ByKlick.

ByKlick — Termos de Serviço (Versão 1.2-rascunho, 2026-06-15)

Versão 1.2-rascunho (2026-06-15)

Aviso Importante — Documento em Rascunho

ESTE DOCUMENTO É UM RASCUNHO (versão 1.2-rascunho, de 2026-06-15) e encontra-se sujeito a revisão jurídica por advogado antes do lançamento comercial do ByKlick. Não constitui versão final nem deve ser publicado ou apresentado a clientes até essa revisão estar concluída. Os factos técnicos foram verificados contra a aplicação; os elementos que permanecem assinalados — apenas a designação do Encarregado de Proteção de Dados ([A DESIGNAR]) — carecem de decisão que só o responsável pode prestar. A entidade contratante é a KlickCorp OÜ (sociedade estónia; registrikood 17362196; IVA EE102919675; sede em Tallinn) e o contrato rege-se por lei portuguesa; o jurista deve ainda reconciliar os pontos transfronteiriços (autoridade de controlo principal estónia, lei de execução aplicável e prazo de retenção fiscal estónio).

O Anexo I — Acordo de Subcontratação de Dados Pessoais (DPA), parte integrante destes Termos, encontra-se publicado nesta mesma página, imediatamente a seguir a estes Termos, e está igualmente em rascunho sujeito à mesma revisão jurídica (ver cláusula 1.6).

1. Identificação das Partes e Objeto

1.1. Estes Termos de Serviço ("Termos") regulam o acesso e a utilização da plataforma ByKlick, disponibilizada por KlickCorp OÜ, sociedade de direito estónio (Osaühing), com o número de identificação fiscal (IVA) EE102919675 e sede em Ruunaoja tn 3, Lasnamäe linnaosa, 11415 Tallinn, Estónia, com o código de registo (registrikood) 17362196 ("Klick" ou "Fornecedor"), com sítio em klick.solutions.

1.2. O "Cliente" é a pessoa coletiva ou o empresário em nome individual que subscreve o serviço através do respetivo titular de conta, nos termos da cláusula 2 (Elegibilidade).

1.3. O ByKlick é um software disponibilizado em modelo SaaS (software como serviço) de comparação de FINEs — Ficha de Informação Normalizada Europeia, no âmbito do crédito à habitação — destinado a intermediários de crédito registados no Banco de Portugal.

1.4. O serviço inclui, consoante o plano contratado, as seguintes funcionalidades:

  • Carregamento de ficheiros PDF de FINEs dos clientes finais do Cliente;
  • Extração de dados desses documentos através de um modelo de inteligência artificial (Claude, da Anthropic; ver, quanto à localização do processamento e às transferências internacionais, a cláusula 9.3 e o Anexo I — DPA);
  • Cálculos e ordenação (ranking) das propostas, efetuados através de fórmulas de cálculo fixas e verificáveis, sem recurso a inteligência artificial;
  • Recomendação com justificação gerada por IA, a título de apoio ao profissional;
  • Edição manual de valores extraídos;
  • Exportação para Excel;
  • Personalização com marca própria (logótipo e cor), disponível nos planos Médio e Avançado.

1.5. Os Termos são aceites pelo titular da conta, em nome e por conta da empresa Cliente, por via eletrónica (click-wrap), no momento do registo e da configuração inicial da conta (onboarding). A versão dos Termos aceite e a data de aceitação são registadas pela Klick.

1.6. O Anexo I — Acordo de Subcontratação de Dados Pessoais (DPA), publicado nesta mesma página imediatamente a seguir a estes Termos, é parte integrante destes Termos e constitui o contrato de subcontratação exigido pelo artigo 28.º, n.º 3, do RGPD. Em caso de conflito em matéria de proteção de dados, prevalece o Anexo I.

Definições

  • "FINE": Ficha de Informação Normalizada Europeia emitida por instituições de crédito no âmbito do crédito à habitação;
  • "Comparação": cada processo de comparação de FINEs criado na plataforma, contabilizado para efeitos dos limites do plano; as Demonstrações e os recálculos de uma Comparação existente não são contabilizados;
  • "Demonstração": comparação criada em modo de exemplo, a partir de dados de demonstração e não de PDFs reais carregados pelo Cliente, identificada como tal na plataforma e sem dados reais de Clientes Finais, não contabilizada para efeitos dos limites do plano;
  • "Cliente Final": o cliente ou potencial cliente do Cliente (intermediário de crédito), titular dos dados constantes das FINEs carregadas.

2. Elegibilidade

2.1. O ByKlick destina-se exclusivamente a profissionais e empresas — em concreto, a intermediários de crédito registados no Banco de Portugal — no exercício da sua atividade profissional (relação B2B). O serviço não se destina a consumidores e o Cliente declara que o contrata para fins exclusivamente profissionais, não lhe sendo aplicável o regime jurídico de proteção dos consumidores.

2.2. No registo é solicitado o número de registo do Cliente junto do Banco de Portugal. O Cliente declara e garante que esse registo é válido e que o manterá em vigor durante toda a vigência do contrato, comprometendo-se a informar a Klick em caso de suspensão ou cancelamento desse registo.

2.3. A pessoa que cria a conta e aceita estes Termos declara que dispõe dos poderes necessários para vincular a empresa em cujo nome atua.

2.4. A Klick pode verificar a informação prestada e recusar o registo, ou suspender ou cessar o acesso, caso o Cliente não cumpra ou deixe de cumprir os requisitos de elegibilidade desta cláusula.

3. Conta e Segurança

3.1. O acesso à plataforma é feito mediante credenciais individuais (endereço de email e palavra-passe). O Cliente e os seus utilizadores devem manter as credenciais confidenciais e adotar palavras-passe adequadas.

3.2. O acesso é mantido através de uma sessão autenticada associada ao navegador ou dispositivo. O Cliente deve terminar a sessão em equipamentos que não controle e zelar pela confidencialidade das credenciais, nos termos da cláusula 6.

3.3. O Cliente é responsável por toda a atividade realizada através da sua conta, salvo na medida em que esta resulte de falha imputável à Klick. O Cliente deve notificar a Klick, logo que tome conhecimento, de qualquer utilização não autorizada da conta ou de que a confidencialidade das credenciais foi comprometida.

3.4. É proibida a partilha de credenciais ou da conta com terceiros ou entre várias pessoas, nos termos da cláusula 6 (Utilização Aceitável). O preço é definido por conta.

4. Planos, Período Experimental, Limites de Utilização e Fair-Use

4.1. O ByKlick é disponibilizado nos seguintes planos de subscrição mensal, com preço por conta:

  • Plano Básico: 49 €/mês — até 12 Comparações por mês;
  • Plano Médio: 89 €/mês — até 25 Comparações por mês;
  • Plano Avançado: 199 €/mês — até 100 Comparações por mês, correspondente ao limite de utilização razoável (fair-use) do plano.

4.2. Aos preços indicados acresce IVA à taxa legal em vigor, salvo indicação em contrário na página de preços.

4.3. Atingido o limite mensal de Comparações do plano contratado, é concedida uma tolerância de 2 Comparações adicionais, após a qual a criação de novas Comparações fica bloqueada até ao início do mês de calendário seguinte (data em que a contagem mensal é reposta) ou até à mudança para um plano com limite superior.

4.4. As Demonstrações e os recálculos de Comparações existentes não são contabilizados para efeitos dos limites mensais.

4.5. A Klick disponibiliza um período experimental (trial) de 14 dias, apenas na primeira subscrição de cada Cliente, com indicação de cartão de pagamento no momento do registo. No final do período experimental, e salvo cancelamento até ao último dia desse período, a subscrição converte-se automaticamente em subscrição paga do plano selecionado, sendo debitado o meio de pagamento indicado.

4.6. A Klick pode alterar os preços dos planos nos termos da cláusula 5.5 e ajustar a composição dos planos e os limites de utilização razoável (fair-use) mediante o procedimento de alteração previsto na cláusula 13 (aviso prévio de, pelo menos, 30 dias e direito de o Cliente cancelar sem penalização antes da entrada em vigor da alteração).

5. Pagamentos, Faturação e Alterações de Preço

5.1. Os pagamentos são processados pela Stripe. A Klick não armazena os dados completos do cartão de pagamento do Cliente; esses dados são tratados pela Stripe nos termos das respetivas condições e políticas.

5.2. A subscrição é faturada mensalmente e de forma antecipada, no início de cada período mensal, através do meio de pagamento registado e processada pela Stripe.

5.3. O Cliente pode cancelar a subscrição a qualquer momento através do portal de cliente. O cancelamento produz efeitos no final do período mensal já pago, mantendo-se o acesso ao serviço até essa data. Não há lugar a reembolso, total ou parcial, de períodos já pagos, sem prejuízo de normas legais imperativas aplicáveis.

5.4. Em caso de falha de pagamento, a Klick pode suspender o acesso ao serviço nos termos da cláusula 12 (Vigência, Suspensão e Cessação), após tentativa razoável de cobrança e comunicação ao Cliente.

5.5. A Klick pode alterar os preços dos planos mediante aviso prévio de, pelo menos, 30 dias, comunicado ao Cliente. Os novos preços aplicam-se a partir do primeiro ciclo de faturação iniciado após o termo do pré-aviso. Se o Cliente não aceitar a alteração, pode cancelar a subscrição antes da entrada em vigor do novo preço, sem qualquer penalização.

6. Utilização Aceitável

6.1. O Cliente apenas pode utilizar o ByKlick no âmbito da sua atividade profissional de intermediação de crédito e em conformidade com a lei e a regulamentação aplicáveis, incluindo as regras do Banco de Portugal a que esteja sujeito.

6.2. É expressamente proibido ao Cliente e aos seus utilizadores:

  • Revender, sublicenciar, alugar ou de qualquer forma disponibilizar o serviço a terceiros;
  • Partilhar a conta ou as credenciais de acesso com terceiros ou entre vários utilizadores;
  • Utilizar scraping, robots, scripts ou outros meios automatizados de acesso ou extração de dados da plataforma fora das funcionalidades disponibilizadas;
  • Tentar descompilar, desmontar ou fazer engenharia inversa do software, salvo na estrita medida permitida por lei imperativa;
  • Utilizar o serviço fora do âmbito profissional referido em 6.1, ou para fins ilícitos;
  • Carregar conteúdos ilícitos, ou dados pessoais relativamente aos quais o Cliente não disponha de fundamento de licitude para o tratamento;
  • Contornar ou tentar contornar os limites de utilização ou os mecanismos de segurança da plataforma.

6.3. O Cliente declara e garante que dispõe de fundamento de licitude e das informações devidas aos titulares para o tratamento dos dados pessoais dos seus Clientes Finais que carregue na plataforma, nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD) e demais legislação aplicável.

6.4. A violação desta cláusula pode determinar a suspensão ou a cessação do serviço, nos termos da cláusula 12.

7. Natureza do Serviço e Isenções

7.1. O ByKlick é uma ferramenta de apoio ao profissional. Os resultados gerados pela plataforma (outputs) — incluindo a extração de dados, os cálculos, o ranking e a recomendação com justificação gerada por IA — constituem uma análise de apoio à atividade do Cliente.

7.2. Os resultados gerados pela plataforma não substituem, em circunstância alguma, a FINE oficial emitida pelas instituições de crédito, nem qualquer documento pré-contratual ou contratual exigido por lei.

7.3. O ByKlick não constitui consultoria financeira ou jurídica, nem atividade de intermediação de crédito. A Klick não é intermediário de crédito e não exerce, através do ByKlick, qualquer atividade sujeita a registo ou autorização do Banco de Portugal nessa qualidade.

7.4. A extração de dados é efetuada por um modelo de inteligência artificial e pode conter erros ou omissões. Os cálculos e o ranking, embora efetuados através de fórmulas de cálculo fixas, dependem da exatidão dos dados extraídos ou editados manualmente. O Cliente é responsável por verificar todos os valores e resultados antes de os apresentar ou comunicar ao seu Cliente Final.

7.5. O Cliente mantém integral e exclusiva responsabilidade, perante os seus Clientes Finais e perante o Banco de Portugal, pelo cumprimento das suas obrigações legais, regulamentares e contratuais enquanto intermediário de crédito, incluindo deveres de informação, assistência e conduta. A utilização do ByKlick não transfere para a Klick qualquer dessas obrigações.

8. Propriedade Intelectual e Dados do Cliente

8.1. O software ByKlick, a respetiva marca, design, interfaces, algoritmos, documentação e demais elementos da plataforma são propriedade da Klick ou dos seus licenciantes, e estão protegidos pelas leis de propriedade intelectual aplicáveis.

8.2. A Klick concede ao Cliente uma licença limitada, não exclusiva, intransmissível e não sublicenciável de acesso e utilização do ByKlick, durante a vigência da subscrição e nos termos do plano contratado, exclusivamente para os fins previstos nestes Termos.

8.3. Os dados carregados pelo Cliente na plataforma — incluindo os ficheiros PDF de FINEs, os dados extraídos e os valores editados — são e permanecem propriedade do Cliente (ou dos respetivos titulares, quanto a dados pessoais). A Klick não adquire quaisquer direitos sobre esses dados, exceto os estritamente necessários para prestar o serviço nos termos contratados e do Anexo I.

8.4. O Cliente pode utilizar os resultados gerados pela plataforma (relatórios, exportações Excel, documentos com a sua marca própria) no âmbito da sua atividade profissional, sem prejuízo do disposto na cláusula 7.

8.5. Os dados e documentos carregados pelo Cliente não são utilizados para treinar modelos de inteligência artificial.

9. Proteção de Dados Pessoais

9.1. No tratamento dos dados pessoais constantes das FINEs carregadas pelo Cliente — dados de identificação e dados financeiros dos Clientes Finais do Cliente — a Klick atua como subcontratante, nos termos do artigo 28.º do RGPD, por conta e segundo as instruções documentadas do Cliente, que é o responsável pelo tratamento. Este tratamento é regulado pelo Anexo I — Acordo de Subcontratação de Dados Pessoais (DPA), parte integrante destes Termos, que constitui o contrato de subcontratação exigido pelo n.º 3 do artigo 28.º do RGPD (ver cláusula 1.6; o Anexo I encontra-se publicado nesta mesma página, imediatamente a seguir a estes Termos).

9.2. [ATUALIZADO 2026-06-15] No tratamento dos dados pessoais do próprio Cliente e dos seus utilizadores (dados de conta, contacto e faturação), a Klick atua como responsável pelo tratamento, nos termos descritos na Política de Privacidade do ByKlick. No âmbito do processamento de pagamentos, a Stripe (entidade contratante para o EEE: Stripe Payments Europe, Limited, Irlanda) atua num modelo duplo: como subcontratante da Klick no tratamento dos dados de faturação por conta desta (regulado pela Política de Privacidade, não pelo Anexo I — DPA); e como responsável pelo tratamento autónomo (independente, não em responsabilidade conjunta) para finalidades próprias que determina — designadamente prevenção de fraude e cumprimento de obrigações legais de combate ao branqueamento (AML/KYC) —, nos termos da respetiva política de privacidade.

9.3. [ATUALIZADO 2026-06-15] O armazenamento dos dados das FINEs ocorre na União Europeia (Supabase, Frankfurt). O processamento de IA é efetuado pela Anthropic, PBC, nos Estados Unidos da América (API da Anthropic), ao abrigo de cláusulas contratuais-tipo (SCCs) incorporadas no DPA da Anthropic (ver Anexo I — DPA, cláusula 13); em alternativa, a Klick pode encaminhar o processamento de IA para a União Europeia (AWS Bedrock, Frankfurt, eu-central-1). Estas entidades atuam como subcontratantes ulteriores, identificados no Anexo I. Os documentos são enviados ao modelo de IA exclusivamente para extração de dados e geração da justificação, não sendo utilizados para treino de modelos.

9.4. A plataforma solicita, para cada Comparação, um nome de referência neutro, que não permita identificar o Cliente Final, e não conserva os nomes de ficheiro originais dos PDFs carregados.

9.5. Os ficheiros PDF das FINEs são apagados do armazenamento logo após a extração dos respetivos dados; o que é conservado durante a vigência da conta são os valores financeiros extraídos e os resultados das comparações. No termo do contrato, o Cliente pode optar entre a exportação desses dados (cláusula 12.5) e a respetiva eliminação, nos termos da cláusula 12.5 e do Anexo I; na falta de indicação do Cliente, os dados são eliminados no prazo de 30 dias após a cessação do contrato.

9.6. O ByKlick utiliza apenas cookies essenciais (autenticação e sessão), sem cookies de analytics ou de marketing.

9.7. Sendo a Klick uma sociedade estónia, a sua autoridade de controlo principal é a estónia (Andmekaitse Inspektsioon); os titulares e responsáveis estabelecidos em Portugal podem reclamar junto da Comissão Nacional de Proteção de Dados (CNPD). Contacto de privacidade: main@klick-agency.com. Encarregado de Proteção de Dados: [A DESIGNAR — ver a avaliação da obrigatoriedade da designação na DPIA e na cláusula 12.2 da Política de Privacidade].

10. Disponibilidade e Suporte

10.1. A Klick emprega esforços comercialmente razoáveis para manter o ByKlick disponível e em bom funcionamento. Nesta fase do produto, não é garantido qualquer nível de serviço (SLA) específico, designadamente de disponibilidade, tempo de resposta ou tempo de resolução.

10.2. A Klick pode realizar intervenções de manutenção, planeadas ou urgentes, que impliquem indisponibilidade temporária do serviço, procurando, quando razoavelmente possível, avisar o Cliente com antecedência e minimizar o impacto.

10.3. O suporte é prestado por correio eletrónico, em dias úteis, através do endereço indicado na cláusula 15. Nesta fase do produto, não é garantido um tempo de resposta específico.

11. Limitação de Responsabilidade

11.1. Na máxima medida permitida pela lei portuguesa, a Klick não responde por danos indiretos ou não previsíveis à data da celebração do contrato, incluindo lucros cessantes indiretos, perda de negócio, perda de oportunidades, perda ou corrupção de dados (sem prejuízo das obrigações do Anexo I) ou danos reputacionais, decorrentes da utilização ou da impossibilidade de utilização do serviço. Esta exclusão não se aplica nos casos da cláusula 11.3 (dolo ou culpa grave) nem prejudica a cláusula 11.4.

11.2. A responsabilidade total e agregada da Klick perante o Cliente, por todos os danos emergentes do contrato ou com ele relacionados, fica limitada ao montante total efetivamente pago pelo Cliente à Klick nos 12 meses anteriores ao facto gerador da responsabilidade. Este limite aplica-se igualmente, dentro do mesmo montante agregado, à responsabilidade emergente do Anexo I (DPA), sem prejuízo da responsabilidade que não possa ser legalmente limitada ou excluída (cláusulas 11.3 e 11.4). [Proposta conservadora — confirmar com o jurista o valor do limite e a eventual fixação de um piso mínimo absoluto (p. ex., o maior entre o valor pago em 12 meses e um montante fixo), sobretudo para a responsabilidade emergente do Anexo I, de modo a afastar a leitura de limite irrisório nos planos de menor valor.]

11.3. As exclusões e limitações desta cláusula não se aplicam nos casos em que a lei imperativa não permita a sua exclusão ou limitação, designadamente em caso de dolo ou culpa grave.

11.4. Nada nestes Termos limita ou exclui a responsabilidade perante os titulares dos dados nos termos do artigo 82.º do RGPD, nem prejudica os direitos que assistem a esses titulares ao abrigo do RGPD.

11.5. Sem prejuízo do disposto nesta cláusula, recorda-se que, nos termos da cláusula 7, o Cliente é responsável pela verificação dos resultados gerados pela plataforma antes da sua utilização junto dos Clientes Finais, e mantém integral responsabilidade pelas suas obrigações enquanto intermediário de crédito.

12. Vigência, Suspensão e Cessação

12.1. O contrato entra em vigor na data de aceitação destes Termos e vigora por períodos mensais, renováveis automaticamente, enquanto a subscrição se mantiver ativa.

12.2. O Cliente pode cancelar a qualquer momento, através do portal de cliente, com efeitos no final do período mensal já pago, nos termos da cláusula 5.3.

12.3. A Klick pode suspender, total ou parcialmente, o acesso ao serviço, mediante comunicação ao Cliente, nos seguintes casos:

  • Falta de pagamento não regularizada após interpelação;
  • Violação destes Termos, designadamente da cláusula 6 (Utilização Aceitável);
  • Perda, suspensão ou cancelamento do registo do Cliente como intermediário de crédito junto do Banco de Portugal;
  • Risco sério para a segurança da plataforma, dos dados ou de terceiros.

12.4. Qualquer das partes pode resolver o contrato em caso de incumprimento grave da outra parte que não seja sanado no prazo de 30 dias após interpelação escrita para o efeito. A Klick pode ainda resolver o contrato com efeitos imediatos em caso de violação grave e insanável, designadamente fraude na elegibilidade (cláusula 2) ou violação reiterada da cláusula 6.

12.5. Com a cessação do contrato, por qualquer causa: (i) cessa o acesso do Cliente à plataforma; (ii) o Cliente pode optar entre a exportação dos dados tratados por sua conta, através das funcionalidades de exportação da plataforma (exportação em Excel, disponível em todos os planos; e, nos planos que a incluam, exportação em PDF das comparações) — recorda-se que os ficheiros PDF originais das FINEs são apagados logo após a extração, não sendo, por isso, conserváveis nem devolvíveis —, e a respetiva eliminação, nos termos do artigo 28.º, n.º 3, alínea g), do RGPD e do Anexo I; (iii) na falta de indicação do Cliente, os dados são eliminados no prazo de 30 dias após a cessação; (iv) o Cliente deve exportar, antes da cessação, os resultados gerados pela plataforma de que necessite.

12.6. Sobrevivem à cessação as cláusulas que, pela sua natureza, devam manter-se em vigor, incluindo as cláusulas 7, 8, 9, 11 e 14.

13. Alterações aos Termos

13.1. A Klick pode alterar estes Termos mediante aviso prévio de, pelo menos, 30 dias, comunicado ao Cliente por email ou através da própria plataforma.

13.2. Se o Cliente não aceitar as alterações, pode cancelar a subscrição antes da data de entrada em vigor da nova versão, sem penalização. A continuação da utilização do serviço após essa data vale como aceitação da versão alterada.

13.3. A versão dos Termos aceite por cada Cliente, e a respetiva data de aceitação, são registadas pela Klick.

14. Lei Aplicável, Foro e Disposições Gerais

14.1. Estes Termos regem-se pela lei portuguesa.

14.2. Para a resolução de litígios emergentes destes Termos são competentes os tribunais portugueses, nos termos das regras gerais de competência territorial, sem prejuízo de foro convencional que as partes venham a acordar por escrito.

14.3. Em matéria de proteção de dados, a autoridade de controlo competente é a CNPD, sem prejuízo dos direitos dos titulares dos dados nos termos do RGPD.

14.4. A eventual invalidade ou ineficácia de alguma cláusula não afeta as restantes, devendo a cláusula afetada ser substituída por disposição válida que prossiga, na medida do possível, a mesma finalidade.

14.5. O Cliente não pode ceder a sua posição contratual sem consentimento prévio e escrito da Klick. A Klick pode ceder a sua posição no âmbito de reestruturação societária ou transmissão do negócio, mantendo-se as garantias destes Termos; a cessão que implique a transmissão de Dados do Cliente fica condicionada a que o cessionário assuma integralmente as obrigações do Anexo I (DPA), aplicando-se, com as devidas adaptações, o direito de informação e de oposição previsto na cláusula 8.3 do Anexo I.

14.6. Estes Termos, em conjunto com o Anexo I (DPA) e a Política de Privacidade, constituem o acordo integral entre as partes quanto ao seu objeto, prevalecendo sobre quaisquer comunicações ou acordos anteriores sobre a mesma matéria.

15. Contactos

  • Fornecedor: KlickCorp OÜ (sociedade de direito estónio), IVA EE102919675, sede em Ruunaoja tn 3, Lasnamäe linnaosa, 11415 Tallinn, Estónia, registrikood 17362196;
  • Sítio: klick.solutions;
  • Suporte: main@klick-agency.com (correio eletrónico, dias úteis);
  • Privacidade: main@klick-agency.com;
  • Encarregado de Proteção de Dados: [A DESIGNAR].

Documentos Associados

  • Anexo I — Acordo de Subcontratação de Dados Pessoais (DPA), parte integrante destes Termos, publicado nesta mesma página imediatamente a seguir aos Termos (redigido; versão 1.2-rascunho, sujeito à mesma revisão jurídica);
  • Política de Privacidade do ByKlick;
  • Política de Cookies (apenas cookies essenciais de autenticação e sessão).

Versão dos documentos: 1.2-rascunho (2026-06-15). Todos os documentos do conjunto devem exibir o aviso de rascunho até à conclusão da revisão jurídica.

ANEXO I AOS TERMOS DE SERVIÇO — ACORDO DE SUBCONTRATAÇÃO DE DADOS (DPA) | ByKlick — Versão 1.2-rascunho (2026-06-15)

Versão 1.2-rascunho (2026-06-15)

AVISO IMPORTANTE — DOCUMENTO EM RASCUNHO

Este documento é um RASCUNHO (versão 1.2-rascunho, de 2026-06-15) e encontra-se sujeito a revisão jurídica por advogado antes do lançamento comercial do ByKlick. Não constitui, nesta versão, um documento contratual final. Os factos técnicos foram verificados contra a aplicação; os campos que permanecem assinalados — apenas a designação do Encarregado de Proteção de Dados ([A DESIGNAR]) — carecem de decisão que só o responsável pode prestar. A entidade contratante é a KlickCorp OÜ (sociedade estónia; registrikood 17362196; IVA EE102919675; sede em Tallinn) e o contrato rege-se por lei portuguesa; o jurista deve ainda reconciliar os pontos transfronteiriços (autoridade de controlo principal estónia, lei de execução aplicável e prazo de retenção fiscal estónio).

1. Partes, natureza e prevalência

1.1. O presente Acordo de Subcontratação de Dados («DPA») constitui o Anexo I dos Termos de Serviço do ByKlick e é celebrado entre:

  • KlickCorp OÜ, sociedade de direito estónio (Osaühing), com o número de IVA EE102919675 e sede em Ruunaoja tn 3, Lasnamäe linnaosa, 11415 Tallinn, Estónia, com o código de registo (registrikood) 17362196, com sítio na Internet em klick.solutions e contacto de privacidade main@klick-agency.com, adiante «Klick» ou «Subcontratante»; e
  • O Cliente, pessoa coletiva ou profissional que atua exclusivamente no quadro da sua atividade comercial enquanto intermediário de crédito registado no Banco de Portugal, identificado no registo da conta ByKlick (incluindo o respetivo número de registo no Banco de Portugal), adiante «Cliente» ou «Responsável pelo Tratamento».

1.2. O ByKlick é um software em modo SaaS de comparação de FINEs (Ficha de Informação Normalizada Europeia, no contexto de crédito à habitação), destinado exclusivamente a profissionais e empresas (relação B2B). O ByKlick não se destina a consumidores.

1.3. Este DPA é parte integrante dos Termos de Serviço e é aceite pelo titular da conta, em nome do Cliente (pessoa coletiva ou profissional, nos termos da cláusula 1.1), através do mecanismo de aceitação eletrónica (click-wrap) no registo e no onboarding, com registo da versão aceite e da data de aceitação. A aceitação dos Termos de Serviço implica a aceitação deste DPA.

1.4. Em caso de conflito entre este DPA e os Termos de Serviço em matéria de proteção de dados pessoais, prevalece o disposto neste DPA.

1.5. Este DPA é celebrado nos termos e para os efeitos do artigo 28.º do Regulamento (UE) 2016/679 («RGPD») e da legislação portuguesa de execução, incluindo a Lei n.º 58/2019, de 8 de agosto.

2. Definições

2.1. Os termos «dados pessoais», «tratamento», «responsável pelo tratamento», «subcontratante», «titular dos dados», «violação de dados pessoais» e demais conceitos de proteção de dados têm o significado que lhes é atribuído pelo artigo 4.º do RGPD.

2.2. Para efeitos deste DPA:

  • «Serviço»: o software ByKlick, disponibilizado em modo SaaS, nas funcionalidades correspondentes ao plano contratado pelo Cliente;
  • «FINE»: a Ficha de Informação Normalizada Europeia emitida por instituições de crédito no contexto de crédito à habitação, carregada pelo Cliente no Serviço em formato PDF;
  • «Dados do Cliente»: os dados pessoais contidos nas FINEs e demais dados pessoais tratados pela Klick por conta do Cliente no âmbito do Serviço, conforme descrito no Apêndice 1;
  • «Subcontratante Ulterior»: qualquer entidade contratada pela Klick para tratar Dados do Cliente, conforme o Apêndice 2;
  • «Clientes Finais»: os clientes e potenciais clientes do Cliente (intermediário de crédito), titulares dos dados contidos nas FINEs.

3. Papéis das partes e âmbito do DPA

3.1. No tratamento dos Dados do Cliente (em particular, os dados pessoais contidos nas FINEs dos Clientes Finais), o Cliente atua como Responsável pelo Tratamento e a Klick atua como Subcontratante, por conta e mediante instruções do Cliente.

3.2. O Cliente declara e garante que dispõe de fundamento de licitude adequado para o tratamento dos dados pessoais dos seus Clientes Finais através do Serviço, que prestou aos titulares a informação exigida pelos artigos 13.º e 14.º do RGPD e que os dados que carrega no Serviço são pertinentes para a finalidade de comparação de FINEs.

3.3. Exclusão — dados de faturação: relativamente aos dados de conta e de faturação do próprio Cliente (incluindo os tratados através da Stripe para processamento de pagamentos), a Klick atua como Responsável pelo Tratamento. Esse tratamento é regulado pela Política de Privacidade do ByKlick, e não por este DPA, descrevendo aquela o papel duplo da Stripe (subcontratante da Klick quanto aos dados de faturação tratados por conta desta e responsável autónomo para finalidades próprias de prevenção de fraude e AML/KYC). No fluxo dos Dados do Cliente (FINEs), a Stripe não intervém, pelo que não é Subcontratante Ulterior no âmbito deste DPA.

3.4. Este DPA aplica-se enquanto a Klick tratar Dados do Cliente por conta do Cliente, durante a vigência dos Termos de Serviço e até à eliminação ou devolução dos dados nos termos da cláusula 11.

4. Descrição do tratamento

4.1. O objeto, a duração, a natureza e a finalidade do tratamento, os tipos de dados pessoais, as categorias de titulares dos dados e as obrigações e direitos do Responsável pelo Tratamento encontram-se descritos no Apêndice 1 deste DPA, que dele faz parte integrante.

4.2. A Klick apenas trata os Dados do Cliente na medida do necessário à prestação do Serviço, conforme descrito no Apêndice 1.

5. Instruções documentadas do Responsável (art. 28.º, n.º 3, al. a))

5.1. A Klick trata os Dados do Cliente apenas mediante instruções documentadas do Cliente, inclusive no que respeita a eventuais transferências de dados para países terceiros ou organizações internacionais, salvo se o tratamento for exigido pelo direito da União Europeia ou de um Estado-Membro a que a Klick esteja sujeita; nesse caso, a Klick informa o Cliente dessa exigência legal antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público.

5.2. Constituem instruções documentadas do Cliente: (a) os Termos de Serviço e este DPA; (b) a configuração e utilização das funcionalidades do Serviço pelo Cliente, através da respetiva conta (designadamente o carregamento de FINEs, a edição manual de valores e a exportação para Excel), bem como os pedidos de eliminação de dados dirigidos à Klick nos termos da cláusula 11; e (c) outras instruções escritas razoáveis do Cliente, compatíveis com as funcionalidades do Serviço. Sem prejuízo da alínea (c), o Cliente mantém o direito de dar instruções adicionais necessárias ao cumprimento do RGPD; quando estas excedam as funcionalidades padrão do Serviço, aplicam-se os termos da cláusula 9.4 quanto a custos razoáveis, devendo a Klick informar previamente o Cliente.

5.3. A Klick informa imediatamente o Cliente se, no seu entender, alguma instrução violar o RGPD ou outras disposições de proteção de dados da União Europeia ou de um Estado-Membro, podendo suspender a execução da instrução em causa até clarificação.

5.4. A Klick não trata os Dados do Cliente para fins próprios, nem os utiliza para finalidades distintas da prestação do Serviço.

6. Confidencialidade das pessoas autorizadas (art. 28.º, n.º 3, al. b))

6.1. A Klick assegura que as pessoas autorizadas a tratar os Dados do Cliente (colaboradores e prestadores sob a sua autoridade) assumiram um compromisso de confidencialidade ou estão sujeitas a obrigações legais adequadas de confidencialidade.

6.2. O acesso aos Dados do Cliente é limitado às pessoas que dele necessitam para a prestação, manutenção e suporte do Serviço (princípio da necessidade de conhecer).

6.3. As obrigações de confidencialidade subsistem após a cessação das funções das pessoas autorizadas e após a cessação deste DPA.

7. Medidas técnicas e organizativas (art. 28.º, n.º 3, al. c), e art. 32.º)

7.1. Tendo em conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos e liberdades dos titulares, a Klick aplica medidas técnicas e organizativas adequadas para assegurar um nível de segurança apropriado ao risco, nos termos do artigo 32.º do RGPD. Essas medidas encontram-se descritas no Apêndice 3 — Medidas Técnicas e Organizativas, que faz parte integrante deste DPA.

7.2. A Klick pode atualizar as medidas constantes do Apêndice 3 ao longo do tempo, desde que tais atualizações não reduzam, no seu conjunto, o nível de proteção dos Dados do Cliente.

7.3. O Cliente é responsável pela segurança no seu próprio perímetro, designadamente pela gestão das credenciais de acesso, pela confidencialidade da palavra-passe e pela utilização do Serviço através da respetiva conta.

8. Subcontratantes ulteriores (art. 28.º, n.os 2 e 4, e n.º 3, al. d))

8.1. Autorização geral: o Cliente concede à Klick uma autorização geral, por escrito, para recorrer a Subcontratantes Ulteriores no tratamento dos Dados do Cliente.

8.2. [ATUALIZADO 2026-06-15] Lista atual: os Subcontratantes Ulteriores aprovados à data deste DPA constam do Apêndice 2 e são, no fluxo dos dados das FINEs: (a) Supabase Pte. Ltd. (base de dados e armazenamento, região de Frankfurt/UE; transferências ao abrigo de SCCs); (b) Anthropic, PBC (processamento de IA — extração dos dados das FINEs e geração da justificação da recomendação —, Estados Unidos da América, ao abrigo de cláusulas contratuais-tipo); e, em alternativa para o mesmo processamento de IA quando a Klick o encaminhe para a UE, (c) Amazon Web Services EMEA SARL — serviço Bedrock (Frankfurt/UE, região eu-central-1).

8.3. Alterações e direito de oposição: a Klick informa o Cliente de qualquer alteração pretendida — adição ou substituição de Subcontratantes Ulteriores — mediante notificação ativa por correio eletrónico para o endereço associado à conta, além da atualização da lista publicada nos termos do Apêndice 2, com antecedência mínima de 30 dias, dando-lhe a oportunidade de se opor por escrito, com fundamento razoável relacionado com a proteção de dados. Não sendo possível encontrar uma solução comercialmente razoável, o Cliente pode resolver o contrato, com efeito no termo do período mensal já pago; até essa data, a Klick não sujeitará os Dados do Cliente ao tratamento pelo novo Subcontratante Ulterior objeto da oposição. Dada a faturação mensal e a inexistência de períodos de fidelização, o curto horizonte de exposição assegura a efetividade do direito de oposição (art. 28.º, n.º 2, do RGPD), não havendo lugar a reembolso de períodos já pagos (cláusula 5.3 dos Termos).

8.4. A Klick impõe a cada Subcontratante Ulterior, por contrato, obrigações de proteção de dados materialmente equivalentes às previstas neste DPA, em particular garantias suficientes de aplicação de medidas técnicas e organizativas adequadas.

8.5. A Klick permanece plenamente responsável perante o Cliente pelo cumprimento das obrigações dos Subcontratantes Ulteriores a que recorra.

9. Assistência ao Responsável (art. 28.º, n.º 3, als. e) e f))

9.1. Direitos dos titulares: tendo em conta a natureza do tratamento, a Klick presta assistência ao Cliente, através de medidas técnicas e organizativas adequadas e na medida do possível, no cumprimento da obrigação de dar resposta aos pedidos de exercício de direitos dos titulares previstos no Capítulo III do RGPD (acesso, retificação, apagamento, limitação, portabilidade e oposição), designadamente através das funcionalidades do Serviço (consulta, edição manual de valores e exportação para Excel) e mediante a eliminação de dados a pedido do Cliente, nos termos da cláusula 11 [CONFIRMADO 2026-06-15 — a aplicação permite ao cliente eliminar comparações diretamente].

9.2. Se a Klick receber diretamente um pedido de um titular relativo aos Dados do Cliente, não lhe responde quanto ao mérito (salvo instrução do Cliente ou obrigação legal) e comunica o pedido ao Cliente sem demora injustificada.

9.3. Artigos 32.º a 36.º do RGPD: tendo em conta a natureza do tratamento e a informação ao seu dispor, a Klick presta assistência ao Cliente no cumprimento das obrigações relativas à segurança do tratamento (art. 32.º), à notificação de violações de dados à autoridade de controlo (art. 33.º), à comunicação de violações aos titulares (art. 34.º), às avaliações de impacto sobre a proteção de dados (art. 35.º) e à consulta prévia à autoridade de controlo (art. 36.º).

9.4. A assistência prevista nesta cláusula é prestada mediante pedido escrito razoável do Cliente e sem custos adicionais quando se enquadre nas funcionalidades padrão do Serviço. A Klick apenas poderá cobrar os custos razoáveis e devidamente justificados de pedidos manifestamente excessivos, repetitivos ou que exijam desenvolvimento fora das funcionalidades padrão, mediante estimativa prévia comunicada e aceite pelo Cliente.

10. Notificação de violações de dados pessoais

10.1. A Klick notifica o Cliente, sem demora injustificada e, em qualquer caso, no prazo máximo de 48 horas após ter tomado conhecimento de uma violação de dados pessoais que afete os Dados do Cliente, por forma a permitir ao Cliente cumprir o prazo de 72 horas previsto no artigo 33.º, n.º 1, do RGPD.

10.2. A notificação inclui, na medida em que a informação esteja disponível, e podendo ser prestada por fases: (a) a descrição da natureza da violação, incluindo, se possível, as categorias e o número aproximado de titulares e de registos afetados; (b) o nome e os contactos do ponto de contacto da Klick para mais informações; (c) a descrição das consequências prováveis da violação; e (d) a descrição das medidas adotadas ou propostas para reparar a violação e atenuar os seus eventuais efeitos negativos.

10.3. A Klick adota, sem demora, as medidas razoáveis de contenção, investigação e mitigação da violação, documenta a violação (incluindo os factos com ela relacionados, os seus efeitos e as medidas de reparação adotadas, em espelho do artigo 33.º, n.º 5, do RGPD) e presta ao Cliente atualizações regulares sobre a evolução da investigação, cooperando de forma contínua até ao encerramento do incidente.

10.4. Cabe ao Cliente, enquanto Responsável pelo Tratamento, avaliar e cumprir as obrigações de notificação à autoridade de controlo (CNPD) e de comunicação aos titulares, nos termos dos artigos 33.º e 34.º do RGPD. A Klick não efetua tais notificações em nome do Cliente, salvo acordo escrito em contrário.

10.5. A notificação de uma violação pela Klick não constitui, por si só, reconhecimento de culpa ou de responsabilidade.

11. Eliminação ou devolução dos dados (art. 28.º, n.º 3, al. g))

11.1. Durante a vigência do contrato, os Dados do Cliente são conservados enquanto a conta existir, podendo o Cliente solicitar à Klick, mediante pedido escrito, a eliminação de comparações e dos dados associados [CONFIRMADO 2026-06-15 — a aplicação permite ao cliente eliminar comparações diretamente].

11.2. Após a cessação do contrato, e consoante a escolha do Cliente, a Klick devolve os Dados do Cliente (designadamente através de exportação) ou elimina-os, e apaga as cópias existentes, no prazo de 30 dias após a cessação, salvo se o direito da União Europeia ou de um Estado-Membro exigir a conservação de determinados dados; nesse caso, a Klick conserva apenas os dados estritamente exigidos, pelo período legalmente imposto, e mantém-nos protegidos e isolados de qualquer outro tratamento.

11.3. Regime por defeito: se o Cliente não comunicar a sua escolha até à data de cessação do contrato, a Klick procede à eliminação dos Dados do Cliente no prazo de 30 dias após a cessação.

11.4. Cópias de segurança: as cópias de segurança da base de dados são geridas pelo subcontratante de infraestrutura (Supabase) e os Dados do Cliente nelas contidos são eliminados no ciclo normal de rotação dessas cópias [prazo dependente do plano contratado junto da Supabase — a confirmar com o fornecedor], permanecendo, até à eliminação efetiva, protegidos e excluídos de qualquer tratamento ativo.

11.5. Recomenda-se ao Cliente que exporte os dados de que necessite (por exemplo, em formato Excel) antes do termo do contrato.

11.6. A pedido escrito do Cliente, a Klick confirma por escrito a eliminação efetuada.

12. Demonstração de conformidade e auditorias (art. 28.º, n.º 3, al. h))

12.1. A Klick disponibiliza ao Cliente toda a informação razoavelmente necessária para demonstrar o cumprimento das obrigações previstas no artigo 28.º do RGPD e neste DPA, incluindo a resposta a questionários escritos razoáveis de avaliação de segurança e proteção de dados.

12.2. A Klick permite e contribui para auditorias, incluindo inspeções, conduzidas pelo Cliente ou por auditor por este mandatado, nas seguintes condições: (a) no máximo uma auditoria por período de 12 meses, salvo na sequência de violação de dados relevante ou de exigência fundamentada de autoridade de controlo; (b) auditor que não seja concorrente da Klick; (c) mediante aviso prévio escrito com antecedência razoável; (d) em horário laboral, sem perturbação desproporcionada da atividade da Klick; (e) sob compromisso de confidencialidade; e (f) suportando o Cliente os respetivos custos, salvo se a auditoria revelar incumprimento material imputável à Klick ou for desencadeada na sequência de violação de dados relevante imputável à Klick ou de exigência fundamentada de autoridade de controlo, casos em que os custos incorridos pela Klick correm por sua conta.

12.3. Relativamente aos Subcontratantes Ulteriores identificados no Apêndice 2 (Supabase, Anthropic e AWS), a obrigação de auditoria pode ser satisfeita, na medida do razoável, através da disponibilização de certificações, relatórios de auditoria independentes ou documentação de conformidade emitidos por essas entidades.

12.4. A Klick informa imediatamente o Cliente se, no seu entender, uma instrução dada no âmbito de auditoria violar o RGPD ou outra disposição de proteção de dados aplicável.

13. Localização do tratamento e transferências internacionais

13.1. [ATUALIZADO 2026-06-15] No fluxo dos dados das FINEs: o armazenamento dos Dados do Cliente ocorre na União Europeia (Supabase, Frankfurt, UE); o processamento de IA (extração dos dados das FINEs e geração da justificação da recomendação) é efetuado pela Anthropic PBC, nos Estados Unidos da América, através da API da Anthropic. A Klick pode, em alternativa, encaminhar o processamento de IA para a União Europeia através da AWS Bedrock (Frankfurt, região eu-central-1); a configuração em vigor à data consta do Apêndice 2.

13.2. [ATUALIZADO 2026-06-15] Existe uma transferência de Dados do Cliente para um país terceiro: o processamento de IA pela Anthropic, PBC (Estados Unidos da América). O fundamento desta transferência, nos termos do Capítulo V do RGPD, são as cláusulas contratuais-tipo (SCCs) da Comissão Europeia — Módulo Dois (responsável→subcontratante) e/ou Módulo Três (subcontratante→subcontratante ulterior) — incorporadas no Acordo de Tratamento de Dados (DPA) da Anthropic, cuja lei aplicável é a da República da Irlanda. A Anthropic NÃO está certificada no EU-U.S. Data Privacy Framework; a transferência apoia-se exclusivamente nas SCCs. A Anthropic não utiliza os Dados do Cliente para treinar modelos. [Pendentes externos, a fechar antes do lançamento: confirmar o período de retenção por defeito da Anthropic, contratar Zero Data Retention (ZDR) para este tratamento e elaborar/anexar a avaliação de impacto da transferência (TIA).] Quaisquer outros acessos por Subcontratantes Ulteriores a partir de países terceiros (suporte/administração) ocorrem ao abrigo dos mecanismos do Capítulo V identificados no Apêndice 2.

13.3. Caso venha a ser necessária qualquer transferência para fora do Espaço Económico Europeu, a Klick apenas a realizará em conformidade com o Capítulo V do RGPD (designadamente decisão de adequação ou cláusulas contratuais-tipo), informando previamente o Cliente nos termos da cláusula 8.3.

14. Papel da inteligência artificial no tratamento

14.1. [ATUALIZADO 2026-06-15] O PDF da FINE carregado pelo Cliente é enviado a um modelo de IA (Claude, da Anthropic PBC, EUA, através da API da Anthropic — ou, em alternativa, via AWS Bedrock na União Europeia, Frankfurt, eu-central-1, quando a Klick aí encaminhe o processamento) exclusivamente para extração dos dados nele contidos; o mesmo modelo é igualmente utilizado para gerar a justificação textual da recomendação, com base nos dados extraídos e nos resultados dos cálculos determinísticos. As transferências internacionais associadas regem-se pela cláusula 13.

14.2. Os Dados do Cliente não são utilizados para treinar modelos de IA, nem pela Klick nem, nos termos contratuais aplicáveis, pelos Subcontratantes Ulteriores.

14.3. Os cálculos e a ordenação (ranking) das comparações são determinísticos (executados por código, não por IA). A recomendação apresentada inclui uma justificação gerada por IA, com base nos dados extraídos e nos resultados determinísticos.

14.4. O resultado do Serviço constitui uma análise de apoio ao profissional: não substitui a FINE oficial emitida pelas instituições de crédito, não constitui consultoria financeira ou jurídica nem intermediação de crédito, e a Klick não é intermediário de crédito. O Cliente, enquanto profissional, é responsável por verificar os valores extraídos e calculados antes de os apresentar aos seus Clientes Finais, dispondo para o efeito de funcionalidades de edição manual.

15. Responsabilidade e indemnização

15.1. Cada parte responde perante a outra pelos danos causados pelo incumprimento culposo das obrigações que lhe incumbem ao abrigo deste DPA e do RGPD, nos termos do artigo 82.º do RGPD e da lei aplicável.

15.2. A Klick responde pelos danos causados pelo tratamento apenas quando não tenha cumprido as obrigações do RGPD dirigidas especificamente aos subcontratantes ou quando tenha agido fora das instruções lícitas do Cliente ou em contrário a estas. A Klick responde igualmente, perante o Cliente, pelo incumprimento das obrigações dos Subcontratantes Ulteriores, nos termos da cláusula 8.5.

15.3. O Cliente indemniza a Klick por danos, custos e despesas razoáveis decorrentes de reclamações de terceiros (incluindo titulares dos dados e autoridades) na medida em que resultem do incumprimento, pelo Cliente, das suas obrigações enquanto Responsável pelo Tratamento, designadamente a falta de fundamento de licitude ou de informação aos titulares.

15.4. As limitações e exclusões de responsabilidade previstas nos Termos de Serviço (cláusula 11) aplicam-se a este DPA, integrando-se no mesmo limite agregado da cláusula 11.2 dos Termos, sem prejuízo da responsabilidade que não possa ser legalmente limitada ou excluída e da responsabilidade perante os titulares dos dados nos termos do artigo 82.º do RGPD.

16. Vigência, lei aplicável e disposições finais

16.1. Este DPA entra em vigor com a aceitação dos Termos de Serviço e vigora enquanto a Klick tratar Dados do Cliente por conta do Cliente, mantendo-se em vigor, após a cessação do contrato, as cláusulas que pela sua natureza devam subsistir (designadamente confidencialidade, eliminação ou devolução de dados e responsabilidade).

16.2. Este DPA rege-se pela lei portuguesa. A autoridade de controlo competente é a Comissão Nacional de Proteção de Dados (CNPD).

16.3. Encarregado de Proteção de Dados (EPD/DPO) da Klick: [A DESIGNAR — a obrigatoriedade da designação é analisada na DPIA; recomenda-se a designação face à natureza financeira e à escala do tratamento]. Até essa designação, as questões de proteção de dados devem ser dirigidas ao contacto de privacidade indicado na cláusula 1.1 (main@klick-agency.com).

16.4. Foro competente e demais disposições gerais (comunicações, cessão, nulidade parcial): aplica-se o disposto nos Termos de Serviço (cláusula 14), não se prevendo regime específico no DPA.

16.5. A Klick pode atualizar este DPA para refletir alterações legais ou do Serviço, informando o Cliente com antecedência razoável; as alterações materiais que reduzam as garantias do Cliente carecem de aviso prévio de, pelo menos, 30 dias, nos termos da cláusula 13 dos Termos de Serviço, podendo o Cliente resolver o contrato se não as aceitar.

Apêndice 1 — Descrição do tratamento e obrigações e direitos do Responsável (art. 28.º, n.º 3, primeiro parágrafo)

Objeto do tratamento

Tratamento de dados pessoais contidos nas FINEs carregadas pelo Cliente no ByKlick, para efeitos de comparação de propostas de crédito à habitação no âmbito da atividade profissional do Cliente enquanto intermediário de crédito.

Duração do tratamento

Pela vigência dos Termos de Serviço; os dados são mantidos enquanto a conta existir, com eliminação a pedido do Cliente ou no prazo de 30 dias após a cessação do contrato, nos termos da cláusula 11. Os ficheiros PDF das FINEs são apagados logo após a extração dos respetivos dados.

Natureza e finalidade do tratamento

  • Receção e armazenamento de PDFs de FINEs em armazenamento privado (Supabase Storage, Frankfurt/UE);
  • Extração dos dados das FINEs por modelo de IA (Claude, da Anthropic — processamento nos EUA ao abrigo de cláusulas contratuais-tipo; em alternativa, na UE via AWS Bedrock, Frankfurt), sem utilização dos dados para treino de modelos;
  • Cálculos e ordenação determinísticos das propostas (código, não IA) e geração, por IA, da justificação da recomendação, com base nos dados extraídos e nos resultados determinísticos (cláusula 14);
  • Edição manual de valores pelo Cliente e exportação para Excel;
  • Eliminação de comparações e dados associados a pedido do Cliente, nos termos da cláusula 11 [CONFIRMADO 2026-06-15 — a aplicação permite ao cliente eliminar comparações diretamente];
  • Identificação das comparações por rótulo neutro escolhido pelo utilizador, sem conservação dos nomes de ficheiro originais dos PDFs carregados.

Tipos de dados pessoais

  • Dados de identificação contidos no PDF da FINE (designadamente o nome do(s) proponente(s) e a identificação do imóvel): estes dados estão presentes no documento que é carregado e transmitido ao modelo de IA para extração, mas o sistema NÃO os extrai nem os conserva — o esquema de extração contém apenas campos financeiros, pelo que nome, NIF e morada não são guardados;
  • Dados financeiros efetivamente extraídos e conservados (lista exata do esquema de extração da aplicação): banco e nome do produto; tipo de taxa (fixa/variável/mista); montantes (financiamento, escritura, avaliação) e prazos; indexante e Euribor; em dois cenários (com e sem produtos associados), a TAN, a TAEG, o spread e o MTIC; taxas e prestações do período variável (créditos mistos); prémios mensais dos seguros de vida e multirriscos; encargos (comissões de avaliação e de abertura, imposto do selo, IMT, escritura, registos e outros) e respetivo total; e condições de reembolso antecipado. Estes são os únicos dados retidos a partir da FINE.

O Serviço não se destina ao tratamento de categorias especiais de dados (art. 9.º do RGPD); o Cliente obriga-se a não carregar documentos que contenham categorias especiais de dados, salvo na medida em que tais dados constem do conteúdo normalizado de uma FINE emitida por uma instituição de crédito.

Categorias de titulares dos dados

Clientes Finais do Cliente (intermediário de crédito): clientes e potenciais clientes, na qualidade de proponentes ou interessados em crédito à habitação, bem como, quando identificados nas FINEs, co-proponentes, fiadores ou garantes e demais intervenientes.

Local do tratamento

Armazenamento na União Europeia (Supabase, Frankfurt, Alemanha); processamento de IA nos Estados Unidos da América (Anthropic PBC) ou, em alternativa, na União Europeia (AWS Bedrock, Frankfurt). As transferências internacionais e os respetivos fundamentos regem-se pela cláusula 13 e pelo Apêndice 2.

Obrigações e direitos do Responsável pelo Tratamento (Cliente)

Nos termos do primeiro parágrafo do artigo 28.º, n.º 3, do RGPD, consolidam-se as obrigações e os direitos do Cliente enquanto Responsável pelo Tratamento:

  • Direito de dar instruções documentadas à Klick e de as alterar, nos termos da cláusula 5;
  • Direito de informação e de auditoria, nos termos da cláusula 12;
  • Direito de ser notificado de violações de dados pessoais, nos termos da cláusula 10;
  • Direito de se opor a alterações de Subcontratantes Ulteriores, nos termos da cláusula 8.3, e de escolher entre a devolução e a eliminação dos dados no termo do contrato, nos termos da cláusula 11;
  • Obrigação de assegurar fundamento de licitude para o tratamento dos dados dos Clientes Finais e de lhes prestar a informação exigida pelos artigos 13.º e 14.º do RGPD (cláusula 3.2);
  • Obrigação de dar resposta aos pedidos de exercício de direitos dos titulares e de avaliar e cumprir as obrigações de notificação de violações à CNPD e de comunicação aos titulares (cláusulas 9 e 10);
  • Obrigação de utilizar e configurar o Serviço de forma adequada, de gerir a conta e as respetivas credenciais de acesso e de garantir a pertinência e a exatidão dos dados que carrega no Serviço (cláusulas 3.2 e 7.3).

Apêndice 2 — Lista de Subcontratantes Ulteriores aprovados

À data da versão 1.2-rascunho (2026-06-15), os Subcontratantes Ulteriores autorizados para o tratamento dos Dados do Cliente (fluxo das FINEs) são os seguintes, devendo a identificação ser completada antes do lançamento comercial:

  • Supabase — serviço prestado: base de dados (Postgres) e armazenamento privado (Storage); localização do tratamento: Frankfurt, Alemanha (UE, região eu-central-1 escolhida); entidade jurídica contratante e sede: Supabase Pte. Ltd., 65 Chulia Street #38-02/03, OCBC Centre, Singapura 049513; fundamento de transferência (incl. para Singapura/EUA): cláusulas contratuais-tipo (Decisão de Execução (UE) 2021/914) e UK Addendum incorporados no DPA da Supabase (a Supabase NÃO está certificada no EU-U.S. Data Privacy Framework). [Pendente externo: confirmar a versão do DPA da Supabase aceite ao subscrever o serviço.];
  • [ADICIONADO 2026-06-15] Anthropic, PBC — serviço prestado: processamento de IA (extração dos dados das FINEs e geração da justificação da recomendação), através da API da Anthropic; localização do tratamento: Estados Unidos da América; entidade jurídica contratante e sede: Anthropic, PBC (public benefit corporation de Delaware), San Francisco, Califórnia, EUA; fundamento de transferência: cláusulas contratuais-tipo (SCCs, Módulos 2 e 3) incorporadas no DPA da Anthropic, com lei aplicável irlandesa (a Anthropic NÃO está certificada no EU-U.S. Data Privacy Framework); os dados não são usados para treino de modelos. [Pendentes externos: confirmar o período de retenção por defeito da Anthropic, contratar Zero Data Retention (ZDR) e anexar a TIA.];
  • Amazon Web Services — serviço Bedrock (alternativa de processamento de IA na UE, quando a Klick encaminhe o processamento para a UE) — serviço prestado: o mesmo processamento de IA; localização do tratamento: Frankfurt, Alemanha (região eu-central-1, UE); entidade jurídica contratante e sede: Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburgo; fundamento de transferência para eventuais acessos a partir de países terceiros: cláusulas contratuais-tipo incorporadas, por defeito, no AWS GDPR DPA, complementadas, se aplicável, pela certificação da Amazon Web Services, Inc. (EUA) no EU-U.S. Data Privacy Framework [a confirmar].

Nota: a Stripe processa apenas dados de faturação do próprio Cliente; nesse tratamento, a Klick atua como Responsável pelo Tratamento, pelo que a Stripe não é Subcontratante Ulterior no âmbito deste DPA (cláusula 3.3).

A lista atualizada de Subcontratantes Ulteriores é disponibilizada pela Klick na página de subcontratantes em comparador.klick.solutions/subcontratantes (a publicar antes do lançamento comercial), sendo as alterações comunicadas ativamente ao Cliente nos termos da cláusula 8.3.

Apêndice 3 — Medidas Técnicas e Organizativas (art. 32.º do RGPD)

As medidas técnicas e organizativas aplicadas pela Klick à data desta versão são as seguintes, organizadas por domínio. Refletem o que está efetivamente implementado, verificado contra o código da aplicação; as melhorias futuras (designadamente a autenticação multifator) estão expressamente assinaladas como tal.

Controlo de acessos

  • Autenticação por email e palavra-passe;
  • Restrição de acessos internos aos Dados do Cliente segundo o princípio da necessidade de conhecer (cláusula 6);
  • Confirmação de email no registo e processo seguro de recuperação de palavra-passe;
  • Autenticação multifator (MFA): não implementada nesta versão; recomendada e prevista como melhoria futura, dada a natureza financeira dos dados tratados.

Cifragem

  • Cifragem em trânsito (HTTPS/TLS) em todas as comunicações com a plataforma; cifragem dos dados em repouso assegurada, por defeito, pela infraestrutura de armazenamento e base de dados (Supabase).

Isolamento entre contas

  • Isolamento entre contas de clientes («multi-tenant») ao nível da base de dados, através de políticas de segurança ao nível da linha (Row Level Security — RLS) no Postgres, complementadas por filtragem explícita por identificador de conta em todas as consultas do servidor, para que cada conta apenas aceda aos dados que lhe pertencem [CONFIRMADO 2026-06-15 — RLS e isolamento por conta implementados].

Localização do tratamento

  • Armazenamento dos Dados do Cliente na União Europeia (Supabase — Postgres e Storage privado —, região de Frankfurt); processamento de IA nos Estados Unidos da América (Anthropic, PBC, ao abrigo de cláusulas contratuais-tipo) ou, em alternativa, na União Europeia (AWS Bedrock, Frankfurt, eu-central-1).

Minimização da exposição de identificadores

  • Identificação das comparações por rótulo neutro: a aplicação solicita ao utilizador, para cada comparação, um rótulo que não identifique o titular dos dados, e não guarda os nomes de ficheiro originais dos PDFs carregados (medida que reduz a exposição de dados identificativos na interface e nos metadados, sem prejuízo de os dados constarem das FINEs armazenadas).

Registo de atividade, cópias de segurança, gestão de vulnerabilidades e continuidade

  • Registo de atividade: a aplicação não mantém uma base de dados própria de registos de atividade; os registos técnicos de acesso e de execução são os gerados e conservados pelos subcontratantes de infraestrutura (Supabase e fornecedor de alojamento), segundo as respetivas políticas. Cópias de segurança da base de dados: geridas pela Supabase (ver cláusula 11.4). Gestão de vulnerabilidades e continuidade: assentes nas garantias e certificações dos subcontratantes de infraestrutura; a Klick formalizará procedimentos próprios à medida do crescimento do serviço.

Avaliação periódica

  • Processos de avaliação e revisão periódica da eficácia das medidas técnicas e organizativas.