Política de Privacidade
A Canelinfinita - Unipessoal Lda leva a sério a protecção dos seus dados pessoais. Esta Política descreve que dados recolhemos, como os utilizamos, com quem os partilhamos e quais os seus direitos ao abrigo do RGPD.
1. Responsável pelo Tratamento
Canelinfinita - Unipessoal Lda
NIF: 518494128
Rua Eugénio de Castro, N.º 248, 2.º, Sala 237, 4100-225 Porto, Portugal
E-mail: [email protected]
2. Definições
- Dados Pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável
- Dados de Utilização: informação recolhida automaticamente sobre a forma como o serviço é utilizado
- Responsável pelo Tratamento: entidade que determina as finalidades e meios do tratamento
- Subcontratante: entidade que trata dados em nome do Responsável
- RGPD: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho
- CNPD: Comissão Nacional de Protecção de Dados (autoridade supervisora portuguesa)
3. Papéis no Tratamento
Como Responsável pelo Tratamento
Tratamos os dados de conta, utilização, facturação, comunicações de marketing e cookies como Responsáveis pelo Tratamento, para as finalidades descritas nesta Política.
Como Subcontratante
Quando os utilizadores introduzem dados de terceiros (sócios, gerentes, administradores) para geração de atas, actuamos como Subcontratantes nos termos do Artigo 4.º, n.º 8, do RGPD, processando esses dados exclusivamente conforme as instruções do utilizador e nos termos do Acordo de Tratamento de Dados (ATD).
4. Dados Recolhidos e Finalidades
4.1 Dados de Conta
- Nome completo, endereço de e-mail, palavra-passe (cifrada)
- Dados de facturação: NIF, nome fiscal, morada de facturação
- Finalidade: criação e gestão de conta, facturação, suporte
- Base jurídica: execução de contrato (Artigo 6.º, n.º 1, alínea b) do RGPD)
4.2 Dados de Utilização
- Endereço IP, tipo e versão de browser, páginas visitadas, duração das sessões
- Finalidade: segurança, detecção de abusos, melhoria do serviço
- Base jurídica: interesses legítimos (Artigo 6.º, n.º 1, alínea f) do RGPD)
4.3 Dados Introduzidos para Geração de Atas
- Dados de empresas e respectivos sócios, gerentes e administradores (nome, NIF, quota, morada)
- Estes dados são tratados exclusivamente para prestação do serviço, na qualidade de Subcontratante
- Base jurídica: execução de contrato com o utilizador
4.4 Comunicações de Marketing
- Endereço de e-mail para envio de novidades e actualizações do serviço
- Finalidade: marketing directo
- Base jurídica: consentimento (Artigo 6.º, n.º 1, alínea a) do RGPD) — pode ser retirado a qualquer momento
4.5 Cookies
Utilizamos cookies essenciais (sessão de autenticação, preferências de idioma) necessários ao funcionamento do serviço. Não utilizamos cookies de rastreio publicitário de terceiros. O utilizador pode configurar o seu browser para recusar cookies, com possível impacto na funcionalidade do serviço.
5. Subcontratantes e Prestadores de Serviço
Recorremos a terceiros para prestação do serviço, com quem celebramos contratos de tratamento de dados que proíbem a utilização dos dados para fins próprios:
| Prestador | Finalidade | Localização |
|---|---|---|
| Hetzner Online GmbH | Alojamento de servidores e base de dados | Alemanha (UE) |
| Stripe Inc. | Processamento de pagamentos | EUA — Cláusulas Contratuais Tipo |
| InvoiceXpress (Invoicexpress, Lda) | Emissão de facturas certificadas AT | Portugal (UE) |
| Cloudflare Inc. | CDN, protecção DDoS, DNS | EUA — Cláusulas Contratuais Tipo |
| Anthropic PBC | Processamento de linguagem natural (geração de texto) | EUA — Cláusulas Contratuais Tipo |
Os subcontratantes estão contratualmente proibidos de utilizar os dados para treino de modelos ou para fins próprios.
6. Conservação dos Dados
| Tipo de dado | Período de conservação |
|---|---|
| Dados de conta (nome, e-mail) | Duração da conta + 12 meses após eliminação |
| Atas e documentos gerados | Duração da conta + 90 dias após cancelamento |
| Registos de facturação | 10 anos (obrigação fiscal — Código do IVA) |
| Dados de utilização | 26 meses |
| Registos de consentimento de marketing | Duração do consentimento + 3 anos |
| Logs de segurança | 12 meses |
7. Medidas de Segurança
Implementámos medidas técnicas e organizativas adequadas nos termos do Artigo 32.º do RGPD, incluindo:
- Encriptação em trânsito: TLS 1.2+ em todas as comunicações
- Armazenamento seguro: palavras-passe cifradas com bcrypt; dados em repouso em servidores certificados ISO 27001
- Controlo de acesso: acesso a dados pessoais restrito por necessidade; autenticação multifactor para acesso administrativo
- Minimização de dados: recolhemos apenas os dados estritamente necessários
- Backups: cópias de segurança regulares com retenção cifrada
- Eliminação segura: eliminação permanente findo o período de retenção
8. Violações de Dados Pessoais
Em caso de violação de dados pessoais com risco para os titulares, a Empresa notificará a CNPD no prazo máximo de 72 horas após tomada de conhecimento, nos termos do Artigo 33.º do RGPD. Os titulares afectados serão notificados sem demora injustificada quando a violação apresentar elevado risco para os seus direitos e liberdades.
9. Transferências Internacionais
Alguns subcontratantes operam fora do Espaço Económico Europeu (EEE). As transferências para esses países são efectuadas com base em Decisões de Adequação da Comissão Europeia ou, na sua ausência, em Cláusulas Contratuais Tipo (Decisão de Execução 2021/914 da Comissão). Para mais informações sobre os mecanismos de transferência, contacte [email protected].
10. Divulgação de Dados
Os dados pessoais podem ser divulgados a terceiros nas seguintes circunstâncias:
- A autoridades competentes, quando exigido por lei ou ordem judicial
- A prestadores de serviço sob obrigações contratuais de confidencialidade (listados na secção 5)
- Em caso de fusão, aquisição ou venda de activos, com aviso prévio aos titulares
- Quando necessário para proteger os direitos ou segurança da Empresa, dos utilizadores ou de terceiros
A Empresa não vende dados pessoais a terceiros para fins comerciais ou publicitários.
11. Direitos dos Titulares (RGPD)
Os titulares de dados residentes na UE/EEE têm os seguintes direitos:
- Acesso (Art. 15.º): obter confirmação do tratamento e cópia dos dados
- Rectificação (Art. 16.º): corrigir dados inexactos ou incompletos
- Apagamento (Art. 17.º): solicitar a eliminação dos dados («direito ao esquecimento»)
- Limitação (Art. 18.º): restringir o tratamento em determinadas circunstâncias
- Portabilidade (Art. 20.º): receber os dados num formato estruturado e legível por máquina
- Oposição (Art. 21.º): opor-se ao tratamento com base em interesses legítimos
- Retirada de consentimento (Art. 7.º, n.º 3): retirar o consentimento a qualquer momento
- Reclamação (Art. 77.º): apresentar queixa à CNPD (cnpd.pt)
Para exercer qualquer destes direitos, contacte [email protected]. Responderemos no prazo de 30 dias (prorrogável por mais 60 dias em casos complexos). Podemos solicitar verificação de identidade antes de processar o pedido.
12. Pagamentos
Os dados de cartão de crédito e débito são processados exclusivamente pela Stripe Inc., entidade certificada PCI-DSS. A Empresa não armazena nem tem acesso directo aos dados de cartão. A política de privacidade da Stripe está disponível em stripe.com/privacy.
13. Menores
O serviço atas.pt destina-se exclusivamente a utilizadores com 18 ou mais anos de idade. A Empresa não recolhe intencionalmente dados pessoais de menores. Se tomarmos conhecimento de que dados de um menor foram recolhidos sem consentimento parental verificável, procederemos à sua eliminação imediata.
14. Links para Sites de Terceiros
O serviço pode conter hiperligações para sites externos. A Empresa não é responsável pelas práticas de privacidade desses sites e recomenda a leitura das respectivas políticas de privacidade.
15. Alterações a esta Política
A Empresa reserva-se o direito de actualizar esta Política a qualquer momento. As alterações serão notificadas por e-mail e publicadas nesta página com a data de actualização revista. Recomendamos a consulta periódica desta página.
16. Contactos
Para questões relativas ao tratamento de dados pessoais:
- E-mail: [email protected]
- Morada: Canelinfinita - Unipessoal Lda, Rua Eugénio de Castro, N.º 248, 2.º, Sala 237, 4100-225 Porto, Portugal
- Autoridade supervisora: CNPD — www.cnpd.pt