Política de Privacidade (RGPD)

[A PREENCHER: NOME DA EMPRESA]

Morada: [A PREENCHER: MORADA]

NIF: [A PREENCHER: NIF]

Email geral: [A PREENCHER: EMAIL DE CONTACTO]

Encarregado de Proteção de Dados (EPD): [A PREENCHER: EMAIL DO EPD/DPO]

Recolhemos e tratamos as seguintes categorias de dados:

• Dados de conta: nome, endereço de email e password (armazenada com hash bcrypt, nunca em texto simples);
• Tokens de integração: credenciais de API de terceiros (Shopify, Meta, Anthropic, etc.) fornecidas pelo utilizador, armazenadas encriptadas com AES-256-GCM;
• Dados de negócio: encomendas, produtos, despesas, métricas de anúncios e taxas de câmbio sincronizados das plataformas integradas;
• Registo de atividade: ações realizadas na plataforma (para auditoria interna e segurança);
• Dados técnicos: cookies de sessão (httpOnly JWT), preferência de idioma e tema;
• Dados de diagnóstico: relatórios de erros e desempenho enviados ao Sentry, configurado para NÃO recolher dados pessoais (sem IP, cookies ou cabeçalhos de pedido).

Tratamos os teus dados pessoais para as seguintes finalidades e com base nos seguintes fundamentos jurídicos:

• Prestação do serviço contratado (autenticação, acesso às funcionalidades, sincronização de dados): execução de contrato (art. 6.º, n.º 1, al. b) do RGPD);
• Segurança da plataforma e prevenção de fraude (registo de atividade, deteção de anomalias): interesse legítimo (art. 6.º, n.º 1, al. f) do RGPD);
• Envio de emails transacionais (verificação de conta, notificações operacionais): execução de contrato e interesse legítimo;
• Comunicações de marketing ou novidades (se aplicável): consentimento (art. 6.º, n.º 1, al. a) do RGPD), pode ser retirado a qualquer momento.

Para prestar o serviço, recorremos aos seguintes subcontratantes que podem ter acesso a dados pessoais:

• Railway (infraestrutura de alojamento e base de dados, EUA; transferência coberta por cláusulas contratuais-tipo ou outro mecanismo adequado);
• Shopify Inc. (sincronização de dados de loja, conforme os teus próprios termos com a Shopify);
• Meta Platforms, Inc. (sincronização de dados de anúncios, conforme os teus próprios termos com a Meta);
• Anthropic, PBC (geração de resumos com IA, apenas quando a integração está activa);
• Resend, Inc. (envio de email transaccional, endereço de email do destinatário);
• Functional Software, Inc. d/b/a Sentry (monitorização de erros e desempenho, dados técnicos de diagnóstico; configurado sem recolha de PII);
• Frankfurter / BCE (taxas de câmbio, apenas códigos de moeda; sem dados pessoais transmitidos);
• Slack Technologies (alertas operacionais, apenas quando configurado pela organização).

Todos os subcontratantes são selecionados com base em garantias adequadas de proteção de dados.

Conservamos os dados pessoais apenas pelo tempo necessário às finalidades para que foram recolhidos, ou pelo período mínimo exigido por lei.

Dados de conta: enquanto a conta estiver ativa e durante um período razoável após o encerramento (até [A PREENCHER: PRAZO EM MESES] meses, salvo obrigação legal de conservação por mais tempo).

Dados de negócio (encomendas, métricas): até ao encerramento da organização ou eliminação explícita pelo utilizador.

Registos de atividade para segurança: máximo de 12 meses.

Após o período de retenção, os dados são eliminados de forma segura ou anonimizados.

Alguns dos nossos subcontratantes (Railway, Shopify, Meta, Anthropic, Resend, Sentry, Slack) têm sede ou processam dados fora do Espaço Económico Europeu (EEE), designadamente nos EUA.

Estas transferências são realizadas com base em mecanismos de transferência adequados ao abrigo do RGPD, nomeadamente cláusulas contratuais-tipo (CCT) aprovadas pela Comissão Europeia, ou outras salvaguardas aplicáveis.

Podes solicitar mais informações sobre as garantias aplicáveis contactando [A PREENCHER: EMAIL DO EPD/DPO].

Ao abrigo do RGPD, tens os seguintes direitos relativamente aos teus dados pessoais:

• Direito de acesso: obter confirmação de que os teus dados são tratados e receber uma cópia;
• Direito de retificação: corrigir dados inexatos ou incompletos;
• Direito ao apagamento («direito a ser esquecido»): solicitar a eliminação dos teus dados, nos termos legais;
• Direito à portabilidade: receber os teus dados num formato estruturado, de uso corrente e legível por máquina;
• Direito de oposição: opor-te ao tratamento baseado em interesse legítimo;
• Direito de limitação: solicitar a restrição do tratamento em determinadas circunstâncias.

Para exercer qualquer destes direitos, contacta o EPD: [A PREENCHER: EMAIL DO EPD/DPO]. Responderemos no prazo de 30 dias (prorrogável por mais 60 dias em casos complexos, com notificação prévia). Tens também o direito de apresentar reclamação à autoridade de controlo competente (em Portugal: CNPD, www.cnpd.pt).

O Rumo utiliza os seguintes cookies e mecanismos de armazenamento:

• Cookie de sessão (JWT): httpOnly, Secure, SameSite=Lax, necessário para autenticação; não acessível por JavaScript;
• Cookie de idioma (locale): guarda a preferência de idioma (pt/en), funcional;
• Cookie de tema: guarda a preferência de tema visual (claro/escuro), funcional.

Não utilizamos cookies de rastreamento, publicidade ou analytics de terceiros. Não é necessário um banner de consentimento de cookies para os cookies estritamente necessários e funcionais.

Implementamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais, incluindo:

• Encriptação em repouso: tokens de integração e credenciais sensíveis são encriptados com AES-256-GCM;
• Passwords com hash: as passwords são armazenadas exclusivamente com hash bcrypt, nunca em texto simples;
• Isolamento multi-tenant: cada organização só tem acesso aos seus próprios dados, imposto ao nível da base de dados em todas as consultas;
• Sessões com expiração: a alteração de password invalida imediatamente todas as sessões ativas;
• Comunicações encriptadas: todo o tráfego entre o cliente e o servidor é transmitido via HTTPS.

Apesar destas medidas, nenhum sistema é completamente inviolável. Em caso de violação de dados com impacto nos titulares, notificaremos as autoridades e os utilizadores afetados nos prazos legais.

Se residires na Califórnia ou noutro estado dos EUA com legislação de privacidade do consumidor aplicável (incluindo Virgínia, Colorado, Connecticut, Utah e Texas), podes ter direitos adicionais sobre os teus dados pessoais, descritos nesta secção.

NÃO vendemos os teus dados pessoais nem os partilhamos para efeitos de publicidade comportamental cruzada («cross-context behavioral advertising»), tal como definido pela CCPA/CPRA. Não recebemos qualquer contrapartida financeira pela partilha de dados. Não tratamos conscientemente dados de menores de 16 anos.

Categorias de dados pessoais recolhidos (na terminologia da CCPA): identificadores (nome, email); informação comercial (dados de conta e de negócio); e informação de atividade na Internet (registos de utilização). Não utilizamos informação pessoal sensível para fins não relacionados com a prestação do serviço.

Ao abrigo da CCPA/CPRA, os residentes na Califórnia têm o direito de: saber e aceder às categorias e elementos específicos de dados recolhidos; solicitar a eliminação dos seus dados; corrigir dados inexatos; optar por não permitir a venda ou partilha de dados (não aplicável, não vendemos nem partilhamos); limitar a utilização de informação pessoal sensível; e não ser discriminado por exercer estes direitos. Direitos equivalentes aplicam-se ao abrigo das leis de outros estados.

Para exercer estes direitos, contacta [A PREENCHER: EMAIL DE CONTACTO]. Podemos necessitar de verificar a tua identidade antes de responder e responderemos nos prazos legais aplicáveis (geralmente 45 dias na Califórnia, prorrogáveis). Podes designar um agente autorizado para apresentar o pedido em teu nome.

Não respondemos a sinais «Do Not Track» dos navegadores (não existe um standard comum), mas honramos os sinais de opt-out do Global Privacy Control (GPC) quando aplicável.

Podemos atualizar esta Política de Privacidade periodicamente. Alterações materiais serão comunicadas com antecedência razoável por email ou aviso na plataforma.

A data de «Última atualização» no topo deste documento indica quando foi revisto pela última vez. Recomendamos que o consultes regularmente.