Esta é uma tradução de cortesia. A versão em inglês é a versão juridicamente prevalecente e, em caso de divergência, prevalece sobre esta tradução.
1. Introdução
A Nordix Systems ("Nordix Systems", "nós" ou "nosso") faz parte do grupo NCS (NCS — Nordic Compute System, operada pela Easy Drift AS, Noruega) e está empenhada em proteger a privacidade e os dados pessoais de todos os que interagem com o nosso sítio Web, plataformas, aplicações e Serviços. Esta Política de privacidade explica que dados recolhemos, como e por que os utilizamos, com quem os partilhamos e os direitos que tem sobre a sua informação.
Abrange o sítio Web nordixsystems.com e os Serviços — incluindo o Nordix BIOS, o Nordix POS, o Nordix Booking, a Nordix Loyalty, a app de consumo Nex, os serviços geridos da ION Consulting (ION Virtual Workers, FinanceFlow) e as nossas ferramentas de automação de marketing — juntamente com as suas API associadas.
2. Âmbito e o nosso papel
A Nordix Systems atua em diferentes papéis consoante os dados e o Serviço:
- Como responsável pelo tratamento, decidimos como e por que os dados pessoais são tratados para os nossos próprios fins — por exemplo, os dados recolhidos através deste sítio Web, dos formulários de contacto e de marcação de demonstração, das subscrições da newsletter, do registo de conta, da faturação e da segurança.
- Como subcontratante (ou subcontratante subsequente), tratamos dados pessoais por conta e segundo as instruções dos nossos clientes empresariais e Parceiros — por exemplo, os dados operacionais que circulam pelo Nordix BIOS, Nordix POS, Booking, programas de fidelização e os agentes de IA que atuam por conta de um cliente. Nesses casos, o cliente ou Parceiro é o responsável pelo tratamento e é quem deve assegurar a base jurídica do tratamento e o seu próprio aviso de privacidade aos utilizadores finais. Esse tratamento rege-se pelo nosso Acordo de Tratamento de Dados (DPA).
Esta Política descreve as nossas práticas enquanto responsável e explica, quando aplicável, como apoiamos clientes e Parceiros quando atuamos como subcontratantes.
3. Responsável pelo tratamento e contacto
O responsável pelo tratamento para efeitos do Regulamento Geral sobre a Proteção de Dados da UE (RGPD), do RGPD do Reino Unido, da Lei Geral de Proteção de Dados do Brasil (LGPD) e demais legislação de proteção de dados aplicável é:
Nordix Systems, parte da NCS — Nordic Compute System (operada pela Easy Drift AS, Noruega). Postal: Nordix Systems, ao cuidado do grupo NCS, Oslo, Noruega (morada completa mediante pedido).
Para qualquer questão de privacidade, contacte privacy@nordixsystems.com. O nosso contacto de Proteção de Dados é dpo@ncsengine.com.
4. Que dados recolhemos
Consoante os Serviços que utilizar, podemos recolher as seguintes categorias de dados pessoais:
Informação que fornece diretamente:
- Dados de contacto e identidade (nome, email profissional, empresa opcional, cargo, mensagem) submetidos através de formulários, registos ou interações de venda e apoio, incluindo a data e hora que escolhe ao marcar uma demonstração.
- Informação de conta e perfil quando se regista numa plataforma ou app.
- Dados de faturação (empresa, contacto de faturação, identificadores fiscais); os dados de cartões e instrumentos financeiros são recolhidos e tratados pelos nossos processadores de pagamentos, não sendo armazenados na íntegra por nós.
- Comunicações e conteúdo que submete, incluindo mensagens de apoio, pedidos de demonstração e comentários.
Informação gerada pela utilização dos Serviços:
- Registos de servidor e dados de utilização (URL do pedido, endereço IP (truncado), agente de utilizador, referenciador, código de resposta, tipo de navegador e dispositivo, páginas e funcionalidades utilizadas, marcas temporais). Os registos de servidor são conservados durante 30 dias para fins de segurança e planeamento de capacidade.
- Dados de conta, transação e operacionais, como reservas, encomendas, transações de POS e atividade de fidelização (pontos, níveis, ofertas, trocas, histórico de visitas) — normalmente tratados por conta de um cliente empresarial.
- Dados de conversa e prompts trocados com assistentes e agentes de IA em vários canais (chat, widget Web, email e, quando ativado, plataformas de mensagens como WhatsApp, Telegram e Instagram).
- Dados de chamadas de voz, incluindo gravações e transcrições, quando utilizar funcionalidades de voz/telefonia.
- Dados de contas ligadas e integrações, incluindo tokens de acesso e configuração dos serviços de terceiros que autorizar (POS, pagamentos, publicidade, mensagens, calendários, gestão de conteúdos, contabilidade e análise). As credenciais são armazenadas de forma segura e apresentadas mascaradas.
- Para a utilização B2B2C dos Parceiros, identificadores de utilizador final dos canais de mensagens (como um ID de utilizador específico do canal ou um número de telefone) necessários para encaminhar e autorizar interações.
- Dados de programador e de API, incluindo chaves de API e metadados dos pedidos.
- Análise Plausible — eventos de visualização de página anónimos, sem cookies e em conformidade com o RGPD: URL, país (geo-IP), referenciador, tipo de dispositivo. Sem identificadores pessoais e sem fingerprinting.
- Sinais antifraude e anti-bot (como o endereço IP e tokens CAPTCHA/anti-bot).
Informação de terceiros:
- Dados de contacto profissional de diretórios profissionais públicos para captação B2B, e dados das integrações e fornecedores que ligar.
5. Categorias especiais e dados sensíveis
Alguns Serviços podem ser utilizados por clientes profissionais para tratar informação que possa incluir categorias sensíveis (por exemplo, quando a operação de um cliente envolva dados de saúde ou de natureza jurídica). Nesses casos, a Nordix Systems atua normalmente como subcontratante por conta do cliente, que é responsável por estabelecer uma base jurídica (incluindo qualquer consentimento explícito ou base de sigilo profissional exigido) e pelos seus próprios avisos aos titulares dos dados. Aplicamos salvaguardas técnicas e organizativas reforçadas a esses dados e tratamo-los apenas para prestar o Serviço. Não procuramos recolher dados de categorias especiais através da nossa própria atividade de marketing ou do sítio Web.
6. Como utilizamos os seus dados
Quando atuamos como responsável, tratamos os dados pessoais para:
- Prestação do serviço: fornecer, operar, proteger e manter o nosso sítio Web, plataformas, modelos de IA, agentes e aplicações.
- Contas e faturação: criar e gerir contas, processar subscrições e pagamentos (através de processadores) e prevenir a fraude nos pagamentos.
- Comunicação: responder ao seu pedido, manter um registo do pedido no nosso pipeline comercial, enviar notificações de serviço e transacionais e prestar apoio. Podemos contactá-lo por email até duas vezes para dar seguimento a um pedido.
- Melhoria: analisar a utilização para melhorar as nossas plataformas, funcionalidades, modelos e documentação, usando dados agregados ou desidentificados quando viável.
- Segurança e prevenção de abusos: detetar, prevenir e responder a incidentes de segurança, fraude, abuso e problemas técnicos (limitação de taxa, spam, abuso automatizado).
- Cumprimento legal: cumprir a legislação, a regulamentação e os pedidos legítimos aplicáveis.
- Marketing: com o seu consentimento ou conforme permitido, enviar informação relevante sobre produtos e serviços do grupo NCS. Pode cancelar a subscrição a qualquer momento.
Quando atuamos como subcontratante, tratamos os dados pessoais apenas para prestar os Serviços em conformidade com as instruções documentadas do cliente ou Parceiro e com o DPA.
7. Bases jurídicas do tratamento
Ao abrigo do RGPD, do RGPD do Reino Unido e de normas equivalentes (incluindo a LGPD), baseamo-nos em:
- Necessidade contratual: o tratamento necessário para prestar os Serviços que solicitou ou contratou.
- Interesse legítimo: melhorar e proteger os nossos Serviços e realizar marketing B2B, desde que estes interesses não prevaleçam sobre os seus direitos fundamentais.
- Consentimento: quando tiver dado um consentimento claro para atividades específicas (por exemplo, certo marketing ou o tratamento de categorias especiais). Pode retirar o consentimento a qualquer momento.
- Obrigação legal: quando o tratamento for necessário para cumprir a lei aplicável.
8. IA e tratamento automatizado
Vários Serviços baseiam-se em inteligência artificial, incluindo fornecedores de modelos de IA terceiros contratados como subcontratantes.
- Sem treino com os seus dados sem consentimento: não utilizamos os Dados do Cliente para treinar modelos de IA partilhados ou de base, e os nossos subcontratantes de IA (como a OpenAI e a Anthropic) são contratados ao abrigo de acordos que proíbem o uso do seu conteúdo para treinar os seus modelos, salvo se der uma instrução ou consentimento expressos.
- Subcontratantes de IA: o conteúdo de conversas e prompts pode ser transmitido a fornecedores de modelos de IA exclusivamente para gerar respostas e executar as tarefas que solicitar.
- Ações automatizadas dos agentes: quando os agentes de IA (como o Nordix BIOS ou os ION Virtual Workers) atuam por conta de um cliente, essas ações seguem a configuração do cliente, com um registo de auditoria disponível. Os clientes são responsáveis por manter a supervisão humana das ações de alto impacto.
- Decisões automatizadas: não utilizamos os Serviços para tomar decisões que produzam efeitos jurídicos ou similarmente significativos sobre si baseadas exclusivamente em tratamento automatizado sem as devidas garantias. Quando há definição de perfis (por exemplo, segmentação de fidelização ou ofertas personalizadas), é operada pelo negócio relevante ou por sua conta e está sujeita aos seus direitos aplicáveis.
9. Pagamentos e dados financeiros
Quando paga por um Serviço, ou quando os Serviços facilitam pagamentos em estabelecimento ou de marketplace, os dados de cartões e instrumentos financeiros são recolhidos e tratados por processadores de pagamentos externos licenciados e em conformidade com a norma PCI-DSS (como Stripe, Adyen, MercadoPago e PayPal). Recebemos apenas dados de transação limitados (como uma referência tokenizada, os últimos dígitos de um cartão, o contacto de faturação e o estado do pagamento) necessários para a faturação, a contabilidade, a prevenção de fraude e o apoio. Não armazenamos números completos de cartão nos nossos sistemas.
10. Cookies e rastreio
O nosso sítio Web utiliza cookies e tecnologias semelhantes apenas para:
- Funções essenciais: gestão de sessão, segurança e tokens anti-bot (como CAPTCHA).
- Análise: utilizamos a Plausible — análise respeitadora da privacidade e sem cookies — para compreender como os visitantes interagem com o sítio Web.
Não utilizamos cookies de marketing ou de publicidade e não existe rastreio publicitário entre sítios neste sítio Web. Não existe banner de consentimento porque não existem rastreadores sujeitos a consentimento. Pode gerir as suas preferências nas definições do navegador.
11. Partilha de dados, subcontratantes e transferências
Não vendemos dados pessoais. Podemos partilhar dados com:
- Fornecedores de infraestrutura e alojamento que operam ao abrigo de acordos de tratamento de dados.
- Prestadores de serviços e subcontratantes que apoiam em análise, entrega de email e mensagens, telefonia/SMS, pagamentos, tratamento por modelos de IA e apoio ao cliente, cada um vinculado por obrigações contratuais de confidencialidade e proteção de dados.
- Serviços de terceiros que ligar (POS, pagamentos, publicidade, mensagens, calendários, gestão de conteúdos e contabilidade), aos quais enviamos dados conforme necessário para prestar os Serviços que configurar.
- Afiliadas do grupo NCS, para operar e apoiar os Serviços.
- Autoridades legais, quando exigido por lei, decisão judicial ou para estabelecer, exercer ou defender direitos legais.
- Transmissões empresariais, no âmbito de uma fusão, aquisição ou venda de ativos, sujeitas a esta política.
Mantemos uma lista atualizada de subcontratantes — consulte a lista de subcontratantes. Quando os dados são transferidos para fora do Espaço Económico Europeu (EEE) ou do Reino Unido, asseguramos salvaguardas adequadas, incluindo decisões de adequação da Comissão Europeia ou Cláusulas Contratuais-Tipo (CCT), juntamente com medidas suplementares quando necessário.
12. Conservação dos dados
Conservamos os dados pessoais apenas pelo tempo necessário para cumprir as finalidades descritas nesta política, salvo se a lei exigir ou permitir um período de conservação mais longo.
| Dados | Conservação |
|---|---|
| Submissão de formulário armazenada como email | 24 meses a partir da submissão |
| Registos de comunicações | Até 3 anos |
| Análise anónima | 36 meses em agregado |
| Registos de servidor | 30 dias |
| Dados de conta | Duração da relação comercial mais até 5 anos para fins legais e de auditoria |
| Dados operacionais e de conversa do tenant | Conforme definido no seu DPA — tipicamente o prazo de subscrição ativo mais 90 dias de retenção de cópias de segurança |
Pode solicitar a eliminação a qualquer momento, sujeito às obrigações legais de conservação e, quando atuamos como subcontratantes, às instruções do cliente responsável.
13. Os seus direitos
Ao abrigo do RGPD, do RGPD do Reino Unido, da LGPD e demais legislação de proteção de dados aplicável, pode ter o direito a:
- Aceder aos dados pessoais que detemos a seu respeito e obter uma cópia.
- Retificar dados inexatos ou incompletos.
- Eliminar os seus dados ("direito a ser esquecido") quando aplicável, sujeito a obrigações legais de conservação.
- Limitar ou opor-se ao tratamento em determinadas circunstâncias, incluindo a comercialização direta.
- Portabilidade dos dados — receber os seus dados num formato estruturado e legível por máquina.
- Retirar o consentimento a qualquer momento quando o tratamento se baseie nele.
- Apresentar reclamação junto da sua autoridade local de proteção de dados (Espanha: AEPD; Portugal: CNPD; Brasil: ANPD; Noruega: Datatilsynet; Reino Unido: ICO).
Para exercer estes direitos, contacte privacy@nordixsystems.com. Responderemos no prazo exigido pela lei aplicável (geralmente em 30 dias). Quando tratamos os seus dados por conta de um cliente ou Parceiro (como subcontratantes), encaminharemos o seu pedido para esse responsável e ajudá-lo-emos a responder.
14. Medidas de segurança
Implementamos medidas técnicas e organizativas padrão do setor para proteger os seus dados, incluindo:
- Cifragem em trânsito (TLS) e em repouso (AES-256).
- Controlos de acesso baseados em funções e princípio do menor privilégio.
- Isolamento multi-tenant, registo de auditoria e segredos armazenados num vault/KMS gerido.
- Avaliações de segurança periódicas.
- Procedimentos de resposta a incidentes e de notificação de violações em conformidade com os artigos 33.º/34.º do RGPD e normas equivalentes.
Comunique qualquer suspeita de incidente de segurança a security@nordixsystems.com.
15. Onde armazenamos os dados
Por defeito, todos os dados são armazenados dentro da União Europeia (região da Irlanda ou de Estocolmo, consoante o serviço). Para clientes fora da UE podemos negociar uma residência diferente. Podemos servir utilizadores no EEE, no Reino Unido, na Noruega, no Brasil e noutros locais; para utilizadores no Brasil tratamos os dados pessoais em conformidade com a LGPD, para utilizadores no Reino Unido em conformidade com o RGPD do Reino Unido, e para utilizadores no EEE e na Noruega em conformidade com o RGPD e a legislação norueguesa de aplicação.
16. Privacidade de menores
Os nossos Serviços destinam-se a utilização empresarial e profissional e não se dirigem a menores de 16 anos (ou a idade aplicável na sua jurisdição). Não recolhemos conscientemente dados pessoais de menores. Se acreditar que recolhemos inadvertidamente esses dados, contacte-nos para que possamos tomar as medidas adequadas.
17. Ligações e serviços de terceiros
O nosso sítio Web e os nossos Serviços podem ligar ou integrar-se com sítios e serviços de terceiros que não controlamos. Esta Política de privacidade não se aplica a esses terceiros e não somos responsáveis pelas suas práticas de privacidade. Recomendamos que reveja os avisos de privacidade de qualquer serviço de terceiros que utilize ou ligue.
18. Alterações a esta política
Podemos atualizar esta Política de privacidade periodicamente para refletir alterações nas nossas práticas, Serviços ou requisitos legais. Publicaremos a política atualizada com uma data de entrada em vigor revista e, quando as alterações forem substanciais, daremos aviso adicional através dos Serviços ou por email; as alterações substanciais são também anunciadas no topo desta página e datadas.
19. Contacto
Se tiver questões sobre esta Política de privacidade ou as nossas práticas de dados, contacte:
- Pedidos sobre privacidade: privacy@nordixsystems.com
- Contacto de Proteção de Dados: dpo@ncsengine.com
- Incidentes de segurança: security@nordixsystems.com
- Postal: Nordix Systems, ao cuidado do grupo NCS, Oslo, Noruega (morada completa mediante pedido)
Tem também o direito de apresentar reclamação junto da sua autoridade local de proteção de dados (por exemplo, a AEPD espanhola, a CNPD portuguesa, a ANPD brasileira, a Datatilsynet norueguesa ou a ICO do Reino Unido) se acreditar que os seus dados foram tratados em violação da lei aplicável.
Esta política foi atualizada pela última vez em 2026-06-21. As alterações substanciais são anunciadas no topo desta página e datadas.
