Política de Privacidade (PP)

1. Introdução

Deskhero AB (“nós,” “nos,” ou “nosso“) compromete-se a proteger a privacidade dos indivíduos que utilizam a nossa plataforma Software-as-a-Service (SaaS) (“Serviço“). Esta Política de Privacidade explica como recolhemos, usamos, divulgamos e protegemos dados pessoais quando Clientes, Utilizadores e Clientes do Cliente interagem com o nosso Serviço. Ao utilizar o Serviço, concorda com a recolha e utilização de informações de acordo com esta Política de Privacidade e os nossos Termos e Condições.

2. Definições

• Cliente: Uma empresa ou entidade que celebrou um acordo connosco para utilizar o Serviço.
• Utilizador: Um funcionário ou representante do Cliente autorizado a utilizar o Serviço.
• Cliente do Cliente: Um indivíduo que interage com o Cliente através do Serviço.
• Dados Pessoais: Qualquer informação relativa a uma pessoa singular identificada ou identificável.
• Tratamento: Qualquer operação realizada sobre Dados Pessoais, como recolha, utilização, armazenamento ou divulgação.

3. Responsável pelo Tratamento e Processador de Dados

• Clientes como Responsáveis pelo Tratamento: Os Clientes são os responsáveis pelo tratamento dos Dados Pessoais relativos aos seus Utilizadores e Clientes do Cliente. Determinam as finalidades e os meios de tratamento desses dados.
• Deskhero AB como Processador de Dados: Atuamos como processador de dados em nome dos Clientes, tratando Dados Pessoais de acordo com o nosso Acordo de Processamento de Dados (DPA).

4. Tipos de Dados Pessoais Recolhidos

4.1 Dados Pessoais Fornecidos por Clientes e Utilizadores

Podemos recolher os seguintes tipos de Dados Pessoais de Clientes e Utilizadores:

• Informações da Conta: Nomes, endereços de e-mail, números de telefone, cargos e informações da empresa.
• Dados de Autenticação: Nomes de utilizador e palavras-passe.
• Informações de Faturação: Detalhes de pagamento, endereços de faturação e registos de transações.

4.2 Dados Pessoais dos Clientes do Cliente

• Dados Pessoais enviados pelos Clientes do Cliente quando interagem com o Serviço, como pedidos de suporte, dados de contacto e qualquer outra informação fornecida através do Serviço.

4.3 Dados Recolhidos Automaticamente

• Dados de Utilização: Informações sobre como os Utilizadores acedem e utilizam o Serviço, incluindo endereços IP, tipos de navegador e sistemas operativos.
• Cookies e Tecnologias Semelhantes: Informações recolhidas através de cookies e tecnologias de rastreio semelhantes. (Ver Secção 12: Cookies e Tecnologias Semelhantes)

4.4 Utilização de Dados de Caixa de Correio Google e Microsoft

Quando liga a sua caixa de correio Google ou Microsoft (“Fornecedor de Caixa de Correio”) ao Deskhero, solicitaremos a sua autorização (via OAuth2 ou outros métodos seguros) para aceder, processar e armazenar determinados dados da caixa de correio para podermos fornecer funcionalidades de helpdesk (por exemplo, envio e receção de pedidos de suporte, acompanhamento do histórico de conversação).

4.4.1. Dados Recolhidos

• Conteúdo da Caixa de Correio: E-mails, anexos, metadados (assuntos, carimbos de data/hora, endereços de remetente/destinatário).
• Informações da Conta de Utilizador: Tokens ou credenciais relevantes necessários para enviar e receber e-mails em seu nome.

4.4.2. Finalidade do Tratamento

• Gestão de Pedidos de Suporte: Converter automaticamente e-mails recebidos em pedidos de suporte dentro do Deskhero.
• Respostas de Saída: Enviar respostas a partir da sua caixa de correio ligada, garantindo uma experiência de e-mail sem falhas para os seus clientes ou utilizadores finais.
• Histórico de Conversação: Armazenar e apresentar cadeias de e-mail e anexos no Deskhero para fornecer contexto a casos de suporte em curso.

4.4.3. Divulgação de Dados da Caixa de Correio

• Sem Venda de Dados: Nós não vendemos nem partilhamos os dados da sua caixa de correio com terceiros para publicidade ou marketing.

• Subprocessadores Autorizados:
• Partilhamos dados da caixa de correio apenas com o conjunto limitado de subprocessadores listados na nossa Record of Processing Activities (RoPA) estritamente conforme necessário para fornecer ou melhorar o nosso Serviço (por exemplo, análise de vírus, armazenamento ou entrega de e-mails).
• Estes subprocessadores estão contratualmente obrigados a cumprir obrigações de proteção de dados não menos rigorosas do que as do nosso Acordo de Processamento de Dados.
• Requisitos Legais ou Regulamentares: Podemos divulgar dados se exigido por lei, regulamento ou ordem judicial.

4.4.4. Proteção de Dados e Medidas de Segurança

Consideramos os dados da caixa de correio confidenciais e aplicamos controlos técnicos e organizacionais robustos, incluindo:

• Encriptação: Todos os dados da caixa de correio são encriptados em trânsito (TLS) e em repouso (AES-256 ou equivalente).
• Controlos de Acesso: Apenas pessoal autorizado com necessidade legítima pode aceder aos dados da sua caixa de correio. Todo o acesso é registado e monitorizado.
• Resposta a Incidentes: Mantemos um plano de resposta a incidentes detalhado para lidar com quaisquer eventos de segurança suspeitos.
• Salvaguardas Adicionais: Para uma visão completa, consulte a nossa Medidas Técnicas e Organizacionais (TOM).

4.4.5. Retenção e Eliminação

• Utilização Ativa: Conservamos os dados da sua caixa de correio enquanto mantiver uma conta Deskhero e a integração da caixa ativa, para facilitar a criação de pedidos de suporte, respostas e referência histórica.
• Desconexão ou Encerramento da Conta:
• Se revogar a integração da caixa de correio ou encerrar a sua conta Deskhero, eliminaremos todos os dados de caixa de correio associados dos nossos sistemas ativos no prazo de 30 dias, sujeitos a quaisquer requisitos legais de retenção.
• Qualquer dado residual em cópias de segurança é automaticamente eliminado de forma contínua no prazo de um (1) ano, de acordo com as nossas políticas de retenção de backups.

• Pedidos de Eliminação Antecipada: Pode solicitar a eliminação antecipada dos dados da caixa de correio contactando-nos em [privacy@deskhero.com]. Iremos atender a esses pedidos salvo se a lei ou necessidades comerciais legítimas (por exemplo, obrigações legais em curso) o impedirem.

4.4.6 Conformidade com as Políticas de Dados do Fornecedor de Integração & Restrições de IA/ML

A utilização de dados pela Deskhero obtidos através de integrações com serviços de terceiros — por exemplo, APIs do Google Workspace e Microsoft Graph/Microsoft 365 — é regida pelas políticas de programador e regras de privacidade de cada fornecedor.

• Sem Treino de Modelos IA/ML Generalizados – Não utilizamos, mantemos ou transferimos quaisquer dados de utilizador provenientes da integração para desenvolver, melhorar ou treinar modelos de aprendizagem automática ou inteligência artificial generalizados (não personalizados).
• Modelos Restritos ao Cliente – Qualquer funcionalidade de aprendizagem automática que disponibilizamos é treinada exclusivamente nos dados do Cliente individual, dentro do próprio ambiente desse Cliente; os dados nunca são agregados entre Clientes nem partilhados com serviços externos de IA/ML.
• Limitações ao Acesso Humano – O acesso humano aos dados da integração é restringido às circunstâncias mínimas (por exemplo, segurança ou suporte) descritas nesta Política e nunca para desenvolvimento de modelos IA/ML.
• Declaração de Política Afirmativa – A utilização, pela Deskhero, das informações recebidas através de APIs do Google Workspace está em conformidade com a Política de Dados do Utilizador dos Serviços de API da Google, incluindo os seus requisitos de Utilização Limitada, e aplicamos os mesmos princípios a todas as outras integrações de fornecedores, como o Microsoft Graph.

5. Finalidade e Base Jurídica do Tratamento

5.1 Prestação do Serviço

• Finalidade: Operar e fornecer funcionalidades do Serviço.
• Base Jurídica: Execução de um contrato (RGPD Artigo 6.º, n.º 1, alínea b)).

5.2 Comunicação

• Finalidade: Comunicar com Clientes e Utilizadores sobre o Serviço, incluindo suporte e atualizações.
• Base Jurídica: Execução de um contrato e interesses legítimos (RGPD Artigo 6.º, n.º 1, alíneas b) e f)).

5.3 Conformidade e Obrigações Legais

• Finalidade: Cumprir obrigações legais e responder a solicitações legais.
• Base Jurídica: Cumprimento de obrigações legais (RGPD Artigo 6.º, n.º 1, alínea c)).

5.4 Melhoria e Análise

• Finalidade: Analisar a utilização e melhorar o Serviço.
• Base Jurídica: Interesses legítimos (RGPD Artigo 6.º, n.º 1, alínea f)). Quando exigido por lei, obtemos consentimento.

6. Direitos dos Titulares dos Dados

Os indivíduos têm os seguintes direitos em relação aos seus Dados Pessoais:

• Direito de Acesso: Obter confirmação e acesso aos seus Dados Pessoais.
• Direito de Retificação: Solicitar a correção de Dados Pessoais inexatos.
• Direito ao Apagamento: Solicitar a eliminação de Dados Pessoais em determinadas condições.
• Direito à Limitação: Solicitar a limitação do tratamento em determinadas condições.
• Direito à Portabilidade dos Dados: Receber os seus Dados Pessoais num formato estruturado e de uso corrente.
• Direito de Oposição: Opor-se ao tratamento baseado em interesses legítimos.
• Direito de Retirar o Consentimento: Retirar o consentimento a qualquer momento, quando o tratamento se baseia no consentimento.

Exercício de Direitos

• Clientes e Utilizadores: Podem contactar-nos em privacy@deskhero.com para exercer os seus direitos.
• Clientes do Cliente: Devem contactar diretamente o Cliente (responsável pelo tratamento) para exercer os seus direitos. Ajudaremos os Clientes a responder a esses pedidos conforme descrito no nosso DPA.

7. Divulgação de Dados Pessoais

Podemos divulgar Dados Pessoais a:

• Subprocessadores: Prestadores de serviços terceiros que auxiliam na prestação do Serviço. (Ver Secção 8)
• Autoridades Legais e Reguladoras: Quando exigido por lei ou para proteger os nossos direitos.
• Transferências de Negócios: Em ligação com fusões, aquisições ou venda de ativos.

8. Subprocessadores

Utilizamos Subprocessadores terceiros para apoiar a prestação do nosso Serviço. Uma lista dos Subprocessadores atuais está disponível na nossa Registo das Atividades de Tratamento (RoPA) e será atualizada conforme necessário. Garantimos que todos os Subprocessadores estão vinculados a obrigações de proteção de dados coerentes com esta Política de Privacidade e com a legislação aplicável.

9. Transferências Internacionais de Dados

Os Dados Pessoais podem ser transferidos para países fora da União Europeia (UE) ou do Espaço Económico Europeu (EEE) que possam ter leis de proteção de dados diferentes. Garantimos que existem salvaguardas adequadas, tais como:

• Cláusulas Contratuais-Tipo (SCC): Utilizando as SCC aprovadas pela Comissão Europeia. Consulte o nosso Acordo de Processamento de Dados (DPA) para mais detalhes.
• Decisões de Adequação: Transferência para países reconhecidos pela Comissão Europeia como oferecendo um nível adequado de proteção de dados.

10. Medidas de Segurança

Implementamos medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais contra acesso, alteração, divulgação ou destruição não autorizados. Estas medidas incluem:

• Encriptação: Encriptação de dados em trânsito e em repouso.
• Controlos de Acesso: Restrição de acesso a pessoal autorizado.
• Avaliações Regulares: Realização de avaliações e auditorias de segurança regulares.

Para informações detalhadas, consulte o nosso Medidas Técnicas e Organizacionais (TOM) documento.

11. Retenção de Dados

Conservamos os Dados Pessoais apenas durante o tempo necessário para cumprir as finalidades para as quais foram recolhidos, incluindo requisitos legais, contabilísticos ou de relatório.

• Clientes e Utilizadores: Os Dados Pessoais são conservados durante a vigência do Acordo e conforme exigido por lei.
• Clientes do Cliente: Os Dados Pessoais são conservados conforme instruído pelo Cliente ou conforme exigido por lei.

Após a cessação do Acordo, os Dados Pessoais serão eliminados ou anonimizados de acordo com o nosso DPA e as políticas de retenção de dados.

12. Cookies e Tecnologias Semelhantes

Utilizamos cookies e tecnologias semelhantes para melhorar a experiência do Utilizador. Cookies são pequenos ficheiros de texto armazenados no seu dispositivo quando visita o nosso Serviço.

12.1 Tipos de Cookies Utilizados

• Cookies Essenciais: Necessários para o funcionamento do Serviço.
• Cookies Analíticos: Ajudam-nos a compreender como o Serviço é utilizado.

12.2 Gestão de Cookies

Os Utilizadores podem gerir as preferências de cookies nas definições do seu navegador. Desativar cookies pode afetar a funcionalidade do Serviço.

Para mais informações, consulte a nossa Política de Cookies

13. Alterações a Esta Política de Privacidade

13.1 Notificação de Alterações

Podemos atualizar esta Política de Privacidade periodicamente. Notificaremos Clientes e Utilizadores de alterações significativas através de:

• Envio de um e-mail para o endereço de e-mail registado.
• Apresentação de um aviso no próximo início de sessão no Serviço.

13.2 Aceitação das Alterações

A utilização continuada do Serviço após serem efetuadas alterações constitui aceitação da Política de Privacidade atualizada. Se não concordar com as alterações, pode encerrar a sua conta.

14. Informações de Contacto

Para quaisquer questões ou preocupações relacionadas com esta Política de Privacidade ou as nossas práticas de dados, contacte o nosso Encarregado de Proteção de Dados (DPO):

• Nome: Klas Karlsson
• E-mail: dpo@deskhero.com
• Telefone: +46 70 601 13 22

15. Reclamações

Se considerar que o nosso tratamento de Dados Pessoais viola a legislação de proteção de dados aplicável, tem o direito de apresentar uma reclamação a uma autoridade de controlo no seu país ou na Suécia.

16. Lei Aplicável

Esta Política de Privacidade é regida e interpretada de acordo com as leis da Suécia.

Ao utilizar o Serviço, Clientes, Utilizadores e Clientes do Cliente reconhecem que leram e compreenderam esta Política de Privacidade.