Política de Privacidade
O nosso compromisso de proteger os seus dados pessoais ao abrigo do RGPD e da lei irlandesa.
A presente Política de Privacidade descreve o modo como a Knogin CyberSecurity Limited (“Knogin”, “nós”, “nosso” ou “nossa”) recolhe, utiliza, conserva e protege os seus dados pessoais. Estamos empenhados na proteção da sua privacidade em conformidade com o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 (“RGPD”), a Lei Irlandesa de Proteção de Dados de 2018, a Lei n.º 58/2019 de 8 de agosto (lei de execução do RGPD na ordem jurídica portuguesa) e toda a demais legislação aplicável em matéria de proteção de dados. Atuamos como subcontratante quando tratamos dados pessoais por conta dos nossos clientes ao abrigo de contratos de prestação de serviços. A presente Política de Privacidade diz respeito ao nosso papel enquanto responsável pelo tratamento dos dados pessoais que recolhemos diretamente junto de si e através dos nossos sistemas.
Entende-se por “dados pessoais” qualquer informação relativa a uma pessoa singular identificada ou identificável. Poderemos tratar as seguintes categorias de dados pessoais:
Nomes, títulos, pseudónimos, números de telefone, moradas, endereços de correio eletrónico e filiações profissionais.
Quando pertinente para candidaturas a emprego ou relações com clientes: género, idade, nacionalidade, habilitações académicas, experiência profissional, qualificações profissionais e informações semelhantes que nos forneça.
Quando efetua pagamentos pelos nossos serviços: números de conta bancária (IBAN), dados de cartões de pagamento, identificadores de transação, registos de faturação e informações de pagamento.
Endereços IP, identificadores de dispositivos, tipo e versão do navegador, sistema operativo, marcas temporais de acesso, páginas consultadas, fontes de referência, duração das sessões, dados de sequência de cliques, registos de erros e registos de eventos do sistema.
Padrões de atividade dos utilizadores, eventos de autenticação, registos de controlo de acesso, dados de incidentes de segurança, indicadores de ameaça, dados de deteção de anomalias e pontuações de avaliação de risco geradas pelos nossos sistemas de segurança.
Em determinadas circunstâncias, poderemos tratar dados pessoais sensíveis que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual. Apenas tratamos esses dados quando dispomos de um fundamento jurídico para o efeito.
Recolhemos dados pessoais pelos seguintes meios: Diretamente junto de si: Quando nos contacta, cria uma conta, subscreve serviços, envia pedidos de informação, se candidata a um emprego ou comunica connosco de outra forma. Automaticamente através dos nossos sistemas: Quando acede aos nossos sítios Web ou utiliza os nossos serviços, recolhemos automaticamente dados técnicos e de registo através de cookies, registos de servidor e tecnologias semelhantes. Dos nossos clientes: Quando prestamos serviços de cibersegurança, os nossos clientes podem fornecer-nos dados pessoais para tratamento em conformidade com os nossos contratos de prestação de serviços. De fontes de terceiros: Poderemos receber dados pessoais de fontes publicamente acessíveis, bases de dados do setor e parceiros, quando a lei o permita.
Tratamos dados pessoais apenas quando dispomos de um fundamento jurídico ao abrigo do artigo 6.º do RGPD:
Tratamento necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados.
Tratamento necessário para o cumprimento de uma obrigação jurídica a que estamos sujeitos ao abrigo do direito irlandês, do direito português ou do direito da União Europeia.
Tratamento necessário para efeitos dos interesses legítimos prosseguidos por nós ou por terceiros, salvo se prevalecerem os interesses ou os direitos e liberdades fundamentais do titular dos dados. Os nossos interesses legítimos incluem a gestão e segurança da nossa atividade, a prevenção de fraude e cibercriminalidade, a melhoria dos nossos serviços e a proteção dos nossos clientes contra ameaças de segurança.
Quando o tratamento se baseia no consentimento, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.
Tratamento necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.
Quando tratamos categorias especiais de dados pessoais, baseamo-nos numa das condições previstas no artigo 9.º, n.º 2, do RGPD: consentimento explícito do titular dos dados; tratamento necessário para efeitos do cumprimento de obrigações e do exercício de direitos em matéria de legislação laboral, de segurança social e de proteção social; tratamento necessário para proteger os interesses vitais do titular dos dados quando este se encontre fisicamente incapaz de dar o seu consentimento; tratamento necessário à declaração, ao exercício ou à defesa de um direito num processo judicial; ou tratamento necessário por motivos de interesse público importante.
Utilizamos sistemas de segurança automatizados, incluindo algoritmos de aprendizagem automática e inteligência artificial, para analisar padrões de comportamento dos utilizadores e eventos do sistema com o objetivo de detetar e prevenir ameaças de segurança. Este tratamento constitui “definição de perfis” na aceção do artigo 4.º, n.º 4, do RGPD. Dados utilizados para a definição de perfis: Os nossos sistemas de segurança automatizados tratam marcas temporais de início de sessão, padrões de acesso, informações sobre dispositivos, endereços IP, dados de geolocalização, comportamento de sessão, registos de atividade e padrões históricos de utilização. Funcionamento da definição de perfis: Os nossos sistemas estabelecem linhas de base comportamentais para utilizadores e sistemas e, em seguida, identificam anomalias ou desvios que possam indicar contas comprometidas, furto de credenciais, atividades maliciosas ou ameaças de segurança. Os modelos de aprendizagem automática atribuem pontuações de risco com base em fatores como o momento do acesso, a consistência da localização, o reconhecimento do dispositivo, os padrões de ação e o desvio face às normas estabelecidas. Consequências da definição de perfis: A definição de perfis poderá resultar em alertas de segurança, restrições de acesso, suspensão de contas, requisitos reforçados de autenticação ou encaminhamento para análise manual. Em determinadas circunstâncias, as decisões automatizadas poderão restringir ou bloquear o acesso a sistemas ou serviços. Fundamento jurídico: Tratamos estes dados com base nos nossos interesses legítimos na manutenção da segurança e integridade dos nossos sistemas e na proteção dos nossos clientes contra ciberameaças. Quando as decisões automatizadas produzam efeitos jurídicos ou afetem significativamente o titular dos dados de forma análoga, baseamo-nos no artigo 22.º, n.º 2, alínea b), do RGPD (tratamento autorizado por lei para fins de segurança) ou no artigo 22.º, n.º 2, alínea a), do RGPD (tratamento necessário para a execução de um contrato).
Nos termos do artigo 22.º do RGPD, o titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma análoga. Quando tomamos tais decisões automatizadas, o titular dos dados tem o direito de: • Obter intervenção humana por parte de um membro qualificado da nossa equipa de segurança • Manifestar o seu ponto de vista relativamente à decisão automatizada • Contestar a decisão e solicitar a sua revisão • Obter uma explicação sobre a lógica subjacente ao tratamento automatizado • Solicitar informações sobre a importância e as consequências previstas desse tratamento Para exercer estes direitos, contacte-nos através de privacy@knogin.com. Responderemos no prazo de um mês a contar da receção do seu pedido.
Recorremos a prestadores de serviços terceiros para tratar dados pessoais em nosso nome. Estes subcontratantes estão contratualmente obrigados a tratar os dados pessoais apenas com base nas nossas instruções documentadas e a aplicar medidas técnicas e organizativas de segurança adequadas. Poderemos recorrer a subcontratantes adicionais para serviços específicos. Uma lista atualizada dos nossos subcontratantes ulteriores está disponível mediante pedido para privacy@knogin.com.
Os dados pessoais podem ser transferidos para, e tratados em, países fora do Espaço Económico Europeu (“EEE”) que podem não proporcionar o mesmo nível de proteção de dados que a Irlanda ou Portugal. Quando transferimos dados pessoais para fora do EEE, asseguramos que estão previstas garantias adequadas: Decisões de adequação: Transferências para países que são objeto de uma decisão de adequação da Comissão Europeia (incluindo transferências para os Estados Unidos da América ao abrigo do Quadro de Proteção de Dados UE-EUA para organizações certificadas). Cláusulas contratuais-tipo: Transferências sujeitas a cláusulas contratuais-tipo da UE adotadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914). Regras vinculativas aplicáveis às empresas: Quando aplicável, transferências dentro de grupos empresariais sujeitas a regras vinculativas aplicáveis às empresas aprovadas. Os dados pessoais podem ser transferidos para os Estados Unidos da América através dos serviços da Microsoft e da Cloudflare, sujeitos a certificação ao abrigo do Quadro de Proteção de Dados UE-EUA e/ou cláusulas contratuais-tipo. Realizamos avaliações de impacto das transferências quando necessário, de modo a avaliar o nível de proteção nos países destinatários e implementar medidas suplementares quando necessário.
Poderemos divulgar dados pessoais a autoridades de aplicação da lei, organismos reguladores ou outras autoridades públicas quando: • Formos obrigados a fazê-lo por força do direito irlandês, do direito português ou do direito da União Europeia, de uma decisão judicial ou de um mandado • A divulgação for necessária e proporcionada para a prevenção, deteção, investigação ou repressão de infrações penais, conforme permitido pela Secção 41(b) da Lei Irlandesa de Proteção de Dados de 2018 • A divulgação for necessária para proteger os interesses vitais de qualquer pessoa • A divulgação for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial Notificá-lo-emos de qualquer divulgação, salvo se a lei o proibir ou se a notificação puder prejudicar uma investigação em curso.
Em conformidade com o artigo 48.º do RGPD e as Orientações 02/2024 do CEPD (Comité Europeu para a Proteção de Dados), tratamos os pedidos de autoridades de aplicação da lei fora do EEE do seguinte modo: Tratados de auxílio judiciário mútuo: Quando um pedido de uma autoridade de um país terceiro se basear num acordo internacional, tal como um Tratado de Auxílio Judiciário Mútuo (“TAJM”) em vigor entre o país requerente e a Irlanda ou a União Europeia, daremos cumprimento ao pedido em conformidade com esse acordo. Pedidos sem acordo internacional: Quando um pedido de uma autoridade de um país terceiro não se basear num acordo internacional aplicável, o pedido não é automaticamente reconhecido nem executório ao abrigo do direito da União. Avaliaremos se dispomos de um fundamento jurídico nos termos do artigo 6.º do RGPD e de um mecanismo de transferência adequado nos termos do Capítulo V do RGPD. Pedidos extraterritoriais: Sem prejuízo de eventuais pretensões de jurisdição extraterritorial ao abrigo do direito de países terceiros (incluindo a CLOUD Act dos Estados Unidos da América), estamos sujeitos ao direito europeu em matéria de proteção de dados. Não divulgaremos dados pessoais a autoridades de países terceiros, salvo se o pedido for formulado ao abrigo de um acordo internacional aplicável ou se tivermos identificado tanto um fundamento jurídico nos termos do artigo 6.º do RGPD como um mecanismo de transferência adequado nos termos do Capítulo V do RGPD. Notificação: Quando recebermos um pedido de uma autoridade de um país terceiro e tal não nos for vedado, informaremos os titulares dos dados afetados do pedido.
Conservamos os dados pessoais apenas durante o período necessário para as finalidades para as quais foram recolhidos, para cumprir obrigações legais, resolver litígios e fazer cumprir os nossos acordos. Efetuamos revisões periódicas dos dados conservados e eliminamos ou anonimizamos de forma segura os dados pessoais que já não sejam necessários.
Aplicamos medidas técnicas e organizativas adequadas para proteger os dados pessoais contra o acesso não autorizado, a alteração, a divulgação ou a destruição. Estas medidas incluem: • Cifragem dos dados pessoais em trânsito e em repouso • Controlos de acesso e mecanismos de autenticação • Avaliações de segurança e testes de penetração regulares • Formação do pessoal em matéria de proteção de dados e segurança da informação • Procedimentos de resposta a incidentes • Medidas de segurança física nas nossas instalações e centros de dados Quando recorremos a subcontratantes, asseguramos que estes apresentam garantias suficientes de execução de medidas técnicas e organizativas adequadas.
Ao abrigo do RGPD, da legislação irlandesa em matéria de proteção de dados e da Lei n.º 58/2019, o titular dos dados goza dos seguintes direitos:
O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe dizem respeito são ou não objeto de tratamento e, em caso afirmativo, o direito de aceder aos seus dados pessoais e às informações sobre o tratamento.
O titular dos dados tem o direito de obter a retificação dos dados pessoais inexatos que lhe digam respeito e o direito de que os seus dados pessoais incompletos sejam completados.
O titular dos dados tem o direito de obter o apagamento dos seus dados pessoais em determinadas circunstâncias, nomeadamente quando os dados pessoais deixem de ser necessários para a finalidade que motivou a sua recolha.
O titular dos dados tem o direito de obter a limitação do tratamento em determinadas circunstâncias, nomeadamente enquanto verificamos a exatidão dos dados pessoais contestados pelo titular.
O titular dos dados tem o direito de receber os dados pessoais que nos tenha fornecido num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento.
O titular dos dados tem o direito de se opor ao tratamento com base em interesses legítimos, incluindo a definição de perfis. Cessaremos o tratamento, salvo se apresentarmos razões imperiosas e legítimas para o tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados.
O titular dos dados tem o direito de obter intervenção humana, de manifestar o seu ponto de vista e de contestar decisões automatizadas.
Quando o tratamento se basear no consentimento, o titular dos dados pode retirar o seu consentimento a qualquer momento, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.
Se não estiver satisfeito com a forma como tratamos os seus dados pessoais ou respondemos aos seus pedidos, tem o direito de apresentar uma reclamação a uma autoridade de controlo. Comissão Irlandesa de Proteção de Dados (DPC) 21 Fitzwilliam Square South Dublin 2, D02 RD28 Irlanda Sítio Web: www.dataprotection.ie Telefone: +353 1 765 0100 / +353 57 868 4800 Pode igualmente apresentar uma reclamação à autoridade de controlo do seu país de residência ou do local de trabalho, caso seja diferente da Irlanda. Em Portugal, a autoridade competente é a Comissão Nacional de Proteção de Dados (CNPD), Av. D. Carlos I, 134 - 1.º, 1200-651 Lisboa, www.cnpd.pt.
Os nossos serviços não se destinam a crianças com idade inferior a 16 anos. Não recolhemos conscientemente dados pessoais de crianças com idade inferior a 16 anos. Se considerar que recolhemos dados pessoais de uma criança com idade inferior a 16 anos, contacte-nos imediatamente através de privacy@knogin.com.
Poderemos atualizar a presente Política de Privacidade periodicamente. Notificá-lo-emos de alterações substanciais, publicando a política atualizada no nosso sítio Web com uma nova data de entrada em vigor. Recomendamos que consulte regularmente a presente Política de Privacidade. No caso de alterações significativas que afetem os seus direitos, forneceremos um aviso destacado no nosso sítio Web ou, quando apropriado, através de comunicação direta.
Se tiver alguma questão sobre a presente Política de Privacidade ou sobre as nossas práticas de proteção de dados, contacte-nos: Contacto para Proteção de Dados Knogin CyberSecurity Limited Dublin 6, Irlanda Telefone: 1800-816933 (Irlanda) / +353-1-800-816933 (Internacional) Correio eletrónico: privacy@knogin.com Responderemos ao seu pedido no prazo de um mês. Este prazo poderá ser prorrogado por mais dois meses, se necessário, tendo em conta a complexidade e o número de pedidos. Informá-lo-emos de qualquer prorrogação no prazo de um mês a contar da receção do seu pedido. Poderemos solicitar informações adicionais para verificar a sua identidade antes de responder ao seu pedido.
Questões sobre Privacidade?
A nossa equipa de Protecção de Dados está disponível para ajudar com qualquer questão ou preocupação relacionada com a privacidade.
Contacto de Protecção de Dados
Knogin CyberSecurity Limited
Dublin 6, Irlanda
Irlanda: 1800-816933
Internacional: +353-1-800-816933
Autoridade de Supervisão
Comissão Nacional de Proteção de Dados
Av. D. Carlos I, 134 - 1.º, 1200-651 Lisboa