Política de Privacidade
Última atualização: 2026-02-01
1. Introdução
A Jerry Strait (doravante designada por “Empresa”, “nós” ou “nosso”) compromete-se a proteger a privacidade e os dados pessoais de todos os utilizadores da plataforma CFM — CONTROL FLEET MOTOS (doravante designada por “Plataforma”). A presente Política de Privacidade descreve de forma transparente e acessível como recolhemos, tratamos, armazenamos e protegemos os dados pessoais dos nossos utilizadores.
A Plataforma é uma solução de gestão de frotas de motociclos destinada a empresas de aluguer, permitindo a gestão integral de veículos, contratos de aluguer, manutenção, clientes e finanças. Ao aceder e utilizar a Plataforma, o utilizador aceita as práticas descritas nesta Política de Privacidade.
Recomendamos a leitura atenta deste documento. Caso tenha quaisquer dúvidas sobre o tratamento dos seus dados pessoais, poderá contactar- nos através dos meios indicados na secção 15 desta Política.
2. Responsável pelo Tratamento
O responsável pelo tratamento dos dados pessoais recolhidos através da Plataforma é:
- Denominação social: Jerry Strait
- NIF: 327380136
- Sede: Avenida Do Brasil 127, 2735-674 Agualva-Cacém, Portugal
- Endereço eletrónico: contact@fleetmoto.com
- Telefone: +351 939 048 392
- Encarregado de Proteção de Dados (DPO): dpo@fleetmoto.com
- Website: https://fleetmoto.com
O responsável pelo tratamento determina as finalidades e os meios de tratamento dos dados pessoais, nos termos do artigo 4.º, n.º 7, do Regulamento Geral sobre a Proteção de Dados (RGPD).
3. Enquadramento Legal
O tratamento de dados pessoais realizado pela Plataforma rege-se pela seguinte legislação:
- Regulamento (UE) 2016/679 — Regulamento Geral sobre a Proteção de Dados (RGPD), aplicável diretamente em todos os Estados-Membros da União Europeia desde 25 de maio de 2018;
- Lei n.º 58/2019, de 8 de agosto — Lei de execução do RGPD na ordem jurídica portuguesa, que assegura a aplicação do Regulamento em território nacional;
- Lei n.º 59/2019, de 8 de agosto — Regime jurídico aplicável ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais;
- Comissão Nacional de Proteção de Dados (CNPD) — Autoridade de controlo nacional competente para fiscalizar o cumprimento da legislação de proteção de dados em Portugal, nos termos do artigo 51.º do RGPD.
A Empresa compromete-se a cumprir rigorosamente toda a legislação aplicável em matéria de proteção de dados pessoais, implementando as medidas técnicas e organizativas adequadas para garantir a conformidade com o RGPD e a legislação nacional.
As orientações e deliberações da CNPD são igualmente consideradas na definição das nossas políticas e procedimentos de tratamento de dados pessoais.
4. Dados Recolhidos
No âmbito da utilização da Plataforma, podemos recolher e tratar as seguintes categorias de dados pessoais:
4.1. Dados Pessoais de Identificação
- Nome completo
- Endereço de correio eletrónico
- Número de telefone (quando facultado)
- Fotografia de perfil (quando facultada)
- Dados de autenticação (credenciais de acesso, tokens de sessão)
4.2. Dados da Organização
- Nome da organização
- Logótipo da organização
- Função do utilizador dentro da organização (proprietário, administrador, membro)
- Convites enviados e aceites
4.3. Dados de Negócio
- Dados da frota de motociclos (marca, modelo, matrícula, quilometragem, estado)
- Registos de aluguer (datas, valores, condições, cliente associado)
- Dados dos clientes de aluguer (nome, contacto, documento de identificação)
- Registos de manutenção (tipo, custo, fornecedor, datas)
- Dados financeiros (receitas, despesas, movimentos contabilísticos)
- Documentos carregados (contratos, fotografias, certificados)
4.4. Dados de Utilização
- Endereço IP
- Tipo e versão do navegador (browser)
- Sistema operativo
- Páginas visitadas e ações realizadas na Plataforma
- Data e hora de acesso
- Dados de cookies e tecnologias semelhantes
- Idioma preferido
A Empresa não recolhe intencionalmente categorias especiais de dados pessoais (dados sensíveis) na aceção do artigo 9.º do RGPD, tais como dados relativos à saúde, origem racial ou étnica, opiniões políticas, convicções religiosas ou orientação sexual.
5. Finalidade e Fundamento Jurídico
Os dados pessoais são tratados com base nos seguintes fundamentos jurídicos previstos no artigo 6.º, n.º 1, do RGPD:
| Finalidade | Fundamento Jurídico | Base Legal (RGPD) |
|---|---|---|
| Criação e gestão de conta de utilizador | Execução de contrato | Art. 6.º, n.º 1, al. b) |
| Prestação dos serviços da Plataforma (gestão de frotas, alugueres, manutenção, finanças) | Execução de contrato | Art. 6.º, n.º 1, al. b) |
| Gestão de organizações e permissões de acesso | Execução de contrato | Art. 6.º, n.º 1, al. b) |
| Envio de comunicações transacionais (convites, notificações de conta) | Execução de contrato | Art. 6.º, n.º 1, al. b) |
| Cumprimento de obrigações legais e fiscais | Obrigação legal | Art. 6.º, n.º 1, al. c) |
| Segurança da Plataforma e prevenção de fraude | Interesse legítimo | Art. 6.º, n.º 1, al. f) |
| Melhoria e otimização da Plataforma | Interesse legítimo | Art. 6.º, n.º 1, al. f) |
| Análise estatística e relatórios agregados | Interesse legítimo | Art. 6.º, n.º 1, al. f) |
Quando o tratamento se baseia no interesse legítimo, a Empresa assegura que os seus interesses não prevalecem sobre os direitos e liberdades fundamentais dos titulares dos dados, realizando, quando necessário, avaliações de impacto sobre a proteção de dados (AIPD) nos termos do artigo 35.º do RGPD.
Os dados de negócio introduzidos pelos utilizadores (dados da frota, alugueres, manutenção, finanças) são tratados exclusivamente para a finalidade de prestação dos serviços contratados e permanecem sob o controlo da organização do utilizador.
6. Prazo de Conservação
Os dados pessoais são conservados apenas durante o período estritamente necessário para a prossecução das finalidades que motivaram a sua recolha, ou pelo período exigido por lei. Os prazos de conservação aplicáveis são os seguintes:
| Categoria de Dados | Prazo de Conservação | Justificação |
|---|---|---|
| Dados da conta de utilizador | Duração da conta ativa + 30 dias | Execução de contrato e período de recuperação |
| Dados de negócio (frota, alugueres, manutenção) | Duração da conta ativa + 10 anos | Obrigações fiscais e contabilísticas (Código do IRC, Decreto-Lei n.º 28/2019) |
| Dados financeiros e contabilísticos | 10 anos após o encerramento do exercício | Obrigações fiscais legais (artigo 123.º do Código do IRC) |
| Registos de acesso e logs de segurança | 6 meses | Segurança e deteção de incidentes |
| Dados de cookies e navegação | Conforme a política de cookies | Consentimento do utilizador |
| Documentos carregados | Duração da conta ativa + 10 anos | Obrigações legais e contratuais |
Findo o prazo de conservação aplicável, os dados pessoais serão eliminados de forma segura e irreversível, ou anonimizados de modo a impossibilitar a identificação dos titulares. A anonimização dos dados poderá ser utilizada para fins estatísticos, nos termos do considerando 26 do RGPD.
Em caso de encerramento de conta, o utilizador será informado sobre os dados que serão conservados para cumprimento de obrigações legais e os respetivos prazos.
7. Direitos dos Titulares
Nos termos dos artigos 15.º a 22.º do RGPD e da Lei n.º 58/2019, os titulares dos dados pessoais dispõem dos seguintes direitos:
- Direito de acesso (Art. 15.º RGPD) — O direito de obter confirmação sobre se os seus dados pessoais estão a ser tratados e, em caso afirmativo, aceder aos mesmos e a informações sobre o tratamento.
- Direito de retificação (Art. 16.º RGPD) — O direito de solicitar a correção de dados pessoais inexatos ou incompletos.
- Direito ao apagamento / direito a ser esquecido (Art. 17.º RGPD) — O direito de solicitar a eliminação dos seus dados pessoais, quando aplicável, nomeadamente quando os dados já não sejam necessários para as finalidades que motivaram a sua recolha.
- Direito à limitação do tratamento (Art. 18.º RGPD) — O direito de solicitar a restrição do tratamento dos seus dados pessoais em determinadas circunstâncias.
- Direito à portabilidade dos dados (Art. 20.º RGPD) — O direito de receber os seus dados pessoais num formato estruturado, de uso corrente e de leitura automática, e de os transmitir a outro responsável pelo tratamento.
- Direito de oposição (Art. 21.º RGPD) — O direito de se opor ao tratamento dos seus dados pessoais com base em interesses legítimos.
- Direito de não ficar sujeito a decisões automatizadas (Art. 22.º RGPD) — O direito de não ficar sujeito a decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos jurídicos ou que o afetem significativamente.
Para exercer qualquer dos direitos acima referidos, o titular dos dados deverá contactar-nos através do endereço de correio eletrónico dpo@fleetmoto.com ou por escrito para a morada indicada na secção 2 desta Política. O pedido será respondido no prazo de 30 dias, nos termos do artigo 12.º, n.º 3, do RGPD.
A Empresa poderá solicitar informações adicionais para verificar a identidade do titular antes de satisfazer o pedido, com vista a garantir a segurança dos dados pessoais.
8. Segurança dos Dados
A Empresa implementa medidas técnicas e organizativas adequadas para garantir a segurança dos dados pessoais contra o acesso não autorizado, a perda acidental, a destruição ou a danificação, em conformidade com o artigo 32.º do RGPD. Entre as medidas implementadas incluem-se:
- Encriptação em trânsito e em repouso — Todas as comunicações são protegidas por protocolo TLS/HTTPS. Os dados armazenados na base de dados são encriptados em repouso.
- Autenticação segura — O sistema de autenticação inclui hashing seguro de palavras-passe, gestão de sessões com tokens expiráveis e suporte para autenticação de dois fatores (2FA).
- Controlo de acessos — A Plataforma implementa um sistema de permissões baseado em funções com isolamento rigoroso, garantindo que cada organização apenas acede aos seus próprios dados.
- Registo de atividades — As ações sensíveis são registadas em logs de auditoria para deteção e investigação de incidentes de segurança.
- Cópias de segurança — São realizadas cópias de segurança regulares da base de dados com procedimentos de recuperação testados.
- Revisão contínua — As medidas de segurança são revistas e atualizadas periodicamente para acompanhar a evolução das ameaças e das melhores práticas.
Não obstante as medidas adotadas, nenhum sistema de transmissão ou armazenamento de dados é absolutamente seguro. A Empresa compromete-se a adotar todas as medidas razoáveis e proporcionais para proteger os dados pessoais dos seus utilizadores.
9. Subcontratantes
Para a prestação dos serviços da Plataforma, a Empresa recorre a subcontratantes (processadores de dados) nos termos do artigo 28.º do RGPD. Todos os subcontratantes foram selecionados criteriosamente e oferecem garantias suficientes de implementação de medidas técnicas e organizativas adequadas à proteção dos dados pessoais.
Os subcontratantes atuais são os seguintes:
| Subcontratante | Serviço Prestado | Localização dos Dados | Garantias |
|---|---|---|---|
| Supabase | Base de dados e armazenamento de ficheiros | União Europeia (região UE) | Conformidade com RGPD, encriptação em repouso e em trânsito, certificações SOC 2 |
| Vercel | Alojamento da aplicação web (Edge Network) | Rede Edge global (com nós na UE) | Conformidade com RGPD, DPA disponível, certificações SOC 2 e ISO 27001 |
| Resend | Envio de emails transacionais (convites, notificações) | Estados Unidos da América | Conformidade com RGPD, DPA disponível, cláusulas contratuais tipo (SCCs) |
Com todos os subcontratantes foram celebrados acordos de tratamento de dados (Data Processing Agreements — DPA) que estabelecem as obrigações de cada parte em matéria de proteção de dados, incluindo medidas de segurança, notificação de violações e limitações ao tratamento.
A lista de subcontratantes poderá ser atualizada periodicamente. Em caso de alteração substancial, os utilizadores serão informados através da atualização desta Política.
10. Transferências Internacionais
A Empresa privilegia o armazenamento e tratamento de dados pessoais dentro do Espaço Económico Europeu (EEE). No entanto, alguns dos nossos subcontratantes poderão tratar dados pessoais fora do EEE, nomeadamente nos Estados Unidos da América.
Quando são realizadas transferências de dados pessoais para países terceiros que não disponham de uma decisão de adequação da Comissão Europeia nos termos do artigo 45.º do RGPD, a Empresa assegura que são implementadas garantias adequadas, nomeadamente:
- Cláusulas contratuais tipo (SCCs) — Aprovadas pela Comissão Europeia nos termos do artigo 46.º, n.º 2, al. c), do RGPD;
- Data Privacy Framework UE-EUA — Para subcontratantes certificados ao abrigo do quadro de privacidade de dados UE-EUA, quando aplicável;
- Medidas suplementares — Incluindo avaliações do impacto da transferência (TIA) e medidas técnicas adicionais de proteção, em conformidade com as recomendações do Comité Europeu para a Proteção de Dados (CEPD).
Os utilizadores podem obter informações adicionais sobre as garantias aplicáveis às transferências internacionais contactando o nosso Encarregado de Proteção de Dados através do endereço dpo@fleetmoto.com.
12. Violações de Dados
Em caso de violação de dados pessoais, conforme definida no artigo 4.º, n.º 12, do RGPD, a Empresa atuará de acordo com os seguintes procedimentos:
- Notificação à autoridade de controlo (Art. 33.º RGPD) — A violação de dados pessoais será notificada à Comissão Nacional de Proteção de Dados (CNPD) no prazo máximo de 72 horas após a Empresa ter conhecimento da mesma, salvo se a violação não for suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.
- Notificação aos titulares dos dados (Art. 34.º RGPD) — Quando a violação de dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, a Empresa comunicará a violação aos titulares dos dados sem demora injustificada.
- Registo de violações — A Empresa mantém um registo de todas as violações de dados pessoais, incluindo os factos relacionados com a violação, os seus efeitos e as medidas de reparação adotadas, nos termos do artigo 33.º, n.º 5, do RGPD.
A notificação à CNPD incluirá, no mínimo, a natureza da violação, as categorias e número aproximado de titulares de dados afetados, as consequências prováveis da violação e as medidas adotadas ou propostas para fazer face à violação.
A Empresa dispõe de um plano de resposta a incidentes de segurança que define os procedimentos internos a seguir em caso de violação de dados, incluindo a identificação, contenção, avaliação e comunicação do incidente.
13. Menores
A Plataforma CFM — CONTROL FLEET MOTOS é um serviço profissional de gestão de frotas destinado exclusivamente a empresas e profissionais. Os nossos serviços não são destinados a menores de 16 anos, em conformidade com o artigo 8.º do RGPD e o artigo 16.º da Lei n.º 58/2019.
A Empresa não recolhe intencionalmente dados pessoais de menores de 16 anos. Caso tomemos conhecimento de que foram recolhidos dados pessoais de um menor sem o consentimento do titular das responsabilidades parentais, procederemos à eliminação imediata desses dados.
Se tiver conhecimento de que um menor de 16 anos nos forneceu dados pessoais, pedimos que nos contacte imediatamente através do endereço dpo@fleetmoto.com.
14. Alterações à Política
A Empresa reserva-se o direito de alterar a presente Política de Privacidade a qualquer momento, nomeadamente para refletir alterações legislativas, regulamentares ou nas nossas práticas de tratamento de dados.
Em caso de alterações substanciais, os utilizadores serão informados através de notificação na Plataforma ou por correio eletrónico, consoante a natureza da alteração. As alterações entrarão em vigor na data indicada na versão atualizada da Política.
Recomendamos a consulta periódica desta Política para se manter informado sobre como protegemos os seus dados pessoais. A data da última atualização é indicada no início deste documento.
A continuação da utilização da Plataforma após a publicação de alterações à Política de Privacidade constitui aceitação dessas alterações.
15. Contacto e Reclamações
Para quaisquer questões, pedidos de exercício de direitos ou reclamações relacionadas com o tratamento dos seus dados pessoais, poderá contactar-nos através dos seguintes meios:
- Encarregado de Proteção de Dados: dpo@fleetmoto.com
- Endereço eletrónico geral: contact@fleetmoto.com
- Morada: Avenida Do Brasil 127, 2735-674 Agualva-Cacém, Portugal
- Telefone: +351 939 048 392
Sem prejuízo do direito de contactar diretamente a Empresa, o titular dos dados tem o direito de apresentar reclamação junto da autoridade de controlo competente, nos termos do artigo 77.º do RGPD:
- Comissão Nacional de Proteção de Dados (CNPD)
- Av. D. Carlos I, 134 — 1.º, 1200-651 Lisboa
- Telefone: +351 213 928 400
- Fax: +351 213 976 832
- Website: www.cnpd.pt
- Email: geral@cnpd.pt
A Empresa compromete-se a colaborar com a CNPD e com o titular dos dados para a resolução de quaisquer questões relacionadas com o tratamento de dados pessoais.
Data de entrada em vigor: 1 de fevereiro de 2026