Legal
Política de Privacidade
Última actualização: 18 de julho de 2026
1. Responsável pelo Tratamento
Entidade: EDUARDO SCHWARZ UNIP LDA (doravante "GPTuga" ou "Responsável")
Actividade: Serviços de Software e Inteligência Artificial
Sede: Portugal (União Europeia)
Contacto de Privacidade (DPO / Responsável): privacidade@gptuga.pt
A privacidade e segurança dos seus dados são fundamentais para nós. O tratamento de dados pessoais é efetuado no estrito cumprimento do Regulamento Geral sobre a Proteção de Dados (RGPD - Regulamento (UE) 2016/679) e da Lei n.º 58/2019 (Lei de Execução do RGPD em Portugal).
2. Dados Pessoais que Recolhemos e Processamos
No âmbito da prestação dos nossos serviços, recolhemos os seguintes dados, baseados no princípio da minimização:
- Dados de Conta e Faturação: Nome, endereço de email, credenciais (password com cifra segura "hash bcrypt"), NIF (Número de Identificação Fiscal), morada de faturação e país.
- Dados de Utilização do Serviço (Inputs): O conteúdo das conversas que mantém com a IA, documentação anexada (arquivos, imagens) e configurações pessoais da conta (ex: instruções no Agente Hermes).
- Dados Técnicos de Navegação: Endereço IP, agente de utilizador do browser (User-Agent), carimbos de data/hora (timestamps), métricas de sessão e utilização de tokens (necessário para a operação do sistema e faturação).
- Dados de Pagamento: Processados exclusivamente e de forma segura pelo prestador SIBS (Sociedade Interbancária de Serviços). A GPTuga não armazena o número do seu cartão de crédito completo.
3. Finalidades e Fundamento de Licitude (Art. 6.º do RGPD)
Tratamos os seus dados pessoais com base nos seguintes fundamentos jurídicos:
- Execução de Contrato (Art. 6.º, n.º 1, alínea b): Fornecer o acesso à plataforma GPTuga, criar e manter a sua conta, bem como processar os pedidos enviados aos modelos de IA.
- Obrigação Legal (Art. 6.º, n.º 1, alínea c): Emissão, envio e conservação de faturas e cumprimento de exigências da Autoridade Tributária Portuguesa.
- Interesse Legítimo (Art. 6.º, n.º 1, alínea f): Prevenção contra a fraude, manutenção da segurança da rede, auditorias, resolução de problemas técnicos (troubleshooting) e melhoria continuada da performance e infraestrutura.
- Consentimento (Art. 6.º, n.º 1, alínea a): Envio de comunicações de marketing (newsletters) e uso de cookies não-essenciais. O consentimento pode ser retirado a qualquer momento nas definições da conta ou nos emails.
4. Partilha de Dados e Subcontratantes (Subprocessors)
Para assegurar a operacionalidade da plataforma, recorremos a subcontratantes de confiança (art. 28.º RGPD). Todos os nossos fornecedores estão sujeitos a rigorosos Acordos de Tratamento de Dados (DPA):
- Fornecedores de Inteligência Artificial (Não usam os seus dados para treino dos seus modelos):
- OpenAI (EUA) – Tratamento de linguagem natural.
- Anthropic (EUA) – Tratamento de linguagem natural.
- Google (UE/EUA) – Tratamento de linguagem natural e pesquisa.
- Infraestrutura e Alojamento: Scaleway (França/União Europeia). Alojamento das nossas bases de dados, servidores web e modelos de código aberto operados em solo europeu.
- Pagamentos: SIBS (Portugal). Entidade certificada PCI-DSS.
Garantia de Confidencialidade: A GPTuga nunca venderá os seus dados a terceiros, nem comercializará perfis de utilizadores.
5. Transferências Internacionais de Dados
Uma vez que utilizamos infraestruturas de IA de fornecedores baseados nos Estados Unidos (como OpenAI, Google, Anthropic), existe a transferência internacional de dados inerentes aos *prompts* e *inputs*. Tais transferências são salvaguardadas por mecanismos legais robustos reconhecidos pela Comissão Europeia, nomeadamente o Quadro de Privacidade de Dados UE-EUA (EU-US Data Privacy Framework - DPF) e/ou por Cláusulas Contratuais Tipo (SCCs) aplicáveis aos respetivos DPA, de acordo com os artigos 45.º e 46.º do RGPD.
6. Segurança e Armazenamento
A nossa infraestrutura central (bases de dados, backend, frontend) encontra-se instalada na União Europeia (França), na rede cloud da Scaleway. Aplicamos as seguintes medidas organizacionais e técnicas (Art. 32.º do RGPD):
- Encriptação em trânsito (TLS 1.3 obrigatório).
- Encriptação da base de dados em repouso (Advanced Encryption Standard - AES-256).
- Cópia de segurança (Backups) com mecanismos de redundância e retenção controlada.
- Políticas de mínimo acesso, exigência de senhas fortes e gestão de controlo de acesso rigorosa internamente.
7. Conservação dos Dados Pessoais (Retenção)
O período de conservação dos dados obedece ao princípio da limitação da conservação:
- Dados de Faturação: Conservados durante 10 anos, conforme exigência do Código do IVA português e legislação fiscal.
- Dados de Conta e Conversas de IA: Mantidos durante a vigência do contrato (enquanto a conta estiver ativa). Poderá eliminar o histórico de chat nas definições. Caso elimine a sua conta, os seus dados não fiscais serão permanentemente eliminados dos nossos sistemas principais num prazo máximo de 30 dias.
- Logs de Segurança: Mantidos por um período não superior a 12 meses para fins de auditoria e resposta a incidentes.
8. Política de Cookies
Utilizamos cookies e tecnologias similares para o funcionamento e otimização da plataforma:
- Cookies Estritamente Necessários: Indispensáveis para autenticação, sessões, faturação e segurança. Não carecem de consentimento prévio de acordo com a Lei n.º 41/2004 e Diretiva ePrivacy, visto serem técnicos.
- Cookies Analíticos e de Marketing: Para avaliar a performance da aplicação (ex. estatísticas anónimas). Requerem o seu consentimento explícito e prévio.
9. Os Seus Direitos (Arts. 15.º a 22.º do RGPD)
Como Titular dos Dados, assistem-lhe os seguintes direitos:
- Direito de Acesso: Obter confirmação sobre que dados tratamos e solicitar uma cópia.
- Direito de Retificação: Corrigir dados inexatos ou desatualizados.
- Direito ao Apagamento ("Direito ao Esquecimento"): Solicitar a eliminação dos dados, exceto na medida em que a sua retenção seja uma obrigação legal (ex. faturação).
- Direito à Portabilidade: Obter os seus dados num formato estruturado, de uso corrente e leitura automática (ex: exportar chats).
- Direito de Oposição e Limitação do Tratamento: Opor-se a certos tipos de tratamento, incluindo marketing direto.
Poderá exercer os seus direitos enviando um email para privacidade@gptuga.pt. A GPTuga responderá ao seu pedido sem demora injustificada e, em qualquer caso, no prazo de um (1) mês.
Direito de apresentar reclamação à Autoridade de Controlo: Caso entenda que houve infração no tratamento, tem o direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD) através do site www.cnpd.pt.
10. Violação de Dados Pessoais (Data Breach)
No caso remoto de ocorrer uma violação de dados que represente um risco elevado para os direitos e liberdades dos utilizadores, a GPTuga compromete-se a notificar a CNPD num prazo não superior a 72 horas, e a comunicar o incidente aos respetivos titulares afetados, descrevendo de forma clara as potenciais consequências e as medidas de mitigação adotadas, conforme dita o art. 33.º do RGPD.
11. Alterações a Esta Política
A Política de Privacidade poderá ser revista periodicamente para refletir alterações legais ou operacionais. Quando efetuarmos modificações significativas, iremos notificá-lo diretamente através do email registado na sua conta ou via aviso destacado na plataforma.
12. Contacto de Privacidade
Para dúvidas relacionadas com as nossas práticas de tratamento de dados, ou para o exercício dos seus direitos, contacte-nos através do endereço:
Email: privacidade@gptuga.pt