Política de Privacidade

1. Responsável pelo tratamento

O responsável pelo tratamento dos dados pessoais tratados no contexto do serviço TaxPortugal é Robertino Martinez, com sede em Oasis Mar, Lote 2, Portimao, Portugal, contribuinte n.º 314033521. O contacto é contact@taxportugal.com.

Não foi designado Encarregado de Protecção de Dados por o Operador não preencher os critérios do artigo 37.º do RGPD. Para qualquer questão relativa a protecção de dados ou pedido de exercício de direitos, utilize o endereço de correio electrónico acima.

2. Dados pessoais tratados

Dados de conta: o seu endereço de correio electrónico, o seu nome (se fornecido pela Google no início de sessão) e metadados de autenticação (data e hora de início de sessão, endereço IP, agente do utilizador, emissão e utilização do magic link).

Dados de perfil: um perfil fiscal opcional auto-declarado (residência fiscal, regime, indicador de dependentes, estatuto NHR/IFICI, idioma de trabalho, locale). Não recolhemos o seu Número de Identificação Fiscal (NIF), número de conta bancária (IBAN), montantes monetários ou documentos pessoais, e o sistema instrui o agente a não registar este tipo de informação em memória de longo prazo.

Dados de conversa: as perguntas, mensagens e metadados que submete ao agente, as respostas do agente e as notas que o agente guarda durante uma conversa para manter contexto dentro dessa conversa. As conversas são armazenadas em texto simples, associadas à sua conta.

Dados de estado de facturação: plano subscrito, estado, ciclo de facturação, data e hora do último pagamento, quotas do plano e identificador de cliente Stripe. Os dados completos do cartão e demais dados de pagamento são tratados exclusivamente pela Stripe; o Operador não os recebe nem armazena.

Dados técnicos: registos padrão de servidor (endereço IP, caminho do pedido, código de estado, data e hora) gerados pelo prestador de alojamento, utilizados para segurança e prevenção de abuso.

3. Finalidades e fundamentos de licitude

Tratamos os seus dados pessoais para: (a) criar e autenticar a sua conta, prestar o Serviço e responder às suas questões — fundamento de licitude: execução do contrato consigo (artigo 6.º, n.º 1, alínea b), do RGPD); (b) processar pagamentos, gerir subscrições e tratar disputas de facturação — fundamento: execução do contrato (artigo 6.º, n.º 1, alínea b)) e cumprimento das nossas obrigações legais ao abrigo da legislação fiscal e comercial portuguesa (artigo 6.º, n.º 1, alínea c)); (c) manter a segurança, prevenir abuso, detectar fraude e fazer cumprir os Termos — fundamento: interesse legítimo na exploração de um serviço seguro (artigo 6.º, n.º 1, alínea f)); (d) comunicar informação transaccional (ligações de início de sessão, recibos de facturação, avisos de serviço) — fundamento: execução do contrato; (e) cumprir obrigações legais, incluindo responder a pedidos legítimos de autoridades — fundamento: cumprimento de obrigação legal (artigo 6.º, n.º 1, alínea c)).

Não utilizamos os seus dados para correio electrónico de marketing ou publicidade comportamental e não vendemos os seus dados.

4. Destinatários e subcontratantes

Recorremos aos seguintes subcontratantes para a operação do Serviço. Cada um está vinculado por contrato de subcontratação e trata os seus dados apenas mediante instruções documentadas do Operador.

Anthropic, PBC (Estados Unidos) — gera as respostas de inteligência artificial; recebe as mensagens de conversa submetidas ao agente e o contexto de prompt necessário à resposta.

Cohere, Inc. (Estados Unidos / Canadá) — gera embeddings exclusivamente do corpus legal. A Cohere não recebe as suas conversas nem dados de perfil.

Stripe Payments Europe, Limited (Irlanda) — processa os pagamentos da subscrição; recebe os dados de pagamento que indica no checkout e o seu endereço de correio electrónico. O Operador não recebe os dados do seu cartão.

Resend, Inc. (Estados Unidos) — entrega o magic link e mensagens transaccionais; recebe o seu endereço de correio electrónico e o corpo da mensagem.

Railway Corp. (Estados Unidos, região UE/Frankfurt) — presta alojamento aplicacional e Postgres gerido na União Europeia; trata todos os dados em repouso armazenados pelo Serviço.

Google Ireland Limited (Irlanda) — disponibiliza o início de sessão Google (OAuth); recebe um pedido iniciado pelo utilizador e devolve o seu perfil básico (correio electrónico, nome, URL de fotografia).

Google Ireland Limited / Google LLC — opera a medição de conversões do Google Ads. Quando o utilizador chega ao Serviço a partir de uma campanha Google Ads e consente os cookies publicitários através do banner, a Google recebe um evento de conversão que inclui o valor e moeda da compra, o identificador da Stripe Checkout Session e um hash SHA-256 do endereço de correio electrónico ("Enhanced Conversions"). Em caso de recusa, nenhum dado de conversão é enviado para a Google.

Google Ireland Limited / Google LLC — opera o Google Analytics 4 para análise da audiência do sítio. Quando o utilizador consente os cookies de análise através do banner, a Google recebe sinais padrão de visualização de página, dispositivo e origem de tráfego; não são transmitidos correio electrónico, nome ou identificador Stripe. A Google Ireland Limited é a entidade controladora na UE; alguns dados podem ser transferidos para a Google LLC (Estados Unidos) ao abrigo de Cláusulas Contratuais-Tipo e, quando aplicável, do EU–US Data Privacy Framework.

Meta Platforms Ireland Limited (Irlanda) — opera o Meta Pixel e a Meta Conversions API para atribuição e optimização de campanhas publicitárias no Facebook e Instagram. Quando o utilizador consente os cookies publicitários através do banner, o navegador grava os cookies primários da Meta `_fbp` e (após um clique num anúncio) `_fbc`, e numa compra concluída o nosso servidor transmite um evento "Purchase" que inclui o valor e moeda da compra, o identificador da Stripe Checkout Session, o endereço IP, o user-agent, os valores `_fbp` e `_fbc`, um hash SHA-256 do endereço de correio electrónico e um hash SHA-256 do identificador interno do utilizador. Em caso de recusa, nenhum cookie do Pixel é gravado e nenhum evento é transmitido pelo servidor. A Meta Platforms Ireland é a entidade controladora na UE; alguns dados podem ser transferidos para a Meta Platforms, Inc. (Estados Unidos) ao abrigo de Cláusulas Contratuais-Tipo e, quando aplicável, do EU–US Data Privacy Framework.

Pode ser solicitada uma lista actualizada de subcontratantes para contact@taxportugal.com.

5. Transferências internacionais de dados

Alguns subcontratantes estão estabelecidos fora do Espaço Económico Europeu, em particular nos Estados Unidos. Quando há transferência de dados pessoais para fora do EEE, recorremos às Cláusulas Contratuais-Tipo da Comissão Europeia (Decisão 2021/914) e, quando aplicável, à decisão de adequação do Quadro de Privacidade de Dados UE–EUA, em conjunto com medidas técnicas e organizativas suplementares.

Os dados aplicacionais em repouso estão alojados na União Europeia (Railway, região de Frankfurt). O conteúdo de conversa enviado à Anthropic e o conteúdo de correio electrónico enviado à Resend podem ser tratados em infra-estrutura nos Estados Unidos. Pode solicitar cópia do mecanismo de transferência aplicável escrevendo para contact@taxportugal.com.

6. Tratamento por inteligência artificial e treino de modelos

O Serviço utiliza modelos de inteligência artificial de terceiros (actualmente a família Claude da Anthropic) para gerar respostas. Não autorizamos a utilização das suas conversas ou de outros dados pessoais para treinar, afinar ou melhorar qualquer modelo de inteligência artificial, e operamos ao abrigo das condições comerciais de API desses prestadores.

Os subcontratantes mantêm as suas próprias políticas publicadas que regem o tratamento dos dados submetidos através das respectivas APIs. Recomendamos a consulta das políticas da Anthropic, Cohere, Stripe, Resend, Railway e Google para informação actualizada sobre o tratamento e retenção dos dados que lhes enviamos.

7. Conservação

Os dados de conta, de perfil e de conversa são conservados enquanto a sua conta existir. Quando elimina a sua conta, os registos são removidos em cascata (conta, sessões, perfil, conversas, notas); cópias residuais em backups operacionais são sobrescritas de acordo com o calendário de backup rotativo do prestador de alojamento.

Os registos de facturação (facturas, histórico de subscrições, registos de transacções com relevância fiscal) são conservados por dez (10) anos a contar do exercício fiscal relevante, em conformidade com a legislação fiscal e comercial portuguesa (Código Comercial e Código do IRC).

Os registos de autenticação e demais registos técnicos com relevância de segurança são conservados por um período máximo de doze (12) meses para fins de prevenção de fraude e resposta a incidentes.

8. Os seus direitos

Nos termos e dentro das condições do RGPD, o titular dos dados tem direito a: (a) aceder aos seus dados pessoais e obter cópia (artigo 15.º); (b) solicitar a rectificação de dados inexactos (artigo 16.º); (c) solicitar o apagamento dos seus dados (artigo 17.º), o que pode exercer imediatamente eliminando a sua conta; (d) solicitar a limitação do tratamento (artigo 18.º); (e) opor-se ao tratamento fundado em interesse legítimo (artigo 21.º); (f) solicitar a portabilidade dos dados que forneceu e que tratemos por meios automatizados ao abrigo de contrato ou consentimento (artigo 20.º); (g) quando o tratamento se basear em consentimento, retirar o consentimento a qualquer momento sem afectar a licitude do tratamento efectuado antes da retirada.

Para exercer qualquer destes direitos, escreva para contact@taxportugal.com. Poderemos solicitar a verificação da sua identidade. Responderemos no prazo de um mês, prorrogável por mais dois meses em caso de pedido complexo ou numeroso, mediante aviso.

9. Direito de reclamação

O titular dos dados tem o direito de apresentar reclamação a uma autoridade de controlo em matéria de protecção de dados. A autoridade competente em Portugal é a Comissão Nacional de Protecção de Dados (CNPD): https://www.cnpd.pt. O titular pode ainda apresentar reclamação à autoridade de controlo do seu local de residência habitual ou de trabalho.

10. Segurança

Aplicamos medidas técnicas e organizativas adequadas aos riscos do tratamento, designadamente cifragem TLS em trânsito, cifragem de credenciais em repouso, controlo de acessos baseado em funções, alojamento na União Europeia, backups automáticos do prestador de alojamento e registo de acções administrativas. Nenhum sistema é totalmente seguro e não podemos garantir segurança absoluta.

11. Cookies e tecnologias semelhantes

Utilizamos cookies estritamente necessários para autenticação, gestão de sessão e protecção contra CSRF. Estes cookies não exigem consentimento ao abrigo do regime ePrivacy transposto em Portugal por serem essenciais à prestação do serviço solicitado.

Utilizamos também a medição de conversões do Google Ads, que define cookies publicitários (a biblioteca gtag.js e cookies `_gcl_*`) nas páginas visitadas após chegar de uma ligação do Google Ads, para medir as campanhas pagas e optimizar as licitações. Funciona sob o seu consentimento, dado através do banner mostrado na primeira visita; o utilizador pode recusar, caso em que não são definidos cookies publicitários no navegador e nenhum sinal identificativo é enviado para o Google.

Para a medição de conversões do Google Ads, podemos transmitir ao Google um hash SHA-256 do seu endereço de correio electrónico ("Enhanced Conversions") para que o Google possa associar a sua compra ao clique original do anúncio mesmo quando os cookies de terceiros estão bloqueados. O hash é calculado no seu navegador; o correio electrónico em claro nunca é transmitido e o hash não é armazenado por nós.

Utilizamos ainda o Google Analytics 4 para análise da audiência do sítio. Sob o seu consentimento, grava no seu navegador os cookies primários `_ga` e `_ga_<contentor>` para medir visualizações de página, sessões, dispositivos e origens de tráfego. Não temos activadas as Google Signals, as integrações de funcionalidades publicitárias nem o seguimento por User-ID; não transmitimos ao Google Analytics quaisquer identificadores pessoais (sem correio electrónico, sem nome, sem identificador Stripe). Em caso de recusa, nenhum cookie é gravado no navegador; nesse caso a Google recebe apenas um ping modelado sem cookies, para estimativa agregada de tráfego.

Utilizamos ainda o Meta Pixel e a Meta Conversions API para atribuição de campanhas publicitárias no Facebook e Instagram. O Pixel grava o cookie primário `_fbp` no seu navegador; após um clique num anúncio da Meta também grava `_fbc`. Numa compra concluída, além do evento do navegador o nosso servidor transmite um evento "Purchase" duplicado para a Meta Conversions API, incluindo o valor e moeda da compra, o identificador da Stripe Checkout Session, o seu endereço IP, o seu user-agent, os valores dos cookies `_fbp` e `_fbc`, um hash SHA-256 do seu endereço de correio electrónico e um hash SHA-256 do seu identificador interno de utilizador. Os hashes são calculados no nosso servidor antes da transmissão; o correio electrónico em claro não é enviado à Meta e os hashes não são armazenados por nós. Tanto o Pixel no navegador como o envio pelo servidor estão sujeitos ao seu consentimento — em caso de recusa, nenhum cookie do Pixel é gravado e nenhum evento é transmitido. Não utilizamos qualquer ferramenta de gravação de sessão de terceiros.

12. Menores

O Serviço não é dirigido a menores de dezoito (18) anos. Não recolhemos conscientemente dados pessoais de menores. Caso tenha conhecimento de que um menor nos forneceu dados pessoais, contacte contact@taxportugal.com para que possamos proceder à eliminação.

13. Categorias especiais de dados e decisões automatizadas

O utilizador não deve submeter ao Serviço categorias especiais de dados (artigo 9.º do RGPD — saúde, origem racial ou étnica, opiniões políticas, convicções religiosas, dados biométricos, vida ou orientação sexual) nem dados relativos a condenações penais. O Serviço não foi concebido para tratar tais dados e não dispomos de fundamento de licitude para o efeito.

O Serviço não produz decisões com efeito jurídico ou efeito significativo similar sobre o utilizador na acepção do artigo 22.º do RGPD. Os Resultados do Serviço têm carácter informativo e não constituem determinação da situação tributária do utilizador.

14. Notificação de violações de dados

Em caso de violação de dados pessoais susceptível de resultar em risco para os direitos e liberdades dos titulares, notificaremos a CNPD no prazo de 72 horas a contar do conhecimento, em conformidade com o artigo 33.º do RGPD. Quando a violação for susceptível de resultar em risco elevado para o titular, notificá-lo-emos sem demora injustificada nos termos do artigo 34.º.

15. Eliminação de conta

O utilizador pode eliminar a sua conta a qualquer momento, na página de perfil dentro do Serviço. A eliminação revoga imediatamente todas as sessões, remove o registo de conta, o seu perfil, as suas conversas e as notas guardadas durante as conversas, e cancela qualquer subscrição activa. Os backups que contenham dados residuais são rotativos de acordo com a política do prestador de alojamento e são sobrescritos ao longo do tempo. Os registos de facturação sujeitos a obrigações legais de conservação são mantidos pelos prazos descritos no ponto 7.

16. Alterações à presente Política

Podemos actualizar a presente Política de Privacidade para reflectir alterações ao Serviço, aos nossos subcontratantes ou à legislação aplicável. Comunicaremos alterações materiais por correio electrónico ou através de aviso destacado no Serviço antes da respectiva produção de efeitos. A data de "Última atualização" no topo desta página indica a versão em vigor.

17. Contacto

Para qualquer questão ou pedido de exercício de direitos, contacte contact@taxportugal.com.