Saltar para o conteúdo
Produtos
CRMAgente 360AcademyEmpresas
Sobre
Contacto
Pedir auditoria operacional

RGPD e Proteção de Dados

A confiança não se declara: demonstra-se com regras claras, papéis bem definidos e medidas verificáveis. Esta página explica como a Publiweb360 aplica o Regulamento Geral sobre a Proteção de Dados em cada um dos seus serviços — o CRM Publiweb360, o Agente 360 e a Academy —, quem responde por quê em cada contexto de tratamento e como pode exercer os seus direitos. Foi escrita para ser lida por decisores, não apenas por juristas. Publiweb360 é uma marca nacional n.º 768724, com registo requerido junto do INPI, de Marçal, Unipessoal Lda, pessoa coletiva n.º 519316916, com sede em Cruz da Popa, 2645-449 Alcabideche, Portugal (adiante, «Publiweb360»).

v1.0 · Última atualização: 10 de junho de 2026

1.O nosso compromisso

A Publiweb360 foi concebida para o mercado europeu e segundo regras europeias desde a primeira decisão de arquitetura. Isto significa que a proteção de dados não é tratada como um requisito posterior, mas como critério de conceção: minimização por defeito, papéis contratuais definidos antes de o primeiro dado ser tratado e infraestrutura selecionada também em função das garantias que oferece.

O nosso compromisso é rigoroso e, por isso, honesto: adotamos medidas técnicas e organizativas adequadas, razoáveis e proporcionais ao risco de cada tratamento, em linha com os artigos 24.º e 32.º do RGPD. Não prometemos conformidade absoluta nem segurança garantida — nenhum operador sério o pode fazer. Comprometemo-nos com aquilo que está ao nosso alcance e é juridicamente exigível: prevenção, documentação, resposta diligente e melhoria contínua.

Este compromisso aplica-se a todos os tratamentos sob a nossa responsabilidade ou execução e materializa-se nos contratos que celebramos, nos processos internos que mantemos e nas escolhas de arquitetura descritas ao longo desta página.

2.Enquadramento legal

A atividade da Publiweb360 em matéria de proteção de dados rege-se, em especial, por três diplomas:

Sempre que outros regimes sejam aplicáveis a um tratamento concreto — por exemplo, as obrigações fiscais que impõem a conservação de documentos de faturação durante 10 anos —, esses regimes prevalecem na medida da sua imperatividade e estão refletidos nos nossos prazos de conservação.

  • Regulamento (UE) 2016/679, de 27 de abril de 2016 (RGPD) — o quadro europeu de referência, diretamente aplicável em Portugal, que define os princípios do tratamento, os direitos dos titulares e as obrigações de responsáveis e subcontratantes;
  • Lei n.º 58/2019, de 8 de agosto — assegura a execução do RGPD na ordem jurídica portuguesa, designadamente em matéria de autoridade de controlo, regimes especiais e contraordenações;
  • Lei n.º 41/2004, de 18 de agosto — relativa à privacidade nas comunicações eletrónicas, com relevância direta para cookies, comunicações de marketing e confidencialidade das comunicações.

3.Os papéis: quem decide e quem executa

O RGPD distingue dois papéis fundamentais. O responsável pelo tratamento é quem decide porquê e como os dados são tratados — define as finalidades e os meios essenciais. O subcontratante é quem trata dados por conta do responsável, segundo as instruções deste e sem os utilizar para fins próprios. Saber quem ocupa cada papel em cada momento é a pergunta mais importante desta página, porque determina a quem deve dirigir-se e quem responde perante si.

Na relação com a Publiweb360, os fluxos são estes:

Esta distinção tem uma consequência prática direta: relativamente aos dados que vivem dentro do seu CRM, é você quem responde perante os titulares — e nós respondemos perante si, nos termos do Acordo de Tratamento de Dados.

  • Visitante do site ou lead comercial → Publiweb360 (responsável pelo tratamento). Quando visita o nosso site, pede uma demonstração ou nos contacta, somos nós que decidimos as finalidades do tratamento — e conservamos os dados de leads por um máximo de 24 meses após o último contacto relevante.
  • Cliente da Publiweb360 (dados de conta, contratuais e de faturação) → Publiweb360 (responsável pelo tratamento). Tratamos estes dados para executar o contrato e cumprir obrigações legais, incluindo as fiscais.
  • Contactos do seu CRM → Você (responsável pelo tratamento) → Publiweb360 (subcontratante). Os contactos, leads e clientes que insere ou importa para o seu CRM são seus: você decide porquê e para quê os trata; nós tratamo-los exclusivamente por sua conta e segundo as suas instruções.
  • Formandos da Academy → Publiweb360 (responsável pelo tratamento), com partilha mínima e finalisticamente delimitada com os Parceiros formadores, nos termos descritos mais abaixo.

4.RGPD no CRM Publiweb360

Quando trata os dados dos seus contactos no CRM, a Publiweb360 atua como subcontratante, nos termos do artigo 28.º do RGPD e do Acordo de Tratamento de Dados que integra o contrato. Nessa qualidade, asseguramos:

Em contrapartida, enquanto responsável pelo tratamento, cabe-lhe a si: determinar e documentar a base de licitude de cada tratamento (consentimento, execução de contrato, interesse legítimo ou outra); garantir os mecanismos de opt-in e de opt-out exigíveis nas suas comunicações de marketing; informar os seus titulares nos termos dos artigos 13.º e 14.º do RGPD; responder aos pedidos de exercício de direitos dos seus contactos; e assegurar a exatidão e a pertinência dos dados que insere na plataforma. A ferramenta facilita o cumprimento; não o substitui.

  • Instruções documentadas — tratamos os dados exclusivamente segundo as suas instruções documentadas, que incluem a configuração e a utilização normal da plataforma;
  • Confidencialidade — as pessoas autorizadas a aceder a dados pessoais estão vinculadas a obrigações contratuais de confidencialidade;
  • Segurança — aplicamos as medidas técnicas e organizativas do artigo 32.º do RGPD, descritas na secção de segurança desta página;
  • Assistência — apoiamo-lo na resposta aos pedidos de exercício de direitos dos titulares, na avaliação e notificação de incidentes e, quando aplicável, em avaliações de impacto sobre a proteção de dados;
  • Subcontratação ulterior controlada — só recorremos a subcontratantes ulteriores que ofereçam garantias equivalentes e estejam vinculados por acordo de tratamento de dados;
  • Eliminação no termo — após o cancelamento, a conta é conservada em estado inativo durante 60 dias, para reativação ou exportação; decorrido esse prazo, os dados são eliminados ou anonimizados, sem prejuízo de cópias de segurança residuais que expiram nos ciclos normais de retenção e de dados cuja conservação seja legalmente exigida;
  • Sem uso próprio — não utilizamos os dados dos seus contactos para fins próprios da Publiweb360: não os vendemos, não os cedemos e não os aproveitamos para prospeção nossa.

5.RGPD no Agente 360

O Agente 360 introduz automação e inteligência artificial nos fluxos de relacionamento com clientes. O Agente 360 é executado em servidores localizados na União Europeia; os fornecedores de modelos de inteligência artificial a que recorre podem operar na União Europeia e/ou nos Estados Unidos da América, ao abrigo do EU-US Data Privacy Framework e/ou de cláusulas contratuais-tipo, e a sua conceção obedece a três princípios operativos:

Quando o Agente 360 trata dados dos contactos do seu CRM, mantém-se a lógica de papéis: você é o responsável pelo tratamento e a Publiweb360 atua como subcontratante, com todas as garantias descritas na secção anterior.

  • Minimização — o Agente 360 trata apenas os dados necessários a cada interação ou fluxo configurado e não acumula informação para além do necessário à finalidade definida;
  • Supervisão humana — os fluxos automatizados são configurados, monitorizados e podem ser interrompidos por pessoas; decisões com efeitos significativos sobre os titulares não são deixadas exclusivamente ao sistema, em linha com o artigo 22.º do RGPD;
  • Transparência — quando a lei o exigir, a interação automatizada é identificada como tal perante o interlocutor, e os Clientes que utilizam o Agente 360 devem refletir essa transparência nas suas próprias comunicações.

6.RGPD na Academy

A Academy disponibiliza formações em colaboração com Parceiros. Nesse contexto, a Publiweb360 trata os dados dos formandos enquanto responsável pelo tratamento e partilha com os Parceiros apenas o mínimo necessário a três finalidades: gestão da inscrição, emissão de certificação e processamento de faturação.

Os Parceiros não recebem acesso ao seu CRM nem a dados que excedam estas finalidades e estão vinculados a obrigações contratuais de confidencialidade e proteção de dados. Quando um Parceiro trate dados para finalidades próprias — por exemplo, a emissão de certificados em nome próprio —, atua como responsável autónomo por esse tratamento, circunstância que lhe é comunicada no momento da inscrição.

7.Os seus direitos e como exercê-los

Enquanto titular de dados, a lei reconhece-lhe os seguintes direitos, nos termos e com os limites dos artigos 15.º a 22.º do RGPD:

Para exercer qualquer destes direitos, escreva para contacto@publiweb360.com. Para podermos tratar o pedido com eficiência, inclua: a sua identificação (nome e endereço de e-mail associado à relação connosco), o direito que pretende invocar e o contexto da relação (por exemplo: cliente, formando da Academy, lead ou visitante do site).

Respondemos no prazo máximo de um mês, prorrogável por mais dois meses em casos de especial complexidade ou de elevado número de pedidos — caso em que será informado da prorrogação e dos respetivos motivos ainda dentro do primeiro mês. Quando existam dúvidas razoáveis sobre a identidade do requerente, podemos solicitar informação adicional para validação, sempre de forma proporcional: pedimos apenas o necessário para confirmar que o pedido é legítimo, e nunca mais dados do que aqueles que o próprio pedido justifica.

  • Acesso — saber se tratamos dados seus e obter cópia desses dados;
  • Retificação — corrigir dados inexatos ou completar dados incompletos;
  • Apagamento — obter a eliminação dos dados quando deixou de existir fundamento para os conservar;
  • Limitação do tratamento — restringir o tratamento em determinadas circunstâncias, por exemplo enquanto se verifica a exatidão dos dados;
  • Portabilidade — receber os dados que nos forneceu num formato estruturado, de uso corrente e de leitura automática, ou pedir a sua transmissão a outro responsável;
  • Oposição — opor-se ao tratamento baseado em interesse legítimo e, sem necessidade de qualquer justificação, ao tratamento para fins de marketing direto;
  • Decisões automatizadas — não ficar sujeito a decisões tomadas exclusivamente com base em tratamento automatizado que produzam efeitos jurídicos ou o afetem significativamente de forma similar;
  • Retirada do consentimento — quando o tratamento assente no consentimento, retirá-lo a qualquer momento, sem comprometer a licitude do tratamento já realizado.

8.Pedidos sobre dados que vivem nos CRMs dos nossos Clientes

Se os seus dados constam do CRM de um Cliente da Publiweb360 — por exemplo, porque é cliente, fornecedor ou contacto de uma empresa que utiliza a nossa plataforma —, o responsável pelo tratamento é esse Cliente, e é a ele que o pedido deve ser dirigido.

Se, ainda assim, nos contactar, não ignoraremos o pedido: identificaremos, na medida do possível e do que nos for lícito, o Cliente responsável e encaminhar-lhe-emos o pedido, informando-o de que o fizemos. Em paralelo, prestamos a esse Cliente a assistência técnica necessária para que possa responder — localizar registos, exportar dados, retificar ou eliminar —, nos termos do Acordo de Tratamento de Dados. O que não podemos fazer é decidir em nome do Cliente sobre dados que são da responsabilidade dele.

9.Medidas de segurança

Aplicamos medidas técnicas e organizativas proporcionais ao risco de cada tratamento, em linha com o artigo 32.º do RGPD. Entre as principais:

Nenhuma destas medidas, isolada ou em conjunto, elimina o risco — reduzem-no a um nível que consideramos adequado e que revemos periodicamente, à luz da evolução técnica e das ameaças conhecidas.

  • Encriptação em trânsito — as comunicações entre o seu dispositivo e a plataforma são protegidas por encriptação;
  • Controlo de acessos — o acesso a dados pessoais obedece ao princípio da necessidade de conhecer, com autenticação e perfis de permissão diferenciados por função;
  • Segregação por cliente — os dados de cada Cliente estão logicamente segregados dos dados dos restantes;
  • Cópias de segurança — efetuamos cópias de segurança regulares para garantir a capacidade de reposição do serviço e dos dados em caso de incidente;
  • Registos de atividade — mantemos logs técnicos por um período de 12 meses, para fins de segurança, diagnóstico e auditoria;
  • Gestão de incidentes — dispomos de um processo de deteção, avaliação e resposta a incidentes de segurança. Perante uma violação de dados pessoais, avaliamos o risco para os direitos e liberdades dos titulares e, quando aplicável, notificamos a CNPD, sempre que possível, no prazo de 72 horas após termos tido conhecimento da violação, nos termos do artigo 33.º do RGPD; quando o risco for elevado, comunicamos também aos titulares afetados, nos termos do artigo 34.º. Quando atuamos como subcontratante, notificamos o Cliente responsável sem demora injustificada, para que este possa cumprir as suas próprias obrigações.

10.Subcontratantes e transferências internacionais

Recorremos a subcontratantes selecionados também em função das garantias de proteção de dados que oferecem. Por categoria:

Quando um tratamento implique a transferência de dados para fora do Espaço Económico Europeu, asseguramos um fundamento de transferência válido nos termos do capítulo V do RGPD: uma decisão de adequação — incluindo o EU-US Data Privacy Framework, no caso de entidades certificadas — ou cláusulas contratuais-tipo aprovadas pela Comissão Europeia, complementadas por medidas adicionais quando a avaliação do caso concreto o justifique.

A lista atualizada de categorias de subcontratantes está disponível mediante pedido para contacto@publiweb360.com, e os Clientes do CRM são informados de alterações relevantes nos termos previstos no Acordo de Tratamento de Dados.

  • Infraestrutura de CRM e comunicações — fornecedor de infraestrutura de CRM e comunicações com servidores nos EUA, ao abrigo do EU-US Data Privacy Framework e/ou cláusulas contratuais-tipo, vinculado por acordo de tratamento de dados;
  • Fornecedores de modelos de inteligência artificial — com servidores na União Europeia e/ou nos Estados Unidos da América, ao abrigo do EU-US Data Privacy Framework e/ou de cláusulas contratuais-tipo, utilizados pelo Agente 360;
  • Processamento de pagamentos — prestador de serviços de pagamento com servidores nos EUA, ao abrigo do EU-US Data Privacy Framework e/ou cláusulas contratuais-tipo, que trata os dados estritamente necessários à cobrança e à prevenção de fraude;
  • E-mail transacional e analytics — prestadores com servidores nos EUA, ao abrigo do EU-US Data Privacy Framework e/ou cláusulas contratuais-tipo, vinculados por acordos de tratamento de dados;
  • Alojamento e serviços técnicos — fornecedores de alojamento do site, e-mail e ferramentas operacionais, vinculados por acordos de tratamento de dados.

11.Documentos relacionados

Esta página é o ponto de partida; o detalhe vive nos documentos seguintes:

Em caso de divergência entre esta página e os documentos contratuais aplicáveis, prevalecem estes últimos.

  • Política de Privacidade (/privacidade) — descreve em detalhe os tratamentos em que a Publiweb360 é responsável: que dados, com que finalidades, por quanto tempo e com que fundamento jurídico;
  • Política de Cookies (/cookies) — explica os cookies e tecnologias semelhantes utilizados no site e como gerir as suas preferências;
  • Termos e Condições (/termos) — regulam a relação contratual entre a Publiweb360 e os seus Clientes;
  • Acordo de Tratamento de Dados (/dpa) — formaliza a relação de subcontratação no CRM, nos termos do artigo 28.º do RGPD;
  • Política de Uso Aceitável (/uso-aceitavel) — define as utilizações permitidas e proibidas da plataforma, incluindo as regras sobre comunicações não solicitadas.

12.Autoridade de controlo: CNPD

A autoridade de controlo em Portugal é a Comissão Nacional de Proteção de Dados (CNPD), disponível em www.cnpd.pt. Se considerar que um tratamento de dados realizado pela Publiweb360 viola a lei, tem o direito de apresentar reclamação junto da CNPD, sem prejuízo de qualquer outro meio de tutela administrativa ou judicial.

Agradecemos, ainda assim, que nos contacte primeiro: a maioria das questões resolve-se de forma mais rápida em diálogo direto. Esse contacto prévio é uma sugestão, não uma condição — o seu direito de reclamação junto da CNPD não depende dele.

13.Contacto

Para qualquer questão sobre esta página, sobre o tratamento dos seus dados ou para exercer os seus direitos, contacte-nos através de contacto@publiweb360.com. Respondemos a partir de Portugal, em português — ou em inglês, se preferir.

Esta página é revista sempre que ocorram alterações relevantes nos serviços, nos subcontratantes ou no enquadramento legal aplicável. A data da última atualização consta no topo da página.

Última atualização: 10 de junho de 2026.

Este documento interpreta-se de acordo com a lei portuguesa e o direito da União Europeia aplicáveis. A eventual invalidade de uma disposição não prejudica a validade das restantes.

Questões sobre este documento?

Para qualquer questão jurídica ou de proteção de dados, contacte-nos através de contacto@publiweb360.com

Documentos relacionados