Reg. (UE) 2016/679 (RGPD) + Lei n.º 58/2019, de 8 de agosto · Mercado Português
| Responsável pelo Tratamento (RT) | App_i — Tecnologia e Inovação Lda (entidade operadora do serviço Unplug Box) |
|---|---|
| NIF / NIPC | 514922230 |
| Sede social | Zona Industrial de Loulé, Parque do Infante, Fração J 8100-302 Loulé |
| Contacto legal | [email protected] |
| Encarregado de Proteção de Dados (DPO) | [email protected] |
| Autoridade de controlo competente | CNPD — Comissão Nacional de Proteção de Dados www.cnpd.pt · [email protected] Rua de São Bento, 148-3.º, 1200-821 Lisboa |
| Legislação aplicável | Reg. (UE) 2016/679 (RGPD) + Lei n.º 58/2019, de 8 de agosto |
| Âmbito territorial | Portugal — mercado nacional exclusivo |
| Versão / Entrada em vigor | 2.0 — Junho 2026 · Substitui versão 1.0 |
O Unplug Box é uma solução de bem-estar e envolvimento de colaboradores, de natureza híbrida (física e digital), comercializada em modelo B2B exclusivamente para empresas com sede ou estabelecimento em Portugal.
O serviço compreende: (i) entrega de um kit físico ao domicílio ou local indicado pelo Colaborador; (ii) acesso a uma plataforma digital de suporte à experiência de desconexão; (iii) relatórios de impacto e engagement para a empresa cliente.
A presente Política aplica-se ao tratamento de dados de: (a) representantes das empresas clientes; (b) colaboradores designados como destinatários do serviço; (c) utilizadores registados na componente digital.
O quadro seguinte cumpre os requisitos do Art. 13.º, n.os 1 e 2 RGPD.
As bases legais foram objeto de ponderação documentada no Registo de Atividades de Tratamento (RAT) mantido nos termos do Art. 30.º RGPD.
| Categoria de dados | Finalidade | Base legal (RGPD) | Prazo de conservação |
|---|---|---|---|
| Nome, email profissional, cargo, empresa, telefone do representante do cliente B2B | Gestão do contrato, faturação, comunicações de serviço | Art. 6.º, n.º 1, al. b) — execução do contrato | Duração do contrato + 5 anos (Art. 40.º CIRC) |
| Nome, morada, email, telefone do Colaborador destinatário | Logística e entrega do kit físico; comunicações do serviço | Art. 6.º, n.º 1, al. b) — execução do contrato Art. 6.º, n.º 1, al. c) — obrigação legal | 6 meses após confirmação de entrega |
| Dados de utilização da plataforma digital (pseudonimizados): acesso, módulos, sessões | Relatórios de impacto para o Cliente B2B; melhoria do produto Interesse legítimo: otimização da experiência e segurança | Art. 6.º, n.º 1, al. f) — interesse legítimo documentado no RAT | 24 meses → anonimização irreversível ou eliminação |
| Feedback qualitativo e respostas a inquéritos de satisfação (opt-in explícito) | Avaliação da experiência; melhoria do produto e do serviço | Art. 6.º, n.º 1, al. a) — consentimento | Até revogação ou extinção do contrato B2B |
| Dados de faturação e transação (NIF, montantes, referências de pagamento) | Cumprimento de obrigações legais fiscais e contabilísticas | Art. 6.º, n.º 1, al. c) — obrigação legal | 10 anos (Art. 40.º CIRC; Art. 119.º CIRS) |
Interesse legítimo prosseguido (Art. 6.º, n.º 1, al. f) RGPD): análise de padrões de utilização pseudonimizados para melhoria do produto, deteção de anomalias de segurança e relatórios de impacto para o cliente B2B. Ponderação documentada no RAT. Os titulares podem exercer o direito de oposição nos termos do Art. 21.º RGPD.
Obrigatoriedade de fornecimento de dados: os dados necessários para execução do contrato (nome, endereço, nome da empresa, email) são condição para prestação do serviço. A recusa impossibilita a entrega do kit físico e/ou o acesso à plataforma. Os dados recolhidos com base em consentimento são estritamente opcionais.
O Unplug Box não recolhe nem trata dados de categorias especiais (Art. 9.º RGPD) — nomeadamente dados de saúde, origem racial ou étnica, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à vida ou orientação sexual, ou dados relativos a condenações penais. Caso a empresa cliente pretenda integrar o serviço em programas que envolvam tais dados, deverá contactar o DPO [email protected], antes da implementação para avaliação prévia de conformidade e eventual DPIA (Art. 35.º RGPD).
A App_i não recorre a decisões exclusivamente automatizadas, incluindo profiling, que produzam efeitos jurídicos sobre os titulares ou que os afetem de forma significativamente análoga (Art. 22.º RGPD).
Os relatórios de engagement são de natureza estatística e agregada. O cliente B2B não deve utilizá-los como fundamento exclusivo para decisões laborais com impacto significativo sobre colaboradores, sem prévia intervenção humana adequada.
A App_i implementa os princípios de Privacy by Design e Privacy by Default (Art. 25.º RGPD; Art. 20.º Lei n.º 58/2019), através de: (i) recolha mínima de dados; (ii) pseudonimização dos dados de utilização na origem; (iii) configurações de privacidade protetoras por defeito — nenhum campo não essencial é pré-preenchido; (iv) isolamento lógico de dados por cliente (tenant isolation); (v) anonimização irreversível decorridos os prazos de conservação; (vi) integração de privacidade em todas as fases de desenvolvimento do produto.
A App_i avaliou a necessidade de DPIA (Art. 35.º RGPD; Diretrizes CEPD 09/2022). Considerando que: (i) dados de engagement são pseudonimizados e tratados de forma agregada; (ii) não existe tratamento em larga escala de dados sensíveis; (iii) não existem decisões exclusivamente automatizadas com efeitos jurídicos; (iv) o risco para direitos e liberdades é classificado como baixo a moderado — conclui-se que não existe obrigação de DPIA para o tratamento padrão do serviço.
Caso a empresa cliente integre dados de categorias especiais ou monitorização sistemática de colaboradores, poderá ser exigível DPIA ao cliente B2B enquanto Responsável pelo Tratamento.
A App_i atua como Responsável pelo Tratamento relativamente aos dados dos representantes dos clientes B2B e, como subcontratante em relação aos dados dos Colaboradores destinatários.
Em determinadas circunstâncias contratuais, pode atuar como Subcontratante por instrução do cliente B2B, nos termos de DPA celebrado ao abrigo do Art. 28.º RGPD. A App_i mantém RAT nos termos do Art. 30.º RGPD, disponível para a CNPD a qualquer momento.
Subcontratantes utilizados, todos vinculados por contrato que cumpre os requisitos mínimos do Art. 28.º, n.º 3 RGPD:
Operadores logísticos e de expedição (kit físico) — dados de entrega exclusivamente para esse fim;
Fornecedores de infraestrutura cloud e alojamento — localizados no EEE ou com garantias adequadas;
Plataformas de processamento de pagamentos — certificadas PCI-DSS;
Ferramentas de análise de desempenho — exclusivamente com dados pseudonimizados.
Lista atualizada disponível. Alterações à lista são comunicadas ao cliente B2B com antecedência mínima de 14 dias, com direito de oposição fundamentada, desde que tal oposição não coloque em risco o fornecimento do serviço contratado.
A App_i não efetua transferências de dados pessoais para fora do EEE sem base legal adequada.
Quando necessárias, assentam em: (i) decisão de adequação da Comissão Europeia (Art. 45.º RGPD); (ii) Cláusulas Contratuais-Tipo — Decisão (UE) 2021/914, com Transfer Impact Assessment (TIA) documentado; ou (iii) BCRs. Lista de subcontratantes com localização fora do EEE disponível em [email protected].
Medidas implementadas com base em avaliação de risco (Art. 32.º, n.º 1 RGPD):
Encriptação em trânsito (TLS 1.2+) e em repouso;
Controlo de acessos baseado em funções (RBAC) com princípio do menor privilégio;
Pseudonimização de dados de engagement na origem;
Isolamento lógico de dados por cliente (tenant isolation);
Cópia de segurança, restauro e continuidade de negócio;
Formação periódica dos colaboradores em proteção de dados;
Testes de intrusão e avaliações de segurança regulares;
Monitorização de acessos e deteção de anomalias.
Suspeitas de incidente de segurança devem ser reportadas imediatamente: [email protected] A segurança absoluta não pode ser garantida em nenhum sistema de informação.
Em caso de violação de dados pessoais, a App_i compromete-se a:
Notificar a CNPD no prazo máximo de 72 horas (Art. 33.º RGPD);
Comunicar a violação aos titulares afetados quando suscetível de implicar elevado risco (Art. 34.º RGPD);
Notificar o cliente B2B sem demora injustificada e, salvo impossibilidade, no prazo máximo de 24 horas;
Documentar todas as violações, incluindo as que não sejam objeto de notificação (Art. 33.º, n.º 5 RGPD).
Os titulares podem exercer os seguintes direitos gratuitamente a qualquer momento (salvo pedidos manifestamente infundados ou excessivos — Art. 12.º, n.º 5 RGPD).
Os pedidos devem ser acompanhados de identificação do titular; a App_i não exige cópia de documento de identificação exceto quando indispensável para evitar uso fraudulento.
| Direito | Como exercer | Prazo de resposta |
|---|---|---|
| Acesso — Art. 15.º RGPD (saber que dados são tratados, para quê, durante quanto tempo) | [email protected] com identificação do titular | 1 mês (prorrogável até 3 meses; titular é informado dentro do 1.º mês) |
| Retificação — Art. 16.º RGPD (corrigir dados inexatos ou incompletos) | [email protected] | 1 mês |
| Apagamento — Art. 17.º RGPD (direito ao esquecimento; sujeito a limitações legais) | [email protected] | 1 mês |
| Limitação do tratamento — Art. 18.º RGPD (suspender o uso dos dados em determinadas circunstâncias) | [email protected] | 1 mês |
| Portabilidade — Art. 20.º RGPD (receber dados em formato estruturado e legível por máquina) | [email protected] (disponível para dados tratados por consentimento ou contrato) | 1 mês |
| Oposição — Art. 21.º RGPD (opor-se ao tratamento com base em interesse legítimo) | [email protected] — a App_i cessa o tratamento salvo interesse legítimo imperioso | Sem demora injustificada |
| Não sujeição a decisão exclusivamente automatizada — Art. 22.º RGPD | [email protected] — a App_i não toma decisões automatizadas com efeitos jurídicos | 1 mês |
| Reclamação à CNPD — Art. 77.º RGPD (sem prejuízo de outros meios de recurso) | www.cnpd.pt · [email protected] Rua de São Bento, 148-3.º, 1200-821 Lisboa | Nos termos definidos pela CNPD |
Prorrogação: quando a complexidade ou número de pedidos o justifique, a App_i pode prorrogar até 3 meses, devendo informar o titular por escrito dentro do prazo de 1 mês a contar da receção do pedido, das razões da prorrogação (Art. 12.º, n.º 3 RGPD).
Quando o tratamento se baseia no consentimento (Art. 6.º, n.º 1, al. a) RGPD), a App_i assegura que é: livre, específico, informado e inequívoco (ato positivo e deliberado).
O titular pode revogar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento anterior (Art. 7.º, n.º 3 RGPD), através de: (a) pedido escrito para [email protected]; ou (b) funcionalidade de opt-out na plataforma digital.
A plataforma digital utiliza cookies nos termos da Lei n.º 46/2012, de 29 de agosto (transpõe a Diretiva 2009/136/CE), e das orientações da CNPD sobre cookies:
| Categoria | Finalidade | Base legal | Retenção |
|---|---|---|---|
| Estritamente necessários | Funcionamento técnico, autenticação, segurança de sessão | Interesse legítimo / necessidade técnica — sem consentimento | Sessão / duração da subscrição |
| Analíticos / desempenho (pseudonimizados) | Métricas de utilização agregadas; melhoria da plataforma | Consentimento (opt-in na plataforma) | Máx. 24 meses |
| Funcionais / preferências | Idioma, preferências de interface | Consentimento (opt-in na plataforma) | Máx. 12 meses |
Não são utilizados cookies de rastreio de terceiros para fins de publicidade comportamental. As preferências de cookies podem ser geridas nas definições da plataforma ou nas configurações do browser do utilizador.
O Unplug Box destina-se a colaboradores em contexto laboral, pressupondo utilizadores com idade legal para trabalhar em Portugal (mínimo 16 anos — Art. 68.º do Código do Trabalho).
A App_i não recolhe intencionalmente dados de menores de 16 anos.
Caso a empresa cliente integre colaboradores menores, é da sua responsabilidade assegurar as autorizações legais exigíveis.
A App_i designou DPO nos termos do Art. 37.º RGPD. O DPO exerce funções com independência (Art. 38.º RGPD) e é o ponto de contacto para todas as questões de proteção de dados. Contacto: [email protected]
O tratamento de dados de Colaboradores respeita o regime específico de proteção de dados em contexto laboral previsto nos Art.os 28.º a 30.º da Lei n.º 58/2019 e nos Art.os 16.º a 22.º do Código do Trabalho.
A empresa cliente, enquanto entidade empregadora e Responsável pelo Tratamento, é exclusivamente responsável pelo cumprimento das obrigações de informação e bases legais aplicáveis ao tratamento de dados dos seus trabalhadores.
Alterações materiais serão comunicadas por email com antecedência mínima de 14 dias. O histórico de versões está disponível em [email protected].
DPO da App_i: [email protected]
Contacto legal geral: [email protected]
CNPD: www.cnpd.pt · [email protected] · Rua de São Bento, 148-3.º, 1200-821 Lisboa
O titular tem sempre o direito de reclamar à CNPD, independentemente de qualquer outra via de recurso (Art. 77.º RGPD).
Unplug Box by App_i · Documentação Legal · Versão 2.0 · Junho 2026
RGPD (Reg. (UE) 2016/679) · Lei n.º 58/2019, de 8 de agosto · Mercado Português