Política de Privacidade
Última atualização: 10 de junho de 2026
1. Responsável pelo tratamento
O responsável pelo tratamento dos seus dados pessoais é Obralize, Lda., pessoa coletiva com NIF 500 000 000, com sede em Portugal.
Contacto para questões de privacidade: privacidade@obralize.pt
2. Dados recolhidos
Recolhemos os seguintes dados pessoais:
- Dados de identificação: nome completo e endereço de email, fornecidos pela sua conta Google no momento da autenticação.
- Fotografia de perfil: imagem associada à sua conta Google (opcional, apenas para apresentação na interface).
- Dados da organização: nome da empresa, NIF, morada, telefone e logótipo, introduzidos voluntariamente nas definições.
- Dados de utilização: orçamentos criados, clientes cadastrados, ações realizadas na plataforma, endereço IP e informações do dispositivo.
- Dados de faturação: plano contratado e histórico de pagamentos (processados por terceiros certificados PCI-DSS).
Não recolhemos dados sensíveis (art.º 9.º do RGPD) nem dados de menores de 16 anos.
3. Finalidades e base legal
Criação e gestão de conta, geração de orçamentos, exportação PDF. Base legal: execução de contrato (art.º 6.º, n.º 1, al. b) do RGPD).
Proteção contra acessos não autorizados e utilização abusiva da plataforma. Base legal: interesses legítimos (art.º 6.º, n.º 1, al. f) do RGPD).
Envio de emails transacionais (confirmações, alertas de segurança, alterações de serviço). Base legal: execução de contrato e interesses legítimos.
Conservação de registos contabilísticos e fiscais pelo período legalmente exigido. Base legal: obrigação legal (art.º 6.º, n.º 1, al. c) do RGPD).
4. Conservação dos dados
Os dados pessoais são conservados pelos seguintes prazos:
- Dados de conta e orçamentos: durante a vigência da conta e por 1 ano após o encerramento.
- Dados de faturação: 10 anos, nos termos do Código Comercial e legislação fiscal.
- Registos de segurança (logs): 12 meses.
Findo o prazo, os dados são eliminados ou anonimizados de forma irreversível.
5. Partilha com terceiros
Partilhamos dados pessoais apenas com os seguintes subcontratantes, vinculados por contratos de tratamento de dados conformes ao RGPD:
- Google LLC — autenticação OAuth e infraestrutura de email (Google Workspace for Developers).
- Railway Corp. — alojamento da aplicação e base de dados, servidores localizados nos EUA com garantias adequadas (SCCs aprovadas pela Comissão Europeia).
- Upstash, Inc. — limitação de pedidos à API (rate limiting), sem armazenamento de dados pessoais identificáveis.
Não vendemos nem cedemos dados pessoais a terceiros para fins comerciais ou de marketing.
6. Transferências internacionais
Alguns subcontratantes têm servidores fora do Espaço Económico Europeu (EEE), nomeadamente nos EUA. Estas transferências são realizadas ao abrigo das Cláusulas Contratuais-Tipo (SCCs) aprovadas pela Comissão Europeia (Decisão de Execução 2021/914), que oferecem garantias adequadas de proteção.
7. Os seus direitos (RGPD)
Nos termos dos artigos 15.º a 22.º do RGPD, tem os seguintes direitos:
Solicitar cópia dos seus dados.
Corrigir dados inexatos ou incompletos.
Solicitar a eliminação dos seus dados ("direito ao esquecimento").
Receber os seus dados num formato estruturado e legível por máquina.
Opor-se ao tratamento baseado em interesses legítimos.
Restringir o tratamento em determinadas circunstâncias.
Para exercer estes direitos, contacte-nos em privacidade@obralize.pt. Responderemos no prazo de 30 dias.
Tem também o direito de apresentar reclamação à autoridade de controlo portuguesa — a Comissão Nacional de Proteção de Dados (CNPD): www.cnpd.pt.
8. Cookies e tecnologias semelhantes
Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma:
- NEXT_LOCALE — memoriza a preferência de idioma (PT/EN). Duração: 1 ano.
- Sessão de autenticação — mantém a sessão do utilizador autenticado via JWT. Duração: 30 dias.
Não utilizamos cookies de rastreamento, publicidade ou análise comportamental de terceiros.
9. Segurança
Adotamos medidas técnicas e organizativas adequadas para proteger os dados pessoais contra acesso não autorizado, perda acidental ou destruição, incluindo:
- Transmissão de dados cifrada via TLS/HTTPS;
- Armazenamento de passwords e chaves de API em formato hash (SHA-256);
- Autenticação de dois fatores disponível via conta Google;
- Rate limiting para prevenir abusos da API.
10. Alterações a esta política
Esta Política pode ser atualizada periodicamente. As alterações significativas serão comunicadas por email com antecedência mínima de 15 dias. A data da última atualização está indicada no topo do documento.
11. Contacto
Para qualquer questão relacionada com o tratamento dos seus dados pessoais: privacidade@obralize.pt
Para questões jurídicas gerais: legal@obralize.pt