Pular para o conteúdo principal

POLÍTICA DE PRIVACIDADE

1. RESPONSÁVEL PELO TRATAMENTO

A KINMU DIGITAL S.L., sociedade constituída ao abrigo da lei espanhola, com sede em Calle Teide, 4, 28703 Madrid, Espanha, e CIF B24996803, atua como responsável pelo tratamento de dados pessoais nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e da Lei Orgânica 3/2018, de 5 de dezembro, sobre a proteção de dados pessoais e garantia dos direitos digitais. Para exercer os direitos relacionados com a proteção de dados, pode contactar o DPO da Kinmu em dpo@kinmu.app.

2. NATUREZA DO TRATAMENTO E CATEGORIAS DE DADOS

A Kinmu trata dados pessoais decorrentes do acesso e da utilização da plataforma Kinmu (https://kinmu.app) e das suas aplicações móveis associadas. O tratamento é realizado para o propósito específico de: (i) fornecer funcionalidades de registo de ponto e presença; (ii) gerir pedidos de ausência, licença e descanso; (iii) manter informações de equipa, departamento e estrutura organizacional; (iv) gerar relatórios de presença e horários; (v) fornecer assistência através de chat de inteligência artificial; (vi) cumprir obrigações legais de registo do tempo de trabalho de acordo com a legislação laboral espanhola; (vii) detetar e prevenir fraude, falsificação de dados ou conduta fraudulenta no controlo de presenças; (viii) garantir a segurança e disponibilidade técnica da plataforma; (ix) comunicar com os utilizadores sobre a sua conta, alterações de políticas, atualizações de serviço ou suporte técnico; (x) analisar tendências de utilização e operação técnica apenas em forma anonimizada.

Os dados pessoais tratados incluem: nome completo, endereço de e-mail, número de colaborador atribuído pela empresa cliente, registos de entrada e saída (data, hora, dispositivo utilizado), histórico de ausências e respetivo tipo (doença, licença, férias, etc.), dias de descanso semanal, horário contratual, departamento e equipa de atribuição, foto de perfil se fornecida pelo utilizador, informações de contacto (telefone opcional) e dados técnicos de sessão (endereço IP anonimizado, navegador, dispositivo, carimbo temporal de acesso).

Se o utilizador optar por funcionalidades específicas, também são tratados: conteúdo de conversas com o chat de inteligência artificial, dados de validação através de QR code ou biometria (reconhecimento facial) se essa funcionalidade for implementada, e dados de localização apenas se o utilizador autorizar explicitamente a função de registo geolocalizado.

A Kinmu não recolhe, solicita ou trata: coordenadas GPS exatas do dispositivo, a menos que a empresa cliente ative explicitamente o controlo de presenças geolocalizado; histórico de navegação fora da plataforma; histórico de comunicações ou dados de terceiros sem consentimento; dados biométricos como impressões digitais ou reconhecimento da íris, a menos que a funcionalidade opcional de reconhecimento facial esteja implementada; dados de saúde, dados genéticos ou dados que revelem origem étnica, opiniões políticas, crenças religiosas, filiação sindical ou vida sexual do utilizador.

3. BASE JURÍDICA DO TRATAMENTO

O tratamento de dados pessoais realizado pela Kinmu baseia-se nas seguintes bases jurídicas, de acordo com os artigos 6 e 9 do Regulamento (UE) 2016/679:

Artigo 6.1.a) - Consentimento: a Kinmu trata dados de registo de entrada e saída, histórico de ausências e dados de departamento com base no consentimento explícito fornecido pelo utilizador ao criar a sua conta e aceitar estes Termos e Política de Privacidade. O utilizador pode revogar esse consentimento a qualquer momento contactando dpo@kinmu.app, sendo a revogação efetiva a partir desse pedido sem afetar a legalidade do tratamento anterior.

Artigo 6.1.c) - Cumprimento de obrigação legal: a Kinmu trata dados para cumprir obrigações decorrentes do Estatuto dos Trabalhadores, do Real Decreto 1619/2012 sobre registo de horas de trabalho, regulamentos da Segurança Social e outras obrigações de registo de horário que recaem sobre empresas espanholas. Estes tratamentos são obrigatórios por lei, sendo a revogação impossível sem violar obrigações legais da empresa cliente.

Artigo 6.1.f) - Interesse legítimo: a Kinmu trata dados para deteção de fraude no controlo de presenças, deteção de registos de horários falsificados, investigação de condutas potencialmente fraudulentas, segurança técnica da plataforma contra ciberataques, melhoria técnica da disponibilidade e funcionamento da plataforma em forma anonimizada e cumprimento dos direitos legais da Kinmu em processos administrativos ou judiciais. Estes tratamentos baseiam-se em interesse legítimo predominante, com o utilizador informado e com direito de oposição.

Artigo 9 - Dados especiais: no caso excecional de o utilizador fornecer dados de saúde (por exemplo, para justificar uma ausência médica), a Kinmu trata-os apenas com consentimento explícito separado e exclusivamente para fins de gestão de ausências da empresa cliente, não sendo utilizados para outros fins.

4. SUBCONTRATANTES E TRANSFERÊNCIAS INTERNACIONAIS

4.1 Autorização geral para utilização de subcontratantes

O utilizador autoriza expressamente a Kinmu a nomear subcontratantes para a prestação de serviços específicos, em conformidade com o artigo 28 do Regulamento (UE) 2016/679 (RGPD).

A Kinmu declara ter realizado a devida diligência na seleção dos subcontratantes listados abaixo, verificando que oferecem garantias suficientes para aplicar medidas técnicas e organizacionais adequadas de modo a que o tratamento esteja em conformidade com os requisitos do RGPD.

O utilizador reconhece e aceita que:

  • O recurso a subcontratantes é necessário para a prestação do serviço.
  • A Kinmu assinou ou aderiu aos respetivos Acordos de Tratamento de Dados (DPA) com cada subcontratante.
  • Os subcontratantes são responsáveis pelo cumprimento das suas próprias obrigações de proteção de dados.

4.2 Lista atual de subcontratantes

Subcontratante Função Localização do servidor Transferências internacionais
DigitalOcean, LLC Hospedagem e infraestrutura cloud Frankfurt, Alemanha (UE) Não aplicável
Mistral AI Assistente conversacional (chat IA) Paris, França (UE) Não aplicável
Anthropic PBC Geração de políticas da empresa com IA Estados Unidos SCC + DPF
Resend, Inc. Entrega de emails transacionais União Europeia Não aplicável
Stripe Payments Europe, Ltd. Processamento de pagamentos Irlanda (UE) Não aplicável
PostHog, Inc. Análise de uso do produto Frankfurt, Alemanha (UE) Não aplicável

4.3 Detalhes dos subcontratantes

DigitalOcean, LLC

Mistral AI

  • Nome da empresa: Mistral AI
  • Endereço: 15 rue des Halles, 75001 Paris, França
  • Função: fornecedor do modelo de inteligência artificial para o assistente conversacional Kinmu. Processa conversas do chat para gerar respostas contextuais sobre horários, ausências e perguntas dos utilizadores.
  • Servidor: Paris, França (UE)
  • Dados tratados: conteúdo das conversas com o assistente de IA.
  • Garantias: DPA em conformidade com o RGPD. A Mistral AI compromete-se contratualmente a não utilizar dados dos utilizadores para treinar os seus modelos. Os dados permanecem na União Europeia e não são transferidos para países terceiros.
  • Privacy Policy: https://mistral.ai/terms/

Anthropic PBC

  • Nome da empresa: Anthropic PBC
  • Endereço: 548 Market St, San Francisco, CA 94104, Estados Unidos
  • Função: fornecedor do modelo de inteligência artificial Claude, usado exclusivamente para a funcionalidade de configuração de políticas da empresa através de linguagem natural. Processa instruções dos administradores para gerar configurações de políticas laborais.
  • Servidor: Estados Unidos
  • Dados tratados: instruções de configuração de políticas fornecidas pelos administradores. Dados pessoais dos utilizadores não são processados por este serviço.
  • Garantias: Cláusulas Contratuais Padrão (SCC) da Comissão Europeia; certificação no Data Privacy Framework (DPF) UE-EUA. A Anthropic compromete-se contratualmente a não utilizar dados para treinar modelos.
  • Privacy Policy: https://www.anthropic.com/privacy

Resend, Inc.

  • Nome da empresa: Resend, Inc.
  • Endereço: 2261 Market Street #4324, San Francisco, CA 94114, Estados Unidos
  • Função: envio de e-mails transacionais incluindo confirmação de registo, recuperação de palavra-passe, notificações de alterações e avisos administrativos.
  • Servidor: União Europeia
  • Dados tratados: endereço de e-mail e nome do destinatário.
  • Garantias: DPA em conformidade com o RGPD; infraestrutura alojada na UE.
  • Privacy Policy: https://resend.com/legal/privacy-policy

Stripe Payments Europe, Ltd.

  • Nome da empresa: Stripe Payments Europe, Limited
  • Endereço: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irlanda
  • Função: processamento seguro de pagamentos com cartão e gestão de subscrições.
  • Servidor: Irlanda (UE)
  • Dados tratados: dados de faturação e método de pagamento.
  • Garantias: DPA em conformidade com o RGPD; certificação PCI-DSS Nível 1; SOC 2 Type II. A Kinmu não armazena, processa nem tem acesso a dados completos de cartão de crédito; a Stripe é a única responsável por esses dados sensíveis.
  • Privacy Policy: https://stripe.com/es/privacy
  • Sub-processor list: https://stripe.com/es/legal/service-providers

PostHog, Inc.

  • Nome da empresa: PostHog, Inc.
  • Endereço: 2261 Market Street #4008, San Francisco, CA 94114, Estados Unidos
  • Função: análise de utilização do produto para melhorar a experiência do utilizador.
  • Servidor: Frankfurt, Alemanha (UE)
  • Dados tratados: dados de navegação anonimizados, eventos de utilização da plataforma. O PostHog está configurado para não recolher dados pessoais identificáveis.
  • Garantias: DPA em conformidade com o RGPD; infraestrutura cloud UE alojada na Alemanha; SOC 2 Type II.
  • Privacy Policy: https://posthog.com/privacy

Fornecedores de medição do site público

O site público de marketing também pode utilizar, sujeito ao consentimento de cookies, Google Tag Manager e Google Analytics 4 (Google), Meta Pixel e, se configurado no futuro, TikTok Pixel. Estes fornecedores são usados apenas para medir fontes de tráfego, visualizações de página, cliques em CTA e conversões publicitárias no site público. Não são usados para tratar registos autenticados de controlo horário dentro da aplicação Kinmu.

4.4 Garantias de segurança dos subcontratantes

A Kinmu exige contratualmente a todos os seus subcontratantes que cumpram medidas de segurança adequadas, incluindo:

  • Encriptação de dados em trânsito via TLS 1.2 ou superior.
  • Encriptação de dados em repouso via AES-256 ou equivalente.
  • Controlos de acesso baseados em funções e princípio do menor privilégio.
  • Auditorias de segurança periódicas e certificações reconhecidas (SOC 2, ISO 27001).
  • Procedimentos documentados de resposta a incidentes.
  • Compromissos de notificação de violações de segurança dentro de prazos compatíveis com o RGPD.

4.5 Transferências internacionais de dados

Os dados dos utilizadores residem principalmente na União Europeia. Para serviços que envolvem transferências para os Estados Unidos, a Kinmu assegura um nível adequado de proteção através de:

  • Cláusulas Contratuais Padrão (SCC): módulos aprovados pela Decisão de Execução (UE) 2021/914 da Comissão.
  • Data Privacy Framework (DPF): para fornecedores certificados no âmbito do Data Privacy Framework UE-EUA.
  • Avaliações de Impacto da Transferência (TIA): a Kinmu realizou as avaliações necessárias para verificar que as garantias oferecidas são eficazes na prática.

A Kinmu não realiza transferências internacionais de dados fora do âmbito dos subcontratantes indicados nesta política.

4.6 Modificação dos subcontratantes

A Kinmu reserva-se o direito de adicionar, substituir ou remover subcontratantes quando necessário para a prestação do serviço, desde que:

  • O novo subcontratante ofereça garantias equivalentes ou superiores às do subcontratante substituído.
  • Os utilizadores sejam notificados com pelo menos trinta (30) dias de antecedência através de uma atualização desta Política de Privacidade e, se aplicável, por e-mail.
  • Seja celebrado o Acordo de Tratamento de Dados correspondente com o novo subcontratante.

O utilizador que não concordar com a incorporação de um novo subcontratante pode exercer o direito de oposição contactando dpo@kinmu.app dentro de quinze (15) dias após a notificação. Se a oposição for fundamentada e o serviço não puder ser prestado sem esse subcontratante, o utilizador pode rescindir o contrato sem penalidade.

4.7 Responsabilidade relativa aos subcontratantes

A Kinmu será responsável perante o utilizador pelo cumprimento das obrigações de proteção de dados dos seus subcontratantes, conforme previsto no artigo 28.4 do RGPD. Contudo, a Kinmu não será responsável por:

  • Incumprimentos dos subcontratantes que excedam as instruções documentadas da Kinmu.
  • Decisões autónomas dos subcontratantes que contrariem o DPA assinado.
  • Violações de segurança nos sistemas dos subcontratantes que não tenham sido comunicadas à Kinmu em tempo útil.

Em todo o caso, a responsabilidade da Kinmu será limitada conforme estabelecido nos Termos e Condições do serviço.

4.8 Aviso relativo aos serviços de inteligência artificial

O utilizador reconhece e aceita expressamente que:

  • As respostas geradas pelos serviços de inteligência artificial (Mistral AI, Anthropic) são indicativas e não constituem aconselhamento jurídico, laboral ou profissional.
  • A Kinmu não garante a exatidão, completude ou adequação das respostas geradas por IA para qualquer finalidade específica.
  • O utilizador é o único responsável por verificar e validar qualquer configuração de política ou informação fornecida pelo assistente de IA antes de a aplicar.
  • Os fornecedores de IA tratam dados exclusivamente para gerar respostas em tempo real e comprometem-se contratualmente a não utilizar esses dados para treinar os seus modelos.

5. PRAZO DE CONSERVAÇÃO DOS DADOS

A Kinmu conserva dados pessoais por períodos específicos determinados por obrigação legal, necessidade operacional ou cumprimento contratual. Após o período de conservação estabelecido, os dados são eliminados de forma segura através de destruição criptográfica ou eliminação física dos suportes.

Os dados de controlo de presenças e registo de horas de trabalho são conservados durante quatro anos após a sua criação, período exigido pela legislação espanhola de inspeção do trabalho em conformidade com as normas da segurança social.

Os dados de pedidos de ausência, licença e descanso são conservados durante quatro anos a partir da data de conclusão da ausência, sendo necessários para justificar perante as autoridades laborais a legalidade do registo de horas de trabalho.

Os dados de estrutura organizacional, equipa, departamento e hierarquia são conservados enquanto a empresa cliente é utilizadora ativa da plataforma, sendo eliminados trinta dias após o cancelamento da subscrição.

Os dados das conversas do chat de inteligência artificial são conservados durante seis meses a partir da conversa e eliminados automaticamente sem intervenção do utilizador. O utilizador pode solicitar a eliminação imediata das conversas contactando dpo@kinmu.app.

Os dados técnicos de sessão (endereço IP anonimizado, navegador, carimbo temporal) são conservados durante trinta dias para análise de segurança e deteção de padrões de ataque.

Os dados de utilizadores eliminados são conservados em forma anonimizada durante dois anos para análise estatística da utilização da plataforma de forma que não permita a identificação direta ou indireta da pessoa.

Os dados relativos a procedimentos administrativos, litígios ou investigações de fraude são conservados durante a duração do procedimento mais seis anos, em conformidade com os prazos de prescrição.

6. MEDIDAS DE SEGURANÇA

A Kinmu implementa medidas técnicas, organizacionais e legais para garantir a proteção de dados pessoais contra acesso não autorizado, divulgação acidental ou intencional, alteração, destruição ou dano. As medidas de segurança incluem: cifragem de dados em trânsito via protocolo TLS (Transport Layer Security) versão 1.3 ou superior para todas as comunicações entre cliente e servidores Kinmu; cifragem de dados em repouso via algoritmo AES-256 para todos os registos armazenados em bases de dados; hash irreversível via algoritmo bcrypt para armazenamento de passwords, impossibilitando a recuperação das passwords originais; segmentação de rede via firewalls, com acesso a dados restrito a sistemas autorizados; autenticação multifator opcional para utilizadores, com possibilidade de ativar segundo fator através de aplicação autenticadora; controlo de acesso baseado em funções (RBAC) limitando o acesso a dados apenas a pessoal autorizado da Kinmu; auditoria de acessos através de logging detalhado de todas as operações sobre dados sensíveis com timestamp, utilizador responsável e ação realizada; resposta a incidentes de segurança com protocolo de escalada para o responsável de segurança em tempo real.

Os cookies e tokens de autenticação são transmitidos com atributos de segurança: flag HttpOnly que impede a leitura via JavaScript e elimina vetores de ataque XSS; flag Secure que limita a transmissão a ligações HTTPS encriptadas; atributo SameSite que impede o envio de cookies entre sites e elimina vetores de ataque CSRF; expiração automática da sessão após trinta minutos de inatividade; renovação automática dos tokens JWT a cada seis horas.

O acesso administrativo à infraestrutura é protegido por autenticação de dois fatores, tornando impossível o acesso com uma única credencial; hosts bastion intermédios para acesso aos servidores de base de dados; proibição absoluta de armazenar credenciais no código fonte ou na configuração da aplicação; auditoria de todos os acessos administrativos.

7. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS

Se a Kinmu detetar uma Violação de Dados que comprometa os dados pessoais dos utilizadores, incluindo acesso não autorizado, divulgação acidental, alteração ou destruição de dados, a Kinmu procederá em conformidade com o artigo 33 do Regulamento (UE) 2016/679. A Kinmu notificará a Autoridade de Controlo de Proteção de Dados (Agência Espanhola de Proteção de Dados - AEPD) dentro de setenta e duas (72) horas após a deteção da violação. A Kinmu fornecerá à AEPD: uma descrição da natureza da violação, uma estimativa do número de pessoas afetadas, uma descrição dos dados comprometidos, as prováveis consequências da violação, as medidas adotadas para conter a violação e as medidas propostas para mitigar o impacto.

Se a violação de segurança apresentar um risco elevado para os direitos e liberdades dos utilizadores (incluindo risco de discriminação, dano financeiro, roubo de identidade ou divulgação pública de dados sensíveis), a Kinmu notificará o utilizador afetado sem demora injustificada por e-mail para o endereço registado, em linguagem clara e compreensível. A notificação incluirá: uma descrição da natureza da violação, o tipo de dados comprometidos, as medidas técnicas adotadas para contenção, as medidas recomendadas ao utilizador para autoprotecção, e uma referência de contacto na Kinmu para consultas adicionais (dpo@kinmu.app).

A Kinmu manterá um registo documentado de todas as violações de segurança, mesmo que não requeiram notificação devido a baixo risco, com o registo disponível para revisão pela AEPD em caso de investigação.

8. DIREITOS DO UTILIZADOR

Em conformidade com os artigos 15 a 22 do Regulamento (UE) 2016/679, o utilizador tem reconhecidos os seguintes direitos sobre os seus dados pessoais:

Direito de acesso (Artigo 15): o utilizador tem o direito de obter confirmação sobre se a Kinmu trata os seus dados pessoais e, em caso afirmativo, receber uma cópia desses dados em formato estruturado, de uso comum e legível por máquina, sendo um direito exercível uma vez por mês civil sem custos. O utilizador que deseje exercer o direito de acesso deve contactar dpo@kinmu.app indicando "Pedido de Acesso nos termos do Artigo 15 do RGPD", sendo a Kinmu responsável por fornecer uma cópia completa dos dados no prazo máximo de trinta dias.

Direito de retificação (Artigo 16): o utilizador tem o direito de solicitar a correção de dados incorretos ou incompletos. O utilizador pode atualizar a informação do perfil diretamente na plataforma (nome, e-mail, fotografia), sendo as alterações efetivas de imediato. Os dados de registo de assiduidade não são retificáveis pelo próprio utilizador, mas sim pelo administrador da empresa cliente ou mediante pedido ao suporte da Kinmu.

Direito ao apagamento (Artigo 17): o utilizador tem o direito de solicitar a eliminação dos seus dados pessoais em circunstâncias específicas, incluindo quando os dados já não são necessários para as finalidades para as quais foram recolhidos, quando o utilizador revoga o consentimento em que se baseia o tratamento, ou quando o tratamento é ilícito. No entanto, a Kinmu pode reter dados se existir obrigação legal de retenção (cumprimento da legislação laboral) ou interesse legítimo prevalecente (defesa de direitos legais em litígio). O utilizador que deseje exercer o direito ao apagamento deve contactar dpo@kinmu.app, sendo a Kinmu responsável por avaliar a procedência e comunicar resposta no prazo de trinta dias.

Direito à limitação do tratamento (Artigo 18): o utilizador tem o direito de solicitar a limitação do tratamento dos seus dados, ficando os dados armazenados mas não tratados para fins específicos. Este pedido é útil quando o utilizador contesta a exatidão dos dados (limitação durante a investigação), quando considera o tratamento ilícito mas se opõe ao apagamento, ou quando exerce o direito de oposição. Os dados limitados apenas serão tratados para defesa de direitos legais da Kinmu, cumprimento de obrigação legal ou com consentimento explícito do utilizador.

Direito à portabilidade dos dados (Artigo 20): o utilizador tem o direito de receber os seus dados pessoais num formato estruturado (tipicamente JSON ou CSV) e de os transmitir a outro responsável pelo tratamento. Este direito permite ao utilizador mudar de plataforma levando consigo os seus dados históricos. O utilizador deve contactar dpo@kinmu.app indicando "Pedido de Portabilidade nos termos do Artigo 20 do RGPD", sendo a Kinmu responsável por fornecer os dados em formato eletrónico estruturado no prazo máximo de trinta dias. Os dados exportados incluem: perfil do utilizador, histórico de assiduidade, pedidos de ausência, configuração de equipa/departamento e conversas de chat de IA.

Direito de oposição (Artigo 21): o utilizador tem o direito de se opor ao tratamento dos seus dados com base no interesse legítimo da Kinmu. Os direitos específicos de oposição incluem: oposição ao tratamento para deteção de fraude (sendo o tratamento suspenso, ainda que com o risco de não se detetar comportamento fraudulento), oposição à análise de padrões de utilização para melhoria técnica da plataforma e oposição a comunicações comerciais ou de marketing da Kinmu. No entanto, o utilizador não pode opor-se a tratamentos obrigatórios por lei.

Direito de não ser sujeito a decisões automatizadas (Artigo 22): o utilizador tem o direito de não ser sujeito a decisões que produzam efeitos jurídicos ou o afetem significativamente quando tais decisões se baseiam unicamente em tratamento automatizado (incluindo criação de perfis). No entanto, a Kinmu não implementa atualmente decisões automatizadas que afetem o utilizador para além de recomendações técnicas; todas as decisões laborais (aprovação de ausências, disciplina, alterações contratuais) são responsabilidade de uma pessoa física representante da empresa cliente.

Para exercer qualquer direito, o utilizador deve contactar dpo@kinmu.app, fornecendo identificação clara do pedido, os dados pessoais afetados e a fundamentação do direito exercido. A Kinmu responderá no prazo máximo de trinta dias. Se o pedido for particularmente complexo ou exigir verificação adicional de identidade, a Kinmu pode prolongar o prazo até sessenta dias com comunicação justificada.

9. DADOS DE MENORES

A plataforma Kinmu não é concebida nem destinada a pessoas com menos de dezoito (18) anos. A Kinmu não recolhe conscientemente dados pessoais de utilizadores menores de idade. No caso excecional de um menor aceder à plataforma, a Kinmu exige o consentimento de um progenitor ou tutor legal para qualquer tratamento. Se a Kinmu descobrir que dados pessoais foram recolhidos de um menor sem o consentimento exigido, esses dados serão eliminados imediatamente.

10. COMUNICAÇÕES E MARKETING

A Kinmu utilizará os dados de e-mail do utilizador para enviar comunicações transacionais essenciais para o funcionamento do serviço, incluindo confirmação de registo, recuperação de palavra-passe, notificações de alterações de política, alertas de segurança e respostas a pedidos de suporte técnico.

A Kinmu não utiliza dados pessoais de utilizadores para marketing, publicidade ou comunicações comerciais proativas direcionadas individualmente ao utilizador. A Kinmu não vende, cede ou comercializa dados pessoais do utilizador a terceiros para fins de marketing ou publicidade. Se no futuro a Kinmu implementar o envio de comunicações de marketing (boletins informativos, atualizações de produto, promoções), a Kinmu exigirá consentimento explícito e separado antes do envio, sendo o utilizador capaz de cancelar a subscrição a qualquer momento através de ligação incluída em cada comunicação ou contactando dpo@kinmu.app.

11. CONSENTIMENTO PARA O CHAT DE INTELIGÊNCIA ARTIFICIAL

A utilização da funcionalidade de chat de inteligência artificial é opcional e requer consentimento explícito e separado do utilizador, distinto do consentimento geral para utilização da plataforma. O utilizador será expressamente informado antes de ativar o chat de IA que: (i) as conversas serão processadas por um terceiro especializado (Mistral AI) ao abrigo de um Acordo de Tratamento de Dados; (ii) a Mistral AI não utiliza dados de conversas para treinar os seus modelos; (iii) as conversas são privadas e não acessíveis a um gestor ou administrador; (iv) as respostas do chat são indicativas e não constituem garantia de exatidão legal ou laboral; (v) o utilizador pode retirar o consentimento desativando a funcionalidade a qualquer momento sem penalização.

Os dados de conversas são conservados durante seis meses e depois eliminados automaticamente. O utilizador pode solicitar eliminação imediata contactando dpo@kinmu.app.

12. ALTERAÇÕES A ESTA POLÍTICA

A Kinmu reserva-se o direito de modificar esta Política de Privacidade a qualquer momento para se adaptar a alterações legislativas, novas práticas de segurança, implementação de novas funcionalidades ou mudanças na arquitetura técnica. As modificações substanciais serão comunicadas por e-mail com pelo menos trinta (30) dias de antecedência, e o utilizador pode cancelar a sua subscrição durante o período de aviso sem penalidade se não aceitar as alterações.

A versão em vigor estará sempre acessível em https://kinmu.app/pt/privacidade. A continuação da utilização da plataforma após a data de entrada em vigor das modificações constitui aceitação das mesmas.

13. JURISDIÇÃO E AUTORIDADES DE SUPERVISÃO

Esta Política de Privacidade é regida pela legislação espanhola e europeia de proteção de dados, sendo a autoridade de supervisão competente a Agência Espanhola de Proteção de Dados (AEPD). O utilizador tem o direito de apresentar uma reclamação à AEPD se considerar que o tratamento dos seus dados pela Kinmu viola a legislação aplicável; as reclamações podem ser submetidas em: www.aepd.es ou por correio para: C/ Jorge Juan, 6, 28001 Madrid.

Kinmu Digital S.L.
Calle Teide, 4
28703 Madrid, Espanha
CIF: B24996803
https://kinmu.app