RGPD & Proteção de Dados

1. O Papel do Flowpay no Tratamento de Dados

O Flowpay exerce dois papéis distintos ao abrigo do RGPD, consoante a categoria de dados em causa:

Responsável pelo tratamento (controller)

O Flowpay é responsável pelo tratamento dos dados pessoais dos utilizadores registados na plataforma — nomeadamente nome, email profissional, dados de faturação e histórico de sessões. Para estes dados, o Flowpay determina a finalidade e os meios do tratamento.

Subcontratante (processor)

Para os dados pessoais dos devedores dos clientes — nome, contacto, valor em dívida e histórico de comunicações — o Flowpay atua exclusivamente como subcontratante, nos termos do artigo 28.º do RGPD. A PME cliente permanece a responsável pelo tratamento. O Flowpay trata esses dados apenas de acordo com as instruções documentadas do cliente, ao abrigo de um Contrato de Tratamento de Dados (DPA).

2. Contrato de Tratamento de Dados (DPA)

O Flowpay disponibiliza um Contrato de Tratamento de Dados a todos os clientes, em cumprimento do artigo 28.º do RGPD. O DPA cobre:

• Objeto, duração e natureza do tratamento
• Finalidade do tratamento e categorias de dados pessoais envolvidas
• Categorias de titulares dos dados (devedores B2B)
• Obrigações e direitos do responsável pelo tratamento (cliente)
• Lista de subcontratantes autorizados e regime de notificação de alterações
• Medidas técnicas e organizativas de segurança aplicadas

Para solicitar o DPA, envie um email para info@fynix.pt com o assunto "Pedido de DPA". O documento é enviado no prazo de 5 dias úteis.

3. Base Jurídica para Comunicações de Cobrança

As comunicações de cobrança enviadas através do Flowpay baseiam-se no interesse legítimo do credor (Art. 6.º/1/f RGPD). Esta base jurídica é adequada porque:

• O credor tem um interesse legítimo e juridicamente reconhecido na recuperação de créditos em dívida
• O tratamento é proporcional e limitado ao necessário para esse fim específico
• O devedor é informado dos seus direitos ao abrigo do RGPD em todas as comunicações enviadas
• O devedor pode exercer o direito de oposição em qualquer momento, sem que tal afete a validade da dívida

Para planos de pagamento acordados entre as partes, a base jurídica é a execução de contrato (Art. 6.º/1/b RGPD).

4. Subcontratantes do Flowpay

O Flowpay mantém uma lista atualizada de subcontratantes. Os principais são:

• Anthropic (Claude Sonnet 4.5) — Estados Unidos da América — geração de mensagens por IA — Cláusulas Contratuais Tipo (CCT)
• Meta Platforms (WhatsApp Business API) — Estados Unidos da América — envio de mensagens — Cláusulas Contratuais Tipo (CCT)
• Google LLC (Google Analytics 4) — Estados Unidos da América — análise de tráfego do site marketing (flowpay.pt), com anonymize_ip ativo, apenas após consentimento expresso do utilizador — Cláusulas Contratuais Tipo (CCT)
• IfthenPay — Portugal, União Europeia — processamento de pagamentos — adequação garantida
• CTT Correios de Portugal — Portugal, União Europeia — envio de Carta Registada — adequação garantida
• Fornecedor de infraestrutura cloud — União Europeia — alojamento e armazenamento — adequação garantida

Os clientes são notificados com 30 dias de antecedência de qualquer alteração à lista de subcontratantes e podem apresentar objeção fundamentada. A lista completa e atualizada está disponível mediante pedido a info@fynix.pt.

5. Transferências para Países Terceiros

A Anthropic, a Meta Platforms e a Google LLC têm sede nos Estados Unidos da América, que não beneficia de decisão de adequação da Comissão Europeia para transferências gerais de dados pessoais. Estas transferências estão protegidas pelas Cláusulas Contratuais Tipo aprovadas pela Comissão Europeia (Decisão de Execução 2021/914), ao abrigo do artigo 46.º do RGPD. No que respeita ao Google Analytics 4, a transferência ocorre exclusivamente após consentimento expresso do utilizador e os dados são anonimizados antes de serem enviados para os servidores da Google.

O Flowpay conduziu Avaliações de Impacto das Transferências (Transfer Impact Assessments) para cada um destes fluxos transfronteiriços. A documentação completa, incluindo os instrumentos jurídicos aplicáveis e as avaliações de risco, está disponível mediante pedido escrito dirigido a info@fynix.pt.

6. Medidas de Segurança (Art. 32.º RGPD)

O Flowpay implementa medidas técnicas e organizativas adequadas para garantir um nível de segurança proporcional ao risco:

• Encriptação de dados em repouso (AES-256) e em trânsito (TLS 1.3)
• Controlo de acesso baseado em funções (RBAC) com princípio do privilégio mínimo
• Autenticação de dois fatores obrigatória para todos os acessos à plataforma
• Auditoria completa e imutável de todos os acessos, comunicações e alterações de configuração
• Testes de intrusão anuais realizados por terceiros independentes
• Plano de resposta a incidentes com notificação à CNPD no prazo de 72 horas (Art. 33.º RGPD)
• Infraestrutura de alojamento exclusivamente na União Europeia
• Formação periódica obrigatória em proteção de dados para todos os colaboradores

7. Direitos dos Titulares dos Dados

No contexto das cobranças B2B, os titulares dos dados (devedores) conservam a totalidade dos direitos conferidos pelos artigos 15.º a 22.º do RGPD. Quando um devedor contacta o cliente ou o Flowpay para exercer um desses direitos, o Flowpay presta toda a assistência necessária ao cliente para que este cumpra o pedido dentro dos prazos legais.

Os pedidos de apagamento são tratados com a devida diligência. No entanto, determinados dados podem ser conservados quando tal seja exigido por obrigação legal (por exemplo, registos contabilísticos e fiscais), sendo o titular informado das razões e do prazo de conservação.

Para exercer os seus direitos, os titulares devem contactar diretamente a empresa credora (responsável pelo tratamento). Em alternativa, podem contactar o Flowpay através de info@fynix.pt, que encaminhará o pedido ao cliente competente.

8. Notificação de Violações de Dados

Em caso de violação de dados pessoais suscetível de implicar um risco para os direitos e liberdades dos titulares, o Flowpay notificará o cliente no prazo máximo de 24 horas após tomar conhecimento do incidente, fornecendo toda a informação disponível para que o cliente possa cumprir a sua obrigação de notificação à CNPD no prazo de 72 horas previsto no artigo 33.º do RGPD.

O Flowpay mantém um registo interno de todas as violações de dados, independentemente da sua gravidade, e assiste o cliente na comunicação aos titulares afetados quando tal seja exigido pelo artigo 34.º do RGPD.

9. Encarregado de Proteção de Dados (DPO)

O Flowpay designou um Encarregado de Proteção de Dados (DPO) responsável por supervisionar a conformidade com o RGPD e servir como ponto de contacto para questões relativas à proteção de dados.

• Email: info@fynix.pt
• Empresa: GildedSyntax Unipessoal, Lda. (Flowpay) · NIF 518 913 333
• Sede: Rua da Cruz 13 B, Campelos, Portugal

Qualquer titular de dados ou cliente pode contactar o DPO para exercer os seus direitos, colocar questões sobre o tratamento dos seus dados ou reportar uma preocupação em matéria de proteção de dados.

10. Autoridade de Controlo

A autoridade de controlo competente para Portugal é a Comissão Nacional de Proteção de Dados (CNPD):

• Website: www.cnpd.pt
• Telefone: (+351) 213 928 400
• Morada: Rua de São Bento, 148–3.º, 1200-821 Lisboa

Qualquer titular de dados tem o direito de apresentar reclamação junto da CNPD a qualquer momento, sem prejuízo de outros meios de recurso administrativo ou judicial.