Política de privacidade

Reg. (UE) 2016/679 (RGPD) + Lei n.º 58/2019, de 8 de agosto · Mercado Português

Responsável pelo Tratamento (RT) App_i — Tecnologia e Inovação Lda (entidade operadora do serviço Unplug Box)
NIF / NIPC 514922230
Sede social Zona Industrial de Loulé, Parque do Infante, Fração J 8100-302 Loulé
Contacto legal [email protected]
Encarregado de Proteção de Dados (DPO) [email protected]
Autoridade de controlo competente CNPD — Comissão Nacional de Proteção de Dados www.cnpd.pt · [email protected] Rua de São Bento, 148-3.º, 1200-821 Lisboa
Legislação aplicável Reg. (UE) 2016/679 (RGPD) + Lei n.º 58/2019, de 8 de agosto
Âmbito territorial Portugal — mercado nacional exclusivo
Versão / Entrada em vigor 2.0 — Junho 2026 · Substitui versão 1.0

Art. 1.º Objeto, Âmbito e Natureza do Serviço

O Unplug Box é uma solução de bem-estar e envolvimento de colaboradores, de natureza híbrida (física e digital), comercializada em modelo B2B exclusivamente para empresas com sede ou estabelecimento em Portugal.

O serviço compreende: (i) entrega de um kit físico ao domicílio ou local indicado pelo Colaborador; (ii) acesso a uma plataforma digital de suporte à experiência de desconexão; (iii) relatórios de impacto e engagement para a empresa cliente.

A presente Política aplica-se ao tratamento de dados de: (a) representantes das empresas clientes; (b) colaboradores designados como destinatários do serviço; (c) utilizadores registados na componente digital.

Art. 2.º Dados Pessoais Tratados, Finalidades, Bases Legais e Prazos de Conservação

O quadro seguinte cumpre os requisitos do Art. 13.º, n.os 1 e 2 RGPD.

As bases legais foram objeto de ponderação documentada no Registo de Atividades de Tratamento (RAT) mantido nos termos do Art. 30.º RGPD.

Categoria de dados Finalidade Base legal (RGPD) Prazo de conservação
Nome, email profissional, cargo, empresa, telefone do representante do cliente B2B Gestão do contrato, faturação, comunicações de serviço Art. 6.º, n.º 1, al. b) — execução do contrato Duração do contrato + 5 anos (Art. 40.º CIRC)
Nome, morada, email, telefone do Colaborador destinatário Logística e entrega do kit físico; comunicações do serviço Art. 6.º, n.º 1, al. b) — execução do contrato Art. 6.º, n.º 1, al. c) — obrigação legal 6 meses após confirmação de entrega
Dados de utilização da plataforma digital (pseudonimizados): acesso, módulos, sessões Relatórios de impacto para o Cliente B2B; melhoria do produto Interesse legítimo: otimização da experiência e segurança Art. 6.º, n.º 1, al. f) — interesse legítimo documentado no RAT 24 meses → anonimização irreversível ou eliminação
Feedback qualitativo e respostas a inquéritos de satisfação (opt-in explícito) Avaliação da experiência; melhoria do produto e do serviço Art. 6.º, n.º 1, al. a) — consentimento Até revogação ou extinção do contrato B2B
Dados de faturação e transação (NIF, montantes, referências de pagamento) Cumprimento de obrigações legais fiscais e contabilísticas Art. 6.º, n.º 1, al. c) — obrigação legal 10 anos (Art. 40.º CIRC; Art. 119.º CIRS)

Interesse legítimo prosseguido (Art. 6.º, n.º 1, al. f) RGPD): análise de padrões de utilização pseudonimizados para melhoria do produto, deteção de anomalias de segurança e relatórios de impacto para o cliente B2B. Ponderação documentada no RAT. Os titulares podem exercer o direito de oposição nos termos do Art. 21.º RGPD.

Obrigatoriedade de fornecimento de dados: os dados necessários para execução do contrato (nome, endereço, nome da empresa, email) são condição para prestação do serviço. A recusa impossibilita a entrega do kit físico e/ou o acesso à plataforma. Os dados recolhidos com base em consentimento são estritamente opcionais.

Art. 3.º Categorias Especiais de Dados

O Unplug Box não recolhe nem trata dados de categorias especiais (Art. 9.º RGPD) — nomeadamente dados de saúde, origem racial ou étnica, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à vida ou orientação sexual, ou dados relativos a condenações penais. Caso a empresa cliente pretenda integrar o serviço em programas que envolvam tais dados, deverá contactar o DPO [email protected], antes da implementação para avaliação prévia de conformidade e eventual DPIA (Art. 35.º RGPD).

Art. 4.º Decisões Automatizadas e Profiling

A App_i não recorre a decisões exclusivamente automatizadas, incluindo profiling, que produzam efeitos jurídicos sobre os titulares ou que os afetem de forma significativamente análoga (Art. 22.º RGPD).

Os relatórios de engagement são de natureza estatística e agregada. O cliente B2B não deve utilizá-los como fundamento exclusivo para decisões laborais com impacto significativo sobre colaboradores, sem prévia intervenção humana adequada.

Art. 5.º Privacy by Design e Privacy by Default

A App_i implementa os princípios de Privacy by Design e Privacy by Default (Art. 25.º RGPD; Art. 20.º Lei n.º 58/2019), através de: (i) recolha mínima de dados; (ii) pseudonimização dos dados de utilização na origem; (iii) configurações de privacidade protetoras por defeito — nenhum campo não essencial é pré-preenchido; (iv) isolamento lógico de dados por cliente (tenant isolation); (v) anonimização irreversível decorridos os prazos de conservação; (vi) integração de privacidade em todas as fases de desenvolvimento do produto.

Art. 6.º Avaliação de Impacto sobre a Proteção de Dados (DPIA)

A App_i avaliou a necessidade de DPIA (Art. 35.º RGPD; Diretrizes CEPD 09/2022). Considerando que: (i) dados de engagement são pseudonimizados e tratados de forma agregada; (ii) não existe tratamento em larga escala de dados sensíveis; (iii) não existem decisões exclusivamente automatizadas com efeitos jurídicos; (iv) o risco para direitos e liberdades é classificado como baixo a moderado — conclui-se que não existe obrigação de DPIA para o tratamento padrão do serviço.

Caso a empresa cliente integre dados de categorias especiais ou monitorização sistemática de colaboradores, poderá ser exigível DPIA ao cliente B2B enquanto Responsável pelo Tratamento.

Art. 7.º Responsável pelo Tratamento, Subcontratantes e RAT

A App_i atua como Responsável pelo Tratamento relativamente aos dados dos representantes dos clientes B2B e, como subcontratante em relação aos dados dos Colaboradores destinatários.

Em determinadas circunstâncias contratuais, pode atuar como Subcontratante por instrução do cliente B2B, nos termos de DPA celebrado ao abrigo do Art. 28.º RGPD. A App_i mantém RAT nos termos do Art. 30.º RGPD, disponível para a CNPD a qualquer momento.

Subcontratantes utilizados, todos vinculados por contrato que cumpre os requisitos mínimos do Art. 28.º, n.º 3 RGPD:

  • Operadores logísticos e de expedição (kit físico) — dados de entrega exclusivamente para esse fim;

  • Fornecedores de infraestrutura cloud e alojamento — localizados no EEE ou com garantias adequadas;

  • Plataformas de processamento de pagamentos — certificadas PCI-DSS;

  • Ferramentas de análise de desempenho — exclusivamente com dados pseudonimizados.

Lista atualizada disponível. Alterações à lista são comunicadas ao cliente B2B com antecedência mínima de 14 dias, com direito de oposição fundamentada, desde que tal oposição não coloque em risco o fornecimento do serviço contratado.

Art. 8.º Transferências Internacionais de Dados

A App_i não efetua transferências de dados pessoais para fora do EEE sem base legal adequada.

Quando necessárias, assentam em: (i) decisão de adequação da Comissão Europeia (Art. 45.º RGPD); (ii) Cláusulas Contratuais-Tipo — Decisão (UE) 2021/914, com Transfer Impact Assessment (TIA) documentado; ou (iii) BCRs. Lista de subcontratantes com localização fora do EEE disponível em [email protected].

Art. 9.º Medidas de Segurança

Medidas implementadas com base em avaliação de risco (Art. 32.º, n.º 1 RGPD):

  • Encriptação em trânsito (TLS 1.2+) e em repouso;

  • Controlo de acessos baseado em funções (RBAC) com princípio do menor privilégio;

  • Pseudonimização de dados de engagement na origem;

  • Isolamento lógico de dados por cliente (tenant isolation);

  • Cópia de segurança, restauro e continuidade de negócio;

  • Formação periódica dos colaboradores em proteção de dados;

  • Testes de intrusão e avaliações de segurança regulares;

  • Monitorização de acessos e deteção de anomalias.

Suspeitas de incidente de segurança devem ser reportadas imediatamente: [email protected] A segurança absoluta não pode ser garantida em nenhum sistema de informação.

Art. 10.º Violação de Dados Pessoais

Em caso de violação de dados pessoais, a App_i compromete-se a:

  • Notificar a CNPD no prazo máximo de 72 horas (Art. 33.º RGPD);

  • Comunicar a violação aos titulares afetados quando suscetível de implicar elevado risco (Art. 34.º RGPD);

  • Notificar o cliente B2B sem demora injustificada e, salvo impossibilidade, no prazo máximo de 24 horas;

  • Documentar todas as violações, incluindo as que não sejam objeto de notificação (Art. 33.º, n.º 5 RGPD).

Art. 11.º Direitos dos Titulares de Dados

Os titulares podem exercer os seguintes direitos gratuitamente a qualquer momento (salvo pedidos manifestamente infundados ou excessivos — Art. 12.º, n.º 5 RGPD).

Os pedidos devem ser acompanhados de identificação do titular; a App_i não exige cópia de documento de identificação exceto quando indispensável para evitar uso fraudulento.

Direito Como exercer Prazo de resposta
Acesso — Art. 15.º RGPD (saber que dados são tratados, para quê, durante quanto tempo) [email protected] com identificação do titular 1 mês (prorrogável até 3 meses; titular é informado dentro do 1.º mês)
Retificação — Art. 16.º RGPD (corrigir dados inexatos ou incompletos) [email protected] 1 mês
Apagamento — Art. 17.º RGPD (direito ao esquecimento; sujeito a limitações legais) [email protected] 1 mês
Limitação do tratamento — Art. 18.º RGPD (suspender o uso dos dados em determinadas circunstâncias) [email protected] 1 mês
Portabilidade — Art. 20.º RGPD (receber dados em formato estruturado e legível por máquina) [email protected] (disponível para dados tratados por consentimento ou contrato) 1 mês
Oposição — Art. 21.º RGPD (opor-se ao tratamento com base em interesse legítimo) [email protected] — a App_i cessa o tratamento salvo interesse legítimo imperioso Sem demora injustificada
Não sujeição a decisão exclusivamente automatizada — Art. 22.º RGPD [email protected] — a App_i não toma decisões automatizadas com efeitos jurídicos 1 mês
Reclamação à CNPD — Art. 77.º RGPD (sem prejuízo de outros meios de recurso) www.cnpd.pt · [email protected] Rua de São Bento, 148-3.º, 1200-821 Lisboa Nos termos definidos pela CNPD

Prorrogação: quando a complexidade ou número de pedidos o justifique, a App_i pode prorrogar até 3 meses, devendo informar o titular por escrito dentro do prazo de 1 mês a contar da receção do pedido, das razões da prorrogação (Art. 12.º, n.º 3 RGPD).

Art. 12.º Consentimento — Obtenção, Registo e Revogação

Quando o tratamento se baseia no consentimento (Art. 6.º, n.º 1, al. a) RGPD), a App_i assegura que é: livre, específico, informado e inequívoco (ato positivo e deliberado).

O titular pode revogar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento anterior (Art. 7.º, n.º 3 RGPD), através de: (a) pedido escrito para [email protected]; ou (b) funcionalidade de opt-out na plataforma digital.

Art. 13.º Cookies e Tecnologias de Rastreio

A plataforma digital utiliza cookies nos termos da Lei n.º 46/2012, de 29 de agosto (transpõe a Diretiva 2009/136/CE), e das orientações da CNPD sobre cookies:

Categoria Finalidade Base legal Retenção
Estritamente necessários Funcionamento técnico, autenticação, segurança de sessão Interesse legítimo / necessidade técnica — sem consentimento Sessão / duração da subscrição
Analíticos / desempenho (pseudonimizados) Métricas de utilização agregadas; melhoria da plataforma Consentimento (opt-in na plataforma) Máx. 24 meses
Funcionais / preferências Idioma, preferências de interface Consentimento (opt-in na plataforma) Máx. 12 meses

Não são utilizados cookies de rastreio de terceiros para fins de publicidade comportamental. As preferências de cookies podem ser geridas nas definições da plataforma ou nas configurações do browser do utilizador.

Art. 14.º Menores

O Unplug Box destina-se a colaboradores em contexto laboral, pressupondo utilizadores com idade legal para trabalhar em Portugal (mínimo 16 anos — Art. 68.º do Código do Trabalho).

A App_i não recolhe intencionalmente dados de menores de 16 anos.

Caso a empresa cliente integre colaboradores menores, é da sua responsabilidade assegurar as autorizações legais exigíveis.

Art. 15.º Encarregado de Proteção de Dados (DPO)

A App_i designou DPO nos termos do Art. 37.º RGPD. O DPO exerce funções com independência (Art. 38.º RGPD) e é o ponto de contacto para todas as questões de proteção de dados. Contacto: [email protected]

Art. 16.º Tratamento de Dados Laborais — Lei n.º 58/2019

O tratamento de dados de Colaboradores respeita o regime específico de proteção de dados em contexto laboral previsto nos Art.os 28.º a 30.º da Lei n.º 58/2019 e nos Art.os 16.º a 22.º do Código do Trabalho.

A empresa cliente, enquanto entidade empregadora e Responsável pelo Tratamento, é exclusivamente responsável pelo cumprimento das obrigações de informação e bases legais aplicáveis ao tratamento de dados dos seus trabalhadores.

Art. 17.º Alterações à Política de Privacidade

Alterações materiais serão comunicadas por email com antecedência mínima de 14 dias. O histórico de versões está disponível em [email protected].

Art. 18.º Contacto, Reclamações e DPO

O titular tem sempre o direito de reclamar à CNPD, independentemente de qualquer outra via de recurso (Art. 77.º RGPD).

Unplug Box by App_i · Documentação Legal · Versão 2.0 · Junho 2026

RGPD (Reg. (UE) 2016/679) · Lei n.º 58/2019, de 8 de agosto · Mercado Português

[email protected] · [email protected]

Unplug Box by App_i Logo

Unplug Box by App_i
[email protected]

© 2026 Unplug Box by App_i. Todos os direitos reservados.