Política de Privacidade
Última atualização: 8 de Março de 2026
Data de entrada em vigor: 8 de Março de 2026
1. Responsável pelo Tratamento e Contacto de Proteção de Dados
Esta Política de Privacidade descreve como a GESTIVON SOFTWARE SOLUTIONS, LDA (NIF: 519293436), uma empresa registada em Portugal ("Punctual," "nós," ou "nosso"), recolhe, utiliza e protege dados pessoais em relação à plataforma Punctual e aos seus serviços.
A Punctual atua como Responsável pelo Tratamento para dados pessoais de Negócios registados e dos seus utilizadores autorizados. Relativamente aos dados de Utilizadores Finais processados em nome de um Negócio, a Punctual atua como Subcontratante sob as instruções desse Negócio (o Responsável pelo Tratamento). Consulte a Secção 11 dos nossos Termos de Serviço para o Acordo de Processamento de Dados completo.
2. Âmbito e a Quem se Aplica Esta Política
Esta Política de Privacidade aplica-se a:
- Negócios e respetiva equipa — organizações e indivíduos que se registam e utilizam a plataforma Punctual para gerir as suas operações;
- Visitantes do Website — pessoas que visitam punctual.pt ou propriedades web relacionadas com a Punctual;
- Utilizadores Finais / Clientes — indivíduos cujos dados são processados através do Serviço em nome de um Negócio (ex.: uma pessoa que marca um agendamento). Se é um Utilizador Final de um Negócio que utiliza a Punctual, a própria política de privacidade do Negócio é a referência principal para a forma como recolheram e nos instruíram a processar os seus dados. Esta Política explica o nosso papel como Subcontratante nesse contexto.
3. Dados Pessoais que Recolhemos
3.1 Dados de Conta e do Negócio (Negócios)
- Nome completo, endereço de email, número de telefone
- Nome do negócio, endereço, NIF/número de IVA e detalhes do registo comercial
- Informações de subscrição e pagamento (endereço de faturação, últimos 4 dígitos do cartão — os dados completos do cartão são mantidos pela Stripe)
- Credenciais de conta (passwords encriptadas) e tokens de sessão
- Preferências de comunicação e definições de notificação
3.2 Dados de Utilizador Final / Cliente (Processados em nome dos Negócios)
- Nome, endereço de email e número de telefone (fornecidos durante a reserva)
- Histórico de agendamentos, preferências de reserva e notas
- Os dados de voz são processados de forma efémera em tempo real para facilitar as marcações. Nós não gravamos, armazenamos ou registamos quaisquer ficheiros de áudio ou transcrições geradas por IA.
- Conteúdo das mensagens de WhatsApp (registos de conversação processados através da integração do Negócio)
- Referências de pagamento e estado da transação (processados via Stripe)
3.3 Dados Técnicos e de Utilização
- Endereço IP, tipo e versão do navegador, sistema operativo
- Páginas visitadas, funcionalidades utilizadas e registos de interação dentro da plataforma
- Registos de erros e diagnósticos
- Cookies e tecnologias de rastreio semelhantes (consulte a Secção 10)
3.4 Dados que Não Recolhemos
Não recolhemos intencionalmente categorias especiais de dados pessoais (ex.: dados de saúde, origem racial ou étnica, opiniões políticas, crenças religiosas, dados biométricos), a menos que um Negócio que opere num setor regulado (ex.: saúde) configure especificamente campos para o efeito. Nesses casos, o Negócio é responsável por estabelecer a base jurídica adequada.
4. Base Jurídica para o Tratamento (RGPD Artigo 6.º)
Baseamo-nos nas seguintes bases jurídicas ao processar dados pessoais:
| Finalidade do Tratamento | Base Jurídica |
|---|---|
| Criação e gestão da sua conta de Negócio | Necessidade contratual (Art. 6.º(1)(b)) |
| Processamento de pagamentos de Subscrição | Necessidade contratual (Art. 6.º(1)(b)) |
| Envio de emails transacionais e notificações por SMS | Necessidade contratual (Art. 6.º(1)(b)) |
| Processamento de dados de agendamentos e clientes em nome dos Negócios | Subcontratante a atuar sob instruções do Negócio (Art. 6.º(1)(b) / (1)(f)) |
| Cumprimento de obrigações legais (registos fiscais e contabilísticos) | Obrigação legal (Art. 6.º(1)(c)) |
| Melhoria da plataforma e prevenção de fraude / abuso | Interesses legítimos (Art. 6.º(1)(f)) |
| Processamento de voz por IA em tempo real (efémero) | Consentimento do Utilizador Final (Art. 6.º(1)(a)), obtido pelo Negócio |
| Comunicações de marketing para Negócios (opt-in) | Consentimento (Art. 6.º(1)(a)) |
5. Como Utilizamos os Seus Dados Pessoais
Utilizamos os seus dados para:
- Fornecer, operar e manter a plataforma Punctual e todas as suas funcionalidades;
- Processar pagamentos de Subscrições e permitir transações entre Negócios e Utilizadores Finais via Stripe;
- Enviar notificações transacionais (confirmações de reserva, lembretes, recibos) por email e SMS;
- Fornecer suporte ao cliente e responder às suas questões;
- Detetar, investigar e prevenir transações fraudulentas, abusos e ameaças de segurança;
- Analisar padrões de utilização para melhorar as funcionalidades da plataforma e a experiência do utilizador;
- Cumprir as obrigações legais e regulamentares aplicáveis em Portugal e na UE;
- Aplicar os nossos Termos de Serviço e outros acordos.
Não utilizamos os seus dados ou os dados dos seus Utilizadores Finais para treinar modelos de IA de terceiros. As transcrições de voz geradas pela Deepgram são utilizadas exclusivamente para alimentar o assistente de reserva por IA e não são partilhadas para treino de modelos.
6. Processamento de Voz por IA (Retenção Zero)
Se um Negócio ativar a funcionalidade de assistente de voz por IA, as chamadas telefónicas geridas através da plataforma Punctual são processadas por uma IA em tempo real. Este processamento automatizado de comunicações está sujeito à lei portuguesa (Lei n.º 41/2004, de 18 de Agosto) e aos regulamentos aplicáveis da UE em matéria de telecomunicações que regem a interceção e a privacidade.
Responsabilidade pelo consentimento e Isenção de responsabilidade: O Negócio (como Responsável pelo Tratamento) é responsável por garantir que os Utilizadores Finais são informados e consentiram no processamento automatizado por IA antes de cada chamada. O assistente de voz por IA da Punctual está configurado para anunciar sempre explicitamente no início da chamada que a interação está a ser gerida por uma IA. Se o Utilizador Final não desejar interagir com uma IA, o assistente irá instruí-lo a contactar o Negócio através de canais alternativos (ex.: WhatsApp ou email). Embora a Punctual aplique esta salvaguarda técnica, a obrigação legal final pelo consentimento válido recai sobre o Negócio.
Como os dados de voz são processados:
- O áudio é transmitido de forma segura através da nossa infraestrutura LiveKit auto-hospedada;
- A transcrição em tempo real é efetuada pela Deepgram (discurso para texto) ao abrigo de um acordo rigoroso de processamento de dados;
- Sem armazenamento: Os dados de voz são processados estritamente em tempo real (de forma efémera) na memória. Nós explicitamente não gravamos, guardamos, armazenamos ou registamos quaisquer ficheiros de áudio ou transcrições geradas por IA nas nossas bases de dados ou servidores após a conclusão da chamada.
Retenção: Uma vez que nem o áudio da chamada nem as transcrições são armazenados, o período de retenção para os dados de voz e transcrições é de zero segundos após a chamada (Privacidade por Design).
7. Partilha de Dados e Subcontratantes
Não vendemos os seus dados pessoais ou os dados dos seus Utilizadores Finais a terceiros. Apenas partilhamos dados pessoais com as seguintes categorias de destinatários, ao abrigo de obrigações contratuais rigorosas:
7.1 Subcontratantes
Todos os subcontratantes estão vinculados por acordos de processamento de dados e são obrigados a manter medidas de segurança técnicas e organizativas adequadas:
| Subcontratante | País | Finalidade | Dados Transferidos |
|---|---|---|---|
| Google Cloud (GCP / Vertex AI) | EUA (região UE) | Alojamento de backend, IA/LLM, conversão de texto em voz | Todos os dados processados |
| Neon | EUA (região UE) | Base de dados PostgreSQL | Todos os dados armazenados |
| OVH Cloud | UE | Alojamento VPS (LiveKit, servidor SIP, agente de IA) | Fluxos de áudio, metadados de chamadas e dados de aplicação |
| Cloudflare | EUA (CDN global) | Alojamento de frontend, CDN, WAF | Endereços IP, metadados HTTP |
| Stripe | EUA (entidade UE) | Processamento de pagamentos | Dados do titular do cartão, informações de faturação, detalhes da transação |
| Deepgram | EUA | Transcrição de discurso para texto | Áudio de voz efémero em tempo real (não armazenado) |
| Dominios.pt (SMTP) | Portugal (UE) | Envio de emails transacionais | Endereço de email do destinatário, conteúdo da mensagem |
| Zadarma | Reino Unido/UE | Telefonia SIP, SMS | Números de telefone, conteúdo de SMS |
7.2 Outras Divulgações
Também poderemos partilhar os seus dados com:
- Autoridades legais: Quando exigido por lei, ordem judicial ou para proteger os direitos e a segurança da Punctual, dos nossos utilizadores ou do público;
- Transferências de negócio: Em relação a uma fusão, aquisição ou venda de todo ou parte do nosso negócio, com aviso prévio fornecido ao utilizador;
- Conselheiros profissionais: Advogados, contabilistas e auditores, sujeitos a obrigações de confidencialidade profissional.
8. Transferências Internacionais de Dados
Alguns dos nossos subcontratantes estão localizados fora do Espaço Económico Europeu (EEE), nomeadamente nos Estados Unidos. Sempre que os dados pessoais sejam transferidos para países não reconhecidos pela Comissão Europeia como proporcionando um nível de proteção adequado, baseamo-nos numa ou mais das seguintes salvaguardas:
- Cláusulas Contratuais-Tipo (SCCs) aprovadas pela Comissão Europeia (Decisão 2021/914), incorporadas nos nossos acordos de processamento de dados com subcontratantes;
- Quadro de Privacidade de Dados UE-EUA, sempre que o subcontratante relevante seja certificado.
Pode solicitar uma cópia das salvaguardas relevantes contactando-nos através do email privacy@punctual.pt.
9. Períodos de Retenção de Dados
Retemos dados pessoais apenas durante o tempo necessário para cumprir as finalidades para as quais foram recolhidos, incluindo o cumprimento de quaisquer requisitos legais, contabilísticos ou de reporte.
| Categoria de Dados | Período de Retenção | Base |
|---|---|---|
| Dados da conta do Negócio | Duração da subscrição + 90 dias após o cancelamento | Contratual / operacional |
| Registos de faturação e pagamento | 10 anos após a transação | Direito fiscal e comercial (Portugal) |
| Registos de agendamentos (dados do Utilizador Final) | 2 anos após a data do agendamento | Interesses legítimos / contratual |
| Áudio de voz e transcrições de IA | Não retido (processado efermeramente em tempo real) | Privacidade por Design / Minimização de Dados |
| Registos de SMS e email | 12 meses | Finalidades operacionais / suporte |
| Registos de aplicação e segurança | 90 dias | Monitorização de segurança |
| Registos de consentimento | 3 anos após a retirada do consentimento ou eliminação da conta | Conformidade / defesa jurídica |
10. Cookies e Tecnologias de Rastreio
Utilizamos cookies e tecnologias semelhantes no nosso website e plataforma. Um cookie é um pequeno ficheiro de texto colocado no seu dispositivo para nos ajudar a fornecer e melhorar os nossos serviços.
| Tipo | Finalidade | Pode ser desativado? |
|---|---|---|
| Estritamente Necessários | Sessões de autenticação, tokens de segurança, proteção CSRF | Não — necessário para o funcionamento da plataforma |
| Funcionais | Preferências de idioma, seleção de tema (claro/escuro) | Sim — a desativação pode afetar a experiência do utilizador |
| Estatísticas | Estatísticas de utilização via Google Analytics 4 (GA4) para compreender como a plataforma é utilizada | Sim — através do banner de consentimento de cookies |
Pode gerir ou eliminar cookies através das definições do seu navegador a qualquer momento. A desativação de cookies estritamente necessários prejudicará a sua capacidade de utilizar o Serviço. Relativamente aos cookies estatísticos, poderá retirar o consentimento utilizando o seletor de preferências de cookies disponível no nosso website.
11. Os Seus Direitos ao abrigo do RGPD (Artigos 15.º–22.º)
Se estiver na UE/EEE, tem os seguintes direitos relativamente aos seus dados pessoais. Para exercer qualquer um destes direitos, contacte-nos através do email privacy@punctual.pt. Responderemos no prazo de 30 dias (prorrogável por mais dois meses para pedidos complexos, mediante aviso).
Direito de Acesso (Art. 15.º)
Pode solicitar uma cópia dos dados pessoais que mantemos sobre si e informações sobre como os utilizamos.
Direito de Retificação (Art. 16.º)
Pode solicitar-nos que corrijamos dados pessoais imprecisos ou incompletos. Pode atualizar a maioria das informações da conta diretamente nas definições do seu perfil.
Direito ao Apagamento / "Direito a ser Esquecido" (Art. 17.º)
Pode solicitar-nos que apaguemos os seus dados pessoais quando estes já não forem necessários, quando retirar o consentimento ou quando se opuser ao tratamento. O apagamento pode ser limitado quando a retenção for exigida por lei.
Direito à Limitação do Tratamento (Art. 18.º)
Pode solicitar-nos que pausemos o tratamento dos seus dados em determinadas circunstâncias (ex.: enquanto contesta a exatidão ou enquanto uma objeção é avaliada).
Direito à Portabilidade dos Dados (Art. 20.º)
Sempre que o tratamento se baseie no consentimento ou contrato e seja efetuado por meios automatizados, poderá solicitar os seus dados num formato estruturado, de leitura automática (ex.: JSON ou CSV) para transferência para outro serviço.
Direito de Oposição (Art. 21.º)
Pode opor-se ao tratamento baseado em interesses legítimos. Cessaremos o tratamento, a menos que possamos demonstrar razões legítimas imperiosas que prevaleçam sobre os seus interesses.
Direito de Retirar o Consentimento (Art. 7.º(3))
Sempre que o tratamento se baseie no consentimento (ex.: emails de marketing, cookies estatísticos), poderá retirar o consentimento a qualquer momento sem afetar a licitude do tratamento anterior.
Direitos Relacionados com a Decisão Automatizada (Art. 22.º)
Não tomamos decisões exclusivamente automatizadas que produzam efeitos jurídicos ou significativos semelhantes sobre indivíduos sem intervenção humana.
12. Direito de Apresentar Reclamação
Se considerar que não tratámos os seus dados pessoais de acordo com a legislação de proteção de dados aplicável, tem o direito de apresentar uma reclamação junto da autoridade de controlo portuguesa:
Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 — 1200-651 Lisboa, Portugal
Tel: +351 21 392 84 00
Agradeceríamos a oportunidade de abordar as suas preocupações antes de contactar a CNPD. Por favor, contacte-nos primeiro através do email privacy@punctual.pt.
13. Privacidade das Crianças
O Serviço não se dirige a, e não recolhemos intencionalmente dados pessoais de crianças com idade inferior a 16 anos. Se é pai ou tutor e acredita que o seu filho nos forneceu dados pessoais sem o seu consentimento, contacte-nos através do email privacy@punctual.pt e tomaremos medidas para eliminar essas informações prontamente.
14. Alterações a Esta Política de Privacidade
Poderemos atualizar esta Política de Privacidade periodicamente para refletir alterações nas nossas práticas, no Serviço ou na legislação aplicável. Notificá-lo-emos sobre alterações materiais através de:
- Envio de um email para o endereço associado à sua conta; e/ou
- Exibição de um aviso proeminente dentro da plataforma.
A política atualizada entrará em vigor a partir da data indicada no topo deste documento. Recomendamos que reveja esta página periodicamente. A utilização continuada do Serviço após a data de entrada em vigor constitui a aceitação da Política revista.
15. Contacte-nos
Para quaisquer questões relacionadas com a privacidade, pedidos de exercício dos seus direitos ou preocupações, contacte o nosso contacto de Proteção de Dados: