RGPD &
Proteção de Dados

1. O Papel do Saldex no Tratamento de Dados

O Saldex exerce dois papéis distintos ao abrigo do RGPD, consoante a categoria de dados em causa:

Responsável pelo tratamento (controller)

O Saldex é responsável pelo tratamento dos dados pessoais dos utilizadores registados na plataforma — nomeadamente nome, email profissional, dados de faturação e histórico de sessões. Para estes dados, o Saldex determina a finalidade e os meios do tratamento.

Subcontratante (processor)

Para os dados pessoais dos devedores dos clientes — nome, contacto, valor em dívida e histórico de comunicações — o Saldex atua exclusivamente como subcontratante, nos termos do artigo 28.º do RGPD. A PME cliente permanece a responsável pelo tratamento. O Saldex trata esses dados apenas de acordo com as instruções documentadas do cliente, ao abrigo de um Contrato de Tratamento de Dados (DPA).

2. Contrato de Tratamento de Dados (DPA)

O Saldex disponibiliza um Contrato de Tratamento de Dados a todos os clientes, em cumprimento do artigo 28.º do RGPD. O DPA cobre:

• Objeto, duração e natureza do tratamento
• Finalidade do tratamento e categorias de dados pessoais envolvidas
• Categorias de titulares dos dados (devedores B2B)
• Obrigações e direitos do responsável pelo tratamento (cliente)
• Lista de subcontratantes autorizados e regime de notificação de alterações
• Medidas técnicas e organizativas de segurança aplicadas

Para solicitar o DPA, envie um email para hello@saldex.pt com o assunto “Pedido de DPA”. O documento é enviado no prazo de 5 dias úteis.

3. Base Jurídica para Comunicações de Cobrança

As comunicações de cobrança enviadas através do Saldex baseiam-se no interesse legítimo do credor (Art. 6.º/1/f RGPD). Esta base jurídica é adequada porque:

• O credor tem um interesse legítimo e juridicamente reconhecido na recuperação de créditos em dívida
• O tratamento é proporcional e limitado ao necessário para esse fim específico
• O devedor é informado dos seus direitos ao abrigo do RGPD em todas as comunicações enviadas
• O devedor pode exercer o direito de oposição em qualquer momento, sem que tal afete a validade da dívida

Para planos de pagamento acordados entre as partes, a base jurídica é a execução de contrato (Art. 6.º/1/b RGPD).

4. Subcontratantes do Saldex

O Saldex mantém uma lista atualizada de subcontratantes. Os principais são:

• Fornecedor de IA — Estados Unidos da América — geração de mensagens por IA — Cláusulas Contratuais Tipo (CCT)
• Meta Platforms (WhatsApp Business API) — Estados Unidos da América — envio de mensagens — Cláusulas Contratuais Tipo (CCT)
• Google LLC (Google Analytics 4) — Estados Unidos da América — análise de tráfego do site, com anonymize_ip ativo, apenas após consentimento expresso — Cláusulas Contratuais Tipo (CCT)
• IfthenPay — Portugal, União Europeia — processamento de pagamentos — adequação garantida
• CTT Correios de Portugal — Portugal, União Europeia — envio de Carta Registada — adequação garantida
• Fornecedor de infraestrutura cloud — União Europeia — alojamento e armazenamento — adequação garantida

Os clientes são notificados com 30 dias de antecedência de qualquer alteração à lista de subcontratantes e podem apresentar objeção fundamentada. A lista completa e atualizada está disponível mediante pedido a hello@saldex.pt.

5. Transferências para Países Terceiros

O fornecedor de IA, a Meta Platforms e a Google LLC têm sede nos Estados Unidos da América. Estas transferências estão protegidas pelas Cláusulas Contratuais Tipo aprovadas pela Comissão Europeia (Decisão de Execução 2021/914), ao abrigo do artigo 46.º do RGPD.

O Saldex conduziu Avaliações de Impacto das Transferências (Transfer Impact Assessments) para cada um destes fluxos transfronteiriços. A documentação completa está disponível mediante pedido escrito dirigido a hello@saldex.pt.

6. Medidas de Segurança (Art. 32.º RGPD)

O Saldex implementa medidas técnicas e organizativas adequadas para garantir um nível de segurança proporcional ao risco:

• Encriptação de dados em repouso (AES-256) e em trânsito (TLS 1.3)
• Controlo de acesso baseado em funções (RBAC) com princípio do privilégio mínimo
• Autenticação de dois fatores obrigatória para todos os acessos à plataforma
• Auditoria completa e imutável de todos os acessos, comunicações e alterações de configuração
• Testes de intrusão anuais realizados por terceiros independentes
• Plano de resposta a incidentes com notificação à CNPD no prazo de 72 horas (Art. 33.º RGPD)
• Infraestrutura de alojamento exclusivamente na União Europeia
• Formação periódica obrigatória em proteção de dados para todos os colaboradores

7. Direitos dos Titulares dos Dados

No contexto das cobranças B2B, os titulares dos dados (devedores) conservam a totalidade dos direitos conferidos pelos artigos 15.º a 22.º do RGPD. Quando um devedor contacta o cliente ou o Saldex para exercer um desses direitos, o Saldex presta toda a assistência necessária.

Os pedidos de apagamento são tratados com a devida diligência. No entanto, determinados dados podem ser conservados quando tal seja exigido por obrigação legal.

Para exercer os seus direitos, os titulares devem contactar diretamente a empresa credora. Em alternativa, podem contactar o Saldex através de hello@saldex.pt.

8. Assistente Virtual (Chat do Site)

O Saldex disponibiliza no seu site público um assistente virtual alimentado por IA. Os seguintes dados são recolhidos e conservados:

• Nome ou empresa — fornecido voluntariamente pelo utilizador
• Conteúdo integral da conversa — perguntas do utilizador e respostas do assistente
• Identificador de sessão — UUID aleatório gerado no browser
• Hash do endereço IP — SHA-256; o IP original nunca é armazenado

Finalidade: melhoria do produto, análise de qualidade e deteção de utilizações abusivas. Base jurídica: interesses legítimos (Art. 6.º/1/f RGPD).

Prazo de conservação: 6 meses a contar da data de criação. Para mais detalhes, consulte a Política de Privacidade.

9. Notificação de Violações de Dados

Em caso de violação de dados pessoais, o Saldex notificará o cliente no prazo máximo de 24 horas após tomar conhecimento do incidente.

O Saldex mantém um registo interno de todas as violações de dados e assiste o cliente na comunicação aos titulares afetados quando exigido pelo artigo 34.º do RGPD.

10. Encarregado de Proteção de Dados (DPO)

O Saldex designou um Encarregado de Proteção de Dados (DPO):

• Email: hello@saldex.pt
• Empresa: GildedSyntax Unipessoal, Lda. (Saldex) · NIF 518 913 333
• Sede: Rua da Cruz 13 B, Campelos, Portugal

11. Autoridade de Controlo

A autoridade de controlo competente para Portugal é a Comissão Nacional de Proteção de Dados (CNPD):

• Website: www.cnpd.pt
• Telefone: (+351) 213 928 400
• Morada: Rua de São Bento, 148–3.º, 1200-821 Lisboa