Privacy Policy: Verdaio

Note: In case of any conflict between the English and Portuguese versions of this policy, the English version shall prevail.

Summary: Verdaio collects only what is necessary to deliver our compliance tools. We do not sell your data. We use AWS-hosted infrastructure within the EU. You may request deletion of your data at any time by emailing privacy@verdaio.ai.

1. Data Controller

The data controller responsible for your personal data is:

Pragmatic Vibe - Unipessoal Lda (operating the "Verdaio" brand)
NIPC: 519377257
R. Hermano Neves 18, Piso 3, Escritório 7, V6039
1600-477 Lisboa, Portugal
Email: privacy@verdaio.ai
Website: verdaio.ai

When this policy refers to "Verdaio", "we", "us", or "our", it means Pragmatic Vibe - Unipessoal Lda acting as data controller for personal data collected through our website and tools.

2. Data We Collect

We collect the following categories of personal data:

2.1 Data stored in your account

Data	Stored where	Purpose
Email address and password	Supabase (account)	Account authentication and report delivery
Assessment completion records (tool name, date)	Supabase	Usage tracking and rate limiting
AI-generated report records (tool identifier, job ID, status, structured report output)	Supabase	Internal record of service delivery for audit and accountability (GDPR Art. 5(2), AI Act post-market monitoring). Not surfaced back to users as a re-access feature. 3-year retention from generation, or until account deletion (whichever comes first).
Report feedback (tool, issue type, free-text description)	Supabase	AI Act human-oversight and product-quality monitoring; 3-year retention
Subscription or purchase records	Supabase	Access control and billing history
Pre-launch registration waitlist (email address, language preference, source)	Supabase	Notify you when account registration opens; retained until launch or until you request deletion
Company name, VAT number, billing address	Stripe and InvoiceXpress only	Payment processing and invoice generation. Not stored by Verdaio.

2.2 Data processed but not stored

The following data is provided by you during assessments. It is sent to our AI engine (Claude model via Amazon Bedrock, hosted in AWS eu-west-1, Ireland) in real time to generate your report, then immediately discarded. Verdaio does not store this data on its servers, and the data does not leave the EU.

Data	Purpose
Company name, sector, size, revenue, countries of operation	To generate a relevant, sector-specific AI analysis
Assessment questionnaire responses	To calculate your compliance profile and generate recommendations

Your company profile is saved locally in your browser (localStorage) for convenience when using multiple tools. localStorage is browser storage local to your device and is not a cookie; it transmits no data to Verdaio. This data never leaves your device unless you submit an assessment.

2.3 Data collected automatically

Analytics. When you visit our website, we collect anonymous, aggregated usage data via Plausible Analytics (EU-hosted, no cookies, no personal data). This includes page views, engaged time per page (active focus time, no per-visitor profiles), referral sources, country, device type, browser, outbound link clicks, file downloads, and form submission events. Plausible does not store or transmit IP addresses. No individual visitors can be identified via our analytics.

Server access logs. We deliberately do not retain CloudFront access logs. Your IP address, URL, user-agent, and other request metadata are not captured at our CDN edge. If operational need arises in the future, we will re-enable logging under a documented lawful basis and update this section before doing so.

3. How We Use Your Data

We use your personal data for the following purposes:

To deliver the service: Processing your assessment inputs through our AI engine to generate a personalised compliance analysis and sending a secure download link to your email address.
To improve our tools: Analysing aggregated, anonymised assessment patterns to improve the quality and accuracy of our compliance analysis. Individual responses are never shared externally in identifiable form.
To comply with legal obligations: Retaining records as required by applicable law.

We do not use your data for automated decision-making that produces legal effects or similarly significant impacts without human review.

4. Legal Basis for Processing

Under the General Data Protection Regulation (GDPR), we rely on the following legal bases:

Processing activity	Legal basis (GDPR Art. 6)
Generating and delivering your assessment report	Performance of a contract / pre-contractual steps (Art. 6(1)(b))
Sending your report download link by email	Performance of a contract / pre-contractual steps (Art. 6(1)(b))
Recording assessment completions (tool name, date) for usage tracking	Legitimate interests (Art. 6(1)(f)), we have a legitimate interest in managing service usage and preventing abuse
Website analytics (Plausible Analytics, anonymous aggregated data)	Legitimate interests (Art. 6(1)(f)) - improving service quality. No personal data processed, no consent required.

5. Third-Party Processors

We share data with the following third-party service providers who process data on our behalf under appropriate Data Processing Agreements:

Processor	Purpose	Data shared	Location
Amazon Web Services EMEA SARL	Website hosting (S3 + CloudFront), serverless function execution (Lambda), and API routing (API Gateway)	All data transiting the platform	AWS eu-west-1 (Ireland)
Amazon Web Services EMEA SARL (Amazon Bedrock)	AI-powered analysis generation (Claude model via Amazon Bedrock)	Company profile and assessment inputs (processed in real time, not stored)	AWS eu-west-1 (Ireland). Data never leaves the EU. Amazon Bedrock does not retain input or output data. The AI model (Claude by Anthropic) is hosted on AWS infrastructure; Anthropic does not receive or access the data. Covered by the AWS Data Processing Addendum. Assessment inputs consist of company-level business data (company name, sector, size, assessment responses) and do not contain personal data of natural persons.
Sendinblue SAS (Brevo)	Transactional email delivery	Email address, recipient name, report download link (no report content attached)	France. Data stored on own servers in France and Germany, plus Google Cloud Platform in Belgium (EU). Contracting entity is Sendinblue SAS (Paris, France), under French CNIL supervision.
Supabase, Inc.	Database and authentication	Email, hashed password, assessment completion records (tool name, date), subscription status	AWS eu-central-2 (Zurich, Switzerland), Switzerland has EU adequacy status
Stripe Payments Europe, Limited	Payment processing, primary contracting processor (EU)	Name, email, billing address, VAT number, payment method details	Dublin, Ireland (EU), no international transfer at this layer
Stripe, LLC (affiliate of Stripe Payments Europe)	Shared platform, fraud detection, and risk infrastructure for the payments network	Same categories as above, shared by Stripe's EU entity with its US affiliate as part of the same payment-processing service	United States, Standard Contractual Clauses (SCCs) and EU–US Data Privacy Framework (DPF self-certification)
Tutao GmbH (Tuta Mail)	Active email hosting for Verdaio controller inboxes (@verdaio.ai addresses, e.g. privacy@, support@, legal@, contact@) since 2026-05-08	Email metadata and content sent to Verdaio controller addresses by you or by counterparties corresponding with you, including any personal data included in message bodies or attachments (for example, DSR submission content and identification copies)	Germany (EU/EEA). All data stored in ISO 27001 certified data centres in Germany. No international data transfer. Data processing covered by Tutao GmbH's standard terms (Art. 28 GDPR), Hannover, HRB 208014, Amtsgericht Hannover, USt-IdNr DE280903265.
Google LLC (Google Workspace) (historic sub-processor only)	Retains email received at @verdaio.ai addresses before 2026-05-08. No new email is delivered to Google Workspace (MX records repointed to Tutao GmbH on 2026-05-08). The Google Workspace subscription is set to terminate on its 2027-04-03 renewal date, after which the historic mailbox content is deleted per Google's retention policy and the next Privacy Policy version will remove this row.	Same categories as above, scoped to historic mailbox content only	United States. Standard Contractual Clauses (SCCs) and EU–US Data Privacy Framework (DPF self-certification). Applies to historic content only.
InvoiceXpress (Invoicing)	Invoice generation and delivery	Name, email, billing address, VAT number, purchase amount	Portugal (EU)
Plausible Analytics (Plausible Insights OÜ)	Anonymous website analytics	Aggregated page views, referral sources, country, device type. No personal data, no IP addresses.	EU (Estonia). No personal data processed. Privacy policy: plausible.io/data-policy

We do not sell, rent, or share your personal data with any third party for their own marketing purposes.

For enterprise customers requiring a formal Data Processing Agreement, please visit our DPA page to review our coverage and request the full agreement.

We maintain a full Record of Processing Activities (ROPA) per Art. 30(1) GDPR. The ROPA is an internal accountability document, available to the supervisory authority (CNPD) and to qualifying customers on request via privacy@verdaio.ai.

6. International Data Transfers

Your data is primarily processed within the European Economic Area (EEA). Where data is transferred to processors outside the EEA, we rely on the following safeguards:

Stripe: Your contracting processor is Stripe Payments Europe, Limited (Dublin, Ireland), so data entry and primary processing occur within the EU. As part of Stripe's payment network, some personal data is shared with Stripe, LLC in the United States for platform, fraud, and risk operations. That US leg is covered by a double Chapter V mechanism: Standard Contractual Clauses (SCCs) approved by the European Commission and the EU–US Data Privacy Framework (DPF), Stripe, LLC is self-certified under the DPF. Either mechanism alone would provide a valid legal basis; Stripe uses both for defence-in-depth.
Google Workspace (historic only): Google LLC (United States) retains email received at our controller inboxes (@verdaio.ai addresses) before 2026-05-08. From 2026-05-08 onwards, new inbound email is hosted by Tutao GmbH in Germany (see §5), so the active flow no longer involves any transfer outside the EEA. The historic transfer to the United States is covered by a double Chapter V mechanism: the Standard Contractual Clauses in Google's Data Processing Amendment (auto-accepted via Google Workspace terms) and the EU–US Data Privacy Framework under which Google LLC is self-certified. The Google Workspace subscription expires on 2027-04-03, after which historic content is deleted per Google's retention policy.

Controller-inbox email received since 2026-05-08 is hosted by Tutao GmbH in Germany (ISO 27001 certified data centres) and does not involve any international data transfer.

AI processing (Amazon Bedrock) takes place entirely within the EU (AWS eu-west-1, Ireland) and does not involve any international data transfer.

Transactional email (Sendinblue SAS, Brevo) is processed entirely within the EU (France, Germany, and Google Cloud Platform Belgium) and does not involve any international data transfer.

7. Data Retention

We retain personal data only for as long as necessary for the purposes described in this policy:

Account data (email, password): retained until you delete your account.
Assessment completion records (tool name, date): retained for up to 3 years, or until you request deletion.
Subscription and purchase records: retained for the duration of your account, or as required by Portuguese tax law (minimum 10 years for invoices, held by InvoiceXpress).
Assessment inputs (company profile, questionnaire responses): not stored. Processed in real time and discarded after report generation.
AI-generated reports: stored temporarily in encrypted storage (AWS S3, eu-west-1) for up to 48 hours to enable download, then automatically deleted.
Email notification logs: retained by Brevo (Sendinblue SAS) for up to 100 days within EU infrastructure. Brevo receives only the recipient email address, the download link, and message metadata. The actual report content is never transmitted through the email service.
Website analytics data: aggregated, anonymised site metrics are retained indefinitely by Plausible; no individual-level data is collected in the first place (no cookies, no IP addresses, no cross-session identifiers).

You may request deletion of your data at any time. See Section 8 for how to exercise this right.

8. Your Rights Under GDPR

As a data subject under GDPR, you have the following rights:

Right of access, request a copy of the personal data we hold about you.
Right to rectification, request correction of inaccurate or incomplete data.
Right to erasure, request deletion of your personal data ("right to be forgotten").
Right to restriction, request that we restrict processing of your data in certain circumstances.
Right to data portability, receive your data in a structured, machine-readable format.
Right to object, object to processing based on legitimate interests.
Right to withdraw consent, where processing is based on consent, withdraw it at any time without affecting the lawfulness of prior processing.

To exercise any of these rights, contact us at privacy@verdaio.ai. We will respond within 30 days. You also have the right to lodge a complaint with your national data protection authority. In Portugal, this is the Comissão Nacional de Proteção de Dados (CNPD) at cnpd.pt.

Personal data breaches. In the event of a personal data breach that is likely to result in a risk to your rights and freedoms, we will notify the CNPD within 72 hours of becoming aware of the breach, in accordance with Art. 33 GDPR. Where the breach is likely to result in a high risk, we will also notify affected users without undue delay, in accordance with Art. 34 GDPR. Our internal incident response procedure is documented in a runbook maintained under our compliance pack.

9. Cookies

Verdaio does not use tracking, advertising, or marketing cookies. Our analytics provider (Plausible) operates entirely without cookies. For full details, see our Cookie Policy.

10. Minors

Our services are directed at businesses and professionals. We do not knowingly collect personal data from individuals under the age of 16. If you believe we have inadvertently collected such data, please contact us at privacy@verdaio.ai and we will delete it promptly.

11. Changes to This Policy

We may update this Privacy Policy from time to time.

For minor editorial changes (clarifications, typo fixes, version-history updates), continued use of our services after changes are posted constitutes acceptance of the updated policy.

For material changes (introducing a new lawful basis, a new purpose, a new category of recipient, or a new category of personal data), we will provide prominent notice before the change takes effect. Where the change affects processing that relies on your consent, we will request renewed affirmative consent before continuing that processing.

We encourage you to review this policy periodically. The "Last updated" date at the top of this page reflects the latest revision.

Version history

Version	Date	Changes
1.13	18 May 2026	Migration of controller email hosting from Google Workspace (Google LLC, United States) to Tuta Mail (Tutao GmbH, Hannover, Germany). All new email received at @verdaio.ai addresses has been hosted by Tutao GmbH in Germany since 2026-05-08, after the MX records were repointed away from Google. §5 sub-processor table adds Tutao GmbH and reframes Google LLC as a historic-only sub-processor that retains pre-2026-05-08 mailbox content until the Google Workspace subscription expires on 2027-04-03, after which the historic content is deleted per Google's retention policy and a follow-up Privacy Policy version will remove the Google LLC row entirely. §6 international transfers updated to reflect that the active inbound-email flow no longer involves any transfer outside the EEA; the Google LLC United States transfer mechanism is now scoped to historic mailbox content only. Tutao GmbH stores all data in ISO 27001 certified data centres in Germany. No new data categories, purposes, lawful bases, recipient categories, or cookies; this version reflects an infrastructure change to improve data residency posture (data minimisation by jurisdiction).
1.12	5 May 2026	Clarification of existing analytics scope, no new processing activity. §2.3 "Analytics" enumeration extended to align with the deployed Plausible tagged-script bundle (`pa-nghaVkCvLQNoccyAqUOUe.js`, 6,187 bytes, inspected 2026-05-05): added engaged time per page (active focus time only, no per-visitor profiles), outbound link clicks, file downloads, and form submission events. Same processor (Plausible Insights OÜ, EU/Estonia), same legal basis (Art. 6(1)(f) legitimate interest), same data subjects, same retention, same transfer profile (none). No cookies, no personal data, no fingerprinting introduced, the four extensions are event-listener-based behavioural counters processed in aggregate by Plausible. This bump documents what has already been collected; no change to the underlying processing.
1.11	18 April 2026	Legal Reality Check corrections aligning this policy with the deployed system. §2.1 extended with rows for the Supabase `jobs` table (AI-generated report records retained 3 years for audit and accountability, not surfaced for user re-access), the `report_feedback` table (user feedback for AI Act post-market monitoring, 3 years), and the `waitlist` table (pre-launch registration notification). §2.3 "Server access logs" rewritten: CloudFront standard logging is deliberately disabled as of 2026-04-10 (data minimisation); no IP, URL, user-agent, or referer is captured at our CDN edge. §5 adds Google LLC (Google Workspace) as the hosting provider for our controller inboxes (@verdaio.ai email); covers inbound email including DSR submissions and legal correspondence; US, SCCs + EU–US DPF double mechanism. §6 extended to describe the Google Workspace transfer mechanism. §7 retention: website analytics retention corrected from "26 months" (GA4 holdover, inaccurate since migration to Plausible) to "aggregated indefinitely by Plausible; no individual-level data collected". §8 adds an explicit breach-notification commitment (CNPD within 72 hours per Art. 33, affected users without undue delay where high-risk per Art. 34). §2.2 localStorage clarified: localStorage is browser-local storage, not a cookie, and transmits no data to Verdaio. §11 rewritten: minor editorial changes continue to apply under passive acceptance; material changes (new lawful basis, new purpose, new recipient category, new category of personal data) will be announced with prominent notice before taking effect, and where the change affects processing that relies on consent, renewed affirmative consent will be requested. No new core data categories introduced beyond what was already being processed internally; this version discloses it.
1.10	14 April 2026	Stripe sub-processor description made more precise: Stripe Payments Europe, Limited (Dublin, Ireland) is named as primary contracting processor (EU, no international transfer at that layer), with Stripe, LLC (United States) identified as the affiliated sub-processor for shared platform, fraud, and risk infrastructure. Transfer mechanism for the US leg updated to the double Chapter V mechanism actually used, Standard Contractual Clauses (SCCs) and EU–US Data Privacy Framework (DPF, Stripe, LLC self-certified). No new data, no new purpose, no new processor, clarifies existing flows for accuracy.
1.8	13 April 2026	Data minimisation (GDPR Art. 5(1)(c)): stopped capturing IP address at account registration. Purged existing `ip_at_registration` metadata from all user records. Clarified §2.3 to distinguish analytics (Plausible, IP-free) from server access logs (AWS CloudFront, IP retained 90 days for security under legitimate interest / Recital 49). Clarified that Verdaio does not retain IP addresses in user profiles, subscription records, or consent records.
1.7	12 April 2026	Migrated transactional email from Resend (United States) to Sendinblue SAS (Brevo, France). Email notification processing now happens entirely within the EU (France, Germany, and Google Cloud Platform Belgium). Removed Resend from sub-processors and from international transfer safeguards. Updated retention note for email logs (Brevo, 100 days, EU infrastructure). Clarified that the email service receives only the recipient address and download link; the report content itself is never transmitted through the email service.
1.6	11 April 2026	Clarified that AI processing uses the Claude model via Amazon Bedrock hosted in AWS eu-west-1 (Ireland), with explicit confirmation that data does not leave the EU. Updated cookie disclosure to reflect cookieless analytics.
1.5	10 April 2026	Migrated AI processing from Anthropic Direct API (US) to Amazon Bedrock (AWS eu-west-1, Ireland). Data no longer leaves the EU for AI processing. Removed Anthropic as direct sub-processor; AI processing now covered by AWS DPA. Updated data retention to reflect that Bedrock does not retain input/output data.
1.4	10 April 2026	Replaced Google Analytics 4 with Plausible Analytics (EU-hosted, no cookies, no personal data). Removed Google LLC as sub-processor. Simplified analytics legal basis.
1.3	6 April 2026	Clarified data collection: distinguished between stored data (account, completion records) and pass-through data (assessment inputs, company profile) that is processed but not retained. Added Google Analytics as sub-processor. Updated Anthropic retention to 30 days. Corrected Supabase data description. Updated retention periods.
1.2	29 March 2026	Replaced Netlify with AWS (S3, CloudFront, Lambda, eu-west-1 Ireland) as infrastructure provider. Removed Usercentrics CMP (no longer used). Updated cookie disclosures.
1.1	21 March 2026	Added Stripe and InvoiceXpress as sub-processors. Corrected Supabase region to Zurich (Switzerland). Added self-serve account deletion.
1.0	January 2026	Initial policy published.

12. Contact Us

For any privacy-related questions, requests, or complaints:

Verdaio, Data Privacy
Email: privacy@verdaio.ai
Website: verdaio.ai

If you are not satisfied with our response, you have the right to lodge a complaint with your national supervisory authority. In Portugal, this is the Comissão Nacional de Proteção de Dados (CNPD) at cnpd.pt.

Resumo: A Verdaio recolhe apenas os dados necessários para prestar os nossos serviços de conformidade. Não vendemos os seus dados. Utilizamos infraestrutura AWS alojada na UE. Pode solicitar a eliminação dos seus dados a qualquer momento para privacy@verdaio.ai.

1. Responsável pelo Tratamento de Dados

O responsável pelo tratamento dos seus dados pessoais é:

Pragmatic Vibe - Unipessoal Lda (que opera a marca "Verdaio")
NIPC: 519377257
R. Hermano Neves 18, Piso 3, Escritório 7, V6039
1600-477 Lisboa, Portugal
Email: privacy@verdaio.ai
Website: verdaio.ai

Quando esta política se refere à "Verdaio", "nós" ou "nos", designa a Pragmatic Vibe - Unipessoal Lda, na qualidade de responsável pelo tratamento dos dados pessoais recolhidos através do nosso website e ferramentas.

2. Dados que Recolhemos

Recolhemos as seguintes categorias de dados pessoais:

2.1 Dados armazenados na sua conta

Dados	Armazenados onde	Finalidade
Endereço de email e palavra-passe	Supabase (conta)	Autenticação e entrega de relatórios
Registos de conclusão de avaliações (nome da ferramenta, data)	Supabase	Controlo de utilização e limitação de taxa
Registos de relatórios gerados por IA (identificador da ferramenta, ID do trabalho, estado, saída estruturada do relatório)	Supabase	Registo interno da prestação do serviço para fins de auditoria e responsabilização (Art. 5.º(2) do RGPD, monitorização pós-mercado ao abrigo da Lei IA). Não é disponibilizado aos utilizadores como funcionalidade de reacesso. Retenção de 3 anos desde a geração, ou até à eliminação da conta (o que ocorrer primeiro).
Feedback sobre relatórios (ferramenta, tipo de questão, descrição em texto livre)	Supabase	Supervisão humana no âmbito da Lei IA e monitorização da qualidade do produto; retenção de 3 anos
Registos de subscrição ou compra	Supabase	Controlo de acesso e histórico de faturação
Lista de espera de pré-lançamento (endereço de email, preferência de idioma, origem)	Supabase	Notificá-lo quando o registo de contas for aberto; mantido até ao lançamento ou até que solicite a sua eliminação
Nome da empresa, NIF/NIPC, morada de faturação	Stripe e InvoiceXpress apenas	Processamento de pagamentos e geração de faturas. Não armazenados pela Verdaio.

2.2 Dados processados mas não armazenados

Os seguintes dados são fornecidos por si durante as avaliações. São enviados ao nosso motor de IA (modelo Claude através do Amazon Bedrock, alojado em AWS eu-west-1, Irlanda) em tempo real para gerar o seu relatório e imediatamente descartados. A Verdaio não armazena estes dados nos seus servidores, e os dados não saem da UE.

Dados	Finalidade
Nome da empresa, setor, dimensão, volume de negócios, países de operação	Para gerar uma análise de IA relevante e específica para o setor
Respostas aos questionários de avaliação	Para calcular o seu perfil de conformidade e gerar recomendações

O perfil da sua empresa é guardado localmente no seu navegador (localStorage) para conveniência ao utilizar múltiplas ferramentas. O localStorage é armazenamento local do navegador no seu dispositivo e não é um cookie; não transmite quaisquer dados à Verdaio. Estes dados nunca saem do seu dispositivo a menos que submeta uma avaliação.

2.3 Dados recolhidos automaticamente

Analítica. Quando visita o nosso website, recolhemos dados de utilização anónimos e agregados através do Plausible Analytics (alojado na UE, sem cookies, sem dados pessoais). Isto inclui visualizações de páginas, tempo de interação por página (apenas tempo de foco ativo, sem perfis individuais de visitante), fontes de referência, país, tipo de dispositivo, navegador, cliques em ligações externas, descarregamentos de ficheiros e eventos de submissão de formulários. O Plausible não armazena nem transmite endereços IP. Nenhum visitante individual pode ser identificado através da nossa analítica.

Logs de acesso do servidor. Não retemos deliberadamente logs de acesso do CloudFront. O seu endereço IP, URL, user-agent e outros metadados de pedido não são capturados no edge da nossa CDN. Se surgir necessidade operacional no futuro, reativaremos o registo ao abrigo de um fundamento jurídico documentado e atualizaremos esta secção antes de o fazer.

3. Como Utilizamos os Seus Dados

Utilizamos os seus dados pessoais para as seguintes finalidades:

Para prestar o serviço: Processar as suas respostas através do nosso motor de IA para gerar uma análise de conformidade personalizada e enviar um link seguro de download para o seu endereço de email.
Para melhorar as nossas ferramentas: Analisar padrões de avaliação agregados e anonimizados para melhorar a qualidade e precisão da nossa análise de conformidade. As respostas individuais nunca são partilhadas externamente de forma identificável.
Para cumprir obrigações legais: Conservar registos conforme exigido pela legislação aplicável.

Não utilizamos os seus dados para decisões automatizadas que produzam efeitos jurídicos ou impactos igualmente significativos sem revisão humana.

4. Base Jurídica do Tratamento

Ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD), baseamo-nos nas seguintes bases jurídicas:

Atividade de tratamento	Base jurídica (Art. 6.º do RGPD)
Geração e entrega do seu relatório de avaliação	Execução de contrato / diligências pré-contratuais (Art. 6.º, n.º 1, al. b))
Envio do link de download do relatório por email	Execução de contrato / diligências pré-contratuais (Art. 6.º, n.º 1, al. b))
Registo de conclusões de avaliação (nome da ferramenta, data) para controlo de utilização	Interesses legítimos (Art. 6.º, n.º 1, al. f)), temos um interesse legítimo em gerir a utilização do serviço e prevenir abusos
Analítica web (Plausible Analytics, dados agregados anónimos)	Interesses legítimos (Art. 6.º, n.º 1, al. f)) - melhoria da qualidade do serviço. Nenhum dado pessoal tratado, consentimento não necessário.

5. Subcontratantes

Partilhamos dados com os seguintes prestadores de serviços terceiros que tratam dados em nosso nome ao abrigo de Acordos de Tratamento de Dados adequados:

Subcontratante	Finalidade	Dados partilhados	Localização
Amazon Web Services EMEA SARL	Alojamento do website (S3 + CloudFront), execução de funções serverless (Lambda) e encaminhamento de API (API Gateway)	Todos os dados que transitam pela plataforma	AWS eu-west-1 (Irlanda)
Amazon Web Services EMEA SARL (Amazon Bedrock)	Geração de análises por IA (modelo Claude via Amazon Bedrock)	Perfil da empresa e inputs de avaliação (processados em tempo real, não armazenados)	AWS eu-west-1 (Irlanda). Os dados nunca saem da UE. O Amazon Bedrock não retém dados de entrada nem de saída. O modelo de IA (Claude da Anthropic) é alojado na infraestrutura AWS; a Anthropic não recebe nem acede aos dados. Coberto pelo Adendo de Tratamento de Dados da AWS. Os inputs de avaliação consistem em dados empresariais ao nível da empresa (nome, setor, dimensão, respostas) e não contêm dados pessoais de pessoas singulares.
Sendinblue SAS (Brevo)	Entrega de email transacional	Endereço de email, nome do destinatário, link de download do relatório (conteúdo do relatório não é anexado)	França. Dados armazenados em servidores próprios em França e Alemanha, mais Google Cloud Platform na Bélgica (UE). Entidade contratante é a Sendinblue SAS (Paris, França), sob supervisão da CNIL francesa.
Supabase, Inc.	Base de dados e autenticação	Email, palavra-passe com hash, registos de conclusão de avaliação (nome da ferramenta, data), estado da subscrição	AWS eu-central-2 (Zurique, Suíça), A Suíça tem estatuto de adequação da UE
Stripe Payments Europe, Limited	Processamento de pagamentos, subcontratante contratual primário (UE)	Nome, email, morada de faturação, NIF/NIPC, dados do método de pagamento	Dublin, Irlanda (UE), sem transferência internacional nesta camada
Stripe, LLC (afiliada da Stripe Payments Europe)	Infraestrutura partilhada de plataforma, deteção de fraude e gestão de risco da rede de pagamentos	Mesmas categorias que acima, partilhadas pela entidade europeia da Stripe com a sua afiliada nos EUA no âmbito do mesmo serviço de processamento de pagamentos	Estados Unidos, Cláusulas Contratuais-Tipo (CCT) e EU–US Data Privacy Framework (DPF, auto-certificação)
Google LLC (Google Workspace)	Alojamento de email para as caixas de entrada do responsável pelo tratamento da Verdaio (endereços @verdaio.ai, por exemplo privacy@, support@, legal@, contact@)	Metadados e conteúdo de email enviados para os endereços do responsável pelo tratamento da Verdaio por si ou por contrapartes que consigo correspondam, incluindo quaisquer dados pessoais contidos nos corpos das mensagens ou anexos (por exemplo, conteúdo de pedidos de titulares de dados e cópias de identificação)	Estados Unidos. Cláusulas Contratuais-Tipo (CCT) e EU–US Data Privacy Framework (DPF, auto-certificação). Adenda de Tratamento de Dados do Google Workspace aceite automaticamente através dos termos do Google Workspace.
InvoiceXpress (Invoicing)	Geração e entrega de faturas	Nome, email, morada de faturação, NIF/NIPC, valor da compra	Portugal (UE)
Plausible Analytics (Plausible Insights OÜ)	Analítica web anónima	Visualizações de páginas agregadas, fontes de referência, país, tipo de dispositivo. Sem dados pessoais, sem endereços IP.	UE (Estónia). Nenhum dado pessoal tratado. Política de privacidade: plausible.io/data-policy

Não vendemos, arrendamos nem partilhamos os seus dados pessoais com terceiros para fins de marketing próprio.

Para clientes empresariais que necessitem de um Acordo de Tratamento de Dados formal, visite a nossa página de DPA para consultar a nossa cobertura e solicitar o acordo completo.

Mantemos um Registo completo de Atividades de Tratamento (ROPA) ao abrigo do Art. 30.º, n.º 1 do RGPD. O ROPA é um documento interno de prestação de contas, disponível à autoridade de controlo (CNPD) e a clientes qualificados, mediante pedido por email para privacy@verdaio.ai.

6. Transferências Internacionais de Dados

Os seus dados são tratados principalmente no Espaço Económico Europeu (EEE). Quando os dados são transferidos para subcontratantes fora do EEE, baseamo-nos nas seguintes salvaguardas:

Stripe: O seu subcontratante contratual é a Stripe Payments Europe, Limited (Dublin, Irlanda), pelo que o ponto de entrada e o processamento primário dos dados ocorrem na UE. No âmbito da rede de pagamentos da Stripe, alguns dados pessoais são partilhados com a Stripe, LLC nos Estados Unidos para operações de plataforma, fraude e risco. Essa transferência para os EUA é coberta por um duplo mecanismo do Capítulo V do RGPD: Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia e o EU–US Data Privacy Framework (DPF), a Stripe, LLC está auto-certificada ao abrigo do DPF. Qualquer um dos mecanismos, isoladamente, constitui base legal válida; a Stripe utiliza ambos, numa lógica de defesa em profundidade.
Google Workspace: A Google LLC (Estados Unidos) aloja as caixas de entrada do responsável pelo tratamento da Verdaio (endereços @verdaio.ai). Quando nos envia um email, o conteúdo da sua mensagem é tratado nos Estados Unidos pela Google. Esta transferência é coberta pelo mesmo duplo mecanismo do Capítulo V: as Cláusulas Contratuais-Tipo incluídas na Adenda de Tratamento de Dados da Google (aceite automaticamente através dos termos do Google Workspace) e o EU–US Data Privacy Framework, ao abrigo do qual a Google LLC está auto-certificada.

O processamento de IA (Amazon Bedrock) ocorre inteiramente na UE (AWS eu-west-1, Irlanda) e não envolve qualquer transferência internacional de dados.

O email transacional (Sendinblue SAS, Brevo) é processado inteiramente na UE (França, Alemanha e Google Cloud Platform Bélgica) e não envolve qualquer transferência internacional de dados.

7. Conservação de Dados

Conservamos os dados pessoais apenas durante o tempo necessário para as finalidades descritas nesta política:

Dados de conta (email, palavra-passe): conservados até que elimine a sua conta.
Registos de conclusão de avaliação (nome da ferramenta, data): conservados por um máximo de 3 anos, ou até que solicite a eliminação.
Registos de subscrição e compra: conservados durante a vigência da sua conta, ou conforme exigido pela legislação fiscal portuguesa (mínimo de 10 anos para faturas, conservadas pelo InvoiceXpress).
Inputs de avaliação (perfil da empresa, respostas a questionários): não armazenados. Processados em tempo real e descartados após a geração do relatório.
Relatórios gerados por IA: armazenados temporariamente em armazenamento encriptado (AWS S3, eu-west-1) por um máximo de 48 horas para permitir o download, sendo depois automaticamente eliminados.
Registos de notificação por email: conservados pela Brevo (Sendinblue SAS) por um máximo de 100 dias em infraestrutura da UE. A Brevo recebe apenas o endereço de email do destinatário, o link de download e metadados da mensagem. O conteúdo do relatório nunca é transmitido através do serviço de email.
Dados de análise do website: métricas agregadas e anonimizadas do site são conservadas indefinidamente pelo Plausible; não são recolhidos dados ao nível individual (sem cookies, sem endereços IP, sem identificadores entre sessões).

Pode solicitar a eliminação dos seus dados a qualquer momento. Consulte a Secção 8 para saber como exercer este direito.

8. Os Seus Direitos ao Abrigo do RGPD

Enquanto titular dos dados ao abrigo do RGPD, tem os seguintes direitos:

Direito de acesso, solicitar uma cópia dos dados pessoais que conservamos sobre si.
Direito de retificação, solicitar a correção de dados inexatos ou incompletos.
Direito ao apagamento, solicitar a eliminação dos seus dados pessoais ("direito a ser esquecido").
Direito à limitação do tratamento, solicitar que limitemos o tratamento dos seus dados em determinadas circunstâncias.
Direito à portabilidade dos dados, receber os seus dados num formato estruturado e legível por máquina.
Direito de oposição, opor-se ao tratamento baseado em interesses legítimos.
Direito de retirar o consentimento, quando o tratamento é baseado no consentimento, retirá-lo a qualquer momento sem afetar a licitude do tratamento anterior.

Para exercer qualquer um destes direitos, contacte-nos em privacy@verdaio.ai. Responderemos no prazo de 30 dias. Tem também o direito de apresentar uma reclamação à autoridade de controlo nacional. Em Portugal, trata-se da Comissão Nacional de Proteção de Dados (CNPD) em cnpd.pt.

Violações de dados pessoais. Em caso de violação de dados pessoais suscetível de implicar um risco para os seus direitos e liberdades, notificaremos a CNPD no prazo de 72 horas após tomarmos conhecimento da violação, em conformidade com o Art. 33.º do RGPD. Se a violação for suscetível de implicar um risco elevado, notificaremos também os utilizadores afetados sem demora injustificada, em conformidade com o Art. 34.º do RGPD. O nosso procedimento interno de resposta a incidentes está documentado num runbook mantido no nosso pack de conformidade.

9. Cookies

A Verdaio não utiliza cookies de rastreio, publicidade ou marketing. O nosso fornecedor de analítica (Plausible) opera inteiramente sem cookies. Para informações completas, consulte a nossa Política de Cookies.

10. Menores

Os nossos serviços destinam-se a empresas e profissionais. Não recolhemos conscientemente dados pessoais de pessoas com menos de 16 anos. Se acreditar que recolhemos inadvertidamente tais dados, contacte-nos em privacy@verdaio.ai e procederemos à sua eliminação com brevidade.

11. Alterações a Esta Política

Poderemos atualizar esta Política de Privacidade periodicamente.

Para alterações editoriais menores (clarificações, correções tipográficas, atualizações ao histórico de versões), a utilização contínua dos nossos serviços após a publicação das alterações constitui aceitação da política atualizada.

Para alterações materiais (introdução de um novo fundamento jurídico, um novo propósito, uma nova categoria de destinatários, ou uma nova categoria de dados pessoais), forneceremos aviso prévio proeminente antes de a alteração entrar em vigor. Nos casos em que a alteração afete o tratamento que depende do seu consentimento, solicitaremos renovado consentimento afirmativo antes de continuar esse tratamento.

Encorajamos a revisão periódica desta política. A data "Última atualização" no topo desta página reflete a revisão mais recente.

Histórico de versões

Versão	Data	Alterações
1.12	5 de maio de 2026	Clarificação do âmbito da analítica já existente, sem nova atividade de tratamento. §2.3 "Analítica" enumeração alargada para refletir o pacote Plausible efetivamente em produção (`pa-nghaVkCvLQNoccyAqUOUe.js`, 6.187 bytes, inspecionado em 2026-05-05): tempo de interação por página (apenas tempo de foco ativo, sem perfis individuais de visitante), cliques em ligações externas, descarregamentos de ficheiros e eventos de submissão de formulários. Mesmo subcontratante (Plausible Insights OÜ, UE/Estónia), mesmo fundamento jurídico (Art. 6.º, n.º 1, alínea f) interesse legítimo), mesmos titulares de dados, mesma conservação, mesmo perfil de transferências (nenhuma). Sem cookies, sem dados pessoais, sem fingerprinting, as quatro extensões são contadores comportamentais baseados em ouvintes de eventos, processados em agregado pelo Plausible. Este incremento documenta o que já era recolhido; sem alteração ao tratamento subjacente.
1.11	18 de abril de 2026	Correções de Verificação de Realidade Legal (Legal Reality Check) para alinhar esta política com o sistema efetivamente em produção. §2.1 alargado com linhas para a tabela Supabase `jobs` (registos de relatórios gerados por IA, conservados 3 anos para fins de auditoria e responsabilização, não disponibilizados para reacesso pelos utilizadores), `report_feedback` (feedback dos utilizadores para monitorização pós-mercado ao abrigo da Lei IA, 3 anos) e `waitlist` (notificação de pré-lançamento de registo de contas). §2.3 "Logs de acesso do servidor" reescrita: o registo padrão do CloudFront está desativado deliberadamente desde 2026-04-10 (minimização de dados); não são capturados IP, URL, user-agent ou referer no edge da CDN. §5 acrescenta a Google LLC (Google Workspace) como alojamento das caixas de entrada do responsável pelo tratamento (email @verdaio.ai); cobre correspondência recebida incluindo pedidos de titulares de dados e correspondência jurídica; EUA, CCT + EU–US DPF duplo mecanismo. §6 alargado para descrever o mecanismo de transferência do Google Workspace. §7 conservação: conservação das estatísticas de analítica corrigida de "26 meses" (resquício GA4, impreciso desde a migração para o Plausible) para "agregadas indefinidamente pelo Plausible; sem recolha ao nível individual". §8 acrescenta um compromisso explícito de notificação de violação (CNPD no prazo de 72 horas ao abrigo do Art. 33.º, utilizadores afetados sem demora injustificada em caso de risco elevado ao abrigo do Art. 34.º). §2.2 localStorage clarificado: o localStorage é armazenamento local do navegador, não é um cookie, e não transmite dados à Verdaio. §11 reescrita: alterações editoriais menores continuam sob aceitação passiva; alterações materiais (novo fundamento jurídico, novo propósito, nova categoria de destinatários, nova categoria de dados pessoais) serão anunciadas com aviso prévio proeminente antes de entrarem em vigor, e nos casos em que a alteração afete o tratamento baseado no consentimento, será solicitado renovado consentimento afirmativo. Sem introdução de novas categorias de dados essenciais para além do que já era tratado internamente; esta versão passa a divulgá-lo.
1.10	14 de abril de 2026	Descrição do subcontratante Stripe tornada mais precisa: a Stripe Payments Europe, Limited (Dublin, Irlanda) é identificada como subcontratante contratual primário (UE, sem transferência internacional nesta camada), com a Stripe, LLC (Estados Unidos) identificada como afiliada subcontratante para infraestrutura partilhada de plataforma, fraude e risco. O mecanismo de transferência aplicável à perna norte-americana é atualizado para o duplo mecanismo do Capítulo V do RGPD efetivamente utilizado, Cláusulas Contratuais-Tipo (CCT) e EU–US Data Privacy Framework (DPF, auto-certificação da Stripe, LLC). Sem novos dados, sem nova finalidade, sem novo subcontratante, clarificação de fluxos já existentes para maior rigor.
1.8	13 de abril de 2026	Minimização de dados (Art. 5.º(1)(c) do RGPD): deixou de ser recolhido o endereço IP no registo de conta. Purgados os metadados `ip_at_registration` de todos os registos de utilizador existentes. Clarificada a Secção 2.3 para distinguir a analítica (Plausible, sem IP) dos logs de acesso do servidor (AWS CloudFront, IP retido 90 dias por motivos de segurança ao abrigo do interesse legítimo / Considerando 49). Clarificado que a Verdaio não retém endereços IP em perfis de utilizador, registos de subscrição ou registos de consentimento.
1.7	12 de abril de 2026	Migrado o email transacional da Resend (Estados Unidos) para a Sendinblue SAS (Brevo, França). O processamento de notificações por email passa agora a decorrer inteiramente na UE (França, Alemanha e Google Cloud Platform Bélgica). Removida a Resend dos subcontratantes e das salvaguardas de transferência internacional. Atualizada a nota de conservação para registos de email (Brevo, 100 dias, infraestrutura UE). Clarificado que o serviço de email recebe apenas o endereço do destinatário e o link de download; o conteúdo do relatório nunca é transmitido através do serviço de email.
1.6	11 de abril de 2026	Clarificado que o processamento de IA utiliza o modelo Claude através do Amazon Bedrock alojado em AWS eu-west-1 (Irlanda), com confirmação explícita de que os dados não saem da UE. Atualizada divulgação de cookies para refletir analítica sem cookies.
1.5	10 de abril de 2026	Migrado processamento de IA da API direta da Anthropic (EUA) para Amazon Bedrock (AWS eu-west-1, Irlanda). Os dados deixam de sair da UE para processamento de IA. Removida Anthropic como subcontratante direto; processamento de IA agora coberto pelo DPA da AWS. Atualizada retenção de dados para refletir que o Bedrock não retém dados de entrada/saída.
1.4	10 de abril de 2026	Substituído Google Analytics 4 por Plausible Analytics (alojado na UE, sem cookies, sem dados pessoais). Removido Google LLC como subcontratante. Simplificada base jurídica de analítica.
1.3	6 de abril de 2026	Clarificação da recolha de dados: distinção entre dados armazenados (conta, registos de conclusão) e dados transitórios (inputs de avaliação, perfil da empresa) que são processados mas não conservados. Adicionado Google Analytics como subcontratante. Atualizada retenção da Anthropic para 30 dias. Corrigida descrição dos dados na Supabase. Atualizados períodos de conservação.
1.2	29 de março de 2026	Substituição da Netlify pela AWS (S3, CloudFront, Lambda, eu-west-1 Irlanda) como fornecedor de infraestrutura. Removida referência à Usercentrics CMP (já não utilizada). Atualização das divulgações de cookies.
1.1	21 de março de 2026	Adicionados Stripe e InvoiceXpress como subcontratantes. Região da Supabase corrigida para Zurique (Suíça). Adicionada eliminação de conta self-service.
1.0	Janeiro de 2026	Política inicial publicada.

12. Contacto

Para questões, pedidos ou reclamações relacionadas com a privacidade:

Verdaio, Proteção de Dados
Email: privacy@verdaio.ai
Website: verdaio.ai

Se não estiver satisfeito com a nossa resposta, tem o direito de apresentar uma reclamação junto da autoridade de supervisão competente. Em Portugal, trata-se da Comissão Nacional de Proteção de Dados (CNPD) em cnpd.pt.