/pedidos, dados de formulários/webhooks, timestamp, IP) |
EUA / SCC |
Limitação de acesso, TLS |
Registos de automação: 30 dias |
Suporte ao cliente, comunicação interna, infraestrutura de dados |
|
|
Configo LTD (Provesource) |
Engajamento do cliente |
Páginas/eventos visitados, ID de sessão, cookies/armazenamento local, URL/referrer, cliques/scrolls, timestamp, IP truncado, dados do navegador/dispositivo, estado de consentimento |
Israel / SCC |
Pseudonimização, apenas mediante consentimento |
Fim do projeto |
Rastreamento web e melhoria de produtos |
|
|
Docusign Inc. |
Assinaturas eletrônicas |
Nomes, e-mails, dados de assinatura, conteúdo de documentos, trilha de auditoria (timestamp, IP, eventos), possível 2FA |
EUA / DPF |
Trilhas de auditoria, autenticação |
Duração do contrato + obrigações legais |
Gestão de contratos com parceiros e clientes |
|
|
Drooms GmbH |
Sala de dados segura |
Documentos/ficheiros, metadados, dados do usuário (nome, e-mail), permissões/funções, registos de acesso/atividade, timestamp, IP |
Alemanha (UE) |
Controle de acesso, criptografia |
Fim do projeto |
Gestão de contratos com parceiros e clientes |
|
|
ebuero AG |
Call center de entrada |
Nome do chamador, telefone, e-mail, notas, gravações de áudio, data/hora, ID de ticket/cliente, timestamp |
Alemanha (UE) |
Formação em GDPR, controle de acesso |
5 anos (regras de arquivo) |
Suporte e comunicação com clientes |
|
|
ElevenLabs Inc. |
IA de voz / Síntese vocal |
Prompts de texto, amostras de voz (upload), áudio gerado, ID de usuário/projeto, timestamp, IP/metadados |
EUA / SCC |
Criptografia, controle de acesso |
Eliminado após uso |
Processamento com IA |
|
|
etracker GmbH |
Análises web, notificações push |
IP (reduzido), cookie/ID cliente, dados do navegador, páginas/eventos, UTM, geolocalização derivada, timestamp, estado de consentimento |
Alemanha (UE) |
Conformidade com GDPR, gestão de consentimento |
6 meses |
Rastreamento web e melhoria de produtos |
|
|
FullStory Inc. |
Gravação de sessão e análise de uso |
ID de sessão, cliques/scrolls, páginas, interações com formulários, dados do navegador, resolução, IP (reduzido), timestamp, referrer/UTM, erros JS |
EUA / SCC |
Anonimização, opção de exclusão |
30 dias |
Rastreamento web e melhoria de produtos |
|
|
GoCardless Ltd. |
Débito direto SEPA |
Nome, e-mail, IBAN, referência de mandato, endereço, ID cliente/conta, transações, estado, timestamp |
Reino Unido / SCC |
Controle de acesso, gestão de mandatos |
Fim do mandato |
Faturação e pagamentos |
|
|
Google LLC / Ireland Ltd. |
Analytics, Ads, Maps, Webfonts, YouTube |
IP, cookies, dados do navegador, páginas/eventos, referrer/UTM, conversões, localização, vídeos, fontes, timestamp, e-mail hash |
Irlanda / EUA / DPF |
Anonimização de IP, opção de exclusão |
14 meses (padrão) |
Rastreamento, melhoria de produtos, marketing, newsletters |
|
|
Hetzner Online GmbH |
Hospedagem |
Todos os dados armazenados: nome, endereço, e-mail, telefone, ID, IP, logs de servidor, imagens/ficheiros, dados de contrato/pedido/fatura, suporte, backups |
Alemanha (UE) |
ISO 27001, TLS, restrição de acesso |
30 dias após o fim do contrato |
Gestão de software de marketing |
|
|
HubSpot Inc. |
CRM e Marketing |
Nomes, e-mails, telefones, empresa, endereço, dados de interação (aberturas/cliques), atividade do site (tracking), leads, notas, tickets, estado de consentimento, IP, timestamp |
EUA / Irlanda / DPF |
Double opt-in, controle de acesso |
Eliminação do cliente ou 5 anos |
Suporte ao cliente, marketing, newsletters |
|
|
Intercom Inc. |
Comunicação com clientes |
Nome, e-mail, chat/mensagens, eventos, IP, navegador, dispositivo, ID, tags, timestamp |
EUA / Irlanda / DPF |
Pseudonimização, criptografia |
90 dias após a conversa |
Suporte ao cliente |
|
|
Meta Platforms (Facebook) |
Plugins sociais, anúncios, Pixel |
IP, cookies, eventos (visualização, adicionar ao carrinho, compra), referrer/UTM, conversões, dados do dispositivo, e-mail (audiência personalizada), timestamp |
Irlanda / EUA / DPF |
Opt-out, pseudonimização |
Até revogação |
Rastreamento, melhoria de produtos, marketing |
|
|
Notion Labs, Inc. |
Wiki e colaboração interna |
Nomes, e-mails, ID de usuário, espaço de trabalho/equipa, páginas/bases de dados, comentários, anexos, funções, logs de atividade, timestamps, IP |
EUA / SCC |
Restrição de acesso, criptografia, logging |
Após exclusão da conta |
Comunicação interna |
|
|
OpenAI OpCo, LLC |
IA – geração de texto |
Prompts/textos, ficheiros carregados, saídas, metadados técnicos (timestamp, ID de solicitação/org) |
EUA / SCC |
Isolamento de API, sem armazenamento permanente |
Sem conservação a longo prazo |
Processamento com IA |
|
|
PayPal (Europe) |
Pagamentos |
Nome do titular, e-mail, endereço de faturação/envio, valor, moeda, ID da transação, estado, IBAN/BIC, tokens de cartão, dados antifraude, IP/dispositivo |
Luxemburgo (UE) |
PCI-DSS, criptografia |
10 anos (por lei) |
Faturação e pagamentos |
|
|
rankingCoach SRL |
Desenvolvimento de software |
Código-fonte, dados de teste (possivelmente pseudonimizados), logs/erros, capturas de ecrã, timestamp, IDs internos de usuários |
Roménia (UE) |
Direitos de acesso, VPN |
Fim do projeto |
Gestão de software de marketing |
|
|
Review.io |
Avaliações de clientes |
Nome, e-mail, pedido/referência (se verificado), texto da avaliação, classificação, imagens, timestamp, IP, estado do perfil público |
Reino Unido / Alemanha (UE) |
Envio voluntário, opt-out |
Retido mediante solicitação |
Marketing |
|
|
Salesforce (Tableau) |
BI e análise de dados |
Indicadores agregados, ID cliente/usuário, nome/e-mail, receitas, métricas, UTM, timestamp, localização |
EUA / Alemanha (UE) |
Limitação de acesso, auditoria |
Após análise |
Infraestrutura e análise de dados |
|
|
Satismeter s.r.o. |
Feedback NPS |
E-mail, nome, ID de usuário/cliente, pontuação NPS, respostas, timestamp, dados do navegador/dispositivo, IP |
República Tcheca (UE) |
Anonimização, conforme GDPR |
Após a pesquisa |
Rastreamento e melhoria de produtos |
|
| Sentry, Inc. | Monitoramento de erros e desempenho de aplicações | Dados técnicos de erros e desempenho, rastreamentos de pilha (stack traces), mensagens de erro, eventos da aplicação, identificadores de projeto/organização, carimbos de data e hora, informações de navegador e dispositivo, sistema operacional, versão da aplicação, endereço IP (possivelmente truncado ou anonimizado), URL solicitada, cabeçalhos HTTP selecionados, identificadores de sessão | Estados Unidos* / SCC, DPF | Criptografia em trânsito e em repouso, controle de acesso baseado em funções, pseudonimização/anonimização configurável, isolamento por projeto, registros de auditoria | De acordo com a configuração do cliente (retenção configurável) | https://sentry.io/privacy/ | Infraestrutura técnica, monitoramento de aplicações, segurança e estabilidade do produto |
|
SparkPost |
Envio de newsletters |
Nome do destinatário, e-mail, assunto, estado de envio, aberturas/cliques, IP, timestamp, rejeições/spam |
EUA / SCC |
SPF/DKIM, TLS, opt-in |
Até cancelamento da subscrição |
Newsletter |
|
|
Stitch Inc. (Talend) |
Integração de dados (ETL) |
Dependendo da fonte: nomes, e-mails, endereços, clientes, contratos, logs de pagamento, dados de tracking/análise, timestamp |
EUA / SCC |
Minimização de dados, TLS |
Após integração |
Infraestrutura e análise de dados |
|
|
Stripe Payments Europe |
Pagamentos com cartão |
Nome, e-mail, endereço de faturação, dados do cartão, ID cliente/pagamento, valor, estado, risco, timestamp, IP/dispositivo |
Irlanda (UE) / EUA / DPF |
PCI-DSS, tokenização, proteção de acesso |
10 anos (por lei) |
Faturação e pagamentos |
|
|
Zapier Inc. |
Automação / integração web |
Dados do fluxo de trabalho (nomes, e-mails, telefones, endereços, tickets, pedidos, eventos, anexos, timestamps, IP) |
EUA / DPF |
Controle de acesso, HMAC |
Eliminação automática |
Suporte, comunicação interna, infraestrutura de dados |
|
|
Zuora Inc. |
Assinaturas e faturação |
Dados de cliente (nome, e-mail, endereço), contratos/assinaturas, faturas, histórico de pagamentos, IDs, tokens PSP, dados fiscais, timestamp |
EUA / SCC |
Controle de acesso, TLS |
Fim do contrato + 2 anos de arquivo |
Faturação e pagamentos |
|
|
Zoom Video Communications Inc. |
Videoconferências |
Participantes/e-mails, ID da reunião, convites, áudio/vídeo/ecrã (se gravado), chat, timestamps, IP/dispositivo, rede |
EUA / DPF |
Senha de reunião, controle do moderador |
30 dias após reunião |
Comunicação interna, suporte ao cliente |
*A transferência de dados para países terceiros (EUA, Reino Unido, Israel) ocorre com base nas Cláusulas Contratuais Padrão (SCC) e, se aplicável, no Data Privacy Framework UE-EUA.
5.4 Medidas técnicas e organizacionais (TOM)
Todos os subcontratantes por nós encarregados são contratualmente obrigados a adotar medidas técnicas e organizacionais adequadas nos termos do art. 32.º RGPD.
Entre estas incluem-se em particular:
- Controlos de acesso (crachás, autenticação de dois fatores)
- Criptografia das transferências de dados (TLS)
- Minimização e pseudonimização dos dados
- Restaurabilidade (backup, redundância)
- Registo e auditoria das atividades
- Formação do pessoal
5.5 Transferência de dados para países terceiros
Alguns dos nossos fornecedores (subcontratantes) estão sediados fora da União Europeia (UE) ou do Espaço Económico Europeu (EEE), em particular nos Estados Unidos, em Israel e no Reino Unido. A utilização de tais serviços pode implicar a transferência de dados pessoais para esses países terceiros.
Deve-se considerar que nestes países nem sempre é garantido um nível de proteção de dados comparável ao da UE. Para assegurar uma proteção adequada, celebrámos com os fornecedores interessados cláusulas contratuais padrão (SCC) aprovadas pela Comissão Europeia. Estes acordos vinculam os fornecedores a tratar os dados dos nossos utilizadores em conformidade com os padrões do RGPD.
Além disso, adotamos, sempre que possível, medidas técnicas e organizacionais suplementares (por exemplo, criptografia, minimização dos dados transmitidos) para proteger os seus dados da melhor forma possível.