ThumbLead← Voltar ao site

Política de privacidade

FrançaisEnglishEspañolDeutschItalianoPortuguêsРусский
⚠︎ Esta é uma tradução de cortesia. Apenas a versão francesa tem valor legal.Ler a versão francesa

Política de privacidade (RGPD)

Última atualização: 2 de julho de 2026

A presente política de privacidade descreve a forma como os dados pessoais são recolhidos, utilizados, conservados e protegidos no âmbito da utilização do software em linha (SaaS) ThumbLead, acessível no endereço https://thumblead.com (doravante o «Serviço»).

Foi estabelecida em conformidade com o Regulamento (UE) 2016/679, de 27 de abril de 2016 (doravante o «RGPD»), e com a Lei n.º 78-17, de 6 de janeiro de 1978, alterada, relativa à informática, aos ficheiros e às liberdades (loi Informatique et Libertés) (doravante a «Lei Informática e Liberdades»).

A utilização do Serviço implica a tomada de conhecimento e a aceitação da presente política. Convidamo-lo a lê-la atentamente.


Artigo 1 — Responsável pelo tratamento

O responsável pelo tratamento dos dados pessoais recolhidos no âmbito do funcionamento do Serviço é o editor:

  • Editor: Enzo Violante
  • SIRET: 948 968 318 000 14
  • Endereço: 6 rue Émile Barthe, 34500 Béziers, France
  • N.º de IVA intracomunitário: TVA non applicable, article 293 B du CGI (isenção de base de IVA)
  • Contacto (dados pessoais): contact@thumblead.com
  • Diretor da publicação: Enzo Violante

Doravante designado «nós», «o editor» ou «o responsável pelo tratamento».

O editor atua na qualidade de responsável pelo tratamento dos dados que determina (dados de conta, de faturação, tokens técnicos, registos, etc.). Aplica-se um caso especial aos dados dos prospetos importados pelo utilizador, relativamente aos quais o editor atua na qualidade de subcontratante (ver Artigo 9).


Artigo 2 — Dados pessoais recolhidos

Recolhemos unicamente os dados estritamente necessários às finalidades descritas no Artigo 3. As categorias de dados tratados são as seguintes:

2.1 Dados de conta

  • Apelido e/ou nome próprio (ou nome usual indicado);
  • Endereço de correio eletrónico;
  • Palavra-passe, armazenada de forma cifrada por hash (nunca em texto simples — ver Artigo 7);
  • Se for caso disso, as informações provenientes da ligação através de uma conta Google («Google / OAuth»), tais como o identificador da conta e o endereço de correio eletrónico associado.

2.2 Dados de faturação

  • Nome / denominação social, endereço de faturação;
  • Se for caso disso, número SIRET e número de IVA intracomunitário;
  • Histórico de assinaturas, orçamentos, faturas e notas de crédito;
  • Identificadores técnicos associados ao prestador de pagamento (ver 2.5).

Os dados do cartão de pagamento (número de cartão, criptograma) nunca são recolhidos nem armazenados pela ThumbLead. São tratados diretamente pelo nosso prestador de pagamento Stripe (ver Artigo 4). Em contrapartida, se indicar os seus próprios dados bancários (IBAN/BIC) para os fazer constar das suas faturas, estes são conservados e cifrados em repouso (ver Artigo 7).

2.3 Dados de contactos / CRM inseridos pelo utilizador

No âmbito das funcionalidades de CRM e de gestão comercial, o utilizador pode criar e registar fichas de contactos (clientes, prospetos), bem como encomendas. Estes dados (nome, correio eletrónico, contactos, notas, elementos relativos aos canais YouTube prospetados, histórico de encomendas) são inseridos e geridos sob a exclusiva responsabilidade do utilizador. O regime aplicável a estes dados é precisado no Artigo 9.

2.4 Tokens de acesso OAuth Google

Quando o utilizador liga a sua conta Google para a sincronização do Google Calendar (e, se for caso disso, de outros serviços Google), conservamos tokens de acesso e de atualização OAuth, cifrados em repouso (ver Artigo 7) e utilizados unicamente para executar as ações solicitadas.

Para o envio das suas sequências de correios eletrónicos de prospeção, o utilizador liga a sua própria caixa de correio (SMTP). Conservamos então os seus identificadores de envio (endereço de correio eletrónico e palavra-passe de aplicação), sendo esta última cifrada em repouso (ver Artigo 7) e utilizada unicamente para enviar os correios eletrónicos que programa, a partir do seu próprio endereço.

2.5 Identificadores Stripe

Para a gestão das assinaturas e dos pagamentos, conservamos os identificadores técnicos atribuídos pela Stripe (por exemplo, identificador de cliente, identificador de assinatura, identificador de meio de pagamento tokenizado). Estes identificadores permitem associar uma assinatura a uma conta, sem nunca dar acesso aos dados bancários completos.

2.6 Registos técnicos (logs)

Por razões de segurança, de diagnóstico e de bom funcionamento do Serviço, recolhemos registos técnicos: endereço IP, data e hora de ligação, tipo de navegador / de dispositivo, páginas ou funcionalidades consultadas, eventos de erro e de segurança.


Artigo 3 — Finalidades e bases legais dos tratamentos

Cada tratamento assenta numa base legal determinada em conformidade com o artigo 6 do RGPD.

Finalidade Dados em causa Base legal
Criação e gestão da conta de utilizador, prestação do Serviço Dados de conta, tokens OAuth Google Execução do contrato (art. 6.1.b)
Gestão das assinaturas, pagamentos, orçamentos, faturas e notas de crédito Dados de faturação, identificadores Stripe Execução do contrato (art. 6.1.b) e obrigação legal (art. 6.1.c — obrigações contabilísticas e fiscais)
Funcionalidades de CRM, de agenda, de sequências de correios eletrónicos e de análise de miniaturas por IA Dados de conta, dados inseridos pelo utilizador, tokens OAuth Google Execução do contrato (art. 6.1.b)
Sincronização do Google Calendar Tokens OAuth Google Consentimento (art. 6.1.a — autorização OAuth, revogável a qualquer momento)
Envio das sequências de correios eletrónicos a partir da caixa do utilizador Identificadores da caixa de envio (endereço + palavra-passe de aplicação, cifrada) Execução do contrato (art. 6.1.b)
Segurança do Serviço, prevenção de fraudes e abusos, diagnóstico técnico Registos técnicos Interesse legítimo (art. 6.1.f)
Melhoria do Serviço e estatísticas de utilização internas Registos técnicos (dados agregados / minimizados) Interesse legítimo (art. 6.1.f)
Medição de audiência através de uma ferramenta terceira (PostHog) Dados de navegação e de utilização Consentimento (art. 6.1.a — recolhido através de um banner, revogável a qualquer momento)
Resposta aos pedidos de contacto e ao suporte Dados de conta, conteúdo das trocas Interesse legítimo (art. 6.1.f) e/ou execução do contrato
Envio de correios eletrónicos transacionais (confirmação, fatura, informação de serviço) Endereço de correio eletrónico Execução do contrato (art. 6.1.b)
Cumprimento das obrigações legais e resposta às requisições Consoante o pedido Obrigação legal (art. 6.1.c)

Quando o tratamento assenta no consentimento, este pode ser retirado a qualquer momento, sem que essa retirada ponha em causa a licitude dos tratamentos efetuados anteriormente. A retirada da autorização OAuth Google pode, nomeadamente, efetuar-se a partir das definições de segurança da conta Google do utilizador e/ou a partir do Serviço.


Artigo 4 — Destinatários e subcontratantes

Os dados não são vendidos, nem alugados, nem cedidos a terceiros para fins comerciais.

Podem ser comunicados às seguintes categorias de destinatários, estritamente na medida do necessário às finalidades descritas acima:

  • O editor e, se for caso disso, as pessoas habilitadas que atuam sob a sua autoridade;
  • Os subcontratantes enumerados abaixo, que atuam segundo as nossas instruções e apresentam garantias suficientes na aceção do artigo 28 do RGPD;
  • As autoridades administrativas ou judiciais competentes, mediante pedido legal.

Subcontratantes e prestadores

Prestador Papel / finalidade Localização Transferência fora da UE
Railway Corporation Alojamento da aplicação e da base de dados PostgreSQL Estados Unidos Sim (ver Artigo 5)
Stripe Payments Europe, Ltd. Tratamento dos pagamentos e gestão das assinaturas Irlanda (UE) Não
Google Ireland Ltd. Análise de miniaturas por IA (Google Gemini), ligação Google / OAuth, sincronização do Google Calendar Irlanda (UE) Ver Artigo 5
PostHog Medição de audiência e estatísticas de utilização do Serviço (com base no consentimento do utilizador) União Europeia (alojamento UE) Não
Sentry (Functional Software, Inc.) Deteção e diagnóstico dos erros técnicos (monitorização aplicacional) União Europeia (região de dados UE) Não
Resend e/ou Gmail SMTP Envio de correios eletrónicos transacionais e de faturas Google (envio através da API Gmail / Google Ireland Ltd., Irlanda) Não aplicável (prestador situado na União Europeia)

O endereço do prestador de alojamento é: Railway Corporation, 548 Market Street, San Francisco, CA 94104, Estados Unidos.

No que respeita aos dados transmitidos à Google (nomeadamente o conteúdo das miniaturas analisadas através do Gemini), o seu tratamento está igualmente sujeito às políticas de privacidade da Google. O Serviço apenas utiliza estes acessos para executar as ações expressamente solicitadas pelo utilizador.


Artigo 5 — Transferências de dados para fora da União Europeia

O alojamento da aplicação e da base de dados PostgreSQL é assegurado pela Railway Corporation, sociedade estabelecida nos Estados Unidos. A este título, alguns dados pessoais são objeto de uma transferência para fora do Espaço Económico Europeu (EEE).

Esta transferência está enquadrada por garantias adequadas na aceção do capítulo V do RGPD, a saber, a celebração das cláusulas contratuais-tipo (CCT) adotadas pela Comissão Europeia (decisão de execução (UE) 2021/914, de 4 de junho de 2021), completadas, se for caso disso, por medidas técnicas e organizativas suplementares.

No que respeita à Google, quando o subcontratante contratante é a Google Ireland Ltd. (UE), os dados são tratados no quadro europeu; qualquer eventual transferência para infraestruturas situadas fora do EEE está enquadrada pelas cláusulas contratuais-tipo e pelas garantias implementadas pela Google.

Uma cópia das garantias aplicáveis pode ser obtida mediante pedido no endereço indicado no Artigo 1.


Artigo 6 — Prazos de conservação

Os dados apenas são conservados durante o período estritamente necessário às finalidades para as quais são tratados, sendo em seguida arquivados ou eliminados em conformidade com os prazos abaixo:

Categoria de dados Prazo de conservação
Dados de conta Durante todo o período da relação contratual, seguido de eliminação (ou anonimização) num prazo máximo de 3 meses após o encerramento da conta
Tokens OAuth Google Até à revogação da autorização pelo utilizador, à desconexão do serviço Google ou ao encerramento da conta
Dados de faturação, faturas e documentos contabilísticos 10 anos a contar do encerramento do exercício contabilístico, em conformidade com o artigo L123-22 do Código Comercial (Code de commerce)
Contactos CRM e encomendas inseridos pelo utilizador Durante todo o período de utilização do Serviço pelo utilizador; eliminados aquando do encerramento da conta, sob reserva da ação própria do utilizador (ver Artigo 9)
Registos técnicos (logs) 12 meses em conformidade com as recomendações em matéria de segurança
Dados relativos à gestão dos pedidos de exercício de direitos O tempo necessário ao tratamento do pedido, seguido de conservação a título de prova nos prazos de prescrição aplicáveis

No termo destes prazos, os dados são eliminados ou anonimizados de forma irreversível. Alguns dados podem ser conservados em arquivo intermédio, de acesso restrito, para dar resposta a uma obrigação legal ou fazer valer um direito em juízo.


Artigo 7 — Segurança dos dados

Implementamos medidas técnicas e organizativas adequadas a fim de garantir um nível de segurança ajustado ao risco, em conformidade com o artigo 32 do RGPD. Estas medidas incluem, nomeadamente:

  • O hashing das palavras-passe por meio do algoritmo bcrypt (as palavras-passe nunca são armazenadas nem transmitidas em texto simples);
  • A cifragem em repouso dos dados sensíveis (nomeadamente os dados bancários do tipo IBAN utilizados para a faturação, os tokens de acesso Google e a palavra-passe de aplicação da caixa de envio) por meio de uma cifragem AES-256;
  • A cifragem das comunicações em trânsito através do protocolo HTTPS/TLS;
  • O controlo dos acessos e a limitação das permissões ao estritamente necessário;
  • O registo dos eventos de segurança;
  • O recurso a subcontratantes que apresentam garantias de segurança conformes ao artigo 28 do RGPD.

Em caso de violação de dados pessoais suscetível de gerar um risco para os direitos e liberdades das pessoas em causa, comprometemo-nos a notificá-la à CNIL nas condições e prazos previstos no artigo 33 do RGPD e, se for caso disso, a informar as pessoas em causa em conformidade com o artigo 34 do RGPD.

Não oferecendo nenhum sistema uma segurança absoluta, o utilizador é convidado a contribuir para a proteção dos seus dados, nomeadamente escolhendo uma palavra-passe robusta e mantendo-a confidencial.


Artigo 8 — Direitos das pessoas em causa

Em conformidade com o RGPD e com a Lei Informática e Liberdades (loi Informatique et Libertés), qualquer pessoa em causa dispõe dos seguintes direitos sobre os seus dados pessoais:

  • Direito de acesso (art. 15 RGPD): obter a confirmação de que os dados que lhe dizem respeito são tratados e receber uma cópia dos mesmos;
  • Direito de retificação (art. 16 RGPD): mandar corrigir dados inexatos ou incompletos;
  • Direito ao apagamento (art. 17 RGPD): obter a eliminação dos seus dados, sob reserva das obrigações legais de conservação (nomeadamente contabilísticas e fiscais);
  • Direito à portabilidade (art. 20 RGPD): receber os dados fornecidos num formato estruturado, de uso corrente e de leitura automática, e transmiti-los a outro responsável pelo tratamento;
  • Direito de oposição (art. 21 RGPD): opor-se, por razões relacionadas com a sua situação particular, a um tratamento fundado no interesse legítimo;
  • Direito à limitação do tratamento (art. 18 RGPD): solicitar o congelamento temporário da utilização dos seus dados em determinados casos;
  • Direito de retirar o seu consentimento a qualquer momento, quando o tratamento assenta neste;
  • Direito de definir diretrizes relativas ao destino dos seus dados após a sua morte (art. 85 da Lei Informática e Liberdades).

Como exercer os seus direitos

Estes direitos podem ser exercidos mediante o envio de um pedido para o endereço de contacto indicado no Artigo 1: contact@thumblead.com, ou por correio postal para o endereço do editor.

A fim de tratar o pedido, poderá ser solicitada a comprovação da identidade. Será dada uma resposta num prazo de um mês a contar da receção do pedido, prorrogável por dois meses em caso de complexidade ou de elevado número de pedidos, sendo a pessoa em causa então informada.

Reclamação junto da CNIL

Se, após ter contactado o editor, a pessoa em causa considerar que os seus direitos não são respeitados, pode apresentar uma reclamação junto da Comissão Nacional de Informática e das Liberdades (CNIL):

  • CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Sítio: https://www.cnil.fr

Artigo 9 — Caso especial: dados dos prospetos importados pelo utilizador

O Serviço permite ao utilizador importar, criar e gerir dados relativos a prospetos (canais YouTube e os seus responsáveis, contactos comerciais, dados de contacto, notas, histórico de trocas), nomeadamente no âmbito das funcionalidades de prospeção, de CRM e de sequências de correios eletrónicos.

Relativamente a estes dados, a repartição dos papéis é a seguinte:

  • O utilizador é o responsável pelo tratamento dos seus próprios prospetos. Determina as finalidades e os meios do tratamento desses dados, escolhe as pessoas prospetadas e decide as mensagens que lhes são dirigidas.
  • O editor (ThumbLead) atua na qualidade de subcontratante na aceção do artigo 28 do RGPD: trata esses dados unicamente sob instrução do utilizador e por conta deste, com o único objetivo de fornecer as funcionalidades do Serviço.

A este título, incumbe ao utilizador, na sua qualidade de responsável pelo tratamento dos seus prospetos:

  • dispor de uma base legal válida para a prospeção (nomeadamente o respeito das regras aplicáveis à prospeção em matéria B2B e B2C, da diretiva «privacidade e comunicações eletrónicas», do artigo L34-5 do Código dos Correios e das Comunicações Eletrónicas (Code des postes et des communications électroniques) e das orientações da CNIL);
  • informar as pessoas prospetadas e respeitar os seus direitos (acesso, oposição, apagamento, etc.);
  • recolher, quando tal for exigido, o consentimento prévio das pessoas;
  • velar pela licitude das fontes de onde provêm os dados importados.

O editor, enquanto subcontratante, compromete-se a tratar esses dados apenas em conformidade com as instruções documentadas do utilizador, a assegurar a sua confidencialidade e segurança, e a eliminá-los ou restituí-los no termo da prestação, nas condições previstas pelas condições gerais do Serviço e, se for caso disso, por um acordo de subcontratação (DPA) distinto. Além disso, o editor celebrou acordos de tratamento de dados (DPA) com os seus próprios subcontratantes (Railway, Stripe, Google).


Artigo 10 — Cookies e rastreadores

O Serviço utiliza essencialmente cookies técnicos, estritamente necessários ao seu funcionamento:

  • cookies de sessão e de autenticação (que permitem manter o utilizador com sessão iniciada);
  • cookies de preferências (memorização de escolhas de interface).

Sendo estes cookies estritamente necessários à prestação do Serviço expressamente solicitado, estão isentos da recolha de consentimento em conformidade com o artigo 82 da Lei Informática e Liberdades e com as orientações da CNIL.

O Serviço não recorre a cookies publicitários de terceiros nem a rastreamento para fins de segmentação publicitária.

Para mais precisões sobre a natureza dos cookies utilizados e a sua gestão, importa consultar a Política de cookies do Serviço: https://thumblead.com/politique-cookies.


Artigo 11 — Menores

O Serviço destina-se a profissionais (freelancers, trabalhadores independentes) e não se destina a menores. Não recolhemos conscientemente dados relativos a pessoas com menos de 15 anos. Se viermos a ter conhecimento da recolha de tais dados sem o consentimento exigido, procederemos à sua eliminação no mais breve prazo possível. Qualquer pessoa que considere que um menor nos comunicou dados é convidada a informar-nos no endereço indicado no Artigo 1.


Artigo 12 — Alterações à presente política

A presente política de privacidade é suscetível de ser alterada a qualquer momento, nomeadamente a fim de ter em conta as evoluções legais, regulamentares, jurisprudenciais ou técnicas, ou evoluções do Serviço.

A versão aplicável é a que se encontra em vigor à data de acesso ao Serviço, figurando a data da última atualização no início do presente documento. Em caso de alteração substancial, os utilizadores poderão ser informados por um meio adequado (por exemplo, correio eletrónico ou notificação no Serviço). A continuação da utilização do Serviço após a entrada em vigor das alterações vale como tomada de conhecimento das mesmas.