Política de Privacidade

A plataforma mezzio.eu é operada pelo Mezzio, com contacto em contact@mezzio.eu. A morada postal e o número de identificação fiscal serão adicionados na versão final publicada após constituição formal da entidade jurídica.

Face aos dados tratados dentro de cada CRM contratado por um cliente empresarial (leads, conversas, contactos), o Mezzio actua como subcontratante nos termos do artigo 28.º do RGPD, sendo o cliente empresarial o responsável pelo tratamento.

Pode contactar o Encarregado de Proteção de Dados (DPO) através de dpo@mezzio.eu ou pelo formulário público.

O Mezzio trata as seguintes categorias de dados pessoais:

• Dados de identificação: nome, email profissional, cargo, empresa.
• Dados de contacto: número de telefone, número de WhatsApp.
• Dados comerciais: histórico de interacções, etapa no funil, origem do lead, anotações da equipa, follow-ups, campos personalizados.
• Conteúdo de mensagens: corpo de mensagens trocadas via WhatsApp, Manychat ou outros canais integrados pelo cliente empresarial.
• Dados técnicos de utilização: endereço IP, tipo de dispositivo, idioma do navegador, registos de acesso, identificador de sessão.
• Dados de cookies: ver Política de Cookies.

O Mezzio não trata categorias especiais de dados (artigo 9.º RGPD) de forma intencional. Caso um cliente empresarial introduza esses dados em campos livres do CRM, fica sob a sua exclusiva responsabilidade enquanto responsável pelo tratamento.

Para prestar o serviço, o Mezzio recorre a subprocessadores listados de forma transparente em /subprocessadores. Todos estão vinculados por acordos de tratamento de dados (DPA) e, quando aplicável, por cláusulas contratuais-tipo aprovadas pela Comissão Europeia.

A base de dados principal do Mezzio é alojada na União Europeia (Supabase, região Frankfurt). Quando subprocessadores fora do Espaço Económico Europeu são utilizados (Vercel, Manychat, Z-API, Backblaze), aplicam-se cláusulas contratuais-tipo da Comissão Europeia e avaliações de impacto, mantidas internamente pelo Mezzio.

Os prazos específicos por categoria estão indicados na tabela da secção 4. Em geral:

• Dados operacionais (leads, conversas, follow-ups): enquanto durar o contrato com o cliente empresarial.
• Registos de auditoria (audit logs): 5 anos a partir da acção, para defesa face a autoridades de controlo.
• Mensagens WhatsApp e logs de envio: 24 meses, com possibilidade de redução mediante pedido fundamentado.
• Cookies: ver Política de Cookies.

Nos termos dos artigos 15.º a 22.º do RGPD e do artigo 18.º da LGPD (quando aplicável), o titular dos dados pode exercer os direitos de:

• Acesso aos seus dados pessoais;
• Retificação de dados inexactos ou incompletos;
• Apagamento ("direito ao esquecimento"), quando não exista obrigação legal de conservação;
• Portabilidade dos dados num formato estruturado e de uso comum;
• Limitação do tratamento;
• Oposição a tratamentos baseados em interesse legítimo;
• Retirada de consentimento, sem efeitos retroactivos;
• Não ficar sujeito a decisões totalmente automatizadas (ver secção 10).

Para exercer qualquer destes direitos, utilize o formulário do DPO ou envie email para dpo@mezzio.eu. O Mezzio responde no prazo máximo de 30 dias, prorrogável por mais 60 dias em casos complexos, nos termos do artigo 12.º/3 do RGPD.

Se considerar que os seus direitos não foram respeitados, pode apresentar reclamação à autoridade de controlo competente:

• Portugal: Comissão Nacional de Proteção de Dados (CNPD).
• Brasil: Autoridade Nacional de Proteção de Dados (ANPD).

O Mezzio implementa medidas técnicas e organizacionais adequadas ao risco, incluindo:

• Isolamento estrito de dados entre CRMs (multi-tenant);
• Row-Level Security a nível de base de dados, validada por testes automatizados de isolamento;
• Cifragem em trânsito (TLS) e cifragem em repouso de credenciais de integrações (AES-256-GCM);
• Autenticação multifator (MFA) obrigatória para utilizadores administradores;
• Backups cifrados com retenção controlada e plano de recuperação de desastre documentado;
• Registos de auditoria detalhados em acções sensíveis e revisão periódica de acessos.

Detalhes técnicos não publicados podem ser disponibilizados sob acordo de confidencialidade a clientes empresariais que o solicitem.

O Mezzio não toma decisões totalmente automatizadas com efeitos jurídicos para o titular nos termos do artigo 22.º do RGPD. Funcionalidades de automação (ex.: mensagens de boas-vindas) executam regras configuradas pelo cliente empresarial e não produzem decisões legais autónomas.

O Mezzio pode actualizar esta política para reflectir alterações legais, técnicas ou contratuais. Cada nova versão é identificada no topo do documento. Versões anteriores são arquivadas internamente.