Legal & Privacidade
Tudo o que precisas de saber sobre como tratamos os teus dados, quais os teus direitos e em que condições podes usar o manecas.ai.
Última atualização: 21 de março de 2026
Política de Privacidade
Como recolhemos, tratamos e protegemos os teus dados pessoais.
Política de Privacidade
Como recolhemos, tratamos e protegemos os teus dados pessoais.
1. Responsável pelo Tratamento
ALTERNATIVE PARADIGM - LDA (manecas.ai)
NIF: 519294637
Sede: Rua João Ramalho n.º 141, Porto, Portugal
Email: privacidade@manecas.ai
Esta política aplica-se a dois contextos distintos: 🌐 Site (visitantes de manecas.ai que não têm conta) e 📦 Serviço (clientes com conta que utilizam a aplicação). As secções abaixo identificam a que contexto se aplica cada ponto.
2. Dados Pessoais Recolhidos
🌐 Site — visitantes sem conta
- Formulário de contacto: Nome, email, empresa/projeto (opcional), número estimado de faturas por mês, plano selecionado e consentimento RGPD.
- Comunicações: Qualquer informação que nos envies por email (ola@manecas.ai ou privacidade@manecas.ai).
- Dados de navegação (com consentimento): Endereço IP (anonimizado), tipo de dispositivo/browser, páginas visitadas, duração da visita — recolhidos através de Google Analytics.
- Dados de marketing (com consentimento): Dados de interação recolhidos pelo LinkedIn Insight Tag.
📦 Serviço — utilizadores com conta
- Perfil de conta: Nome, endereço de email, palavra-passe (hash bcrypt), Google OAuth sub (se registo via Google).
- Dados fiscais: Faturas, documentos carregados, dados extraídos por IA (fornecedor, cliente, NIF, valores, datas, linhas).
- Metadados de utilização: Registos de auditoria (ações realizadas, endereço IP, user-agent), tokens de sessão, códigos OTP.
- Consentimentos: Registo de finalidades aceites, versão de política, IP e user-agent no momento do consentimento.
3. Finalidades e Base Legal
| Âmbito | Finalidade | Base Legal (RGPD Art. 6.º) |
|---|---|---|
| 🌐 Site | Pedidos de contacto comercial e informação sobre a plataforma | Consentimento — al. a) |
| 🌐 Site | Análise estatística de utilização do site | Consentimento — al. a) |
| 🌐 Site | Medição de campanhas de marketing | Consentimento — al. a) |
| 🌐 Site | Vídeos YouTube incorporados | Consentimento — al. a) |
| 🌐 Site | Formulário de contacto | Interesse legítimo ou consentimento — al. f) / al. a) |
| 🌐 Site | Envio de novidades e atualizações de produto | Consentimento — al. a) |
| 📦 Serviço | Prestação do serviço (extração, arquivo, exportação de faturas) | Execução de contrato — al. b) |
| 📦 Serviço | Envio de emails transacionais (OTP, links de exportação) | Execução de contrato — al. b) |
| 📦 Serviço | Registo de auditoria e segurança da conta | Interesse legítimo — al. f) |
| 📦 Serviço | Obrigações de conservação fiscal (faturas 10 anos) | Obrigação legal — al. c) |
| 📦 Serviço | Prova de consentimento (registos de consentimento 5 anos) | Obrigação legal — al. c) |
4. Subprocessadores e Terceiros
Os teus dados podem ser tratados pelos seguintes prestadores de serviço, com os quais mantemos acordos de tratamento de dados:
| Âmbito | Prestador | Finalidade | País | Garantia de Transferência |
|---|---|---|---|---|
| 📦 Serviço | Google Cloud Platform (Cloud Run, Cloud Functions, Cloud SQL, Cloud Storage, Firestore, Pub/Sub) | Alojamento, função de extração e infraestrutura da aplicação | UE (europe-west1) | Google Cloud DPA |
| 📦 Serviço | Google Vertex AI — Gemini 3.1 Flash Lite + Gemini 3 Flash Preview | Classificação, extração, categorização e controlo de qualidade de faturas (inferência IA apenas; modelos ainda indisponíveis em europe-west1) | EUA (us-central1 / endpoint global) | Google Cloud DPA + SCCs (Decisão CE 2021/914). Será migrado para a UE quando os modelos estiverem disponíveis. |
| 📦 Serviço | Google Gmail API | Envio de emails transacionais (verificação OTP, links de exportação) | UE/EEE | Google Cloud DPA |
| 🌐 Site | Google Analytics | Análise estatística do site (com consentimento) | EUA | SCCs (Decisão CE 2021/914) + anonimização IP |
| 🌐 Site | LinkedIn (Insight Tag) | Medição de campanhas (com consentimento) | EUA | SCCs (Decisão CE 2021/914) |
| 🌐 Site | Supademo | Demos interativos do produto | EUA | SCCs (Decisão CE 2021/914) |
| 🌐 Site | Google Sheets (Google Workspace) | Armazenamento de dados de formulário (contactos comerciais) | UE/EEE | Google Workspace DPA |
| 🌐 Site | Cloudflare Turnstile | Verificação anti-bot em formulários (interesse legítimo — segurança; sem cookies de rastreio) | UE PoP | Cloudflare DPA |
"SCCs" refere-se a Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia — Decisão de Execução (UE) 2021/914.
Nunca vendemos dados pessoais a terceiros.
5. Transferências Internacionais de Dados
🌐 Site: Google Analytics e LinkedIn Insight Tag enviam dados para os EUA ao abrigo de SCCs (Decisão 2021/914) quando consentes na utilização de cookies analíticos e de marketing.
📦 Serviço: O armazenamento e o tratamento operacional dos dados de faturas (Cloud Storage, Firestore, Cloud SQL, Pub/Sub, Cloud Functions) realizam-se na União Europeia (europe-west1). A única transferência fora da UE é a inferência Gemini dos modelos Gemini 3.1 Flash Lite e Gemini 3 Flash Preview (Google Vertex AI), actualmente disponíveis apenas via endpoint global (tipicamente us-central1, EUA): refere-se ao envio do conteúdo da fatura para esse serviço de IA durante a extração, não ao alojamento dos ficheiros. Protegida por Google Cloud DPA + SCCs (Decisão 2021/914). Quando os modelos estiverem disponíveis em europe-west1 a inferência será migrada para a UE.
6. Períodos de Retenção
| Âmbito | Categoria de Dados | Prazo de Retenção | Observações |
|---|---|---|---|
| 📦 Serviço | Conta de utilizador e perfil | Até pedido de eliminação | Eliminado imediatamente após exercício do direito de apagamento. |
| 📦 Serviço | Códigos OTP de verificação de email | 24 horas após expiração (10 min) | Eliminados automaticamente pelo processo de limpeza diário. |
| 📦 Serviço | Tokens de sessão (refresh tokens) | 7 dias após expiração | Eliminados automaticamente pelo processo de limpeza diário. |
| 📦 Serviço | Exportações de dados (ficheiros ZIP) | 24 horas após criação | Link de download expira ao fim de 24h; ficheiro eliminado automaticamente. |
| 📦 Serviço | Faturas e documentos fiscais | 10 anos | Obrigação legal — Art. 123.º CIRC. Referência ao utilizador removida após eliminação de conta. |
| 📦 Serviço | Registos de auditoria | 10 anos | Obrigação de responsabilização (Art. 5.º n.º 2 RGPD). Email e IP anonimizados na eliminação de conta. |
| 📦 Serviço | Registos de consentimento | 5 anos após substituição | Retidos como prova de base legal (Art. 7.º n.º 1 RGPD). Referência ao utilizador removida após eliminação de conta. |
| 📦 Serviço | Códigos de convite | 90 dias | Eliminados automaticamente após 90 dias de inatividade. |
| 🌐 Site | Cookies de consentimento (localStorage) | 12 meses | Renovado automaticamente se o consentimento for reconfirmado. |
| 🌐 Site | Analytics — GA4 (dados de utilização) | 14 meses | Os cookies _ga têm validade técnica de 2 anos, mas os dados de utilização são eliminados ao fim de 14 meses. |
| 🌐 Site | Dados de formulário — Google Sheets | 24 meses após último contacto | Eliminados manualmente após o prazo. |
| 🌐 Site | Dados de marketing — LinkedIn | Até 180 dias | Para eventos de conversão, conforme política de retenção da LinkedIn. |
| 📦 Serviço | Logs de servidor / segurança | 90 dias | Registos de acesso e eventos de segurança. |
📦 Serviço — Ficheiro SAF-T (Standard Audit File — Portugal): O Manecas pode gerar ficheiros SAF-T PT para arquivo, uso interno da empresa e para o contabilista importar num programa certificado pela Autoridade Tributária. O serviço Manecas não constitui, por si só, substituto de software de faturação homologado pela AT para comunicações fiscais obrigatórias; a conferência dos dados e as obrigações legais perante a AT permanecem da responsabilidade do cliente e do seu assessor fiscal.
7. Direitos dos Titulares
Nos termos do RGPD, tens os seguintes direitos. Se és utilizador do serviço, a maioria pode ser exercida diretamente em Definições → Privacidade. Se és apenas visitante do site, contacta privacidade@manecas.ai.
| Direito | Artigo | Como exercer — Serviço | Como exercer — Site |
|---|---|---|---|
| Acesso | Art. 15.º | Definições → Privacidade → "Exportar os meus dados" (ZIP com todos os dados pessoais) | Email para privacidade@manecas.ai |
| Retificação | Art. 16.º | Definições → Perfil (nome, email) ou edição direta de campos de fatura | Email para privacidade@manecas.ai |
| Apagamento | Art. 17.º | Definições → Privacidade → "Eliminar a minha conta". Dados fiscais retidos 10 anos por lei. | Email para privacidade@manecas.ai (ex.: remover um pedido de contacto) |
| Portabilidade | Art. 20.º | Definições → Privacidade → "Exportar os meus dados" (JSON por categoria) | Não aplicável (dados mínimos) |
| Restrição | Art. 18.º | Definições → Privacidade → "Solicitar restrição de tratamento" | Email para privacidade@manecas.ai |
| Oposição | Art. 21.º | Definições → Privacidade → "Consentimentos" ou email | Email para privacidade@manecas.ai |
| Retirada de consentimento | Art. 7.º | Definições → Privacidade → "Consentimentos" (toggles por finalidade) | Botão "Cookies" no site ou email |
📦 Apagamento de conta — o que acontece: Na eliminação de conta, o perfil e sessões são eliminados imediatamente. Os registos de auditoria têm o email e IP anonimizados. Faturas e documentos são retidos 10 anos (Art. 123.º CIRC) com a referência ao utilizador removida. Os registos de consentimento são retidos 5 anos como prova de base legal.
Para assistência em qualquer direito, contacta privacidade@manecas.ai. Respondemos num prazo máximo de 30 dias.
8. Decisões Automatizadas
Não realizamos decisões baseadas exclusivamente em tratamento automatizado que produzam efeitos jurídicos ou que te afetem significativamente.
9. Reclamações
Tens o direito de apresentar reclamação à autoridade de controlo portuguesa:
CNPD — Comissão Nacional de Proteção de Dados
www.cnpd.pt
10. Alterações a esta Política
Podemos atualizar esta política periodicamente. A data de "última atualização" no topo desta página indica quando foi revista pela última vez. Alterações significativas serão comunicadas por email ou aviso no site.
Política de Cookies
Que cookies e tecnologias semelhantes utilizamos e porquê.
Política de Cookies
Que cookies e tecnologias semelhantes utilizamos e porquê.
1. O Que São Cookies
Cookies são pequenos ficheiros de texto armazenados no teu dispositivo quando visitas um website. São amplamente utilizados para fazer os sites funcionarem de forma eficiente e para fornecer informações aos proprietários do site.
2. Base Legal
A utilização de cookies neste site rege-se pelo Regulamento Geral sobre a Proteção de Dados (RGPD), pela Lei n.º 41/2004, de 18 de agosto (Lei da Privacidade nas Comunicações Eletrónicas), e pela Lei n.º 46/2012, de 29 de agosto, que transpõe a Diretiva ePrivacy para o ordenamento jurídico português. Cookies não essenciais só são ativados com o teu consentimento prévio e explícito.
3. Cookies e Armazenamento Local Utilizados
a) Armazenamento Necessário (sempre ativo)
| Nome | Tipo | Finalidade | Duração |
|---|---|---|---|
cookie_consent |
Armazenamento Local (localStorage) | Armazena as tuas preferências de cookies e tecnologias de rastreio | Persistente (até remoção manual) |
cf_clearance (Cloudflare Turnstile) |
Cookie de sessão | Verificação anti-bot e proteção de formulários — ao abrigo de interesse legítimo (segurança, Art. 6.º n.º 1 al. f) RGPD) | Sessão (eliminado ao fechar o browser) |
Nota: Esta entrada utiliza localStorage do browser, que é tecnicamente distinto de um cookie HTTP, mas está sujeito às mesmas regras de consentimento ao abrigo da Lei n.º 41/2004 e da Diretiva ePrivacy.
b) Cookies Analíticos (requerem consentimento)
| Nome | Fornecedor | Finalidade | Duração do Cookie |
|---|---|---|---|
_ga | Google Analytics | Distinguir utilizadores únicos | 2 anos * |
_ga_3YG7C7ZQZK | Google Analytics | Manter o estado da sessão | 2 anos * |
supademo_session | Supademo | Identificador de sessão de demo interativo | Sessão (eliminado ao fechar o browser) |
supademo_uid | Supademo | Identificador de utilizador anónimo para rastreio de interações | 365 dias |
* Os cookies _ga têm uma validade técnica de 2 anos, mas a retenção dos dados de utilização no Google Analytics está configurada para um máximo de 14 meses, após os quais os dados são automaticamente eliminados.
c) Cookies de Marketing (requerem consentimento)
| Nome | Fornecedor | Finalidade | Duração |
|---|---|---|---|
li_sugr | Identificador de browser para correspondência de anúncios | 3 meses | |
bcookie | Identificador de browser | 1 ano | |
lidc | Seleção de data center | 24 horas | |
UserMatchHistory | Sincronização de ID de anúncios | 30 dias | |
AnalyticsSyncHistory | Sincronização de analytics | 30 dias |
4. Como Gerir os Teus Cookies
Podes retirar ou alterar o teu consentimento a qualquer momento através do botão "Cookies" no canto inferior esquerdo do site. A retirada do consentimento não afeta a licitude do tratamento realizado com base no consentimento previamente prestado (Art. 7.º n.º 3 do RGPD).
Também podes configurar o teu browser para bloquear ou eliminar cookies:
Nota: bloquear determinados cookies pode afetar a tua experiência de navegação.
5. Alterações
Podemos atualizar esta Política de Cookies periodicamente. Alterações serão refletidas nesta página com a data de "última atualização" no topo.
Termos de Serviço
Condições de utilização do site e da plataforma manecas.ai.
Termos de Serviço
Condições de utilização do site e da plataforma manecas.ai.
1. Definições
- "Serviço" — A plataforma manecas.ai, incluindo o site, a aplicação web e quaisquer funcionalidades relacionadas.
- "Utilizador" — Qualquer pessoa singular ou coletiva que acede ao Serviço, utiliza a plataforma ou submete um pedido de contacto.
- "Conta" — O perfil criado pelo Utilizador para aceder ao Serviço.
- "Conteúdo do Utilizador" — Quaisquer dados, documentos ou informações carregados pelo Utilizador na plataforma.
2. Aceitação dos Termos
Ao aceder ao site, utilizar a plataforma ou submeter um pedido de contacto, aceitas estes Termos de Serviço na íntegra. Se não concordares, deves cessar imediatamente a utilização do site.
3. Elegibilidade
O Serviço destina-se a pessoas com idade igual ou superior a 18 anos, com capacidade legal para celebrar contratos. Ao utilizar o Serviço em nome de uma organização, declaras ter autorização para vincular essa organização a estes termos.
4. Registo e Contas
- Cada conta é pessoal e intransmissível.
- És responsável pela confidencialidade das tuas credenciais de acesso.
- Deves fornecer informação verdadeira, atual e completa durante o registo.
5. Acesso ao Serviço
A plataforma encontra-se disponível em produção. O acesso é efetuado através de conta na aplicação web e poderá estar sujeito a limites razoáveis de utilização, manutenção programada ou evolução contínua de funcionalidades. Funcionalidades e preços poderão ser ajustados ao longo do tempo.
6. Subscrições e Pagamentos
- Os valores e condições são comunicados por proposta comercial ou conforme publicado na página de preços.
- As subscrições podem ser mensais ou anuais, conforme o plano selecionado.
- Podemos ajustar preços com aviso prévio de 30 dias.
7. Utilização Aceitável
O Utilizador compromete-se a:
- Não partilhar credenciais de acesso com terceiros.
- Não realizar engenharia inversa, descompilar ou desmontar o Serviço.
- Não carregar conteúdos ilegais, difamatórios ou que violem direitos de terceiros.
- Não tentar aceder a áreas não autorizadas do sistema.
- Não utilizar o Serviço para fins de branqueamento de capitais, fraude ou qualquer atividade ilícita.
- Não sobrecarregar intencionalmente a infraestrutura do Serviço.
8. Propriedade Intelectual
- A marca "manecas.ai", o código-fonte, design, logótipos e conteúdos do site são propriedade exclusiva da manecas.ai e estão protegidos pela legislação de propriedade intelectual portuguesa e europeia.
- O Utilizador mantém a titularidade de todos os dados e documentos que carregar na plataforma (Conteúdo do Utilizador). A manecas.ai não reivindica qualquer direito de propriedade sobre o Conteúdo do Utilizador.
- O Utilizador concede-nos uma licença limitada para tratar o Conteúdo do Utilizador exclusivamente para a prestação do Serviço.
9. Disponibilidade do Serviço
Esforçamo-nos por manter o Serviço disponível 24/7, mas não garantimos disponibilidade ininterrupta. Podemos realizar manutenções programadas com aviso prévio. O Serviço é fornecido de forma contínua e poderá evoluir ao longo do tempo, sem prejuízo das garantias legalmente aplicáveis.
10. Limitação de Responsabilidade
- Na máxima medida permitida pela lei, a manecas.ai não será responsável por danos indiretos, incidentais, especiais, consequenciais ou punitivos decorrentes da utilização ou impossibilidade de utilização do Serviço.
- A responsabilidade total da manecas.ai perante o Utilizador não excederá o valor pago pelo Utilizador nos 12 meses anteriores ao evento que originou a reclamação.
- Nada nestes termos limita a responsabilidade por dolo, culpa grave ou morte/lesão corporal causada por negligência.
11. Indemnização
O Utilizador aceita indemnizar e isentar a manecas.ai de qualquer reclamação, prejuízo ou despesa (incluindo honorários de advogados) resultante da violação destes Termos ou da utilização ilícita do Serviço.
12. Suspensão e Cessação
- Podemos suspender ou encerrar contas que violem estes Termos ou comprometam a segurança do Serviço, com notificação prévia sempre que possível.
- O Utilizador pode cancelar a sua conta a qualquer momento contactando ola@manecas.ai.
- Após cessação, os dados do Utilizador serão eliminados conforme a Política de Privacidade e o período de retenção aplicável.
13. Lei Aplicável e Jurisdição
Estes Termos regem-se pela lei portuguesa. Para utilizadores profissionais (B2B), qualquer litígio será submetido aos tribunais da Comarca do Porto. Para consumidores na aceção da legislação portuguesa e europeia de defesa do consumidor, aplica-se o foro legalmente competente nos termos da lei, não podendo esta cláusula restringir os direitos que lhes sejam conferidos por normas imperativas.
14. Alterações aos Termos
Reservamo-nos o direito de alterar estes Termos a qualquer momento. Alterações significativas serão comunicadas com aviso prévio de 30 dias por email ou aviso no site. A continuação da utilização do Serviço após as alterações constitui aceitação dos novos Termos.
15. Disposições Gerais
- Se alguma disposição destes Termos for considerada inválida ou inaplicável, as restantes disposições permanecerão em vigor.
- A tolerância quanto ao incumprimento de qualquer obrigação não constitui renúncia ao direito de a exigir no futuro.
- Estes Termos constituem o acordo integral entre o Utilizador e a manecas.ai relativamente à utilização do Serviço.
RGPD & Direitos
Base legal, direitos dos titulares, subprocessadores e procedimentos de proteção de dados.
RGPD & Direitos
Base legal, direitos dos titulares, subprocessadores e procedimentos de proteção de dados.
1. Responsável pelo Tratamento
ALTERNATIVE PARADIGM - LDA (manecas.ai)
NIF: 519294637
Sede: Rua João Ramalho n.º 141, Porto, Portugal
Email para assuntos de privacidade: privacidade@manecas.ai
2. Encarregado de Proteção de Dados (DPO)
Atualmente, a manecas.ai é uma microempresa que não realiza tratamento de dados em larga escala, nem trata categorias especiais de dados pessoais, pelo que não é obrigatória a designação de um Encarregado de Proteção de Dados nos termos do Art. 37.º do RGPD. Todos os pedidos relacionados com proteção de dados devem ser dirigidos a privacidade@manecas.ai.
3. Base Legal para o Tratamento
- Art. 6.º n.º 1 al. a) — Consentimento: Lista de espera, comunicações de marketing, cookies analíticos e cookies de marketing.
- Art. 6.º n.º 1 al. b) — Execução de contrato: Prestação do serviço, gestão de conta, faturação.
- Art. 6.º n.º 1 al. c) — Obrigação legal: Cumprimento de obrigações fiscais e regulamentares.
- Art. 6.º n.º 1 al. f) — Interesse legítimo: Segurança do serviço, prevenção de fraude, melhoria da plataforma.
4. Direitos dos Titulares
Enquanto titular de dados, tens os seguintes direitos ao abrigo do RGPD:
| Direito | Descrição | Como Exercer |
|---|---|---|
| Acesso (Art. 15.º) | Obter confirmação e cópia dos dados tratados. | Envia email para privacidade@manecas.ai identificando o pedido e anexando cópia de documento de identificação para verificação. |
| Retificação (Art. 16.º) | Corrigir dados inexatos ou completar dados incompletos. | |
| Apagamento (Art. 17.º) | Solicitar eliminação dos dados ("direito a ser esquecido"). | |
| Limitação (Art. 18.º) | Restringir o tratamento em determinadas circunstâncias. | |
| Portabilidade (Art. 20.º) | Receber os dados num formato estruturado e legível por máquina. | |
| Oposição (Art. 21.º) | Opor-te ao tratamento baseado em interesse legítimo ou marketing direto. | |
| Retirada de consentimento (Art. 7.º n.º 3) | Retirar consentimento a qualquer momento, sem afetar a licitude do tratamento anterior. |
5. Prazos de Resposta
Respondemos a todos os pedidos de titulares num prazo máximo de 30 dias. Em casos de especial complexidade ou volume elevado de pedidos, o prazo pode ser prorrogado até 60 dias adicionais, nos termos do Art. 12.º n.º 3 do RGPD, com comunicação prévia ao titular.
6. Subprocessadores
Lista completa de subprocessadores utilizados pelo site e pelo serviço:
| Âmbito | Subprocessador | Finalidade | Localização | Mecanismo de Transferência |
|---|---|---|---|---|
| 📦 Serviço | Google Cloud Platform (Cloud Run, Cloud Functions, Cloud SQL, Cloud Storage, Firestore, Pub/Sub) | Alojamento, extração e infraestrutura da aplicação | UE (europe-west1) | Google Cloud DPA |
| 📦 Serviço | Google Vertex AI — Gemini 3.1 Flash Lite + Gemini 3 Flash Preview | Classificação, extração, categorização e controlo de qualidade de faturas (inferência IA; modelos indisponíveis em europe-west1) | EUA (us-central1 / endpoint global) | Google Cloud DPA + SCCs (Decisão CE 2021/914). Migração para a UE quando disponível. |
| 📦 Serviço | Google Gmail API | Envio de emails transacionais (OTP, links de exportação) | UE/EEE | Google Cloud DPA |
| 🌐 Site | Google Analytics | Análise estatística (com consentimento) | EUA | SCCs (Decisão CE 2021/914) + anonimização IP |
| 🌐 Site | LinkedIn (Insight Tag) | Medição de campanhas (com consentimento) | EUA | SCCs (Decisão CE 2021/914) |
| 🌐 Site | Supademo | Demos interativos do produto | EUA | SCCs (Decisão CE 2021/914) |
| 🌐 Site | Google Sheets (Google Workspace) | Armazenamento de dados de formulário (contactos comerciais) | UE/EEE | Google Workspace DPA |
| 🌐 Site | Cloudflare Turnstile | Verificação anti-bot em formulários (interesse legítimo — segurança; sem cookies de rastreio) | UE PoP | Cloudflare DPA |
"SCCs" refere-se a Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia — Decisão de Execução (UE) 2021/914.
7. Transferências Internacionais
As transferências de dados para fora do Espaço Económico Europeu são realizadas ao abrigo de Cláusulas Contratuais-Tipo (Art. 46.º n.º 2 al. c) do RGPD) e, quando aplicável, ao abrigo do EU-U.S. Data Privacy Framework (Decisão de Adequação da Comissão Europeia de 10 de julho de 2023).
8. Notificação de Violação de Dados
Em caso de violação de dados pessoais que constitua risco para os direitos e liberdades dos titulares, notificaremos a CNPD no prazo máximo de 72 horas após tomar conhecimento da violação, conforme previsto no Art. 33.º do RGPD. Se a violação for suscetível de resultar num elevado risco, notificaremos igualmente os titulares afetados sem demora injustificada (Art. 34.º).
9. Medidas de Segurança
A nossa infraestrutura principal de aplicação e armazenamento de dados está alojada na UE/EEE em fornecedores com certificação ISO 27001. Determinados subprocessadores (listados na secção 6) operam fora do EEE, estando sujeitos às salvaguardas descritas na secção 7.
- Encriptação de dados em trânsito (TLS/HTTPS) e em repouso (AES-256).
- Controlo de acessos baseado em funções (RBAC).
- Monitorização e registos de auditoria.
- Backups encriptados com testes regulares de recuperação.
10. Reclamações
Sem prejuízo de qualquer outro recurso administrativo ou judicial, tens o direito de apresentar reclamação à autoridade de controlo competente:
CNPD — Comissão Nacional de Proteção de Dados
Rua de São Bento, n.º 148-3.º, 1200-821 Lisboa
Telefone: +351 213 928 400
Website: www.cnpd.pt
Email: geral@cnpd.pt