Política de Privacidade
Última actualização: 07 de Abril de 2026 · Versão 1.0
A privacidade dos seus dados é uma prioridade para a Nexcore. Esta Política de Privacidade explica que dados pessoais recolhemos, com que finalidades os tratamos, durante quanto tempo os conservamos e quais os seus direitos enquanto titular, em conformidade com o Regulamento Geral sobre a Protecção de Dados (Regulamento (UE) 2016/679, "RGPD") e a Lei n.º 58/2019.
1. Identificação do responsável pelo tratamento
Nexcore · NIF: a definir · Sede: a definir, Portugal
Contacto geral: geral@nexcore.pt
Encarregado de Protecção de Dados (DPO):
dpo@nexcore.pt
Para todas as questões relacionadas com o tratamento de dados pessoais ou para o exercício dos seus direitos, deve contactar directamente o DPO no endereço acima.
2. Quando este documento se aplica
Esta Política aplica-se a:
- Visitantes do website público setmain.com;
- Pessoas que se registam ou criam uma conta SetMain;
- Utilizadores autorizados pelo Cliente a aceder à respectiva conta;
- Pessoas que contactam a Nexcore por email ou outros canais.
Quando o Cliente trata os dados pessoais dos seus próprios contactos (clientes finais, técnicos, etc.) através do SetMain, a Nexcore actua como subcontratante e o Cliente como responsável pelo tratamento. Neste caso, o Cliente é o ponto de contacto para os titulares desses dados — ver secção 11.
3. Categorias de dados pessoais tratados
3.1 Dados de registo e conta
- Nome próprio e apelido
- Endereço de email profissional
- Password (armazenada apenas em formato hash bcrypt — nunca em texto claro)
- Nome da empresa e subdomínio escolhido
- NIF da empresa (opcional, requerido para facturação)
- Telefone (opcional)
3.2 Dados de utilização
- Endereço IP (apenas para protecção contra abuso e auditoria de segurança)
- Browser e sistema operativo (User-Agent)
- Datas e horas de acesso e de operações relevantes
- Páginas visitadas no Serviço
3.3 Dados financeiros
- Histórico de facturas emitidas
- Data e meio de pagamento
- Não armazenamos dados de cartões de crédito. Os pagamentos são processados por subprocessadores certificados PCI-DSS (ver secção 7).
3.4 Conteúdo do Cliente
Tudo o que o Cliente carrega na sua Conta — empresas/clientes geridos, ativos, tickets, ficheiros anexados, comentários, etc. Estes dados podem incluir informação pessoal de terceiros (técnicos, clientes finais), pela qual o Cliente é responsável.
4. Finalidades e bases legais do tratamento
| Finalidade | Base legal (RGPD) |
|---|---|
| Criar e gerir a conta do Cliente | Art.º 6.º, n.º 1, b) — execução do contrato |
| Facturação e cobrança | Art.º 6.º, n.º 1, b) e c) — contrato e obrigação legal |
| Suporte técnico ao Cliente | Art.º 6.º, n.º 1, b) — execução do contrato |
| Logs de acesso e auditoria de segurança | Art.º 6.º, n.º 1, f) — interesse legítimo (segurança) |
| Cumprimento de obrigações fiscais e legais | Art.º 6.º, n.º 1, c) — obrigação legal |
| Envio de comunicações de serviço (avisos de fim de trial, faturas) | Art.º 6.º, n.º 1, b) — execução do contrato |
| Envio de comunicações de marketing | Art.º 6.º, n.º 1, a) — consentimento (opt-in) |
5. Prazos de conservação dos dados
| Categoria | Prazo |
|---|---|
| Dados da conta activa | Enquanto a subscrição se mantiver activa |
| Conta suspensa, Cliente que nunca pagou | 30 dias após a suspensão (depois eliminados) |
| Conta suspensa, Cliente que já pagou | 90 dias após a suspensão (depois eliminados) |
| Faturas emitidas | 10 anos (obrigação fiscal — Art.º 123.º CIVA) |
| Logs de acesso e segurança | 12 meses |
| Histórico de tickets e dados operacionais | Eliminado com a conta, salvo obrigação legal |
6. Destinatários dos dados
Os seus dados são acedidos exclusivamente por colaboradores autorizados da Nexcore que dele necessitem para a prestação do Serviço. A Nexcore não vende nem cede dados pessoais a terceiros.
Os dados podem ser comunicados às entidades públicas competentes apenas quando exigido por lei (Autoridade Tributária, autoridades judiciárias).
7. Subcontratantes (subprocessadores)
A Nexcore recorre aos seguintes subcontratantes para a prestação do Serviço, todos com contratos de tratamento de dados (DPA) assinados nos termos do Art.º 28.º RGPD:
| Fornecedor | Finalidade | Localização |
|---|---|---|
| Hetzner / Coolify | Alojamento, base de dados, ficheiros | União Europeia (Alemanha) |
| Cloudflare | CDN, protecção DDoS, DNS | Global (com cláusulas-tipo da CE para transferências) |
| Vendus | Facturação electrónica (opcional, por escolha do Cliente) | Portugal |
| ifthenpay (futuro) | Processamento de pagamentos | Portugal |
A lista actualizada de subcontratantes está disponível mediante pedido em dpo@nexcore.pt.
8. Transferências internacionais de dados
Os dados são armazenados em servidores localizados na União Europeia. Quando houver transferência de dados para fora do EEE (por exemplo, para o Cloudflare nos Estados Unidos), a transferência é coberta pelas cláusulas contratuais-tipo aprovadas pela Comissão Europeia (Decisão (UE) 2021/914).
9. Medidas técnicas e organizativas de segurança
A Nexcore aplica medidas de segurança proporcionais ao risco, incluindo:
- Cifragem do canal de comunicação por TLS 1.3
- Passwords armazenadas com bcrypt (factor de custo 12+)
- Cifragem da base de dados em repouso (no fornecedor de hosting)
- Cópias de segurança automáticas diárias
- Isolamento estrito de dados entre Clientes (multi-tenancy)
- Logs de auditoria com retenção de 12 meses
- Rate limiting e protecção contra ataques de força bruta
- Política de menor privilégio nos acessos de colaboradores
- Plano de resposta a incidentes (notificação à CNPD em 72h, conforme Art.º 33.º RGPD)
10. Os seus direitos enquanto titular dos dados
Nos termos dos artigos 15.º a 22.º do RGPD, tem direito a:
- Acesso — saber que dados pessoais tratamos sobre si e obter cópia.
- Rectificação — corrigir dados inexactos ou desactualizados.
- Apagamento ("direito ao esquecimento") — solicitar a eliminação dos seus dados, salvo quando exista obrigação legal de conservação.
- Limitação do tratamento — restringir temporariamente o uso dos seus dados em determinadas situações.
- Portabilidade — receber os seus dados num formato estruturado, comum e legível por máquina (CSV / JSON).
- Oposição — opor-se ao tratamento baseado em interesse legítimo ou marketing directo.
- Não ser sujeito a decisões automatizadas com efeitos jurídicos significativos.
- Retirar consentimento a qualquer momento, sem afectar a validade dos tratamentos anteriores.
Para exercer qualquer destes direitos, envie um pedido fundamentado para dpo@nexcore.pt. A Nexcore responderá no prazo máximo de 30 dias a contar da recepção do pedido (prazo prorrogável por mais 60 dias em casos complexos, com notificação).
Algumas operações estão também disponíveis directamente na área pessoal do Cliente, em Perfil → Privacidade, incluindo a exportação de dados e o pedido de eliminação da conta.
11. Quando a Nexcore actua como subcontratante
Quando o Cliente trata, através do SetMain, dados pessoais de terceiros (clientes finais, colaboradores, técnicos) o Cliente é o responsável pelo tratamento e a Nexcore actua como subcontratante nos termos do Art.º 28.º RGPD.
Nessa qualidade, a Nexcore compromete-se a:
- Tratar os dados apenas para as finalidades previstas no contrato e mediante instruções documentadas do Cliente;
- Aplicar as medidas técnicas e organizativas adequadas (secção 9);
- Auxiliar o Cliente no cumprimento das suas obrigações de resposta aos titulares e de notificação de violações;
- Devolver ou eliminar os dados no fim da prestação do Serviço, salvo obrigação legal de conservação;
- Permitir auditorias razoáveis, mediante pré-aviso e acordo de confidencialidade.
Os titulares dos dados tratados pelo Cliente devem dirigir os seus pedidos directamente ao Cliente, que é o seu ponto de contacto.
12. Cookies
O SetMain utiliza apenas cookies técnicos estritamente necessários ao funcionamento do Serviço (sessão, CSRF token, preferências de UI). Estes cookies não requerem consentimento prévio ao abrigo do Art.º 5.º, n.º 3 da Directiva ePrivacy.
A Nexcore não utiliza cookies de tracking, publicidade ou analytics de terceiros (Google Analytics, Facebook Pixel, etc.) no website público. Caso isso venha a mudar no futuro, será apresentado um banner de consentimento e esta política será actualizada com pelo menos 30 dias de antecedência.
13. Reclamações
Sem prejuízo de outras vias de recurso, tem o direito de apresentar reclamação à autoridade de controlo competente em Portugal:
Comissão Nacional de Protecção de Dados (CNPD)
Av. D. Carlos I, 134 — 1.º · 1200-651 Lisboa
www.cnpd.pt · geral@cnpd.pt
14. Alterações a esta política
Esta Política pode ser actualizada para reflectir alterações legais, técnicas ou operacionais. Qualquer alteração relevante é comunicada com pelo menos 30 dias de antecedência por email e através de aviso visível no website. A versão em vigor é sempre a publicada nesta página.
Documento elaborado em conformidade com o Regulamento (UE) 2016/679 — RGPD — e a Lei n.º 58/2019, com aplicação subsidiária do Decreto-Lei n.º 7/2004 (cookies) e do Código Civil Português.