RGPD • Subcontratação

Cláusula de Tratamento e Proteção de Dados

Esta cláusula aplica-se a todos os utilizadores da Nexifly (agências, freelancers e equipas internas de marketing) e regula o tratamento de dados pessoais ao abrigo do RGPD (Regulamento UE 2016/679).

Última atualização: maio de 2026

1. Papéis

  • Utilizador (Responsável pelo Tratamento): a agência, freelancer ou empresa que utiliza a Nexifly e que decide os fins e meios do tratamento dos dados dos seus próprios clientes finais.
  • Nexifly / NEXIA Studio (Subcontratante): trata os dados em nome e por conta do Utilizador, exclusivamente para prestação do serviço contratado.

2. Objeto e duração

A Nexifly trata dados pessoais (nomes, emails, conteúdos de redes sociais, dados de campanhas, ficheiros, métricas) durante todo o período de utilização da plataforma pelo Utilizador. Após o cancelamento, os dados são apagados conforme o ponto 8.

3. Obrigações da Nexifly

  • Tratar os dados apenas conforme as instruções documentadas do Utilizador.
  • Garantir confidencialidade por parte de todas as pessoas autorizadas.
  • Implementar medidas técnicas e organizativas adequadas (encriptação em trânsito e em repouso, RLS na base de dados, autenticação multi-fator opcional, registos de auditoria).
  • Assistir o Utilizador em pedidos dos titulares dos dados e em avaliações de impacto.
  • Notificar o Utilizador, sem demora injustificada, em caso de violação de dados.
  • Devolver ou apagar os dados no fim da prestação do serviço.

4. Subcontratação ulterior

A Nexifly recorre aos seguintes subcontratantes, todos com garantias adequadas em matéria de RGPD:

  • Supabase (UE) — base de dados, autenticação e armazenamento.
  • Cloudflare (Global) — CDN, DNS e proteção contra ataques.
  • Stripe (UE/EUA) — pagamentos.
  • Resend (UE/EUA) — emails transacionais.
  • Google AI / Lovable AI — geração de conteúdo por IA (sem treino de modelos com os dados do cliente).
  • Metricool, ClickUp, Google Sheets — apenas se o Utilizador ativar a integração.

As transferências para fora do EEE são protegidas por Cláusulas Contratuais-Tipo (CCT) da Comissão Europeia.

5. Categorias de titulares e dados

  • Titulares: utilizadores da plataforma, membros da equipa, clientes finais geridos pelo Utilizador, leads.
  • Dados: identificação, contacto, conteúdos publicados ou pendentes de aprovação, métricas de redes sociais, dados financeiros internos da agência.
  • Categorias especiais: não recolhemos intencionalmente dados sensíveis. Não devem ser carregados na plataforma.

6. Segurança

  • HTTPS/TLS 1.2+ em todas as comunicações.
  • Encriptação em repouso ao nível da base de dados.
  • Row-Level Security (RLS) por workspace — cada agência só vê os seus dados.
  • Backups diários e cópias geograficamente redundantes.
  • Princípio do menor privilégio para a equipa NEXIA. A equipa NEXIA não acede aos dados internos confidenciais de cada workspace (clientes, faturação, posts, mensagens) salvo pedido expresso de suporte do próprio Utilizador.

7. Direitos dos titulares

O Utilizador é o ponto de contacto principal para os seus clientes finais. A Nexifly disponibiliza ferramentas para exportar, retificar e eliminar dados. Para questões diretas: apoio@nexifly.pt.

8. Fim do contrato e retenção pós-cancelamento

Após o cancelamento da subscrição, o Utilizador mantém acesso completo até ao fim do período já pago. A partir dessa data:

  • Os dados do workspace (clientes finais, posts, ficheiros, registos financeiros, mensagens) ficam guardados durante 90 dias em modo inativo, permitindo reativação imediata da subscrição sem perda de informação.
  • Findos os 90 dias, todos os dados pessoais são definitivamente eliminados dos sistemas em produção.
  • Os backups encriptados são rotacionados e expiram no prazo máximo de 90 dias adicionais após a eliminação em produção.
  • O Utilizador pode, a qualquer momento durante o período de retenção, solicitar a eliminação imediata dos dados através de apoio@nexifly.pt.

9. Responsabilidade

Cada parte é responsável pelos danos que causar pelo incumprimento das suas obrigações ao abrigo do RGPD, nos termos do artigo 82.º do Regulamento.