Política de Privacidade
Última atualização: [DATA_EFETIVA]
1. Quem somos
A presente Política de Privacidade descreve como o GestMais ("GestMais", "nós", "nosso") recolhe, utiliza e protege os seus dados pessoais quando utiliza o nosso website gestmais.pt e os serviços associados (coletivamente, "Serviço").
Responsável pelo Tratamento:
- Entidade: [NOME DA EMPRESA]
- NIF: [NIF]
- Morada: [MORADA]
- Email de contacto para questões de privacidade: [EMAIL_PRIVACIDADE]
Esta Política está em conformidade com o Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados, "RGPD") e com a Lei n.º 58/2019, de 8 de agosto, que assegura a execução do RGPD em Portugal.
2. Encarregado de Proteção de Dados
[NOME DA EMPRESA] não designou um Encarregado de Proteção de Dados (DPO), uma vez que o tratamento realizado não se enquadra nos critérios de obrigatoriedade previstos no artigo 37.º, n.º 1, do RGPD. Para qualquer questão relacionada com o tratamento dos seus dados pessoais, pode contactar-nos através do email [EMAIL_PRIVACIDADE].
3. Dados pessoais que recolhemos
3.1 Dados de registo e autenticação
- Nome próprio e apelido
- Endereço de email
- Palavra-passe (armazenada em formato encriptado, nunca em texto)
- Identificador único do utilizador (UUID)
- Data de criação da conta e último acesso
- Endereço IP do dispositivo utilizado no registo e nas sessões
3.2 Dados de perfil e organização
- Nome da empresa ou administração que representa
- NIF da empresa (quando aplicável)
- Morada profissional
- Número de telefone (opcional)
- Função na organização
3.3 Dados de condomínios geridos
Quando utiliza o GestMais para gerir condomínios, os seguintes dados são processados em seu nome (o utilizador é o responsável pelo tratamento destes dados; o GestMais actua como subcontratante):
- Dados dos condomínios (nome, morada, número de frações, permilagens)
- Dados dos condóminos (nome, email, contacto, fração associada)
- Dados financeiros (quotas, pagamentos, fundo de reserva)
- Documentos do condomínio (atas, convocatórias, orçamentos)
- Comunicações entre administrador e condóminos
O tratamento destes dados é regulado por um Acordo de Subcontratante de Tratamento que celebramos com cada cliente, conforme exigido pelo artigo 28.º do RGPD.
3.4 Dados de faturação
- Nome e morada de faturação
- NIF
- Dados de método de pagamento (processados directamente pela Stripe — o GestMais não armazena números de cartão)
- Histórico de pagamentos e faturas
3.5 Dados de utilização
- Páginas visitadas no Serviço
- Ações realizadas (criar condomínio, enviar convocatória, etc.)
- Data e hora das ações
- Tipo de dispositivo, navegador e sistema operativo
- Endereço IP
- Referrer (de que site chegou ao nosso)
Estes dados são recolhidos através do Vercel Web Analytics, que é uma ferramenta de análise cookieless — não utiliza cookies de rastreamento e não identifica utilizadores individuais.
3.6 Dados de comunicação
- Mensagens enviadas através dos formulários de contacto
- Correspondência por email
- Pedidos de suporte e tickets
4. Como utilizamos os seus dados
Utilizamos os seus dados pessoais para os seguintes fins:
| Finalidade | Base legal (RGPD Art. 6.º) |
|---|---|
| Criar e gerir a sua conta | Execução de contrato (6.º, n.º 1, al. b) |
| Prestar o Serviço contratado | Execução de contrato (6.º, n.º 1, al. b) |
| Processar pagamentos e emitir faturas | Execução de contrato + obrigação legal (6.º, n.º 1, al. b e c) |
| Enviar comunicações operacionais (confirmação de conta, alterações ao Serviço, facturas) | Execução de contrato (6.º, n.º 1, al. b) |
| Responder a pedidos de suporte | Execução de contrato + interesse legítimo (6.º, n.º 1, al. b e f) |
| Melhorar o Serviço com base em dados de utilização agregados | Interesse legítimo (6.º, n.º 1, al. f) |
| Cumprir obrigações legais (ex. faturação, retenção fiscal) | Obrigação legal (6.º, n.º 1, al. c) |
| Detectar e prevenir fraude ou uso indevido | Interesse legítimo (6.º, n.º 1, al. f) |
| Enviar comunicações de marketing (apenas com consentimento) | Consentimento (6.º, n.º 1, al. a) |
Não utilizamos os seus dados para:
- Tomada de decisões automatizada com efeitos jurídicos sobre si
- Perfilagem para publicidade comportamental
- Venda a terceiros (nunca, em nenhuma circunstância)
5. Com quem partilhamos os seus dados
Partilhamos os seus dados apenas com subcontratantes que nos prestam serviços essenciais ao funcionamento do GestMais. Todos os subcontratantes abaixo estão localizados na União Europeia ou no Espaço Económico Europeu e processam os dados em infraestrutura europeia:
| Subcontratante | Finalidade | Localização dos dados |
|---|---|---|
| Vercel Inc. | Alojamento do website e aplicação | Região UE |
| Neon, Inc. | Base de dados PostgreSQL | Região UE |
| Fly.io | Alojamento da API | Frankfurt (Alemanha) |
| Sentry | Monitorização de erros | Região UE |
| Stripe | Processamento de pagamentos | Entidade europeia (Stripe Payments Europe, Ltd.) |
| [OPEN_BANKING_PROVIDER] | Ligação a contas bancárias via Open Banking | Região UE |
| [EMAIL_PROVIDER] | Envio de emails transacionais | Região UE |
Celebrámos com cada um destes subcontratantes um Acordo de Subcontratação de Tratamento de Dados (Data Processing Agreement — DPA), conforme exigido pelo artigo 28.º do RGPD.
Não transferimos dados para países fora da União Europeia ou do Espaço Económico Europeu. Se esta situação se alterar no futuro, atualizaremos esta Política e informá-lo-emos com antecedência.
5.1 Partilha com autoridades
Podemos divulgar os seus dados a autoridades públicas (tribunais, Ministério Público, administração fiscal) quando tal seja exigido por lei ou por ordem judicial.
6. Quanto tempo guardamos os seus dados
Guardamos os seus dados pelo período necessário para cumprir as finalidades descritas nesta Política, conforme os seguintes prazos:
| Tipo de dado | Período de retenção |
|---|---|
| Dados de conta (enquanto a conta está activa) | Até ao cancelamento da conta |
| Dados de conta (após cancelamento) | 30 dias, após os quais são eliminados ou anonimizados |
| Dados de condomínios geridos (após cancelamento do cliente) | 30 dias, após os quais são eliminados ou entregues ao cliente em formato exportável se este o solicitar |
| Registos de autenticação e logs de segurança | Até 12 meses |
| Dados de faturação e facturas emitidas | 10 anos (obrigação legal — art. 123.º do Código do IVA) |
| Comunicações de suporte | 24 meses |
| Dados de análise de utilização (Vercel Analytics) | 30 dias, anonimizados |
Após cancelamento da conta, dispõe de 30 dias para solicitar a exportação dos seus dados. Após este prazo, os dados são eliminados de forma segura dos nossos sistemas, com excepção dos dados que temos de conservar por obrigação legal (ex: facturas).
7. Os seus direitos
Nos termos do RGPD, tem os seguintes direitos em relação aos seus dados pessoais:
| Direito | O que significa | Base legal |
|---|---|---|
| Acesso | Saber que dados temos sobre si e obter uma cópia | Art. 15.º |
| Retificação | Corrigir dados incorretos ou incompletos | Art. 16.º |
| Apagamento | "Direito ao esquecimento" — eliminar os seus dados (sujeito a limitações legais) | Art. 17.º |
| Limitação | Restringir temporariamente o tratamento | Art. 18.º |
| Portabilidade | Receber os seus dados em formato estruturado e transferi-los para outro serviço | Art. 20.º |
| Oposição | Opor-se ao tratamento baseado em interesse legítimo | Art. 21.º |
| Retirar consentimento | Quando o tratamento se basear em consentimento, pode retirá-lo a qualquer momento | Art. 7.º, n.º 3 |
Para exercer qualquer destes direitos, contacte-nos através de [EMAIL_PRIVACIDADE]. Responderemos no prazo máximo de 30 dias, conforme exigido pelo RGPD.
Direito de reclamação:
Se considerar que o tratamento dos seus dados viola o RGPD, tem o direito de apresentar reclamação à autoridade de controlo portuguesa:
Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 — 1.º
1200-651 Lisboa
Tel: +351 213 928 400
Email: geral@cnpd.pt
Website: www.cnpd.pt
8. Cookies e tecnologias semelhantes
O GestMais utiliza apenas os cookies estritamente necessários ao funcionamento do Serviço:
| Cookie | Finalidade | Duração | Tipo |
|---|---|---|---|
| __Secure-better-auth.session_token | Manter a sua sessão autenticada | Sessão | Essencial |
| __Secure-better-auth.csrf_token | Proteção contra ataques CSRF | Sessão | Essencial |
Estes cookies são essenciais — sem eles não consegue fazer login nem utilizar o Serviço. Por esta razão, não necessitam de consentimento prévio, conforme estabelecido pela Directiva ePrivacy e pelo n.º 2 do artigo 5.º da Lei n.º 41/2004.
Não utilizamos cookies de análise, de publicidade ou de terceiros.
Se no futuro adicionarmos cookies não essenciais (por exemplo, Google Analytics ou pixels de publicidade), atualizaremos esta Política e implementaremos um banner de consentimento conforme exigido pela legislação.
9. Segurança dos dados
Implementamos medidas técnicas e organizativas para proteger os seus dados, incluindo:
- Encriptação em trânsito — todas as ligações utilizam TLS 1.3
- Encriptação em repouso — base de dados e backups encriptados
- Palavras-passe — armazenadas com algoritmo de hashing seguro (bcrypt/argon2)
- Controlo de acessos — princípio do menor privilégio para a equipa
- Monitorização — deteção de acessos anómalos e registo de eventos de segurança
- Backups — cópias de segurança automáticas em infraestrutura europeia
- Revisão regular — auditoria interna periódica das práticas de segurança
Em caso de violação de dados pessoais (data breach), notificaremos a CNPD no prazo de 72 horas, conforme exigido pelo artigo 33.º do RGPD, e informá-lo-emos directamente se a violação implicar um risco elevado para os seus direitos.
10. Menores
O Serviço não se destina a menores de 18 anos. Não recolhemos intencionalmente dados de menores. Se tomarmos conhecimento de que recolhemos dados de um menor sem autorização parental, procederemos à sua eliminação imediata. Se é pai, mãe ou tutor e suspeita que o seu filho nos forneceu dados pessoais, contacte-nos através de [EMAIL_PRIVACIDADE].
11. Alterações a esta Política
Podemos atualizar esta Política periodicamente para reflectir alterações legais, mudanças nos nossos serviços ou melhorias nas nossas práticas. Quando fizermos alterações materiais, notificá-lo-emos por email ou através de um aviso destacado no Serviço, com pelo menos 30 dias de antecedência.
A data da "Última atualização" no topo desta página indica quando a versão atual entrou em vigor. Encorajamos-lhe a rever esta Política periodicamente.
12. Contacto
Para qualquer questão relacionada com esta Política de Privacidade ou com o tratamento dos seus dados pessoais, pode contactar-nos através de:
- Email: [EMAIL_PRIVACIDADE]
- Morada: [NOME DA EMPRESA], [MORADA]
Responderemos a todos os pedidos no prazo máximo de 30 dias.