ByKlick.

ByKlick — Política de Privacidade (versão 1.2-rascunho, 15-06-2026)

Versão 1.2-rascunho (2026-06-15)

AVISO — DOCUMENTO EM RASCUNHO

ESTE DOCUMENTO É UM RASCUNHO (versão 1.2-rascunho, de 15 de junho de 2026) e encontra-se sujeito a revisão jurídica obrigatória por advogado antes do lançamento comercial do ByKlick. Não deve ser publicado, distribuído a clientes nem invocado como versão final. Os factos técnicos foram verificados contra a aplicação; os campos que permanecem assinalados — apenas a designação do Encarregado de Proteção de Dados ([A DESIGNAR]) — carecem de decisão que só o responsável pode prestar. A entidade contratante é a KlickCorp OÜ (sociedade estónia; registrikood 17362196; IVA EE102919675; sede em Tallinn) e o contrato rege-se por lei portuguesa; o jurista deve ainda reconciliar os pontos transfronteiriços (autoridade de controlo principal estónia, lei de execução aplicável e prazo de retenção fiscal estónio).

1. Quem somos

1.1. A presente Política de Privacidade ("Política") é da responsabilidade da KlickCorp OÜ, sociedade de direito estónio (Osaühing), com o número de IVA EE102919675 e sede em Ruunaoja tn 3, Lasnamäe linnaosa, 11415 Tallinn, Estónia, com o código de registo (registrikood) 17362196 ("Klick", "nós"), fornecedora do ByKlick, um software em modo SaaS de comparação de Fichas de Informação Normalizada Europeia ("FINEs") no âmbito do crédito à habitação, destinado a intermediários de crédito registados no Banco de Portugal.

1.2. O ByKlick destina-se exclusivamente a profissionais e empresas (relação B2B). Não se destina a consumidores.

1.3. Site: klick.solutions. Contacto de privacidade: main@klick-agency.com.

1.4. Esta Política aplica-se aos tratamentos de dados pessoais em que a Klick atua como responsável pelo tratamento, nos termos do Regulamento (UE) 2016/679 ("RGPD") e da Lei n.º 58/2019, de 8 de agosto.

2. Os dois papéis da Klick — leia esta secção primeiro

2.1. No contexto do ByKlick, a Klick desempenha dois papéis distintos em matéria de proteção de dados. Esta distinção determina que regras se aplicam e junto de quem cada titular deve exercer os seus direitos.

2.2. Dados das FINEs carregadas — a Klick é subcontratante

2.2.1. Quando um utilizador carrega PDFs de FINEs na plataforma, esses documentos contêm dados pessoais (dados de identificação e dados financeiros) dos clientes e potenciais clientes do intermediário de crédito. Relativamente a esses dados, o responsável pelo tratamento é o intermediário de crédito; a Klick atua como subcontratante, nos termos do artigo 28.º do RGPD, tratando os dados apenas por conta e segundo as instruções do intermediário.

2.2.2. Esse tratamento rege-se pelo Acordo de Subcontratação (Anexo I dos Termos de Serviço do ByKlick), e não por esta Política.

2.2.3. Os titulares desses dados (clientes finais dos intermediários) devem exercer os seus direitos junto do respetivo intermediário de crédito, na qualidade de responsável pelo tratamento. Se a Klick receber diretamente um pedido desses titulares, não responde quanto ao mérito e reencaminha-o ao intermediário sem demora injustificada, prestando-lhe a assistência prevista no Acordo de Subcontratação (cláusula 9).

2.3. Dados dos utilizadores e visitantes — a Klick é responsável

2.3.1. Esta Política cobre os dados pessoais relativamente aos quais a Klick determina as finalidades e os meios do tratamento: os dados dos utilizadores da plataforma ByKlick e dos visitantes do site, designadamente dados de conta, dados da empresa, dados de faturação e dados de utilização e registos técnicos.

3. Dados que recolhemos, finalidades e bases legais

3.1. Na qualidade de responsável pelo tratamento, a Klick trata as categorias de dados seguintes, para as finalidades e com as bases legais indicadas.

3.1.1. O contrato relativo ao ByKlick é celebrado entre a Klick e o cliente — a empresa ou o profissional intermediário de crédito. A base legal da execução do contrato (artigo 6.º, n.º 1, alínea b), do RGPD) apenas é aplicável quando o titular dos dados é parte no contrato, designadamente quando o intermediário de crédito é pessoa singular ou empresário em nome individual. Quando o utilizador atua por conta de uma pessoa coletiva (por exemplo, o titular da conta ou colaboradores por este convidados), ou quando se trata de visitante do site, a base legal aplicável é o interesse legítimo da Klick na gestão, na execução e na segurança da sua relação contratual B2B com o cliente (artigo 6.º, n.º 1, alínea f), do RGPD), interesse que aqui expressamente se identifica. As referências às bases legais nas subsecções seguintes devem ser lidas com esta distinção.

3.2. Dados de conta

  • Endereço de email (identificador da conta);
  • Palavra-passe, armazenada sob a forma de hash criptográfico irreversível pelo fornecedor de autenticação (Supabase Auth); a Klick nunca acede à palavra-passe em texto legível;
  • Registos de sessão de autenticação.

3.2.1. Finalidades: criação e gestão da conta, autenticação e prestação do serviço. Bases legais: execução do contrato, quando o titular dos dados é parte no contrato, ou interesse legítimo da Klick na gestão e execução da relação contratual com o cliente, quando o utilizador atua por conta de uma pessoa coletiva (artigo 6.º, n.º 1, alíneas b) e f), do RGPD — ver 3.1.1).

3.3. Dados da empresa

  • Nome da empresa (recolhido no onboarding);
  • Número de registo de intermediário de crédito no Banco de Portugal.

3.3.1. Finalidades: verificação da elegibilidade do cliente (o ByKlick destina-se exclusivamente a intermediários de crédito registados no Banco de Portugal) e identificação contratual. Bases legais: diligências pré-contratuais e execução do contrato, quando o titular dos dados é parte no contrato, ou interesse legítimo da Klick na gestão da relação contratual com o cliente, nos restantes casos (artigo 6.º, n.º 1, alíneas b) e f), do RGPD — ver 3.1.1).

3.4. Registo de aceitação dos termos

3.4.1. No registo e no processo inicial de configuração da conta (onboarding), registamos a versão e a data da aceitação dos Termos de Serviço pelo titular da conta (mecanismo de aceitação por clique, dito "click-wrap"), o qual aceita os termos em nome da empresa. Finalidade: prova da celebração e do conteúdo do contrato. Bases legais: execução do contrato, quando o titular dos dados é parte no contrato, e interesse legítimo da Klick na prova das suas relações contratuais (artigo 6.º, n.º 1, alíneas b) e f), do RGPD — ver 3.1.1).

3.5. Dados de faturação e pagamento

3.5.1. Os pagamentos são processados pela Stripe. Relativamente aos dados de faturação do cliente (identificação, plano subscrito, histórico de faturação e de pagamentos), a Klick atua como responsável pelo tratamento. Os dados completos do cartão de pagamento são recolhidos e tratados diretamente pela Stripe; a Klick não armazena números completos de cartões nos seus sistemas (os dados do cartão são introduzidos e tratados diretamente junto da Stripe).

3.5.2. Finalidades: gestão da subscrição (incluindo o período experimental de 14 dias, que exige a indicação de um cartão de pagamento válido no momento da subscrição, nos termos previstos nos Termos de Serviço), cobrança, emissão de faturas e cumprimento de obrigações fiscais e contabilísticas. Bases legais: execução do contrato, quando o titular dos dados é parte no contrato, ou interesse legítimo da Klick na gestão da relação contratual, nos restantes casos, e cumprimento de obrigações jurídicas (artigo 6.º, n.º 1, alíneas b), c) e f), do RGPD — ver 3.1.1).

3.6. Dados de utilização e registos técnicos (logs)

  • Registos técnicos de acesso e autenticação (designadamente endereço IP e data e hora dos acessos), gerados e conservados pela infraestrutura (fornecedores de autenticação e de alojamento); a Klick não mantém uma base de dados própria de registos de acesso;
  • Contagem de comparações realizadas, calculada a partir dos registos das comparações, para aplicação dos limites de cada plano, da margem de tolerância prevista nos Termos de Serviço e da regra de utilização razoável (fair-use);
  • Registos de erros e de eventos de segurança gerados durante a execução (efémeros, ao nível da infraestrutura).

3.6.1. Finalidades: operação e segurança da plataforma, prevenção de fraude e de abuso, aplicação dos limites contratuais dos planos e diagnóstico e melhoria do serviço. Bases legais: execução do contrato ou interesse legítimo da Klick, conforme a distinção de 3.1.1, no que respeita à aplicação dos limites dos planos, e interesse legítimo da Klick na segurança e na melhoria do serviço (artigo 6.º, n.º 1, alíneas b) e f), do RGPD).

3.7. Comunicações de suporte

3.7.1. Tratamos os dados que o utilizador nos comunique ao contactar o suporte (identificação, conteúdo da comunicação). Finalidade: resposta a pedidos e resolução de questões. Bases legais: execução do contrato ou interesse legítimo da Klick na qualidade do serviço, conforme a distinção de 3.1.1 (artigo 6.º, n.º 1, alíneas b) e f), do RGPD).

3.8. Utilizadores adicionais (convidados)

3.8.1. Nesta versão, a plataforma opera com um único utilizador por conta (o titular que efetua o registo) e não dispõe de funcionalidade de convite de utilizadores adicionais. Caso essa funcionalidade venha a ser introduzida, quando o titular da conta convidar outros utilizadores da sua organização a Klick passará a receber os respetivos dados (designadamente nome e endereço de email) de fonte diversa do titular — o titular da conta ou a entidade empregadora (artigo 14.º, n.º 2, alínea f), do RGPD) —, com as finalidades e bases legais indicadas em 3.2 e a distinção de 3.1.1.

3.8.2. Se e quando essa funcionalidade existir, esta Política será disponibilizada a esses utilizadores no email de convite ou, o mais tardar, no primeiro acesso à plataforma, dentro do prazo previsto no artigo 14.º, n.º 3, do RGPD.

3.9. O que não fazemos

  • Não utilizamos cookies de analytics nem de marketing (ver secção 8);
  • Não vendemos dados pessoais nem os cedemos para fins de marketing de terceiros;
  • Não utilizamos os dados pessoais abrangidos por esta Política para treinar modelos de inteligência artificial; o mesmo compromisso aplica-se aos dados das FINEs, nos termos do Acordo de Subcontratação (ver secção 2; o Acordo prevê expressamente que os dados não são usados para treino de modelos).

3.10. Obrigatoriedade do fornecimento dos dados: os dados de conta, os dados da empresa e os dados de faturação constituem uma exigência necessária à celebração e à execução do contrato. Sem o seu fornecimento, não é possível criar a conta nem prestar o serviço; em particular, o número de registo de intermediário de crédito no Banco de Portugal é condição de elegibilidade para a utilização do ByKlick (artigo 13.º, n.º 2, alínea e), do RGPD).

3.11. Decisões automatizadas: a Klick não toma, relativamente aos utilizadores, decisões exclusivamente automatizadas com efeitos jurídicos ou de impacto significativo equiparável, nos termos do artigo 22.º do RGPD. A aplicação automática dos limites de utilização (incluindo o bloqueio após a margem de tolerância prevista nos Termos de Serviço) decorre diretamente do plano contratado e dos Termos de Serviço.

4. Destinatários, subcontratantes e localização dos dados

4.1. [ATUALIZADO 2026-06-15] A base de dados e o armazenamento da plataforma estão alojados na União Europeia (região de Frankfurt, Alemanha). Há, porém, transferências para países terceiros: o processamento de IA das FINEs é efetuado pela Anthropic PBC nos Estados Unidos da América (ver secção 4.4), e o processamento de pagamentos pela Stripe pode envolver transferências; o alojamento da aplicação web é identificado na secção 4.2.

4.2. A Klick recorre aos seguintes prestadores:

  • Supabase Pte. Ltd. (Singapura) — alojamento da base de dados e armazenamento da plataforma (Postgres e Storage privado, região de Frankfurt, UE), na qualidade de subcontratante da Klick;
  • [ATUALIZADO 2026-06-15] Anthropic, PBC (San Francisco, EUA) — processamento de IA (extração dos dados das FINEs e geração da justificação da recomendação), através da API da Anthropic, com tratamento nos Estados Unidos da América ao abrigo de cláusulas contratuais-tipo (ver secção 4.4). Este tratamento diz respeito aos dados das FINEs, em que a Klick atua como subcontratante (ver secção 2), e é aqui referido por transparência; o PDF da FINE é enviado ao modelo apenas para extração e geração da justificação, e os dados não são utilizados para treinar modelos. Em alternativa, a Klick pode encaminhar este processamento de IA para a União Europeia através da Amazon Web Services EMEA SARL — serviço Bedrock (região de Frankfurt, eu-central-1, UE);
  • Vercel Inc. (EUA) — alojamento e execução da aplicação web, na qualidade de subcontratante da Klick; a região de execução deve ser fixada na União Europeia (Frankfurt) na configuração de produção, sendo as transferências para os EUA cobertas por cláusulas contratuais-tipo (SCCs) [a confirmar na configuração de produção, ainda por implantar];
  • Resend (EUA) — serviço de envio de email transacional, configurado como servidor de envio (SMTP) dos emails de autenticação da conta (confirmação de registo e recuperação de palavra-passe), na qualidade de subcontratante da Klick; trata endereços de email e o conteúdo dessas mensagens. As transferências para os EUA são cobertas por cláusulas contratuais-tipo (SCCs) [versão do DPA e mecanismo aplicável a confirmar];
  • Stripe (entidade contratante para o EEE: Stripe Payments Europe, Limited, Irlanda) — processamento de pagamentos e gestão de subscrições (incluindo o portal de cliente para cancelamento). A Stripe atua como subcontratante da Klick no tratamento por conta desta e como responsável pelo tratamento autónomo para finalidades próprias (designadamente prevenção de fraude e obrigações de combate ao branqueamento), nos termos da cláusula 9.2 dos Termos; eventuais transferências dentro do grupo Stripe são cobertas por cláusulas contratuais-tipo.

4.3. A Klick pode ainda comunicar dados pessoais a autoridades públicas quando tal lhe seja legalmente exigido (por exemplo, autoridades fiscais ou judiciais).

4.4. [ATUALIZADO 2026-06-15] Há uma transferência regular de dados pessoais para um país terceiro: o processamento de IA das FINEs pela Anthropic, PBC, nos Estados Unidos da América. Esta transferência está coberta por Cláusulas Contratuais-Tipo (SCCs) da Comissão Europeia, incorporadas no acordo de tratamento de dados da Anthropic (a Anthropic NÃO está certificada no EU-U.S. Data Privacy Framework); a Anthropic não usa os dados para treino. Quanto aos restantes prestadores: a Supabase (entidade de Singapura), a Vercel e a Resend (EUA) apoiam-se em Cláusulas Contratuais-Tipo; a Stripe trata através da sua entidade do EEE (Irlanda), com transferências intragrupo cobertas por SCCs. Eventuais acessos a partir de países terceiros estão cobertos pelas garantias do Capítulo V do RGPD. [Pendentes a confirmar antes do lançamento: versão dos DPAs aceites, período de retenção e estado do ZDR da Anthropic, certificações DPF eventualmente aplicáveis, obtenção de cópia das garantias e avaliação de impacto da transferência (TIA).]

5. Prazos de conservação

5.1. Dados de conta e da empresa: conservados enquanto a conta existir. Após a cessação do contrato, os dados são eliminados a pedido do cliente ou no prazo de 30 dias após a cessação, sem prejuízo da conservação dos dados de faturação pelo prazo legal indicado em 5.2.

5.2. [ATUALIZADO 2026-06-15] Dados de faturação: conservados mesmo após o encerramento da conta, pelo prazo exigido pela legislação contabilística e fiscal aplicável à Klick. Sendo a Klick uma sociedade estónia (KlickCorp OÜ), aplica-se a lei estónia, que impõe a conservação dos documentos contabilísticos de suporte por 7 anos (Lei da Contabilidade estónia — Raamatupidamise seadus) [prazo a confirmar com o contabilista].

5.3. Registo de aceitação dos termos: conservado enquanto vigorar a relação contratual e durante os prazos de prescrição aplicáveis após a sua cessação, para prova da celebração e do conteúdo do contrato.

5.4. Registos técnicos (logs) e de segurança: a Klick não mantém uma base de dados própria de registos; os registos de acesso e execução são gerados e conservados pela infraestrutura (fornecedores de autenticação e de alojamento) segundo as respetivas políticas. Quaisquer registos de segurança que a Klick venha a conservar são-no apenas pelo tempo necessário, até ao máximo de 12 meses, salvo quando a conservação por período superior seja necessária à investigação de um incidente de segurança em curso.

5.5. Decorridos os prazos aplicáveis, os dados são eliminados.

5.6. Os prazos de conservação dos dados das FINEs (em que a Klick é subcontratante) constam do Acordo de Subcontratação (Anexo I dos Termos de Serviço); recorda-se que os ficheiros PDF das FINEs são apagados logo após a extração.

6. Direitos dos titulares e como exercê-los

6.1. Relativamente aos dados em que a Klick é responsável pelo tratamento, o titular pode exercer, nos termos e com os limites previstos no RGPD, os seguintes direitos:

  • Direito de acesso aos seus dados pessoais;
  • Direito de retificação de dados inexatos ou incompletos;
  • Direito ao apagamento ("direito a ser esquecido");
  • Direito à limitação do tratamento;
  • Direito de portabilidade dos dados.

6.2. Direito de oposição

6.2.1. DIREITO DE OPOSIÇÃO — nos termos do artigo 21.º do RGPD, o titular tem o direito de se opor, a qualquer momento, por motivos relacionados com a sua situação particular, aos tratamentos baseados no interesse legítimo da Klick, identificados na secção 3 (designadamente em 3.1.1, 3.4, 3.6 e 3.7). Verificando-se oposição, a Klick cessará o tratamento, salvo se demonstrar razões imperiosas e legítimas que prevaleçam sobre os interesses, direitos e liberdades do titular, ou para efeitos de declaração, exercício ou defesa de um direito em processo judicial. Este direito pode ser exercido através do contacto de privacidade indicado na secção 12. Esta informação é apresentada de forma explícita e separada das demais, em cumprimento do artigo 21.º, n.º 4, do RGPD.

6.3. Os pedidos devem ser dirigidos ao contacto de privacidade indicado na secção 12. A Klick pode solicitar elementos razoáveis de verificação da identidade do requerente e responde no prazo de um mês, prorrogável até dois meses adicionais em casos de especial complexidade ou de elevado número de pedidos, nos termos do artigo 12.º do RGPD. O exercício destes direitos é, em regra, gratuito.

6.4. Recorda-se que, quanto aos dados constantes das FINEs carregadas na plataforma (dados dos clientes finais dos intermediários), os direitos devem ser exercidos junto do intermediário de crédito, que é o responsável pelo tratamento (ver secção 2).

7. Direito de reclamação — CNPD

7.1. Sem prejuízo de qualquer outro meio de tutela administrativa ou judicial, o titular tem o direito de apresentar reclamação a uma autoridade de controlo. Sendo a Klick uma sociedade estabelecida na Estónia, a sua autoridade de controlo principal é a estónia (Andmekaitse Inspektsioon — aki.ee); os titulares residentes em Portugal podem, ainda assim, reclamar junto da sua autoridade local, a Comissão Nacional de Proteção de Dados (CNPD — www.cnpd.pt).

7.2. Encorajamos, ainda assim, o contacto prévio com a Klick, para que possamos procurar resolver diretamente qualquer questão.

8. Cookies

8.1. O ByKlick e o respetivo site utilizam apenas cookies essenciais, estritamente necessários à autenticação e à gestão de sessão. Estes cookies não carecem de consentimento, por serem estritamente necessários à prestação do serviço expressamente solicitado pelo utilizador, nos termos do artigo 5.º da Lei n.º 41/2004, de 18 de agosto.

8.2. Não utilizamos cookies de analytics, de publicidade ou de marketing, nem tecnologias de rastreio de terceiros.

8.3. Cookies essenciais utilizados: cookies/itens de sessão de autenticação geridos pelo fornecedor de autenticação (Supabase Auth), cuja finalidade é manter o utilizador autenticado durante a sessão; a sua duração está associada à validade da sessão e dos respetivos tokens de acesso. Não são utilizados outros cookies.

9. Segurança

9.1. A Klick adota medidas técnicas e organizativas adequadas ao risco, nos termos do artigo 32.º do RGPD, incluindo, designadamente:

  • Armazenamento de palavras-passe sob a forma de hash criptográfico irreversível pelo fornecedor de autenticação (Supabase Auth), nunca em texto legível;
  • Alojamento da base de dados e do armazenamento em infraestrutura na União Europeia (Frankfurt), com armazenamento privado e controlo de acessos (ver secção 4);
  • Cifragem das comunicações em trânsito (HTTPS/TLS);
  • A plataforma solicita ao utilizador um rótulo pseudonimizado (sem dados identificativos do cliente final) para cada comparação e não conserva os nomes de ficheiro originais dos PDFs carregados (medida aplicável aos dados das FINEs, referida por transparência).

9.2. Nenhum sistema de informação oferece segurança absoluta. A Klick revê periodicamente as suas medidas de segurança e procura mantê-las adequadas ao estado da técnica e ao risco do tratamento, sem que tal constitua uma garantia de inviolabilidade.

9.3. Em caso de violação de dados pessoais, a Klick cumprirá os deveres de notificação à CNPD e, quando aplicável, de comunicação aos titulares, previstos nos artigos 33.º e 34.º do RGPD.

10. Menores

10.1. O ByKlick é um serviço B2B dirigido exclusivamente a profissionais e empresas. Não se destina a menores e a Klick não recolhe intencionalmente dados pessoais de menores de 18 anos.

10.2. Se a Klick tomar conhecimento de que recolheu dados de um menor no âmbito desta Política, eliminá-los-á logo que possível.

10.3. Sendo um serviço estritamente profissional, a Klick não dirige o ByKlick a menores nem condiciona o acesso à verificação de idade para além da elegibilidade profissional prevista nos Termos de Serviço.

11. Alterações a esta Política

11.1. A Klick pode alterar esta Política, designadamente para a adequar a alterações legais, técnicas ou do serviço.

11.2. As alterações substanciais serão comunicadas aos clientes com antecedência razoável, por email ou através da plataforma, antes de produzirem efeitos, em alinhamento com o regime de alteração previsto nos Termos de Serviço (cláusula 13).

11.3. Cada versão desta Política indica o respetivo número e data. Versão atual: 1.2-rascunho, de 15 de junho de 2026.

12. Contacto e Encarregado de Proteção de Dados

12.1. Contacto de privacidade: main@klick-agency.com. Morada postal: KlickCorp OÜ, Ruunaoja tn 3, Lasnamäe linnaosa, 11415 Tallinn, Estónia.

12.2. Encarregado de Proteção de Dados (EPD): [A DESIGNAR — a obrigatoriedade da designação (artigo 37.º do RGPD e Lei n.º 58/2019) é analisada na DPIA, que recomenda a designação; ainda que a conclusão seja a não designação, a avaliação fica documentada].

12.3. Esta Política rege-se pela lei portuguesa.