Saltar para conteúdo principal
Animações reduzidas ativadas

Política de Privacidade

← Voltar ao início

Última atualização: 14 de maio de 2026

1. Introdução e Âmbito

A presente Política de Privacidade ("Política") descreve as condições em que a WalliD ("WalliD", "nós") procede ao tratamento de dados pessoais no âmbito da plataforma WalliD SmartSign (a "Plataforma" ou o "Serviço"), enquanto solução SaaS de gestão e aplicação de assinaturas electrónicas em documentos.

Esta Política é dirigida aos utilizadores titulares de conta, aos signatários convidados a assinar envelopes documentais, aos visitantes do sítio Web e, em geral, a qualquer titular de dados pessoais cujas informações sejam tratadas pela WalliD na qualidade de responsável pelo tratamento ("Titular dos Dados").

O tratamento de dados pessoais rege-se pelo Regulamento (UE) 2016/679, de 27 de Abril de 2016 ("RGPD"), pela Lei n.º 58/2019, de 8 de Agosto, que assegura a execução do RGPD na ordem jurídica interna, pela Lei n.º 41/2004, de 18 de Agosto, relativa à protecção de dados pessoais nas comunicações electrónicas, e demais legislação aplicável.

2. Responsável pelo Tratamento

A entidade responsável pelo tratamento dos dados pessoais recolhidos através da Plataforma é:

WalliD

Centro de Incubação de Évora

Rua Fernanda Seno, n.º 6

7005-485 Évora, Portugal

Correio electrónico geral: info@wallid.com

Assuntos de protecção de dados: privacy@wallid.com

Para o exercício de direitos previstos no RGPD ou para esclarecimento de quaisquer questões relativas ao tratamento dos seus dados, o Titular dos Dados deverá utilizar preferencialmente o endereço privacy@wallid.com.

3. Categorias de Dados Pessoais Recolhidos

No âmbito da prestação do Serviço, a WalliD trata as seguintes categorias de dados pessoais:

3.1 Dados de Conta de Utilizador

  • Nome completo e fotografia de perfil (quando carregada);
  • Endereço de correio electrónico;
  • Palavra-passe armazenada sob a forma de hash criptográfico;
  • Organização a que o Utilizador pertence e função/perfil de acesso;
  • Dados de facturação e identificação fiscal, quando aplicáveis.

3.2 Dados Contidos nos Envelopes Documentais

  • Documentos PDF submetidos pelo criador do envelope, os quais podem conter dados pessoais de terceiros;
  • Hashes criptográficos dos documentos e metadados associados;
  • Relatórios de auditoria e arquivos de evidências.

3.3 Dados de Assinatura e Auditoria por Signatário

  • Nome e endereço de correio electrónico do signatário;
  • Data e hora da assinatura, endereço IP e user agent do dispositivo utilizado;
  • Posição visual da assinatura no documento;
  • Na via CMD (Chave Móvel Digital): certificado qualificado do cidadão emitido pelo Estado, estrutura CMS assinada e atributos profissionais SCAP eventualmente associados;
  • Na via Simples: registo de auditoria contendo nome, data/hora, hash do documento e o certificado da plataforma WalliD aplicado do lado do servidor.

3.4 Dados Técnicos e Operacionais

  • Registos de acesso, registos de erro e registos de auditoria do sistema;
  • Identificadores de sessão e dados técnicos do navegador e do dispositivo;
  • Chaves de API, registos de entrega de webhooks e configurações de integrações de aplicações da organização.

3.5 Dados de Facturação e Pagamento

  • Facturas emitidas e histórico de pagamentos;
  • Identificador de cliente no processador de pagamentos e, quando aplicável, os últimos quatro dígitos do cartão (recolhidos e armazenados pelo processador de pagamentos, não pela WalliD).

4. Finalidades e Fundamentos de Licitude

Cada categoria de dados é tratada com base num fundamento de licitude previsto no artigo 6.º, n.º 1, do RGPD, em função da finalidade prosseguida:

4.1 Execução do Contrato — artigo 6.º, n.º 1, alínea b) do RGPD: criação e gestão da conta, processamento de envelopes documentais, aplicação de assinaturas electrónicas, geração de relatórios de auditoria, prestação de suporte técnico e disponibilização das funcionalidades da Plataforma.

4.2 Cumprimento de Obrigação Legal — artigo 6.º, n.º 1, alínea c) do RGPD: conservação de evidências de assinaturas qualificadas e do respectivo audit trail nos termos do Decreto-Lei n.º 12/2021, de 9 de Fevereiro, e do Regulamento (UE) n.º 910/2014 (eIDAS); conservação de documentos contabilísticos e fiscais nos termos do Código Comercial e da legislação fiscal aplicável; resposta a pedidos de autoridades competentes.

4.3 Interesse Legítimo — artigo 6.º, n.º 1, alínea f) do RGPD: prevenção de fraude e abuso, monitorização e segurança da Plataforma, registo de actividade para fins de auditoria interna, melhoria do Serviço e defesa de direitos em juízo. A WalliD efectuou o respectivo teste de ponderação, concluindo pela prevalência do seu interesse legítimo sem prejuízo desproporcionado dos direitos e liberdades dos titulares.

4.4 Consentimento — artigo 6.º, n.º 1, alínea a) do RGPD: comunicações de marketing directo, envio de newsletters e cookies não essenciais. O consentimento é livre, específico, informado e inequívoco, podendo ser retirado a qualquer momento sem afectar a licitude do tratamento anterior.

5. Origem dos Dados

Os dados pessoais tratados pela WalliD provêm das seguintes fontes:

  • Directamente do Titular dos Dados, no acto de registo, na utilização da Plataforma ou em comunicações dirigidas à WalliD;
  • Do criador do envelope, no que respeita aos signatários por si convidados a assinar documentos (nome, endereço de correio electrónico e demais dados de contacto);
  • Da Agência para a Modernização Administrativa (AMA), no âmbito do fluxo de autenticação e assinatura via Chave Móvel Digital, incluindo certificado qualificado e atributos profissionais SCAP;
  • De prestadores de autenticação federada (Google/Firebase), quando o Utilizador opte por autenticar-se através destes meios;
  • Da recolha automática de dados técnicos durante a utilização da Plataforma (endereço IP, user agent, registos de actividade).

6. Destinatários e Subcontratantes

A WalliD recorre a subcontratantes que tratam dados pessoais por sua conta, mediante contrato escrito celebrado nos termos do artigo 28.º do RGPD, com obrigações de confidencialidade, segurança e tratamento limitado às instruções da WalliD. Os principais subcontratantes e destinatários são os seguintes:

  • AMA / Autenticação.gov.pt — execução do fluxo de assinatura qualificada via Chave Móvel Digital (Portugal, serviço público); transferência interna à União Europeia.
  • Cloudinary — armazenamento de documentos e PDF assinados (Estados Unidos da América); transferência ao abrigo de Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia, complementadas por medidas técnicas e organizativas suplementares.
  • MongoDB Atlas — base de dados aplicacional (região da União Europeia).
  • Redis Cloud — armazenamento temporário de sessões e dados de cache (região da União Europeia).
  • Provedor de email transacional — envio de notificações operacionais e transaccionais por correio electrónico aos utilizadores e signatários.
  • Processador de pagamentos certificado PCI-DSS — processamento de pagamentos de subscrições e emissão de recibos; a WalliD não armazena dados completos de cartão de pagamento.
  • Google / Firebase — serviços de autenticação federada por OAuth, quando utilizados pelo Utilizador.

A WalliD não vende, aluga nem cede dados pessoais a terceiros para fins comerciais próprios destes. A divulgação a autoridades públicas só ocorrerá quando legalmente exigida.

7. Transferências Internacionais

Sempre que possível, os dados pessoais são tratados no Espaço Económico Europeu. A utilização do serviço Cloudinary implica, contudo, a transferência de documentos e respectivos metadados para os Estados Unidos da América, ao abrigo das Cláusulas Contratuais-Tipo (CCT) aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia, complementadas por medidas técnicas e organizativas suplementares, conforme as recomendações do Comité Europeu para a Protecção de Dados.

Outras transferências para fora do Espaço Económico Europeu, quando ocorram, ficam igualmente sujeitas a um dos mecanismos previstos nos artigos 44.º a 49.º do RGPD, designadamente decisões de adequação, CCT ou regras vinculativas aplicáveis às empresas. O Titular dos Dados pode solicitar cópia das garantias aplicáveis através do endereço privacy@wallid.com.

8. Conservação dos Dados

Os dados pessoais são conservados pelo período estritamente necessário à prossecução das finalidades indicadas, segundo os seguintes critérios:

8.1 Dados de Conta: conservados enquanto subsistir a conta do Utilizador e, após o seu encerramento, durante o prazo legal de 5 (cinco) anos para cumprimento de obrigações decorrentes do Código Comercial em matéria de escrita e documentação contabilística.

8.2 Documentos Assinados e Evidências de Auditoria: conservados durante 7 (sete) anos a contar da conclusão do envelope, em linha com os prazos de prescrição ordinária previstos no Código Civil e com o regime probatório aplicável aos serviços de confiança; este prazo poderá ser estendido ao abrigo do artigo 17.º, n.º 3, alínea e) do RGPD, para efeitos de declaração, exercício ou defesa de um direito em processo judicial.

8.3 Registos Operacionais e de Segurança: conservados durante 12 (doze) meses, sem prejuízo de períodos superiores quando necessários à investigação de incidentes de segurança ou a obrigações legais.

8.4 Dados de Facturação: conservados durante 10 (dez) anos, conforme prazo geral de conservação documental previsto na legislação fiscal portuguesa, designadamente no Código do IVA e no Código do IRC.

8.5 Dados Tratados com Base em Consentimento: conservados até à retirada do consentimento ou ao termo do prazo razoável associado à finalidade.

9. Direitos dos Titulares dos Dados

Nos termos dos artigos 15.º a 22.º do RGPD, o Titular dos Dados pode exercer os seguintes direitos perante a WalliD:

9.1 Direito de Acesso (art. 15.º): obter confirmação de que os seus dados são tratados e, em caso afirmativo, aceder a esses dados e à informação prevista na lei.

9.2 Direito de Rectificação (art. 16.º): obter a correcção de dados inexactos ou o seu completamento.

9.3 Direito ao Apagamento (art. 17.º): obter a eliminação dos dados, sem prejuízo das limitações decorrentes de obrigações legais de conservação, necessidade de defesa em juízo ou preservação da validade probatória de assinaturas.

9.4 Direito à Limitação do Tratamento (art. 18.º): obter a restrição do tratamento nas situações legalmente previstas.

9.5 Direito de Portabilidade (art. 20.º): receber os dados que forneceu, num formato estruturado, de uso corrente e leitura automática, e transmiti-los a outro responsável.

9.6 Direito de Oposição (art. 21.º): opor-se, com fundamento em razões relacionadas com a sua situação particular, a tratamentos baseados em interesse legítimo.

9.7 Direito a Não Ficar Sujeito a Decisões Automatizadas (art. 22.º): nos termos da cláusula 13 infra.

9.8 Direito de Retirar Consentimento: em qualquer momento, com efeitos para o futuro, quando o tratamento se baseie em consentimento.

Os direitos podem ser exercidos através do endereço privacy@wallid.com. A WalliD responderá no prazo de 1 (um) mês a contar do pedido, prazo prorrogável até dois meses adicionais em razão da complexidade ou do número de pedidos. Caso o Titular dos Dados entenda que o tratamento viola o RGPD, pode apresentar reclamação à autoridade de controlo competente — em Portugal, a Comissão Nacional de Protecção de Dados (CNPD), acessível em www.cnpd.pt.

10. Segurança da Informação

A WalliD adopta medidas técnicas e organizativas adequadas a garantir um nível de segurança ajustado ao risco, nos termos do artigo 32.º do RGPD, designadamente:

  • Cifragem dos dados em trânsito (TLS) e em repouso, recorrendo a algoritmos padrão da indústria;
  • Armazenamento de palavras-passe sob a forma de hash criptográfico com sal, utilizando funções resistentes a ataques de força bruta;
  • Controlo de acessos baseado no princípio do menor privilégio e segregação de funções;
  • Registos de auditoria, monitorização contínua e detecção de eventos de segurança;
  • Procedimentos de gestão de vulnerabilidades, aplicação de actualizações e revisão de código;
  • Procedimento documentado de resposta a incidentes, incluindo notificação à autoridade de controlo e aos Titulares dos Dados quando legalmente exigido.

Nenhum sistema de informação é absolutamente inviolável; a WalliD compromete-se, contudo, a manter as medidas em revisão contínua e a actualizá-las em função da evolução técnica e do risco.

11. Cookies e Tecnologias Semelhantes

A Plataforma utiliza cookies e tecnologias semelhantes nos termos da Lei n.º 41/2004, de 18 de Agosto, e das orientações da CNPD em matéria de cookies:

  • Cookies estritamente necessários: indispensáveis ao funcionamento do Serviço, incluindo manutenção de sessão autenticada e segurança. Não requerem consentimento;
  • Cookies analíticos e de medição de audiência: apenas instalados mediante consentimento prévio do utilizador, recolhido através do mecanismo de gestão de preferências disponibilizado na Plataforma.

A WalliD não utiliza cookies publicitários ou de criação de perfis para fins de publicidade comportamental. O Utilizador pode, em qualquer momento, gerir as suas preferências através das definições do navegador ou do painel de preferências da Plataforma.

12. Protecção de Menores

A Plataforma não é dirigida a menores de 18 anos e a WalliD não recolhe intencionalmente dados pessoais de menores. Caso um Utilizador adulto, na qualidade de criador de envelope, carregue documentos contendo dados pessoais de menores, é o próprio Utilizador o responsável pelo respectivo tratamento perante esses titulares, devendo dispor de fundamento de licitude próprio. Se a WalliD tiver conhecimento de que recolheu, sem fundamento adequado, dados de um menor, procederá à sua eliminação sem demora injustificada.

13. Decisões Automatizadas e Definição de Perfis

A WalliD não toma decisões exclusivamente baseadas em tratamento automatizado, incluindo definição de perfis, que produzam efeitos jurídicos relevantes sobre o Titular dos Dados ou que de modo similar o afectem significativamente, na acepção do artigo 22.º do RGPD. Caso, no futuro, tal venha a ocorrer, será dada informação específica e assegurado o direito de obter intervenção humana, manifestar o ponto de vista e contestar a decisão.

14. Violações de Dados Pessoais

Em caso de violação de dados pessoais susceptível de implicar risco para os direitos e liberdades dos titulares, a WalliD notificará a CNPD no prazo de 72 (setenta e duas) horas após ter tido conhecimento da violação, nos termos do artigo 33.º do RGPD. Quando a violação for susceptível de implicar elevado risco para os direitos e liberdades dos Titulares dos Dados, a WalliD comunicará igualmente o incidente aos titulares afectados, nos termos do artigo 34.º do RGPD, descrevendo a natureza da violação, as medidas adoptadas e as recomendações de mitigação.

15. Alterações à Presente Política

A WalliD pode rever a presente Política de Privacidade a qualquer momento, reflectindo alterações legais, técnicas ou organizativas. Quaisquer alterações materiais serão comunicadas aos utilizadores através de correio electrónico para o endereço associado à conta e/ou aviso na Plataforma, com uma antecedência mínima de 30 (trinta) dias relativamente à respectiva entrada em vigor. A versão actualizada será sempre disponibilizada em /privacy, indicando a data da última actualização.

16. Como Exercer os Seus Direitos e Contactos

Para exercer qualquer um dos direitos previstos na cláusula 9 ou para esclarecer questões relativas ao tratamento dos seus dados pessoais, o Titular dos Dados pode contactar a WalliD através dos seguintes meios:

WalliD — Encarregado de Protecção de Dados

Centro de Incubação de Évora

Rua Fernanda Seno, n.º 6

7005-485 Évora, Portugal

Correio electrónico: privacy@wallid.com

Contacto geral: info@wallid.com

Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, o Titular dos Dados tem o direito de apresentar reclamação à autoridade de controlo competente:

Comissão Nacional de Protecção de Dados (CNPD)

Av. D. Carlos I, n.º 134, 1.º

1200-651 Lisboa, Portugal

Correio electrónico: geral@cnpd.pt

Sítio Web:www.cnpd.pt