Nota: Em caso de conflito entre as versões em inglês e português desta política, prevalece a versão em inglês.
Resumo: A Verdaio recolhe apenas os dados necessários para prestar os nossos serviços de conformidade. Não vendemos os seus dados. Utilizamos infraestrutura AWS alojada na UE. Pode solicitar a eliminação dos seus dados a qualquer momento para privacy@verdaio.ai.
1. Responsável pelo Tratamento de Dados
O responsável pelo tratamento dos seus dados pessoais é:
Pragmatic Vibe - Unipessoal Lda (que opera a marca "Verdaio")
NIPC: 519377257
R. Hermano Neves 18, Piso 3, Escritório 7, V6039
1600-477 Lisboa, Portugal
Email: privacy@verdaio.ai
Website: verdaio.ai
Quando esta política se refere à "Verdaio", "nós" ou "nos", designa a Pragmatic Vibe - Unipessoal Lda, na qualidade de responsável pelo tratamento dos dados pessoais recolhidos através do nosso website e ferramentas.
2. Dados que Recolhemos
Recolhemos as seguintes categorias de dados pessoais:
2.1 Dados armazenados na sua conta
| Dados | Armazenados onde | Finalidade |
|---|---|---|
| Endereço de email e palavra-passe | Supabase (conta) | Autenticação e entrega de relatórios |
| Registos de conclusão de avaliações (nome da ferramenta, data) | Supabase | Controlo de utilização e limitação de taxa |
| Registos de relatórios gerados por IA (identificador da ferramenta, ID do trabalho, estado, saída estruturada do relatório) | Supabase | Registo interno da prestação do serviço para fins de auditoria e responsabilização (Art. 5.º(2) do RGPD, monitorização pós-mercado ao abrigo da Lei IA). Não é disponibilizado aos utilizadores como funcionalidade de reacesso. Retenção de 3 anos desde a geração, ou até à eliminação da conta (o que ocorrer primeiro). |
| Feedback sobre relatórios (ferramenta, tipo de questão, descrição em texto livre) | Supabase | Supervisão humana no âmbito da Lei IA e monitorização da qualidade do produto; retenção de 3 anos |
| Registos de subscrição ou compra | Supabase | Controlo de acesso e histórico de faturação |
| Lista de espera de pré-lançamento (endereço de email, preferência de idioma, origem) | Supabase | Notificá-lo quando o registo de contas for aberto; mantido até ao lançamento ou até que solicite a sua eliminação |
| Nome da empresa, NIF/NIPC, morada de faturação | Stripe e InvoiceXpress apenas | Processamento de pagamentos e geração de faturas. Não armazenados pela Verdaio. |
2.2 Dados processados mas não armazenados
Os seguintes dados são fornecidos por si durante as avaliações. São enviados ao nosso motor de IA (modelo Claude através do Amazon Bedrock, alojado em AWS eu-west-1, Irlanda) em tempo real para gerar o seu relatório e imediatamente descartados. A Verdaio não armazena estes dados nos seus servidores, e os dados não saem da UE.
| Dados | Finalidade |
|---|---|
| Nome da empresa, setor, dimensão, volume de negócios, países de operação | Para gerar uma análise de IA relevante e específica para o setor |
| Respostas aos questionários de avaliação | Para calcular o seu perfil de conformidade e gerar recomendações |
O perfil da sua empresa é guardado localmente no seu navegador (localStorage) para conveniência ao utilizar múltiplas ferramentas. O localStorage é armazenamento local do navegador no seu dispositivo e não é um cookie; não transmite quaisquer dados à Verdaio. Estes dados nunca saem do seu dispositivo a menos que submeta uma avaliação.
2.3 Dados recolhidos automaticamente
Analítica. Quando visita o nosso website, recolhemos dados de utilização anónimos e agregados através do Plausible Analytics (alojado na UE, sem cookies, sem dados pessoais). Isto inclui visualizações de páginas, fontes de referência, país, tipo de dispositivo e navegador. O Plausible não armazena nem transmite endereços IP. Nenhum visitante individual pode ser identificado através da nossa analítica.
Logs de acesso do servidor. Não retemos deliberadamente logs de acesso do CloudFront. O seu endereço IP, URL, user-agent e outros metadados de pedido não são capturados no edge da nossa CDN. Se surgir necessidade operacional no futuro, reativaremos o registo ao abrigo de um fundamento jurídico documentado e atualizaremos esta secção antes de o fazer.
3. Como Utilizamos os Seus Dados
Utilizamos os seus dados pessoais para as seguintes finalidades:
- Para prestar o serviço: Processar as suas respostas através do nosso motor de IA para gerar uma análise de conformidade personalizada e enviar um link seguro de download para o seu endereço de email.
- Para melhorar as nossas ferramentas: Analisar padrões de avaliação agregados e anonimizados para melhorar a qualidade e precisão da nossa análise de conformidade. As respostas individuais nunca são partilhadas externamente de forma identificável.
- Para cumprir obrigações legais: Conservar registos conforme exigido pela legislação aplicável.
Não utilizamos os seus dados para decisões automatizadas que produzam efeitos jurídicos ou impactos igualmente significativos sem revisão humana.
4. Base Jurídica do Tratamento
Ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD), baseamo-nos nas seguintes bases jurídicas:
| Atividade de tratamento | Base jurídica (Art. 6.º do RGPD) |
|---|---|
| Geração e entrega do seu relatório de avaliação | Execução de contrato / diligências pré-contratuais (Art. 6.º, n.º 1, al. b)) |
| Envio do link de download do relatório por email | Execução de contrato / diligências pré-contratuais (Art. 6.º, n.º 1, al. b)) |
| Registo de conclusões de avaliação (nome da ferramenta, data) para controlo de utilização | Interesses legítimos (Art. 6.º, n.º 1, al. f)) — temos um interesse legítimo em gerir a utilização do serviço e prevenir abusos |
| Analítica web (Plausible Analytics, dados agregados anónimos) | Interesses legítimos (Art. 6.º, n.º 1, al. f)) - melhoria da qualidade do serviço. Nenhum dado pessoal tratado, consentimento não necessário. |
5. Subcontratantes
Partilhamos dados com os seguintes prestadores de serviços terceiros que tratam dados em nosso nome ao abrigo de Acordos de Tratamento de Dados adequados:
| Subcontratante | Finalidade | Dados partilhados | Localização |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Alojamento do website (S3 + CloudFront), execução de funções serverless (Lambda) e encaminhamento de API (API Gateway) | Todos os dados que transitam pela plataforma | AWS eu-west-1 (Irlanda) |
| Amazon Web Services EMEA SARL (Amazon Bedrock) | Geração de análises por IA (modelo Claude via Amazon Bedrock) | Perfil da empresa e inputs de avaliação (processados em tempo real, não armazenados) | AWS eu-west-1 (Irlanda). Os dados nunca saem da UE. O Amazon Bedrock não retém dados de entrada nem de saída. O modelo de IA (Claude da Anthropic) é alojado na infraestrutura AWS; a Anthropic não recebe nem acede aos dados. Coberto pelo Adendo de Tratamento de Dados da AWS. Os inputs de avaliação consistem em dados empresariais ao nível da empresa (nome, setor, dimensão, respostas) e não contêm dados pessoais de pessoas singulares. |
| Sendinblue SAS (Brevo) | Entrega de email transacional | Endereço de email, nome do destinatário, link de download do relatório (conteúdo do relatório não é anexado) | França. Dados armazenados em servidores próprios em França e Alemanha, mais Google Cloud Platform na Bélgica (UE). Entidade contratante é a Sendinblue SAS (Paris, França), sob supervisão da CNIL francesa. |
| Supabase, Inc. | Base de dados e autenticação | Email, palavra-passe com hash, registos de conclusão de avaliação (nome da ferramenta, data), estado da subscrição | AWS eu-central-2 (Zurique, Suíça) — A Suíça tem estatuto de adequação da UE |
| Stripe Payments Europe, Limited | Processamento de pagamentos — subcontratante contratual primário (UE) | Nome, email, morada de faturação, NIF/NIPC, dados do método de pagamento | Dublin, Irlanda (UE) — sem transferência internacional nesta camada |
| Stripe, LLC (afiliada da Stripe Payments Europe) | Infraestrutura partilhada de plataforma, deteção de fraude e gestão de risco da rede de pagamentos | Mesmas categorias que acima, partilhadas pela entidade europeia da Stripe com a sua afiliada nos EUA no âmbito do mesmo serviço de processamento de pagamentos | Estados Unidos — Cláusulas Contratuais-Tipo (CCT) e EU–US Data Privacy Framework (DPF, auto-certificação) |
| Google LLC (Google Workspace) | Alojamento de email para as caixas de entrada do responsável pelo tratamento da Verdaio (endereços @verdaio.ai, por exemplo privacy@, support@, legal@, contact@) | Metadados e conteúdo de email enviados para os endereços do responsável pelo tratamento da Verdaio por si ou por contrapartes que consigo correspondam, incluindo quaisquer dados pessoais contidos nos corpos das mensagens ou anexos (por exemplo, conteúdo de pedidos de titulares de dados e cópias de identificação) | Estados Unidos. Cláusulas Contratuais-Tipo (CCT) e EU–US Data Privacy Framework (DPF, auto-certificação). Adenda de Tratamento de Dados do Google Workspace aceite automaticamente através dos termos do Google Workspace. |
| InvoiceXpress (Invoicing) | Geração e entrega de faturas | Nome, email, morada de faturação, NIF/NIPC, valor da compra | Portugal (UE) |
| Plausible Analytics (Plausible Insights OÜ) | Analítica web anónima | Visualizações de páginas agregadas, fontes de referência, país, tipo de dispositivo. Sem dados pessoais, sem endereços IP. | UE (Estónia). Nenhum dado pessoal tratado. Política de privacidade: plausible.io/data-policy |
Não vendemos, arrendamos nem partilhamos os seus dados pessoais com terceiros para fins de marketing próprio.
Para clientes empresariais que necessitem de um Acordo de Tratamento de Dados formal, visite a nossa página de DPA para consultar a nossa cobertura e solicitar o acordo completo.
Mantemos um Registo completo de Atividades de Tratamento (ROPA) ao abrigo do Art. 30.º, n.º 1 do RGPD. O ROPA é um documento interno de prestação de contas, disponível à autoridade de controlo (CNPD) e a clientes qualificados, mediante pedido por email para privacy@verdaio.ai.
6. Transferências Internacionais de Dados
Os seus dados são tratados principalmente no Espaço Económico Europeu (EEE). Quando os dados são transferidos para subcontratantes fora do EEE, baseamo-nos nas seguintes salvaguardas:
- Stripe: O seu subcontratante contratual é a Stripe Payments Europe, Limited (Dublin, Irlanda), pelo que o ponto de entrada e o processamento primário dos dados ocorrem na UE. No âmbito da rede de pagamentos da Stripe, alguns dados pessoais são partilhados com a Stripe, LLC nos Estados Unidos para operações de plataforma, fraude e risco. Essa transferência para os EUA é coberta por um duplo mecanismo do Capítulo V do RGPD: Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia e o EU–US Data Privacy Framework (DPF) — a Stripe, LLC está auto-certificada ao abrigo do DPF. Qualquer um dos mecanismos, isoladamente, constitui base legal válida; a Stripe utiliza ambos, numa lógica de defesa em profundidade.
- Google Workspace: A Google LLC (Estados Unidos) aloja as caixas de entrada do responsável pelo tratamento da Verdaio (endereços @verdaio.ai). Quando nos envia um email, o conteúdo da sua mensagem é tratado nos Estados Unidos pela Google. Esta transferência é coberta pelo mesmo duplo mecanismo do Capítulo V: as Cláusulas Contratuais-Tipo incluídas na Adenda de Tratamento de Dados da Google (aceite automaticamente através dos termos do Google Workspace) e o EU–US Data Privacy Framework, ao abrigo do qual a Google LLC está auto-certificada.
O processamento de IA (Amazon Bedrock) ocorre inteiramente na UE (AWS eu-west-1, Irlanda) e não envolve qualquer transferência internacional de dados.
O email transacional (Sendinblue SAS, Brevo) é processado inteiramente na UE (França, Alemanha e Google Cloud Platform Bélgica) e não envolve qualquer transferência internacional de dados.
7. Conservação de Dados
Conservamos os dados pessoais apenas durante o tempo necessário para as finalidades descritas nesta política:
- Dados de conta (email, palavra-passe): conservados até que elimine a sua conta.
- Registos de conclusão de avaliação (nome da ferramenta, data): conservados por um máximo de 3 anos, ou até que solicite a eliminação.
- Registos de subscrição e compra: conservados durante a vigência da sua conta, ou conforme exigido pela legislação fiscal portuguesa (mínimo de 10 anos para faturas, conservadas pelo InvoiceXpress).
- Inputs de avaliação (perfil da empresa, respostas a questionários): não armazenados. Processados em tempo real e descartados após a geração do relatório.
- Relatórios gerados por IA: armazenados temporariamente em armazenamento encriptado (AWS S3, eu-west-1) por um máximo de 48 horas para permitir o download, sendo depois automaticamente eliminados.
- Registos de notificação por email: conservados pela Brevo (Sendinblue SAS) por um máximo de 100 dias em infraestrutura da UE. A Brevo recebe apenas o endereço de email do destinatário, o link de download e metadados da mensagem. O conteúdo do relatório nunca é transmitido através do serviço de email.
- Dados de análise do website: métricas agregadas e anonimizadas do site são conservadas indefinidamente pelo Plausible; não são recolhidos dados ao nível individual (sem cookies, sem endereços IP, sem identificadores entre sessões).
Pode solicitar a eliminação dos seus dados a qualquer momento. Consulte a Secção 8 para saber como exercer este direito.
8. Os Seus Direitos ao Abrigo do RGPD
Enquanto titular dos dados ao abrigo do RGPD, tem os seguintes direitos:
- Direito de acesso — solicitar uma cópia dos dados pessoais que conservamos sobre si.
- Direito de retificação — solicitar a correção de dados inexatos ou incompletos.
- Direito ao apagamento — solicitar a eliminação dos seus dados pessoais ("direito a ser esquecido").
- Direito à limitação do tratamento — solicitar que limitemos o tratamento dos seus dados em determinadas circunstâncias.
- Direito à portabilidade dos dados — receber os seus dados num formato estruturado e legível por máquina.
- Direito de oposição — opor-se ao tratamento baseado em interesses legítimos.
- Direito de retirar o consentimento — quando o tratamento é baseado no consentimento, retirá-lo a qualquer momento sem afetar a licitude do tratamento anterior.
Para exercer qualquer um destes direitos, contacte-nos em privacy@verdaio.ai. Responderemos no prazo de 30 dias. Tem também o direito de apresentar uma reclamação à autoridade de controlo nacional. Em Portugal, trata-se da Comissão Nacional de Proteção de Dados (CNPD) em cnpd.pt.
Violações de dados pessoais. Em caso de violação de dados pessoais suscetível de implicar um risco para os seus direitos e liberdades, notificaremos a CNPD no prazo de 72 horas após tomarmos conhecimento da violação, em conformidade com o Art. 33.º do RGPD. Se a violação for suscetível de implicar um risco elevado, notificaremos também os utilizadores afetados sem demora injustificada, em conformidade com o Art. 34.º do RGPD. O nosso procedimento interno de resposta a incidentes está documentado num runbook mantido no nosso pack de conformidade.
9. Cookies
A Verdaio não utiliza cookies de rastreio, publicidade ou marketing. O nosso fornecedor de analítica (Plausible) opera inteiramente sem cookies. Para informações completas, consulte a nossa Política de Cookies.
10. Menores
Os nossos serviços destinam-se a empresas e profissionais. Não recolhemos conscientemente dados pessoais de pessoas com menos de 16 anos. Se acreditar que recolhemos inadvertidamente tais dados, contacte-nos em privacy@verdaio.ai e procederemos à sua eliminação com brevidade.
11. Alterações a Esta Política
Poderemos atualizar esta Política de Privacidade periodicamente.
Para alterações editoriais menores (clarificações, correções tipográficas, atualizações ao histórico de versões), a utilização contínua dos nossos serviços após a publicação das alterações constitui aceitação da política atualizada.
Para alterações materiais (introdução de um novo fundamento jurídico, um novo propósito, uma nova categoria de destinatários, ou uma nova categoria de dados pessoais), forneceremos aviso prévio proeminente antes de a alteração entrar em vigor. Nos casos em que a alteração afete o tratamento que depende do seu consentimento, solicitaremos renovado consentimento afirmativo antes de continuar esse tratamento.
Encorajamos a revisão periódica desta política. A data "Última atualização" no topo desta página reflete a revisão mais recente.
Histórico de versões
| Versão | Data | Alterações |
|---|---|---|
| 1.11 | 18 de abril de 2026 | Correções de Verificação de Realidade Legal (Legal Reality Check) para alinhar esta política com o sistema efetivamente em produção. §2.1 alargado com linhas para a tabela Supabase `jobs` (registos de relatórios gerados por IA, conservados 3 anos para fins de auditoria e responsabilização, não disponibilizados para reacesso pelos utilizadores), `report_feedback` (feedback dos utilizadores para monitorização pós-mercado ao abrigo da Lei IA, 3 anos) e `waitlist` (notificação de pré-lançamento de registo de contas). §2.3 "Logs de acesso do servidor" reescrita: o registo padrão do CloudFront está desativado deliberadamente desde 2026-04-10 (minimização de dados); não são capturados IP, URL, user-agent ou referer no edge da CDN. §5 acrescenta a Google LLC (Google Workspace) como alojamento das caixas de entrada do responsável pelo tratamento (email @verdaio.ai); cobre correspondência recebida incluindo pedidos de titulares de dados e correspondência jurídica; EUA, CCT + EU–US DPF duplo mecanismo. §6 alargado para descrever o mecanismo de transferência do Google Workspace. §7 conservação: conservação das estatísticas de analítica corrigida de "26 meses" (resquício GA4, impreciso desde a migração para o Plausible) para "agregadas indefinidamente pelo Plausible; sem recolha ao nível individual". §8 acrescenta um compromisso explícito de notificação de violação (CNPD no prazo de 72 horas ao abrigo do Art. 33.º, utilizadores afetados sem demora injustificada em caso de risco elevado ao abrigo do Art. 34.º). §2.2 localStorage clarificado: o localStorage é armazenamento local do navegador, não é um cookie, e não transmite dados à Verdaio. §11 reescrita: alterações editoriais menores continuam sob aceitação passiva; alterações materiais (novo fundamento jurídico, novo propósito, nova categoria de destinatários, nova categoria de dados pessoais) serão anunciadas com aviso prévio proeminente antes de entrarem em vigor, e nos casos em que a alteração afete o tratamento baseado no consentimento, será solicitado renovado consentimento afirmativo. Sem introdução de novas categorias de dados essenciais para além do que já era tratado internamente; esta versão passa a divulgá-lo. |
| 1.10 | 14 de abril de 2026 | Descrição do subcontratante Stripe tornada mais precisa: a Stripe Payments Europe, Limited (Dublin, Irlanda) é identificada como subcontratante contratual primário (UE, sem transferência internacional nesta camada), com a Stripe, LLC (Estados Unidos) identificada como afiliada subcontratante para infraestrutura partilhada de plataforma, fraude e risco. O mecanismo de transferência aplicável à perna norte-americana é atualizado para o duplo mecanismo do Capítulo V do RGPD efetivamente utilizado — Cláusulas Contratuais-Tipo (CCT) e EU–US Data Privacy Framework (DPF, auto-certificação da Stripe, LLC). Sem novos dados, sem nova finalidade, sem novo subcontratante — clarificação de fluxos já existentes para maior rigor. |
| 1.8 | 13 de abril de 2026 | Minimização de dados (Art. 5.º(1)(c) do RGPD): deixou de ser recolhido o endereço IP no registo de conta. Purgados os metadados `ip_at_registration` de todos os registos de utilizador existentes. Clarificada a Secção 2.3 para distinguir a analítica (Plausible, sem IP) dos logs de acesso do servidor (AWS CloudFront, IP retido 90 dias por motivos de segurança ao abrigo do interesse legítimo / Considerando 49). Clarificado que a Verdaio não retém endereços IP em perfis de utilizador, registos de subscrição ou registos de consentimento. |
| 1.7 | 12 de abril de 2026 | Migrado o email transacional da Resend (Estados Unidos) para a Sendinblue SAS (Brevo, França). O processamento de notificações por email passa agora a decorrer inteiramente na UE (França, Alemanha e Google Cloud Platform Bélgica). Removida a Resend dos subcontratantes e das salvaguardas de transferência internacional. Atualizada a nota de conservação para registos de email (Brevo, 100 dias, infraestrutura UE). Clarificado que o serviço de email recebe apenas o endereço do destinatário e o link de download; o conteúdo do relatório nunca é transmitido através do serviço de email. |
| 1.6 | 11 de abril de 2026 | Clarificado que o processamento de IA utiliza o modelo Claude através do Amazon Bedrock alojado em AWS eu-west-1 (Irlanda), com confirmação explícita de que os dados não saem da UE. Atualizada divulgação de cookies para refletir analítica sem cookies. |
| 1.5 | 10 de abril de 2026 | Migrado processamento de IA da API direta da Anthropic (EUA) para Amazon Bedrock (AWS eu-west-1, Irlanda). Os dados deixam de sair da UE para processamento de IA. Removida Anthropic como subcontratante direto; processamento de IA agora coberto pelo DPA da AWS. Atualizada retenção de dados para refletir que o Bedrock não retém dados de entrada/saída. |
| 1.4 | 10 de abril de 2026 | Substituído Google Analytics 4 por Plausible Analytics (alojado na UE, sem cookies, sem dados pessoais). Removido Google LLC como subcontratante. Simplificada base jurídica de analítica. |
| 1.3 | 6 de abril de 2026 | Clarificação da recolha de dados: distinção entre dados armazenados (conta, registos de conclusão) e dados transitórios (inputs de avaliação, perfil da empresa) que são processados mas não conservados. Adicionado Google Analytics como subcontratante. Atualizada retenção da Anthropic para 30 dias. Corrigida descrição dos dados na Supabase. Atualizados períodos de conservação. |
| 1.2 | 29 de março de 2026 | Substituição da Netlify pela AWS (S3, CloudFront, Lambda, eu-west-1 Irlanda) como fornecedor de infraestrutura. Removida referência à Usercentrics CMP (já não utilizada). Atualização das divulgações de cookies. |
| 1.1 | 21 de março de 2026 | Adicionados Stripe e InvoiceXpress como subcontratantes. Região da Supabase corrigida para Zurique (Suíça). Adicionada eliminação de conta self-service. |
| 1.0 | Janeiro de 2026 | Política inicial publicada. |
12. Contacto
Para questões, pedidos ou reclamações relacionadas com a privacidade:
Verdaio — Proteção de Dados
Email: privacy@verdaio.ai
Website: verdaio.ai
Se não estiver satisfeito com a nossa resposta, tem o direito de apresentar uma reclamação junto da autoridade de supervisão competente. Em Portugal, trata-se da Comissão Nacional de Proteção de Dados (CNPD) em cnpd.pt.