Legal

Política de Privacidade

Como a Norma recolhe, trata e protege os seus dados.

Em vigor a 5 de setembro de 2025

1. Quem somos

A Norma é operada pela Techuplift, Lda., uma empresa registada em Portugal. Disponibilizamos uma plataforma de gestão de conformidade que ajuda as organizações a operar sistemas de gestão integrados que abrangem normas como a ISO 27001, a ISO 9001, o RGPD, a SOC 2 e a NIS2.

Sede social
Setubal, Portugal
Contacto de privacidade
privacy@norma-compliance.com

2. Dados que recolhemos

Recolhemos apenas os dados necessários para prestar e melhorar o serviço. As categorias abaixo descrevem o que recolhemos, porquê e quando.

Informações da conta
Nome, correio eletrónico profissional, palavra-passe encriptada (hash) e dados da empresa que fornece ao registar-se ou ao ser convidado para um espaço de trabalho.
Dados da empresa e de integração
Nome da empresa, país, setor de atividade, dimensão e atividades comerciais recolhidos durante a configuração do espaço de trabalho.
Conteúdos de conformidade
Políticas, procedimentos, avaliações de risco, registos de auditoria e outros documentos que cria ou carrega na plataforma.
Dados de utilização e técnicos
Páginas visitadas, funcionalidades utilizadas, endereço IP, tipo de navegador e informações do dispositivo, recolhidos automaticamente para manter e melhorar o serviço.
Dados de comunicação
Mensagens enviadas através do nosso formulário de contacto, pedidos de apoio e comentários que nos fornece diretamente.
Informações de faturação
Método de pagamento e morada de faturação, tratados e armazenados pela Stripe. Não armazenamos números de cartão completos.

3. Por que tratamos os seus dados

Cada atividade de tratamento corresponde a um dos quatro fundamentos jurídicos previstos no RGPD. Não tratamos dados sem uma finalidade clara e documentada.

FinalidadeFundamento jurídico
Prestar a plataforma e as suas funcionalidadesExecução do contrato
Processar pagamentos e gerir a faturaçãoExecução do contrato
Enviar notificações e atualizações do serviçoExecução do contrato
Melhorar o desempenho e corrigir problemasInteresse legítimo
Garantir a segurança e prevenir a fraudeInteresse legítimo
Enviar comunicações de marketingConsentimento
Cumprir obrigações legais e regulamentaresObrigação jurídica

4. Partilha e divulgação

Não vendemos dados pessoais.
A Norma não vende, aluga nem transaciona informações pessoais a terceiros para fins comerciais, em circunstância alguma.

Partilhamos dados com um conjunto limitado de subcontratantes, cada um vinculado por um Contrato de Tratamento de Dados e sujeito a revisão anual.

AWS
Infraestrutura e alojamento na cloud · Irlanda (UE)
Stripe
Processamento de pagamentos e faturação · Irlanda (UE)
OpenAI
Funcionalidades de conteúdo com IA · Estados Unidos (CCT)
Google Gemini
Funcionalidades de conteúdo com IA · Estados Unidos (CCT)

5. Transferências internacionais

Os seus dados são alojados principalmente na UE (AWS Irlanda). Sempre que um subcontratante opera fora do EEE, recorremos às Cláusulas Contratuais-Tipo da UE ou a uma decisão de adequação para assegurar um nível de proteção equivalente.

6. Medidas de segurança

Aplicamos controlos técnicos e organizativos de referência no setor para proteger os seus dados ao longo de todo o seu ciclo de vida.

Encriptação
TLS 1.3 em trânsito, AES-256 em repouso. Segredos geridos através de cofres dedicados.
Controlo de acessos
Permissões baseadas em funções e autenticação multifator obrigatória para todos os acessos internos.
Monitorização
Monitorização de segurança contínua, deteção de anomalias e alertas automáticos de incidentes.
Gestão de fornecedores
Todos os subcontratantes vinculados por CTD e revistos anualmente face ao nosso referencial de segurança.

7. Os seus direitos

Ao abrigo do RGPD e da legislação portuguesa aplicável, pode exercer a qualquer momento os seguintes direitos, contactando privacy@norma-compliance.com. Respondemos no prazo de 30 dias.

Acesso
Solicitar uma cópia de todos os dados pessoais que detemos sobre si.
Retificação
Solicitar a correção de informações inexatas ou incompletas.
Apagamento
Solicitar a eliminação dos seus dados pessoais, sob reserva das obrigações legais de conservação.
Portabilidade
Receber os seus dados num formato estruturado e de leitura automática.
Limitação
Solicitar a limitação do tratamento enquanto uma questão está a ser resolvida.
Oposição
Opor-se ao tratamento baseado em interesse legítimo a qualquer momento.

8. Conservação de dados

Conservamos os dados apenas durante o tempo necessário à finalidade para a qual foram recolhidos. Quando os dados deixam de ser necessários, são eliminados ou anonimizados dentro dos prazos indicados abaixo.

Tipo de dadosConservação
Dados da contaConta ativa + 90 dias após o encerramento
Documentos de conformidadeConforme as definições do espaço de trabalho ou um mínimo de 7 anos
Registos de auditoria7 anos
Registos de segurança2 anos
Análise (anonimizada)26 meses

9. Cookies e análise

Utilizamos um número reduzido de cookies estritamente necessários ao funcionamento do serviço, bem como cookies de análise opcionais, que apenas são instalados com o seu consentimento. Os detalhes completos constam da nossa Política de Cookies.

10. Alterações à presente política

Revemos esta política anualmente. Caso introduzamos alterações substanciais, notificaremos os titulares de conta por correio eletrónico, com pelo menos 30 dias de antecedência relativamente à produção de efeitos das alterações. A data no topo desta página reflete sempre a versão mais recente.

11. Lei aplicável

A presente política rege-se pela lei portuguesa. Qualquer litígio que não possa ser resolvido por via informal será submetido aos tribunais competentes de Setúbal, Portugal, sem prejuízo do seu direito de apresentar reclamação junto da autoridade de controlo portuguesa (CNPD) ou de qualquer outra autoridade de proteção de dados da UE.

Versão 1.0PúblicoResponsável: Equipa de Privacidade