Política RGPD Europa

1. Declaração de Conformidade com o RGPD

A Atomica está plenamente comprometida com o cumprimento do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD).

Como empresa estabelecida em Portugal (Estado-Membro da UE), aplicamos os mais elevados padrões de proteção de dados a todos os titulares de dados, independentemente da sua localização.

2. Identidade e Contactos do Responsável pelo Tratamento

3. Encarregado da Proteção de Dados (DPO)

De acordo com o Artigo 37.º do RGPD, atualmente não temos um Encarregado da Proteção de Dados (DPO) designado, uma vez que as nossas atividades de tratamento não exigem essa designação obrigatória.

Para todas as questões relacionadas com a proteção de dados pessoais, pode contactar-nos através dos contactos indicados na secção anterior. Comprometemo-nos a responder a todas as solicitações de forma atempada e profissional.

4. Finalidades e Fundamentos Jurídicos do Tratamento (Art. 6.º RGPD)

Processamos os seus dados pessoais apenas quando temos uma base jurídica válida. Abaixo, detalhamos cada finalidade de tratamento e o respetivo fundamento legal:

4.1 Execução de Contrato (Art. 6.º, n.º 1, alínea b)

Finalidades:

• Prestação de serviços de consultoria em IA e automação
• Fornecimento de programas de mentoria e formação
• Gestão de contas de cliente
• Processamento de pagamentos
• Comunicação sobre projetos em curso

4.2 Consentimento (Art. 6.º, n.º 1, alínea a)

Finalidades:

• Envio de newsletters e comunicações de marketing
• Utilização de cookies não essenciais (analíticos e de marketing)
• Contacto para pesquisas de satisfação e feedback

Direito de Revogação: Pode retirar o seu consentimento a qualquer momento, sem afetar a licitude do tratamento efetuado com base no consentimento previamente dado. Para tal, utilize o link de cancelamento de subscrição nos e-mails ou contacte-nos diretamente.

4.3 Interesses Legítimos (Art. 6.º, n.º 1, alínea f)

Finalidades:

• Prevenção de fraude e segurança da informação
• Análise de dados para melhoria de serviços
• Marketing direto para clientes existentes (soft opt-in)
• Gestão e organização interna

Efetuámos uma avaliação de ponderação de interesses (balancing test) para garantir que os nossos interesses legítimos não prejudicam indevidamente os seus direitos e liberdades.

4.4 Cumprimento de Obrigação Jurídica (Art. 6.º, n.º 1, alínea c)

Finalidades:

• Cumprimento de obrigações fiscais e contabilísticas
• Resposta a solicitações de autoridades públicas
• Arquivo para fins de prova

5. Categorias Especiais de Dados (Art. 9.º RGPD)

Não processamos categorias especiais de dados pessoais (dados sensíveis) tais como:

• Origem racial ou étnica
• Opiniões políticas
• Convicções religiosas ou filosóficas
• Filiação sindical
• Dados genéticos ou biométricos
• Dados relativos à saúde
• Dados relativos à vida sexual ou orientação sexual

Se, por qualquer motivo, precisarmos de processar tais dados, solicitaremos o seu consentimento explícito em separado, conforme exigido pelo Artigo 9.º do RGPD.

6. Direitos dos Titulares de Dados (Arts. 15.º a 22.º RGPD)

Enquanto titular de dados na UE/EEE, beneficia dos seguintes direitos ao abrigo do RGPD:

6.1 Direito de Acesso (Art. 15.º)

Tem o direito de obter confirmação sobre se estamos a tratar dados pessoais que lhe dizem respeito e, em caso afirmativo, acesso aos dados e às seguintes informações:

• Finalidades do tratamento
• Categorias de dados pessoais
• Destinatários dos dados
• Prazo de conservação
• Direitos disponíveis
• Fonte dos dados (se não tiverem sido recolhidos diretamente)

6.2 Direito de Retificação (Art. 16.º)

Tem o direito de obter, sem demora injustificada, a retificação de dados pessoais inexatos ou a completar dados incompletos.

6.3 Direito ao Apagamento ("Direito a Ser Esquecido") (Art. 17.º)

Pode solicitar o apagamento dos seus dados pessoais, sem demora injustificada, quando:

• Os dados já não são necessários para os fins que motivaram a sua recolha
• Retira o consentimento e não existe outro fundamento jurídico para o tratamento
• Opõe-se ao tratamento e não existem interesses legítimos prevalecentes
• Os dados foram tratados ilicitamente
• Os dados devem ser apagados para cumprir uma obrigação jurídica

Exceções: Este direito pode não se aplicar quando o tratamento for necessário para cumprimento de obrigação jurídica, exercício de direitos em ações judiciais ou interesse público.

6.4 Direito à Limitação do Tratamento (Art. 18.º)

Pode solicitar a limitação do tratamento quando:

• Contestar a exatidão dos dados (durante o período de verificação)
• O tratamento for ilícito, mas se opuser ao apagamento
• Precisar dos dados para ação judicial, mesmo que já não sejam necessários para nós
• Tiver exercido o direito de oposição (durante o período de verificação)

6.5 Direito à Portabilidade dos Dados (Art. 20.º)

Tem o direito de receber os dados pessoais que nos forneceu num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento, quando:

• O tratamento se basear no consentimento ou num contrato
• O tratamento for realizado por meios automatizados

6.6 Direito de Oposição (Art. 21.º)

Pode opor-se, a qualquer momento, ao tratamento dos seus dados pessoais quando:

• O tratamento se basear em interesses legítimos (Art. 6.º, n.º 1, alínea f)
• O tratamento tiver fins de marketing direto

No caso de oposição ao marketing direto, cessaremos imediatamente o tratamento para essa finalidade.

6.7 Direito de Não Ficar Sujeito a Decisões Individuais Automatizadas (Art. 22.º)

Tem o direito de não ficar sujeito a decisões baseadas exclusivamente no tratamento automatizado, incluindo definição de perfis, que produzam efeitos na sua esfera jurídica ou o afetem significativamente de forma similar.

Utilização de IA: Embora utilizemos ferramentas de IA (ChatGPT, Claude, Midjourney) na prestação dos nossos serviços, todas as decisões importantes são tomadas com intervenção humana. Não realizamos decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente os titulares de dados.

Como Exercer os Seus Direitos

Para exercer qualquer um dos direitos acima, contacte-nos através de:

• E-mail: pedro.armbrust@atomica.group ou suporte@atomica.group
• Correio: Rua Reinaldo Ferreira, 38, 2e, 1700-324 Alvalade, Lisboa, Portugal

Responderemos à sua solicitação sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por mais dois meses, se necessário, tendo em conta a complexidade e o número de pedidos. Nesse caso, informá-lo-emos da prorrogação dentro de um mês.

Verificação de Identidade: Para proteger a sua privacidade, podemos solicitar informações adicionais para verificar a sua identidade antes de processar o seu pedido.

7. Direito de Apresentar Reclamação a uma Autoridade de Controlo

Sem prejuízo de qualquer outro recurso administrativo ou judicial, tem o direito de apresentar reclamação a uma autoridade de controlo, em especial no Estado-Membro da sua residência habitual, do seu local de trabalho ou do local onde ocorreu a alegada infração, se considerar que o tratamento dos seus dados pessoais viola o RGPD.

Pode também contactar a autoridade de controlo do seu país de residência. Uma lista completa de autoridades de controlo na UE/EEE está disponível em: https://edpb.europa.eu/about-edpb/about-edpb/members_pt

8. Violações de Dados Pessoais (Notificação)

Conforme exigido pelo Artigo 33.º do RGPD, comprometemo-nos a:

• Notificar a CNPD: Em caso de violação de dados pessoais suscetível de implicar um risco para os seus direitos e liberdades, notificaremos a Comissão Nacional de Proteção de Dados no prazo de 72 horas após termos tido conhecimento da violação.
• Comunicação aos Titulares: Se a violação for suscetível de implicar um elevado risco para os seus direitos e liberdades, comunicaremos a violação diretamente a si, sem demora injustificada, em linguagem clara e simples.

Mantemos procedimentos documentados para detetar, reportar e investigar violações de dados pessoais, incluindo medidas para mitigar os seus efeitos adversos.

9. Transferências Internacionais de Dados

Como empresa estabelecida em Portugal (UE), os seus dados são primariamente armazenados e processados dentro do Espaço Económico Europeu (EEE).

No entanto, alguns dos nossos prestadores de serviços podem estar localizados fora da UE/EEE (por exemplo, fornecedores de serviços de cloud ou ferramentas de IA nos Estados Unidos). Quando isso ocorre, garantimos que são aplicadas salvaguardas adequadas, conforme exigido pelo Capítulo V do RGPD:

Mecanismos de Salvaguarda:

• Cláusulas Contratuais Padrão (SCCs): Utilizamos as Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914) para transferências de dados para países terceiros.
• Decisões de Adequação: Transferimos dados apenas para países que a Comissão Europeia reconheceu como proporcionando um nível adequado de proteção de dados.
• Avaliação de Impacto: Efetuamos avaliações de transferência (Transfer Impact Assessments - TIAs) conforme recomendado pelo Comité Europeu para a Proteção de Dados (EDPB).

Pode solicitar uma cópia das salvaguardas implementadas ou informações sobre onde foram disponibilizadas contactando-nos através dos meios indicados nesta política.

10. Conservação de Dados

Conservamos os seus dados pessoais apenas durante o período necessário para as finalidades para as quais foram recolhidos, incluindo para cumprimento de obrigações legais, contabilísticas e de reporte.

Para determinar o período de conservação adequado, consideramos:

• A quantidade, natureza e sensibilidade dos dados
• O risco potencial de danos decorrentes de utilização ou divulgação não autorizadas
• As finalidades para as quais tratamos os dados
• Obrigações legais aplicáveis (ex: 10 anos para dados fiscais em Portugal)

Após o termo do período de conservação, os dados serão apagados de forma segura ou anonimizados de forma irreversível.

11. Medidas de Segurança Técnicas e Organizativas (Art. 32.º RGPD)

Implementamos medidas técnicas e organizativas adequadas para garantir um nível de segurança apropriado ao risco, incluindo, conforme adequado:

Medidas Técnicas:

• Pseudonimização e cifragem de dados pessoais
• Capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas
• Capacidade de restabelecer a disponibilidade e o acesso aos dados de forma atempada em caso de incidente
• Processo para testar, apreciar e avaliar regularmente a eficácia das medidas
• Firewalls, sistemas de deteção de intrusão e antivírus
• Controlos de acesso baseados em funções (RBAC)
• Autenticação multifator (MFA)

Medidas Organizativas:

• Políticas de proteção de dados e privacidade documentadas
• Formação regular de colaboradores sobre proteção de dados
• Acordos de confidencialidade com todos os colaboradores e subcontratantes
• Procedimentos de resposta a incidentes de segurança
• Auditorias periódicas de segurança

12. Responsabilidade e Registos (Accountability)

Em conformidade com o princípio da responsabilidade (accountability) previsto no Artigo 5.º, n.º 2 do RGPD, mantemos documentação adequada para demonstrar o cumprimento das nossas obrigações, incluindo:

• Registo de Atividades de Tratamento: Mantemos registos das atividades de tratamento sob a nossa responsabilidade (Art. 30.º RGPD)
• Avaliações de Impacto sobre a Proteção de Dados (DPIA): Quando o tratamento for suscetível de implicar um elevado risco, realizamos DPIAs (Art. 35.º RGPD)
• Contratos com Subcontratantes: Todos os subcontratantes assinam acordos de tratamento de dados (Data Processing Agreements) conformes com o Art. 28.º RGPD

13. Atualização desta Política

Esta Política RGPD Europa pode ser atualizada periodicamente para refletir alterações nas nossas práticas ou nas obrigações legais. Encorajamo-lo a rever esta página regularmente.

Em caso de alterações substanciais que afetem os seus direitos, comunicaremos através de:

• Aviso destacado no nosso website
• E-mail direto (se tivermos o seu endereço)
• Outros meios apropriados

---

Esta Política RGPD Europa complementa a nossa Política de Privacidade geral e os nossos Termos e Condições. Para questões gerais sobre privacidade, consulte a Política de Privacidade principal.