Política de Privacidade

Data de entrada em vigor: 16 April 2026
Última atualização: 16 April 2026

Esta Política de Privacidade explica como a Whylab Trusted Solutions SARL, que opera sob a marca 100Facets ("100Facets", "nós", "nos", "nosso"), recolhe, utiliza, armazena, partilha e protege dados pessoais em ligação com os nossos websites, aplicações, avaliações, relatórios, ferramentas de coaching, percursos, diagnósticos e serviços relacionados.

Esta Política de Privacidade destina-se a refletir os requisitos de proteção de dados aplicáveis, incluindo, onde aplicável, o Regulamento Geral sobre a Proteção de Dados da UE (RGPD) e a revista Lei Federal suíça sobre a Proteção de Dados (FADP / nFADP).

1. Quem Somos

Para questões jurídicas ou relacionadas com a privacidade, ou para exercer os seus direitos, pode contactar-nos em: [email protected]

Para apoio geral: [email protected]

Responsável pela Privacidade de Dados: Mohamad Razaghi

A 100Facets nomeou um Responsável pela Privacidade de Dados para supervisionar matérias de privacidade e proteção de dados. Com base na natureza, escala e frequência das nossas atividades atuais, não designamos atualmente este papel como Encarregado da Proteção de Dados formal ao abrigo do RGPD ou da lei suíça.

2. Quando Esta Política se Aplica

Esta Política de Privacidade aplica-se aos dados pessoais processados em ligação com:

• o nosso website e a nossa aplicação;
• processos de feedback 360, diagnósticos de equipa, diagnósticos organizacionais e avaliações relacionadas;
• relatórios, resumos e recomendações apoiados por IA;
• conversas de tipo coaching, percursos e experiências de aprendizagem;
• participação em programas através de empregadores, universidades, consultores ou coaches; e
• comunicações, apoio e administração de contas.

3. Quando a 100Facets Atua como Responsável pelo Tratamento e Quando Atua como Subcontratante

O papel da 100Facets depende do contexto do serviço.

Utilizadores diretos

Quando utiliza a 100Facets diretamente, a 100Facets atua geralmente como responsável pelo tratamento dos dados pessoais necessários para prestar, proteger, apoiar e administrar o serviço, incluindo dados de conta, apoio, segurança e operação direta do serviço.

Programas empresariais, educativos e patrocinados

Quando utiliza a 100Facets através de um empregador, instituição de ensino, consultor, coach ou outra organização patrocinadora, essa organização atuará frequentemente como responsável pelo tratamento dos dados de avaliação, convite, participação, relatório ou programa em causa, e a 100Facets atuará como subcontratante ou prestador de serviços em seu nome.

Tratamento independente pela 100Facets

Mesmo quando a 100Facets atua como subcontratante de um cliente ou patrocinador, podemos ainda atuar como responsável pelo tratamento independente para finalidades limitadas, tais como segurança, prevenção de fraude, conformidade legal, faturação, auditabilidade e defesa dos nossos direitos.

Se não tiver a certeza de qual o papel que se aplica ao seu caso, pode contactar-nos a nós ou a organização através da qual acede ao serviço.

4. Dados Pessoais que Podemos Processar

Consoante a forma como utiliza a plataforma, podemos processar as seguintes categorias de dados pessoais.

5. Como Recolhemos Dados Pessoais

Recolhemos dados pessoais:

• diretamente de si quando cria uma conta, completa uma avaliação, carrega conteúdo, utiliza uma funcionalidade ou nos contacta;
• de organizações ou administradores que o convidam ou inscrevem num programa;
• de outros participantes quando um processo de feedback ou avaliação envolve múltiplos contribuintes;
• de fornecedores de identidade quando inicia sessão através de serviços como o Google ou a Apple; e
• automaticamente através do funcionamento, segurança e administração normais da plataforma.

6. Por que Utilizamos Dados Pessoais

Utilizamos dados pessoais para:

• prestar, operar e manter a plataforma;
• autenticar utilizadores e gerir contas;
• realizar avaliações, recolher feedback e gerar relatórios;
• prestar coaching, percursos, entrevistas e experiências de utilizador relacionadas;
• enviar mensagens transacionais, comunicações de verificação e respostas de apoio;
• melhorar a qualidade, a segurança e o desempenho da plataforma;
• monitorizar a utilização, detetar abusos e manter a segurança; e
• cumprir obrigações legais, regulamentares e contratuais.

Algumas funcionalidades da plataforma envolvem definição de perfis, ou seja, o tratamento automatizado de dados pessoais para gerar avaliações, perfis de liderança, insights comportamentais, diagnósticos de equipa, insights organizacionais ou recomendações de desenvolvimento. Esta definição de perfis é utilizada para fornecer a funcionalidade central do serviço. Os resultados destinam-se a apoiar o discernimento humano e estão claramente identificados como gerados por IA onde aplicável. Não produz decisões juridicamente vinculativas sobre indivíduos por si só. Ver também a Secção 15 (Decisões Automatizadas).

7. Tratamento de IA e de Voz

Algumas funcionalidades da plataforma utilizam sistemas de IA para apoiar análises, geração de texto, recomendações, resumos, traduções, transcrição e experiências conversacionais.

A 100Facets não utiliza dados pessoais, ficheiros carregados, prompts, resultados, transcrições, respostas a avaliações, conteúdo de feedback ou outro conteúdo de utilizador ou cliente processado através dos serviços para treinar grandes modelos de linguagem ou outros modelos de base.

Onde utilizamos fornecedores terceiros de serviços de IA ou LLM para apoiar os serviços, configuramos ou exigimos a esses fornecedores, na configuração de serviço e no acordo contratual aplicáveis, que não utilizem tais dados pessoais ou conteúdo de serviço para treinar os seus grandes modelos de linguagem ou outros modelos de base.

Onde a entrada de voz está ativada, o áudio que fornece pode ser gravado na aplicação cliente, transmitido para os nossos servidores e depois enviado para um fornecedor terceiro de IA para transcrição, para que a funcionalidade solicitada possa funcionar.

A transcrição resultante é então utilizada como dados de entrada para a funcionalidade em causa, tal como a recolha de respostas qualitativas, o apoio a interações de coaching ou a alimentação de fluxos de trabalho relacionados.

O áudio bruto é eliminado dos nossos servidores após a conclusão da transcrição. Configuramos ou exigimos ao fornecedor de IA em causa que processe o áudio apenas para transcrição e que trate da eliminação após a conclusão da transcrição em conformidade com a configuração de serviço, os termos contratuais e os processos do fornecedor aplicáveis.

As entradas transcritas podem ser conservadas como parte do fluxo de trabalho de avaliação, coaching, percurso ou entrada qualitativa em causa pela duração do período de programa ou contrato aplicável, ou enquanto a conta permanecer ativa onde nenhum período de programa se aplique.

Certas funcionalidades dependem de modelos de IA de terceiros e serviços de IA relacionados, que podem mudar ao longo do tempo como parte do funcionamento e melhoria normais do nosso serviço. Onde uma alteração envolva um fornecedor externo novo ou diferente para o tratamento de IA, atualizaremos esta Política de Privacidade em conformidade e, onde exigido por contrato aplicável, notificaremos os clientes empresariais com antecedência.

Os resultados de IA podem nem sempre ser exatos, completos ou apropriados para todos os contextos. Destinam-se a ser ferramentas de apoio e não devem ser tidos como a única base para decisões importantes.

Documentos Carregados e Análise de Ficheiros

Onde carrega documentos, incluindo ficheiros PDF, podemos armazenar e processar esses ficheiros a fim de prestar o serviço solicitado. Isto pode incluir a extração de texto ou de informação estruturada do documento carregado para análise, geração de relatórios, sumarização ou funcionalidades de plataforma relacionadas.

Onde for necessário para a funcionalidade em causa, os ficheiros carregados ou o conteúdo extraído podem ser processados por fornecedores terceiros de IA de confiança que atuam em nosso nome. Os ficheiros carregados e o conteúdo extraído relacionado são conservados em conformidade com o contrato, programa ou relação de serviço aplicável, ou até que os dados de utilizador, projeto ou serviço em causa sejam eliminados, salvo se um período de conservação mais longo for exigido por lei.

8. Bases Jurídicas para o Tratamento

Onde aplicável ao abrigo do RGPD, processamos dados pessoais com base numa ou mais das seguintes bases jurídicas:

• execução de um contrato;
• interesses legítimos na operação, segurança, apoio, melhoria e administração da plataforma;
• cumprimento de obrigações legais;
• consentimento, onde exigido ou apropriado; e
• instruções do cliente ou da organização patrocinadora em causa, onde atuamos como subcontratante.

Onde nos baseamos em interesses legítimos, esses interesses podem incluir a manutenção da funcionalidade do serviço, a proteção da plataforma contra utilização indevida, a garantia de segurança e fiabilidade, a melhoria da qualidade do serviço, o apoio à administração interna e a defesa de direitos legais.

Onde a lei suíça se aplica, processamos dados pessoais em conformidade com a revista Lei Federal suíça sobre a Proteção de Dados e outros requisitos legais suíços aplicáveis.

9. Como Partilhamos Dados Pessoais

Podemos partilhar dados pessoais com prestadores de serviços e parceiros de confiança onde necessário para prestar e operar a plataforma.

Estes podem incluir fornecedores que apoiam:

• alojamento e infraestrutura, tais como a AWS;
• distribuição de conteúdos e segurança de rede, tais como a Cloudflare;
• tratamento e transcrição de IA, tais como a OpenAI e/ou a Azure OpenAI consoante a configuração de serviço;
• autenticação, tais como o Google e a Apple onde escolhe esses métodos de início de sessão;
• entrega de email transacional e SMS;
• monitorização, registo (logging) e observabilidade; e
• apoio ao cliente, segurança e administração operacional.

Podemos também partilhar dados pessoais com a organização que patrocina a sua utilização da plataforma, onde essa organização seja responsável pela avaliação, programa ou direitos de acesso em causa.

Não vendemos dados pessoais.

Pode contactar-nos em [email protected] se desejar mais informações sobre o nosso conjunto atual de fornecedores externos relevante para o seu contexto de serviço.

10. Transferências Internacionais

Alguns dos nossos prestadores de serviços, incluindo fornecedores de alojamento, tratamento de IA e infraestrutura relacionada, podem processar dados pessoais fora da Suíça ou fora do Espaço Económico Europeu, incluindo nos Estados Unidos.

Onde tais transferências ocorram para países que não beneficiam de uma decisão de adequação ao abrigo da lei aplicável, baseamo-nos em salvaguardas apropriadas, tais como as Cláusulas Contratuais-Tipo adotadas pela Comissão Europeia, ou mecanismos equivalentes reconhecidos ao abrigo da lei suíça, para proteger os dados pessoais transferidos.

Pode contactar-nos para mais informações sobre os mecanismos de transferência específicos em vigor para um determinado contexto de serviço.

11. Conservação de Dados

Conservamos os dados pessoais apenas pelo tempo razoavelmente necessário para as finalidades descritas nesta Política de Privacidade, salvo se um período de conservação mais longo ou diferente for exigido ou permitido pela lei aplicável.

Onde a plataforma é utilizada por ou através de um cliente empresarial, instituição de ensino, prestador de consultoria, coach ou outra organização patrocinadora, os dados pessoais serão geralmente conservados pelo período especificado no contrato, nos termos de programa ou nas instruções documentadas que regem essa relação de serviço.

Onde nenhum período de conservação específico esteja estabelecido num contrato, enquadramento de programa ou requisito legal aplicável, conservamos os dados pessoais enquanto o utilizador em causa estiver a utilizar ativamente o serviço.

A título de exemplo, onde aplicável e salvo se um contrato ou lei exigir o contrário:

• os dados de conta e perfil são geralmente conservados enquanto a conta permanecer ativa;
• os dados de avaliação, relatório, coaching, percurso e programa relacionados são conservados em conformidade com a relação de cliente ou programa aplicável;
• o áudio de voz bruto é eliminado após a conclusão da transcrição, conforme descrito nesta Política de Privacidade;
• as entradas transcritas podem ser conservadas como parte do fluxo de trabalho de avaliação, coaching, percurso ou entrada qualitativa em causa pela duração do período de programa ou contrato aplicável, ou enquanto a conta estiver ativa onde nenhum período de programa específico se aplique;
• os registos de segurança, técnicos e operacionais são conservados apenas pelo tempo razoavelmente necessário para segurança, resolução de problemas, auditabilidade e integridade do serviço; e
• registos de conformidade limitados podem ser conservados onde necessário para documentar ações relacionadas com a privacidade ou obrigações legais.

12. Contas Inativas

Para contas de utilizador padrão, consideramos a inatividade com base no último início de sessão (login) bem-sucedido na conta.

Onde nenhuma obrigação de conservação contratual, legal ou regulamentar se aplique, podemos executar o seguinte processo automatizado de inatividade, por exemplo utilizando o endereço de email associado à conta onde conseguimos contactar o utilizador:

• Aproximadamente cento e cinquenta (150) dias após o último início de sessão bem-sucedido, podemos enviar um aviso inicial de que a conta esteve inativa e pode ser removida se o início de sessão não for retomado.
• Aproximadamente cento e sessenta e seis (166) dias após o último início de sessão bem-sucedido, podemos enviar um aviso final antes da remoção agendada.
• Após cento e oitenta (180) dias consecutivos sem um início de sessão bem-sucedido, podemos eliminar permanentemente a conta e os dados pessoais associados que detemos, salvo se a conservação ainda for exigida por motivos legais, regulamentares, contratuais, de segurança, de prevenção de fraude, de resolução de litígios, de integridade de cópias de segurança ou outros motivos operacionais legítimos.

Iniciar sessão novamente antes da eliminação permanente reinicia este prazo a partir da nova data de início de sessão bem-sucedido. Certos tipos de conta privilegiados ou administrativos podem ser excluídos da remoção automatizada por motivos operacionais e de segurança.

Para utilizadores que acedem à plataforma através de um empregador, instituição de ensino, consultor, coach ou outra organização patrocinadora, o tratamento da inatividade e a eliminação podem também depender das regras de programa, dos acordos contratuais ou das instruções dessa organização para connosco.

13. Eliminação de Dados Pessoais

Sob reserva da lei aplicável e do acordo de responsável-subcontratante em causa, os utilizadores podem solicitar a eliminação dos seus dados pessoais.

Onde a 100Facets atua como responsável pelo tratamento, avaliaremos e processaremos os pedidos de eliminação em conformidade com a lei aplicável.

Onde a 100Facets atua em nome de um cliente empresarial, instituição de ensino ou outra organização patrocinadora, a organização em causa pode precisar de rever, aprovar ou iniciar o pedido de eliminação, e os utilizadores podem ser encaminhados para essa organização.

Quando a eliminação se aplica, tomaremos medidas razoáveis para eliminar ou anonimizar irreversivelmente os dados pessoais em causa dos sistemas que controlamos, salvo se a conservação ainda for exigida por motivos legais, regulamentares, contratuais, de segurança, de prevenção de fraude, de resolução de litígios ou outros motivos operacionais legítimos.

A eliminação pode nem sempre ser imediata em todos os ambientes. Cópias residuais limitadas podem permanecer temporariamente em cópias de segurança seguras, registos ou registos de conformidade restritos até serem sobrescritas, cicladas ou removidas com segurança no curso normal das operações.

Onde os dados pessoais tenham sido partilhados com prestadores de serviços que atuam em nosso nome, tomaremos medidas razoáveis, conforme apropriado e exigido por lei ou contrato, para instruir esses fornecedores a eliminar os dados pessoais em causa ou a tratá-los de outra forma em conformidade com o pedido de eliminação aplicável.

14. Acesso, Exportação, Retificação, Limitação, Oposição e Portabilidade

Sob reserva da lei aplicável, os utilizadores podem ter o direito de:

• solicitar o acesso aos dados pessoais que lhes dizem respeito;
• solicitar a retificação de dados pessoais inexatos ou incompletos;
• solicitar a eliminação de dados pessoais;
• solicitar a limitação do tratamento;
• opor-se a certos tratamentos;
• solicitar a portabilidade dos dados, onde aplicável; e
• retirar o consentimento onde o tratamento se baseia em consentimento.

Onde a 100Facets atua como responsável pelo tratamento, trataremos tais pedidos diretamente em conformidade com a lei aplicável e dentro dos prazos exigidos pela lei aplicável.

Onde a 100Facets atua como subcontratante em nome de outra organização, podemos encaminhar o pedido para a organização em causa ou ajudar essa organização a responder.

Podemos precisar de verificar a identidade do requerente antes de satisfazer um pedido de acesso, exportação, retificação ou eliminação.

Para submeter um pedido de privacidade, contacte-nos em [email protected].

15. Decisões Automatizadas

A 100Facets não utiliza tratamento exclusivamente automatizado para tomar decisões sobre indivíduos que produzam efeitos jurídicos ou efeitos similarmente significativos na aceção da lei de proteção de dados aplicável.

Os nossos resultados apoiados por IA, incluindo avaliações, perfis de liderança, relatórios de diagnóstico, insights e recomendações de desenvolvimento, destinam-se a apoiar o discernimento humano e não devem ser utilizados como a única base para decisões de emprego, promoção, remuneração, disciplinares, de admissão ou similarmente significativas.

16. Registos de Conformidade Relativos a Pedidos de Privacidade

Podemos conservar registos internos limitados de ações relevantes para a privacidade, tais como pedidos de acesso, exportações, retificações, oposições, eliminações ou ações de remoção de conta, onde necessário para demonstrar conformidade, manter a segurança, resolver litígios ou cumprir obrigações legais.

Tais registos serão limitados ao que é razoavelmente necessário para essas finalidades e não serão utilizados para finalidades não relacionadas.

17. Segurança e Violações de Dados

Utilizamos medidas técnicas e organizativas concebidas para proteger os dados pessoais contra o acesso não autorizado, a perda, a utilização indevida, a alteração ou a divulgação. Estas medidas incluem transmissão segura, controlos de acesso, salvaguardas de infraestrutura, monitorização e práticas de revisão de segurança.

Nenhum sistema pode ser garantido como completamente seguro. Se tomarmos conhecimento de uma violação de dados pessoais, avaliá-la-emos e, onde exigido pela lei aplicável, notificaremos a autoridade de controlo competente e os indivíduos afetados dentro do prazo legalmente exigido.

Ao abrigo da lei suíça, a autoridade competente para tais notificações é o Comissário Federal para a Proteção de Dados e a Informação (FDPIC), onde aplicável.

18. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias similares para a operação, segurança e funcionalidade dos nossos serviços.

Cookies Estritamente Necessários

Estes cookies são necessários para a funcionalidade central e a segurança e não exigem consentimento onde a lei aplicável o permita. Podem incluir:

• cookies de autenticação e sessão, tais como tokens de sessão seguros e cookies de proteção CSRF;
• cookies de preferência de consentimento, tais como cookies utilizados para recordar as suas escolhas de cookies; e
• cookies funcionais, tais como cookies utilizados para recordar a sua definição de idioma preferida.

Cookies de Análise

Utilizamos também cookies de análise opcionais, incluindo cookies do Google Analytics como o _ga e variantes relacionadas, para nos ajudar a compreender como os visitantes utilizam a plataforma e a melhorar o desempenho e a experiência do utilizador. Estes cookies de análise são utilizados apenas onde dá consentimento, onde o consentimento é exigido pela lei aplicável.

Se as nossas práticas de cookies mudarem substancialmente, atualizaremos esta Política de Privacidade e disponibilizaremos qualquer aviso ou mecanismo de consentimento exigido pela lei aplicável.

Para informações mais detalhadas sobre os cookies que utilizamos, incluindo nomes, finalidades e durações, pode contactar-nos em [email protected].

19. Crianças

Os nossos serviços não se destinam a crianças, salvo se explicitamente suportados num contexto de programa lícito e devidamente governado. Se acreditar que dados pessoais foram fornecidos ilicitamente por uma criança, contacte-nos em [email protected].

20. Reclamações e Autoridades de Controlo

Se acreditar que os seus dados pessoais foram tratados de forma ilícita, pode ter o direito de apresentar uma reclamação junto da autoridade de proteção de dados ou de controlo competente.

Na Suíça, a autoridade competente é o Comissário Federal para a Proteção de Dados e a Informação (FDPIC): www.edoeb.admin.ch

Se estiver na União Europeia ou no Espaço Económico Europeu, pode também ter o direito de reclamar junto da autoridade de controlo do seu local de residência habitual, local de trabalho ou local da alegada infração, onde aplicável.

Teríamos, no entanto, todo o gosto na oportunidade de responder às suas preocupações diretamente antes de contactar uma autoridade de controlo. Contacte-nos em [email protected].

21. Alterações a Esta Política de Privacidade

Podemos atualizar esta Política de Privacidade periodicamente para refletir alterações nos nossos serviços, obrigações legais ou práticas de dados. Publicaremos a versão atualizada no nosso website e podemos disponibilizar aviso adicional onde apropriado.

Onde as alterações forem substanciais, incluindo alterações aos nossos principais fornecedores externos para o tratamento de IA, atualizaremos esta Política de Privacidade e, onde exigido por contrato ou lei aplicável, notificaremos os utilizadores afetados ou os clientes empresariais com antecedência.

22. Contacto

Questões jurídicas e de privacidade: [email protected]

Apoio geral: [email protected]