RGPD &
conformidade.

Última atualização: Abril de 2026

O que é o RGPD

O Regulamento Geral sobre a Proteção de Dados (RGPD), em vigor desde 25 de maio de 2018, é o principal instrumento legal europeu para a proteção de dados pessoais. Aplica-se a todas as organizações que tratam dados de residentes na União Europeia, independentemente da sua localização geográfica. O RGPD confere aos cidadãos europeus um conjunto de direitos sobre os seus dados e impõe obrigações claras às organizações que os tratam.

A Boomly está plenamente comprometida com o cumprimento do RGPD e com uma abordagem de privacidade por design — o que significa que a proteção de dados é integrada desde o início em todas as funcionalidades e processos da plataforma, e não adicionada como uma camada posterior.

Responsável pelo tratamento

A Boomly é a responsável pelo tratamento dos dados pessoais dos seus utilizadores, nos termos do Artigo 4.º, n.º 7 do RGPD. Para qualquer questão relacionada com o tratamento de dados pessoais, podes contactar-nos através de info@boomly.pt.

Os teus direitos ao abrigo do RGPD

O RGPD confere-te oito direitos fundamentais sobre os teus dados pessoais. A Boomly garante o exercício pleno de todos eles. Todos os pedidos são respondidos no prazo máximo de 30 dias a contar da receção, podendo esse prazo ser prorrogado por mais 60 dias em casos de especial complexidade, mediante notificação prévia.

Para exercer qualquer destes direitos, envia um email para info@boomly.pt com o assunto correspondente ao direito que pretendes exercer, indicando o email associado à tua conta. Tens também o direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD) se considerares que os teus direitos não foram respeitados.

Bases legais para o tratamento de dados

O RGPD exige que todo o tratamento de dados pessoais se baseie numa das seis bases legais previstas no Artigo 6.º. A Boomly trata os teus dados com base nas seguintes fundações:

Base legal	Artigo RGPD	Aplicação na Boomly
Execução de contrato	Art. 6.º, n.º 1, al. b)	Prestação do serviço contratado: agendamento, publicação, relatórios, gestão de conta, faturação
Consentimento	Art. 6.º, n.º 1, al. a)	Acesso às contas de redes sociais (Meta, TikTok, Pinterest, LinkedIn, Google) via OAuth; cookies analíticos e de marketing; comunicações de marketing
Interesses legítimos	Art. 6.º, n.º 1, al. f)	Segurança da plataforma e prevenção de fraude; melhoria do serviço com dados agregados; comunicações transacionais sobre a conta
Obrigação legal	Art. 6.º, n.º 1, al. c)	Conservação de registos fiscais e contabilísticos (10 anos, nos termos do Código do IVA e Código Comercial português)

Categorias de dados tratados

A Boomly trata exclusivamente dados pessoais comuns (não sensíveis na aceção do Artigo 9.º do RGPD). As categorias tratadas são:

• Dados de identificação: nome, endereço de email, fotografia de perfil (opcional)
• Dados de autenticação: password encriptada (bcrypt), tokens de acesso a APIs de terceiros (encriptados em repouso com AES-256)
• Dados de faturação: morada, NIF/NIPC, histórico de pagamentos (processados por subprocessadores certificados PCI-DSS)
• Dados de utilização: funcionalidades utilizadas, frequência de acesso, registos de sessão, endereço IP
• Conteúdos editoriais: imagens, vídeos, textos e legendas carregados para agendamento
• Dados de redes sociais: métricas de desempenho, dados de audiência agregados, identificadores de conta — obtidos via APIs das plataformas com autorização explícita do utilizador
• Dados de calendário: eventos de agendamento sincronizados com Google Calendar (apenas se autorizado)

Prazos de conservação dos dados

A Boomly não conserva dados pessoais por mais tempo do que o necessário para os fins que motivaram a sua recolha, em conformidade com o princípio da limitação da conservação previsto no Artigo 5.º, n.º 1, al. e) do RGPD:

Categoria de dados	Prazo de conservação	Fundamento
Dados de conta e perfil	Duração da conta + 90 dias após cancelamento	Execução do contrato
Tokens de acesso a APIs (Meta, TikTok, etc.)	Eliminados imediatamente após desconexão ou revogação	Consentimento (revogável)
Conteúdos agendados e métricas	Duração da conta + 90 dias	Execução do contrato
Registos de sessão e logs de segurança	90 dias	Interesses legítimos (segurança)
Dados de faturação e registos fiscais	10 anos	Obrigação legal (Código do IVA)
Backups de segurança	90 dias (ciclo de rotação)	Interesses legítimos (continuidade)
Comunicações de suporte	3 anos após resolução	Interesses legítimos (qualidade)

Subprocessadores e transferências de dados

A Boomly recorre a subprocessadores para a prestação de determinados serviços técnicos. Todos os subprocessadores estão sujeitos a Acordos de Tratamento de Dados (DPA) conformes com o RGPD e oferecem garantias adequadas de proteção. Os principais subprocessadores são:

Medidas de segurança técnicas e organizativas

A Boomly implementa as medidas de segurança exigidas pelo Artigo 32.º do RGPD, adequadas ao risco e ao estado da arte:

• Encriptação em trânsito: TLS 1.2+ em todas as comunicações; HSTS ativo; certificados renovados automaticamente
• Encriptação em repouso: AES-256 para bases de dados e armazenamento de ficheiros; encriptação adicional para tokens de acesso a APIs
• Controlo de acesso: autenticação multi-fator (MFA) obrigatória para equipa interna; controlo de acesso baseado em funções (RBAC); princípio do menor privilégio
• Segurança da aplicação: testes de penetração anuais realizados por terceiros; revisões de código com foco em segurança; gestão de vulnerabilidades com SLA definido
• Monitorização: registos de auditoria para todas as operações sensíveis; alertas em tempo real para comportamentos anómalos; plano de resposta a incidentes documentado
• Continuidade: backups automáticos diários com verificação de integridade; RTO (Recovery Time Objective) de 4 horas; RPO (Recovery Point Objective) de 1 hora
• Pessoal: formação anual em proteção de dados para todos os colaboradores; acordos de confidencialidade; procedimentos de revogação de acesso em caso de saída

Violações de dados e notificações

Em caso de violação de dados pessoais, a Boomly segue o procedimento exigido pelos Artigos 33.º e 34.º do RGPD:

Privacidade por design e por defeito

Nos termos do Artigo 25.º do RGPD, a Boomly adota uma abordagem de privacy by design and by default:

• Minimização de dados: recolhemos apenas os dados estritamente necessários para cada finalidade específica
• Limitação de finalidade: os dados recolhidos para uma finalidade não são utilizados para outras finalidades incompatíveis
• Configurações mais protetoras por defeito: as configurações de privacidade mais restritivas são as ativas por omissão; o utilizador pode optar por configurações menos restritivas de forma informada e explícita
• Avaliações de impacto (AIPD): realizamos Avaliações de Impacto sobre a Proteção de Dados antes de implementar funcionalidades ou processos que possam implicar elevado risco para os titulares, nos termos do Artigo 35.º do RGPD
• Pseudonimização e anonimização: sempre que os dados são utilizados para análise ou relatórios internos, são pseudonimizados ou anonimizados de forma a não permitir a identificação direta dos titulares

Direitos das crianças e menores

A Boomly destina-se exclusivamente a utilizadores com 18 anos ou mais. Não recolhemos dados de menores de forma consciente. Se tomarmos conhecimento de que um menor nos forneceu dados pessoais, eliminaremos esses dados imediatamente. Se acreditares que um menor nos forneceu dados pessoais, contacta-nos em info@boomly.pt.

Marketing direto e comunicações

A Boomly apenas envia comunicações de marketing quando tens dado o teu consentimento explícito para tal, nos termos do Artigo 6.º, n.º 1, al. a) do RGPD e da Diretiva ePrivacy. Podes cancelar a subscrição de qualquer comunicação de marketing a qualquer momento através do link "cancelar subscrição" presente em todos os emails de marketing, ou enviando um email para info@boomly.pt. As comunicações transacionais (sobre a tua conta, faturas, alertas de segurança) não são afetadas pelo cancelamento do marketing.

Como exercer os teus direitos

Para exercer qualquer direito RGPD, envia um email para info@boomly.pt com:

• O teu nome completo e email associado à conta Boomly
• O direito que pretendes exercer (acesso, retificação, apagamento, portabilidade, limitação, oposição)
• Se necessário, uma cópia de documento de identificação para verificação de identidade (apenas para pedidos sensíveis como exportação completa de dados ou eliminação de conta)

Responderemos no prazo máximo de 30 dias. Em casos de especial complexidade, podemos prorrogar até 60 dias adicionais, notificando-te no prazo inicial de 30 dias. O exercício dos teus direitos é gratuito. Em caso de pedidos manifestamente infundados ou excessivos, podemos cobrar uma taxa razoável ou recusar o pedido, justificando a nossa decisão.

Autoridade de controlo

Tens o direito de apresentar reclamação à autoridade de controlo competente se considerares que o tratamento dos teus dados pessoais viola o RGPD. Em Portugal, a autoridade competente é:

Alterações a esta política

Esta política pode ser atualizada para refletir alterações legais, regulatórias ou às nossas práticas de tratamento de dados. Alterações materiais serão comunicadas por email com pelo menos 30 dias de antecedência. A versão mais recente está sempre disponível nesta página, com a data de última atualização visível no topo.