Summary: Verdaio collects only what is necessary to deliver our compliance tools. We do not sell your data. We use AWS-hosted infrastructure within the EU. You may request deletion of your data at any time by emailing privacy@verdaio.ai.
1. Data Controller
The data controller responsible for your personal data is:
Verdaio
Pedro Alfama
NIF: 231972016
R. Hermano Neves 18, Piso 3, Escritório 7, V6039
1600-477 Lisboa, Portugal
Email: privacy@verdaio.ai
Website: verdaio.ai
When this policy refers to "Verdaio", "we", "us", or "our", it means the entity above acting as data controller for personal data collected through our website and tools.
2. Data We Collect
We collect the following categories of personal data:
2.1 Data stored in your account
| Data |
Stored where |
Purpose |
| Email address and password |
Supabase (account) |
Account authentication and report delivery |
| Assessment completion records (tool name, date) |
Supabase |
Usage tracking and rate limiting |
| Subscription or purchase records |
Supabase |
Access control and billing history |
| Company name, VAT number, billing address |
Stripe and InvoiceXpress only |
Payment processing and invoice generation. Not stored by Verdaio. |
2.2 Data processed but not stored
The following data is provided by you during assessments. It is sent to our AI engine (Claude API) in real time to generate your report, then immediately discarded. Verdaio does not store this data on its servers.
| Data |
Purpose |
| Company name, sector, size, revenue, countries of operation |
To generate a relevant, sector-specific AI analysis |
| Assessment questionnaire responses |
To calculate your compliance profile and generate recommendations |
Your company profile is saved locally in your browser (localStorage) for convenience when using multiple tools. This data never leaves your device unless you submit an assessment.
2.3 Data collected automatically
When you visit our website, we may automatically collect technical data including your IP address (anonymised), browser type, operating system, referring URLs, and pages visited. This data is collected via Google Analytics 4 in cookieless mode, as described in Section 5.
3. How We Use Your Data
We use your personal data for the following purposes:
- To deliver the service: Processing your assessment inputs through our AI engine to generate a personalised compliance analysis and sending a secure download link to your email address.
- To improve our tools: Analysing aggregated, anonymised assessment patterns to improve the quality and accuracy of our compliance analysis. Individual responses are never shared externally in identifiable form.
- To comply with legal obligations: Retaining records as required by applicable law.
We do not use your data for automated decision-making that produces legal effects or similarly significant impacts without human review.
4. Legal Basis for Processing
Under the General Data Protection Regulation (GDPR), we rely on the following legal bases:
| Processing activity |
Legal basis (GDPR Art. 6) |
| Generating and delivering your assessment report |
Performance of a contract / pre-contractual steps (Art. 6(1)(b)) |
| Sending your report download link by email |
Performance of a contract / pre-contractual steps (Art. 6(1)(b)) |
| Recording assessment completions (tool name, date) for usage tracking |
Legitimate interests (Art. 6(1)(f)) — we have a legitimate interest in managing service usage and preventing abuse |
| Analytics and website usage data |
Legitimate interests (Art. 6(1)(f)) / Consent (Art. 6(1)(a)) where cookies require it |
5. Third-Party Processors
We share data with the following third-party service providers who process data on our behalf under appropriate Data Processing Agreements:
| Processor |
Purpose |
Data shared |
Location |
| Amazon Web Services EMEA SARL |
Website hosting (S3 + CloudFront), serverless function execution (Lambda), and API routing (API Gateway) |
All data transiting the platform |
AWS eu-west-1 (Ireland) |
| Anthropic, PBC |
AI-powered analysis generation (Claude API) |
Company profile and assessment inputs (processed in real time, not stored by Verdaio) |
United States — Anthropic processes assessment inputs as a data processor under its Data Processing Addendum with EU Standard Contractual Clauses, incorporated into their Commercial Terms of Service. API inputs are not used for model training and are deleted within 30 days. Assessment inputs consist of company-level business data (company name, sector, size, assessment responses) and do not contain personal data of natural persons. |
| Resend, Inc. |
Transactional email delivery |
Email address, recipient name (no report content) |
AWS (EU region available) |
| Supabase, Inc. |
Database and authentication |
Email, hashed password, assessment completion records (tool name, date), subscription status |
AWS eu-central-2 (Zurich, Switzerland) — Switzerland has EU adequacy status |
| Stripe, Inc. |
Payment processing |
Name, email, billing address, VAT number, payment method details |
United States — Standard Contractual Clauses (SCCs) |
| InvoiceXpress (Invoicing) |
Invoice generation and delivery |
Name, email, billing address, VAT number, purchase amount |
Portugal (EU) |
| Google LLC |
Website analytics (Google Analytics 4, cookieless mode) |
Anonymised usage data, IP address (anonymised) |
United States — Standard Contractual Clauses (SCCs) |
We do not sell, rent, or share your personal data with any third party for their own marketing purposes.
For enterprise customers requiring a formal Data Processing Agreement, please visit our DPA page to review our coverage and request the full agreement.
6. International Data Transfers
Your data is primarily processed within the European Economic Area (EEA). Where data is transferred to processors outside the EEA, we rely on the following safeguards:
- Stripe, Resend, Google (United States): Standard Contractual Clauses (SCCs) approved by the European Commission.
- Anthropic (United States): Anthropic processes assessment inputs as a data processor under its Data Processing Addendum with EU Standard Contractual Clauses. API inputs are not used for model training and are deleted within 30 days. Assessment inputs consist of company-level business data and do not contain personal data of natural persons.
7. Data Retention
We retain personal data only for as long as necessary for the purposes described in this policy:
- Account data (email, password): retained until you delete your account.
- Assessment completion records (tool name, date): retained for up to 3 years, or until you request deletion.
- Subscription and purchase records: retained for the duration of your account, or as required by Portuguese tax law (minimum 10 years for invoices, held by InvoiceXpress).
- Assessment inputs (company profile, questionnaire responses): not stored. Processed in real time and discarded after report generation.
- AI-generated reports: stored temporarily in encrypted storage (AWS S3, eu-west-1) for up to 48 hours to enable download, then automatically deleted.
- Email notification logs: retained by Resend for up to 30 days. Resend does not receive or store report content.
- Website analytics data: retained in aggregated, anonymised form for up to 26 months.
You may request deletion of your data at any time. See Section 8 for how to exercise this right.
8. Your Rights Under GDPR
As a data subject under GDPR, you have the following rights:
- Right of access — request a copy of the personal data we hold about you.
- Right to rectification — request correction of inaccurate or incomplete data.
- Right to erasure — request deletion of your personal data ("right to be forgotten").
- Right to restriction — request that we restrict processing of your data in certain circumstances.
- Right to data portability — receive your data in a structured, machine-readable format.
- Right to object — object to processing based on legitimate interests.
- Right to withdraw consent — where processing is based on consent, withdraw it at any time without affecting the lawfulness of prior processing.
To exercise any of these rights, contact us at privacy@verdaio.ai. We will respond within 30 days. You also have the right to lodge a complaint with your national data protection authority.
9. Cookies
We use cookies and similar tracking technologies on our website. For full details of the cookies we use, their purpose, and how to manage your preferences, please see our Cookie Policy.
10. Minors
Our services are directed at businesses and professionals. We do not knowingly collect personal data from individuals under the age of 16. If you believe we have inadvertently collected such data, please contact us at privacy@verdaio.ai and we will delete it promptly.
11. Changes to This Policy
We may update this Privacy Policy from time to time. When we make material changes, we will update the "Last updated" date at the top of this page. We encourage you to review this policy periodically.
Continued use of our services after changes are posted constitutes acceptance of the updated policy.
Version history
| Version |
Date |
Changes |
| 1.3 |
6 April 2026 |
Clarified data collection: distinguished between stored data (account, completion records) and pass-through data (assessment inputs, company profile) that is processed but not retained. Added Google Analytics as sub-processor. Updated Anthropic retention to 30 days. Corrected Supabase data description. Updated retention periods. |
| 1.2 |
29 March 2026 |
Replaced Netlify with AWS (S3, CloudFront, Lambda, eu-west-1 Ireland) as infrastructure provider. Removed Usercentrics CMP (no longer used). Updated cookie disclosures. |
| 1.1 |
21 March 2026 |
Added Stripe and InvoiceXpress as sub-processors. Corrected Supabase region to Zurich (Switzerland). Added self-serve account deletion. |
| 1.0 |
January 2026 |
Initial policy published. |
Resumo: A Verdaio recolhe apenas os dados necessários para prestar os nossos serviços de conformidade. Não vendemos os seus dados. Utilizamos infraestrutura AWS alojada na UE. Pode solicitar a eliminação dos seus dados a qualquer momento para privacy@verdaio.ai.
1. Responsável pelo Tratamento de Dados
O responsável pelo tratamento dos seus dados pessoais é:
Verdaio
Pedro Alfama
NIF: 231972016
R. Hermano Neves 18, Piso 3, Escritório 7, V6039
1600-477 Lisboa, Portugal
Email: privacy@verdaio.ai
Website: verdaio.ai
Quando esta política se refere à "Verdaio", "nós" ou "nos", designa a entidade acima indicada, na qualidade de responsável pelo tratamento dos dados pessoais recolhidos através do nosso website e ferramentas.
2. Dados que Recolhemos
Recolhemos as seguintes categorias de dados pessoais:
2.1 Dados armazenados na sua conta
| Dados |
Armazenados onde |
Finalidade |
| Endereço de email e palavra-passe |
Supabase (conta) |
Autenticação e entrega de relatórios |
| Registos de conclusão de avaliações (nome da ferramenta, data) |
Supabase |
Controlo de utilização e limitação de taxa |
| Registos de subscrição ou compra |
Supabase |
Controlo de acesso e histórico de faturação |
| Nome da empresa, NIF/NIPC, morada de faturação |
Stripe e InvoiceXpress apenas |
Processamento de pagamentos e geração de faturas. Não armazenados pela Verdaio. |
2.2 Dados processados mas não armazenados
Os seguintes dados são fornecidos por si durante as avaliações. São enviados ao nosso motor de IA (Claude API) em tempo real para gerar o seu relatório e imediatamente descartados. A Verdaio não armazena estes dados nos seus servidores.
| Dados |
Finalidade |
| Nome da empresa, setor, dimensão, volume de negócios, países de operação |
Para gerar uma análise de IA relevante e específica para o setor |
| Respostas aos questionários de avaliação |
Para calcular o seu perfil de conformidade e gerar recomendações |
O perfil da sua empresa é guardado localmente no seu navegador (localStorage) para conveniência ao utilizar múltiplas ferramentas. Estes dados nunca saem do seu dispositivo a menos que submeta uma avaliação.
2.3 Dados recolhidos automaticamente
Quando visita o nosso website, podemos recolher automaticamente dados técnicos, incluindo o seu endereço IP (anonimizado), tipo de navegador, sistema operativo, URLs de referência e páginas visitadas. Estes dados são recolhidos através do Google Analytics 4 em modo cookieless, conforme descrito na Secção 5.
3. Como Utilizamos os Seus Dados
Utilizamos os seus dados pessoais para as seguintes finalidades:
- Para prestar o serviço: Processar as suas respostas através do nosso motor de IA para gerar uma análise de conformidade personalizada e enviar um link seguro de download para o seu endereço de email.
- Para melhorar as nossas ferramentas: Analisar padrões de avaliação agregados e anonimizados para melhorar a qualidade e precisão da nossa análise de conformidade. As respostas individuais nunca são partilhadas externamente de forma identificável.
- Para cumprir obrigações legais: Conservar registos conforme exigido pela legislação aplicável.
Não utilizamos os seus dados para decisões automatizadas que produzam efeitos jurídicos ou impactos igualmente significativos sem revisão humana.
4. Base Jurídica do Tratamento
Ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD), baseamo-nos nas seguintes bases jurídicas:
| Atividade de tratamento |
Base jurídica (Art. 6.º do RGPD) |
| Geração e entrega do seu relatório de avaliação |
Execução de contrato / diligências pré-contratuais (Art. 6.º, n.º 1, al. b)) |
| Envio do link de download do relatório por email |
Execução de contrato / diligências pré-contratuais (Art. 6.º, n.º 1, al. b)) |
| Registo de conclusões de avaliação (nome da ferramenta, data) para controlo de utilização |
Interesses legítimos (Art. 6.º, n.º 1, al. f)) — temos um interesse legítimo em gerir a utilização do serviço e prevenir abusos |
| Análise e dados de utilização do website |
Interesses legítimos (Art. 6.º, n.º 1, al. f)) / Consentimento (Art. 6.º, n.º 1, al. a)) quando os cookies o exigem |
5. Subcontratantes
Partilhamos dados com os seguintes prestadores de serviços terceiros que tratam dados em nosso nome ao abrigo de Acordos de Tratamento de Dados adequados:
| Subcontratante |
Finalidade |
Dados partilhados |
Localização |
| Amazon Web Services EMEA SARL |
Alojamento do website (S3 + CloudFront), execução de funções serverless (Lambda) e encaminhamento de API (API Gateway) |
Todos os dados que transitam pela plataforma |
AWS eu-west-1 (Irlanda) |
| Anthropic, PBC |
Geração de análises por IA (API Claude) |
Perfil da empresa e inputs de avaliação (processados em tempo real, não armazenados pela Verdaio) |
Estados Unidos — A Anthropic processa os inputs de avaliação como subcontratante ao abrigo do seu Adendo de Tratamento de Dados com Cláusulas Contratuais-Tipo da UE, incorporado nos seus Termos de Serviço Comerciais. Os inputs da API não são utilizados para treino de modelos e são eliminados no prazo de 30 dias. Os inputs de avaliação consistem em dados empresariais ao nível da empresa (nome, setor, dimensão, respostas) e não contêm dados pessoais de pessoas singulares. |
| Resend, Inc. |
Entrega de email transacional |
Endereço de email, nome do destinatário (sem conteúdo do relatório) |
AWS (região UE disponível) |
| Supabase, Inc. |
Base de dados e autenticação |
Email, palavra-passe com hash, registos de conclusão de avaliação (nome da ferramenta, data), estado da subscrição |
AWS eu-central-2 (Zurique, Suíça) — A Suíça tem estatuto de adequação da UE |
| Stripe, Inc. |
Processamento de pagamentos |
Nome, email, morada de faturação, NIF/NIPC, dados do método de pagamento |
Estados Unidos — Cláusulas Contratuais Padrão (CCPs) |
| InvoiceXpress (Invoicing) |
Geração e entrega de faturas |
Nome, email, morada de faturação, NIF/NIPC, valor da compra |
Portugal (UE) |
| Google LLC |
Analítica web (Google Analytics 4, modo cookieless) |
Dados de utilização anonimizados, endereço IP (anonimizado) |
Estados Unidos — Cláusulas Contratuais-Tipo (CCT) |
Não vendemos, arrendamos nem partilhamos os seus dados pessoais com terceiros para fins de marketing próprio.
Para clientes empresariais que necessitem de um Acordo de Tratamento de Dados formal, visite a nossa página de DPA para consultar a nossa cobertura e solicitar o acordo completo.
6. Transferências Internacionais de Dados
Os seus dados são tratados principalmente no Espaço Económico Europeu (EEE). Quando os dados são transferidos para subcontratantes fora do EEE, baseamo-nos nas seguintes salvaguardas:
- Stripe, Resend, Google (Estados Unidos): Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia.
- Anthropic (Estados Unidos): A Anthropic processa os inputs de avaliação como subcontratante ao abrigo do seu Adendo de Tratamento de Dados com Cláusulas Contratuais-Tipo da UE. Os inputs da API não são utilizados para treino de modelos e são eliminados no prazo de 30 dias. Os inputs de avaliação consistem em dados empresariais ao nível da empresa e não contêm dados pessoais de pessoas singulares.
7. Conservação de Dados
Conservamos os dados pessoais apenas durante o tempo necessário para as finalidades descritas nesta política:
- Dados de conta (email, palavra-passe): conservados até que elimine a sua conta.
- Registos de conclusão de avaliação (nome da ferramenta, data): conservados por um máximo de 3 anos, ou até que solicite a eliminação.
- Registos de subscrição e compra: conservados durante a vigência da sua conta, ou conforme exigido pela legislação fiscal portuguesa (mínimo de 10 anos para faturas, conservadas pelo InvoiceXpress).
- Inputs de avaliação (perfil da empresa, respostas a questionários): não armazenados. Processados em tempo real e descartados após a geração do relatório.
- Relatórios gerados por IA: armazenados temporariamente em armazenamento encriptado (AWS S3, eu-west-1) por um máximo de 48 horas para permitir o download, sendo depois automaticamente eliminados.
- Registos de notificação por email: conservados pela Resend por um máximo de 30 dias. A Resend não recebe nem armazena o conteúdo dos relatórios.
- Dados de análise do website: conservados em forma agregada e anonimizada por um máximo de 26 meses.
Pode solicitar a eliminação dos seus dados a qualquer momento. Consulte a Secção 8 para saber como exercer este direito.
8. Os Seus Direitos ao Abrigo do RGPD
Enquanto titular dos dados ao abrigo do RGPD, tem os seguintes direitos:
- Direito de acesso — solicitar uma cópia dos dados pessoais que conservamos sobre si.
- Direito de retificação — solicitar a correção de dados inexatos ou incompletos.
- Direito ao apagamento — solicitar a eliminação dos seus dados pessoais ("direito a ser esquecido").
- Direito à limitação do tratamento — solicitar que limitemos o tratamento dos seus dados em determinadas circunstâncias.
- Direito à portabilidade dos dados — receber os seus dados num formato estruturado e legível por máquina.
- Direito de oposição — opor-se ao tratamento baseado em interesses legítimos.
- Direito de retirar o consentimento — quando o tratamento é baseado no consentimento, retirá-lo a qualquer momento sem afetar a licitude do tratamento anterior.
Para exercer qualquer um destes direitos, contacte-nos em privacy@verdaio.ai. Responderemos no prazo de 30 dias. Tem também o direito de apresentar uma reclamação à autoridade de controlo nacional. Em Portugal, trata-se da Comissão Nacional de Proteção de Dados (CNPD) em cnpd.pt.
9. Cookies
Utilizamos cookies e tecnologias de rastreio semelhantes no nosso website. Para informações completas sobre os cookies que utilizamos, a sua finalidade e como gerir as suas preferências, consulte a nossa Política de Cookies.
10. Menores
Os nossos serviços destinam-se a empresas e profissionais. Não recolhemos conscientemente dados pessoais de pessoas com menos de 16 anos. Se acreditar que recolhemos inadvertidamente tais dados, contacte-nos em privacy@verdaio.ai e procederemos à sua eliminação com brevidade.
11. Alterações a Esta Política
Podemos atualizar esta Política de Privacidade periodicamente. Quando fizermos alterações materiais, atualizaremos a data "Última atualização" no topo desta página. Encorajamos a revisão periódica desta política.
A utilização continuada dos nossos serviços após a publicação de alterações constitui aceitação da política atualizada.
Histórico de versões
| Versão |
Data |
Alterações |
| 1.3 |
6 de abril de 2026 |
Clarificação da recolha de dados: distinção entre dados armazenados (conta, registos de conclusão) e dados transitórios (inputs de avaliação, perfil da empresa) que são processados mas não conservados. Adicionado Google Analytics como subcontratante. Atualizada retenção da Anthropic para 30 dias. Corrigida descrição dos dados na Supabase. Atualizados períodos de conservação. |
| 1.2 |
29 de março de 2026 |
Substituição da Netlify pela AWS (S3, CloudFront, Lambda, eu-west-1 Irlanda) como fornecedor de infraestrutura. Removida referência à Usercentrics CMP (já não utilizada). Atualização das divulgações de cookies. |
| 1.1 |
21 de março de 2026 |
Adicionados Stripe e InvoiceXpress como subcontratantes. Região da Supabase corrigida para Zurique (Suíça). Adicionada eliminação de conta self-service. |
| 1.0 |
Janeiro de 2026 |
Política inicial publicada. |