Política de Privacidade

ULTIMATE KLOUD UNIPESSOAL LDA

NIPC: 519404670

Rua Dr. Francisco Sá Carneiro nº 371, Vila Nova de Paiva, Portugal

Contacto para proteção de dados: dpo@dotgrey.co

Esta política aplica-se à plataforma dotgrey IA, disponível em app.dotgrey.co, e às funcionalidades de CRM automóvel, assistência por IA, comunicações e WhatsApp Business operadas por ULTIMATE KLOUD UNIPESSOAL LDA.

Dados fornecidos diretamente por si

• Dados de identificação: nome, email e telefone
• Dados de conta: credenciais e preferências
• Dados empresariais: nome da empresa, NIPC e morada
• Dados de clientes, leads, contactos, veículos, negócios e processos introduzidos na plataforma
• Comunicações operacionais, incluindo suporte, email, inbox, WhatsApp, notas e feedback
• Documentos, anexos, comprovativos, contratos e fotografias associados às operações

Dados Google e Gmail

Quando um utilizador autorizado liga uma conta Gmail, a ULTIMATE KLOUD UNIPESSOAL LDA utiliza OAuth da Google e pode pedir permissões Gmail para identificar o endereço de email ligado, ler mensagens e metadados recebidos para a inbox da dotgrey IA, e enviar respostas a partir da conta ligada quando o utilizador ou um fluxo aprovado decide enviar um email.

Os dados Gmail podem incluir endereço da conta ligada, identificadores de mensagens e threads, cabeçalhos, remetentes, destinatários, assuntos, corpo das mensagens, datas, labels e metadados operacionais associados. Utilizamos estes dados apenas para funcionalidades visíveis de CRM, inbox, encaminhamento de leads, suporte, filtragem, automações aprovadas e resposta por email.

A ULTIMATE KLOUD UNIPESSOAL LDA não vende dados de utilizadores Google, não os utiliza para publicidade, não os utiliza para determinar elegibilidade de crédito ou financiamento, e não utiliza conteúdo Gmail para treinar modelos gerais de IA.

Os utilizadores podem desligar o Gmail nas definições da dotgrey IA e revogar o acesso nas permissões da Conta Google. Pedidos de eliminação podem ser enviados para privacy@dotgrey.co. A nossa utilização de informações recebidas das APIs da Google respeita a Google API Services User Data Policy, incluindo os requisitos de Limited Use.

Dados recolhidos automaticamente

• Endereço IP e informações do dispositivo
• Tipo de navegador e sistema operativo
• Dados de navegação, páginas visitadas e funcionalidades utilizadas
• Cookies e tecnologias similares, conforme a nossa Política de Cookies

Dados de conversas com IA

Quando utiliza funcionalidades assistidas por IA, podemos processar texto, instruções, contexto operacional, metadados de utilização e, em fluxos específicos, fotografias de veículos para executar a funcionalidade pedida, auditoria, segurança e melhoria operacional.

Sempre que viável, aplicamos minimização, pseudonimização, tokenização, validação humana e limitação por finalidade. Fluxos sensíveis de documentos são tratados localmente ou sujeitos a revisão manual quando apropriado.

Dados de terceiros introduzidos por clientes empresariais

Se utiliza a plataforma para gerir dados de clientes, leads, fornecedores, compradores, vendedores ou outros terceiros, normalmente atua como responsável pelo tratamento desses dados e nós atuamos como subcontratante para disponibilizar a plataforma. É sua responsabilidade garantir base legal adequada, informação e permissões necessárias.

Não vendemos os seus dados pessoais. Podemos partilhar informação apenas quando necessário com:

• Infraestrutura, autenticação, base de dados e armazenamento, como fornecedores cloud e Supabase
• Fornecedores de IA aprovados, como OpenAI, para funcionalidades específicas de apoio, resumo, geração, classificação e análise operacional
• Prestadores de comunicações, como Resend, Meta WhatsApp e Twilio, quando ativa esses canais
• Prestadores de pagamento e faturação, como Stripe
• Autoridades competentes, consultores e auditores quando exigido por lei ou necessário para defesa de direitos
• Parceiros ou integrações ativadas por si, apenas conforme a sua configuração ou autorização

Alguns prestadores podem operar no Espaço Económico Europeu, Reino Unido, Estados Unidos ou outros países. Quando os dados forem transferidos para fora do EEE, aplicamos salvaguardas adequadas e avaliamos a base legal da transferência.

• Decisões de adequação da Comissão Europeia
• Cláusulas contratuais-tipo aprovadas pela UE
• Certificações ou códigos de conduta aprovados

Se pretender mais informação sobre transferências relevantes para a sua conta, contacte privacy@dotgrey.co. Para titulares de dados na Suíça, aplicamos também princípios da nFADP/LPD.

Nos termos do RGPD, pode exercer os seguintes direitos:

Para exercer direitos, aceda às Definições de Privacidade na sua conta ou contacte dpo@dotgrey.co. Responderemos no prazo de 30 dias, conforme exigido pelo RGPD.

Implementamos medidas técnicas e organizativas adequadas para proteger os seus dados:

• Encriptação de dados em trânsito e em repouso
• Autenticação de dois fatores disponível
• Controlo de acessos baseado em funções
• Auditorias de segurança, backups seguros e planos de recuperação
• Formação em proteção de dados para colaboradores
• Minimização, redação ou tokenização em fluxos selecionados de IA
• Revisão humana e trilhos de auditoria para fluxos sensíveis

Utilizamos sistemas de inteligência artificial para assistência ao cliente, sugestões de resposta, resumos, classificação operacional, extração estruturada, apoio à produtividade, avaliação assistida de veículos e geração de conteúdo para marketing, vendas e comunicação.

Estas funcionalidades apoiam equipas humanas e não substituem revisão humana quando a decisão seja sensível, contratual, financeira ou juridicamente relevante. Nos termos do Art. 22.º do RGPD, não tomamos decisões unicamente automatizadas que produzam efeitos jurídicos ou o afetem significativamente sem supervisão humana aplicável.

Extensão de preenchimento de financiamento

A extensão DotGrey Financing Autofill ajuda utilizadores autorizados a transferir dados de pedidos de financiamento da dotgrey IA para formulários de portais bancários. A extensão não recolhe credenciais bancárias, não submete formulários finais e funciona apenas após sessão temporária criada pelo utilizador autenticado.

Quando é necessário classificar campos do portal, o pedido pode conter etiquetas, opções, placeholders e contexto visual do formulário. Não enviamos valores de clientes nem documentos carregados para a classificação por IA desses campos.

O nosso serviço não se destina a menores de 18 anos. Não recolhemos conscientemente dados de menores. Se souber que um menor nos forneceu dados pessoais, contacte-nos imediatamente para eliminarmos essa informação.

Podemos atualizar esta política periodicamente. Alterações significativas serão notificadas por email ou aviso na plataforma. A utilização continuada após a publicação constitui aceitação das alterações.

ULTIMATE KLOUD UNIPESSOAL LDA atua como responsável pelo tratamento para dados de conta, faturação, segurança, marketing próprio, gestão do website, suporte, analytics consentidos e cumprimento legal. Atua como subcontratante quando processa dados de clientes finais, leads, vendedores, compradores, colaboradores ou terceiros introduzidos pelo cliente empresarial para prestar a plataforma.

Quando atuamos como subcontratante, tratamos os dados segundo instruções documentadas do cliente, salvo obrigação legal. O cliente continua responsável por avisos de privacidade aos seus próprios contactos, bases legais, pedidos de titulares e configuração correta de permissões, retenção e integrações.

A plataforma não foi desenhada para recolher categorias especiais de dados em larga escala, dados criminais, dados de saúde, biométricos para identificação única ou dados de menores. Se o cliente carregar estes dados, deve garantir base legal específica, minimização, acesso restrito e medidas adicionais adequadas.

Documentos de identificação, comprovativos, contratos, extratos, fotografias, dados financeiros ou informações de crédito podem conter dados sensíveis ou altamente confidenciais. O cliente deve carregar apenas o necessário e remover ou ocultar informação excessiva sempre que possível.

Podemos utilizar fornecedores de alojamento, base de dados, autenticação, armazenamento, email, mensagens, pagamentos, análise, monitorização, IA, segurança, suporte e produtividade. Exigimos que fornecedores relevantes adotem medidas técnicas e organizativas adequadas e limitações contratuais proporcionais ao risco.

Sempre que um cliente ativar uma integração de terceiro, esse terceiro pode atuar como responsável independente, subcontratante do cliente ou subcontratante de ULTIMATE KLOUD UNIPESSOAL LDA, conforme o fluxo. O cliente deve consultar também os termos e políticas desses terceiros.

Podemos enviar comunicações transacionais, técnicas, de segurança, administrativas e de suporte. Comunicações promocionais de ULTIMATE KLOUD UNIPESSOAL LDA são enviadas apenas quando exista base legal adequada e podem ser recusadas através de link de cancelamento ou contacto direto.

Quando clientes usam a plataforma para contactar terceiros, o cliente é responsável por consentimentos, oposição, listas de exclusão, prova de opt-in, conteúdo, horários, regras de plataformas e obrigações de marketing direto aplicáveis.

Mantemos medidas para prevenir, detetar e responder a incidentes de segurança. Quando um incidente constituir violação de dados pessoais e existir obrigação legal, notificaremos clientes ou autoridades competentes conforme o papel aplicável, a informação disponível e os prazos legais.

Backups, logs e registos de segurança podem reter dados por períodos limitados mesmo após eliminação operacional, quando necessário para recuperação, integridade, prevenção de fraude, auditoria, defesa de direitos ou cumprimento legal.

Podemos pedir informação adicional para confirmar identidade, autoridade ou relação com uma organização antes de responder a pedidos de acesso, portabilidade, retificação, apagamento, oposição ou limitação. Pedidos manifestamente infundados, excessivos ou repetitivos podem ser recusados ou sujeitos a taxa quando permitido por lei.

Quando o pedido disser respeito a dados introduzidos por um cliente empresarial, poderemos encaminhar ou coordenar a resposta com esse cliente, por ser o responsável principal pelo tratamento.

Quando dados forem transferidos para fora do EEE, usamos mecanismos legalmente reconhecidos, como decisões de adequação, cláusulas contratuais-tipo, medidas suplementares, avaliações de fornecedor e controlos de acesso proporcionais ao risco.

Determinadas funcionalidades podem ser bloqueadas, limitadas ou sujeitas a revisão humana se a documentação de fornecedor, base de transferência, região, subcontratante ou avaliação de risco não for adequada ao fluxo pretendido.

Para proteger a plataforma, podemos tratar sinais técnicos, padrões de utilização, logs, endereços IP, identificadores de dispositivo, tentativas de autenticação, eventos de permissões, erros, auditoria de ações e metadados de integrações.

Estes tratamentos são necessários para segurança, prevenção de fraude, investigação de abuso, cumprimento de obrigações, defesa de direitos e manutenção da integridade do serviço.

Para questões sobre proteção de dados ou para exercer direitos, contacte dpo@dotgrey.co.