Saltar para o conteúdo principal

Política de Privacidade

Última atualização: 24 de fevereiro de 2026

1. Introdução

A Veluvanto s.r.o. ("nós", "nos" ou "nosso") está empenhada em proteger a sua privacidade. Esta Política de Privacidade explica como recolhemos, utilizamos, divulgamos e protegemos os seus dados pessoais quando utiliza os serviços da Veluvanto, em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD, Regulamento (UE) 2016/679) e com a Lei Checa n.º 110/2019 Coll. sobre o Tratamento de Dados Pessoais.

2. Responsável pelo Tratamento

O responsável pelo tratamento dos seus dados pessoais é:

Veluvanto s.r.o.
Sede social: Korunní 2569/108, Vinohrady, 101 00 Praha 10
IČO: 249 15 122
Email: privacy@veluvanto.com

Encarregado de Proteção de Dados (DPO): Determinámos que a designação de um Encarregado de Proteção de Dados não é obrigatória nos termos do Artigo 37.º do RGPD, dada a natureza e a escala das nossas atividades de tratamento (não tratamos categorias especiais de dados em grande escala, não somos uma autoridade pública e não realizamos monitorização sistemática em grande escala). Para todos os assuntos de privacidade, contacte-nos através de privacy@veluvanto.com.

3. Dados Pessoais que Recolhemos

Recolhemos as seguintes categorias de dados pessoais:

3.1 Dados da Conta

  • Endereço de email, nome e foto de perfil (da sua conta Google quando inicia sessão através do Google OAuth ou da sua conta Microsoft quando inicia sessão através do Microsoft OAuth)
  • Definições e preferências da conta

3.2 Dados dos Documentos

  • Ficheiros que carrega para o serviço (documentos, faturas, contratos, etc.)
  • Metadados extraídos dos documentos (datas, entidades, valores, etiquetas)
  • Resumos, traduções e categorizações dos seus documentos gerados por AI

3.3 Dados de Utilização

  • Funcionalidades utilizadas, ações realizadas e interações com o serviço
  • Créditos de AI consumidos e estado da subscrição

3.4 Dados Técnicos

  • Endereço IP, tipo e versão do navegador, tipo de dispositivo e sistema operativo
  • Identificadores de sessão e registos de acesso
  • Carimbos de data/hora das ações para fins de segurança e auditoria

3.5 Dados de Pagamento

  • Morada de faturação e registos de transações (os dados do cartão de pagamento são processados diretamente pela Paddle.com Market Limited, o nosso Comerciante de Registo, e não são armazenados por nós)

Obrigatoriedade de fornecimento de dados (Art. 13.º, n.º 2, alínea e), do RGPD): O fornecimento do seu endereço de email e dos dados da conta é um requisito contratual — sem eles, não poderá criar uma conta ou utilizar o serviço. O fornecimento de dados de pagamento é necessário para aceder aos planos pagos. O fornecimento do conteúdo dos documentos é voluntário; o utilizador escolhe o que carregar. Não está legalmente obrigado a fornecer qualquer um dos dados acima referidos, mas o não fornecimento dos dados necessários significará que não lhe poderemos prestar o serviço.

4. Bases Jurídicas para o Tratamento

Tratamos os seus dados pessoais com base nas seguintes bases jurídicas nos termos do Artigo 6.º do RGPD:

Finalidade Base Jurídica Artigo do RGPD
Prestação e funcionamento do serviço Execução de um contrato Art. 6.º, n.º 1, alínea b)
Autenticação do utilizador (Google OAuth) Execução de um contrato Art. 6.º, n.º 1, alínea b)
Autenticação do utilizador (Microsoft OAuth) Execução de um contrato Art. 6.º, n.º 1, alínea b)
Processamento de pagamentos e faturação Execução de um contrato Art. 6.º, n.º 1, alínea b)
Envio de comunicações relacionadas com o serviço Execução de um contrato Art. 6.º, n.º 1, alínea b)
Segurança, prevenção de fraudes, registo de acessos Interesses legítimos Art. 6.º, n.º 1, alínea f)
Melhoria do serviço e análise de dados Interesses legítimos Art. 6.º, n.º 1, alínea f)
Obrigações legais (registos fiscais, etc.) Cumprimento de obrigação jurídica Art. 6.º, n.º 1, alínea c)
Comunicações de marketing (se optar por as receber) Consentimento Art. 6.º, n.º 1, alínea a)

5. Tratamento por AI dos seus Documentos

Os seus documentos são processados utilizando tecnologia de AI para fornecer funcionalidades que incluem categorização automática, pesquisa de texto integral, extração de metadados, resumos, traduções e o assistente de chat de AI.

Os seus documentos nunca são utilizados para treinar modelos de AI. O processamento por IA é realizado exclusivamente para lhe fornecer o serviço. O nosso fornecedor de IA (Google LLC via Vertex AI) atua como nosso subcontratante de dados ao abrigo de um Adendo de Processamento de Dados do Google Cloud e está contratualmente proibido de utilizar os seus dados para treinar ou melhorar os seus modelos de IA.

Residência de dados na UE para processamento por IA: A inferência de IA para análise de documentos, pesquisa semântica, tradução, resumo e chat de IA é realizada através do Google Cloud Vertex AI, configurado para utilizar regiões de centros de dados da UE (europe-west). O conteúdo dos documentos enviado para processamento por IA não sai do Espaço Económico Europeu.

O processamento por IA constitui um processamento automatizado de dados pessoais. Para os consumidores que utilizam o Veluvanto para uso pessoal, a Veluvanto s.r.o. atua como responsável pelo tratamento dos seus documentos. Para clientes empresariais que carregam documentos contendo dados pessoais de terceiros (por exemplo, dados de funcionários, faturas de clientes), a Veluvanto s.r.o. atua como subcontratante em nome do Responsável pelo Tratamento. Consulte o nosso Acordo de Processamento de Dados (DPA)para obter detalhes sobre os acordos de processamento B2B.

Para mais informações sobre os nossos sistemas de IA, consulte o nosso Aviso de Transparência de IA.

6. Armazenamento e Segurança dos Dados

Levamos a segurança dos seus dados muito a sério:

  • Todos os documentos e dados são armazenados no armazenamento de objetos Backblaze B2 em centros de dados da UE (Amesterdão, Países Baixos); a Backblaze possui a certificação SOC 2 Tipo II
  • Os servidores da aplicação funcionam na infraestrutura da Hetzner Online GmbH em centros de dados da UE (Alemanha/Finlândia); a Hetzner possui a certificação ISO/IEC 27001:2022 (válida para 2025–2028)
  • Os dados são encriptados em trânsito (TLS 1.2+) e em repouso (AES-256)
  • Implementamos controlos de acesso rigorosos e registos de auditoria
  • Avaliações e atualizações de segurança regulares
  • O acesso aos dados pessoais é restrito ao pessoal autorizado que deles necessite para o desempenho das suas funções

Notificação de Violação de Dados Pessoais (Art. 33 e 34 do RGPD)

a) Notificação à Autoridade de Controlo (Art. 33 do RGPD)
Em caso de violação de dados pessoais, notificaremos a autoridade de controlo competente sem demora injustificada e, sempre que possível, até 72 horas após termos tido conhecimento da mesma, a menos que a violação não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.

b) Comunicação aos Titulares dos Dados (Art. 34 do RGPD)
Quando a violação de dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, comunicaremos a violação aos indivíduos afetados sem demora injustificada. A comunicação será descrita em linguagem clara e simples e conterá, no mínimo, informações sobre a natureza da violação, as suas consequências prováveis e as medidas adotadas ou propostas para atenuar os seus efeitos. Caso a comunicação individual exija um esforço desproporcionado, garantiremos uma comunicação igualmente eficaz através de um anúncio público ou medida semelhante.

7. Partilha de Dados e Subcontratantes

Não vendemos os seus dados pessoais. Poderemos partilhar as suas informações apenas nos seguintes casos:

7.1 Subcontratantes

Utilizamos os seguintes prestadores de serviços terceiros que podem processar os seus dados pessoais:

  • Google LLC — Fornecedor de identidade (login via Google OAuth); as transferências de dados para os EUA estão cobertas por Cláusulas Contratuais-Tipo (SCCs)
  • Microsoft Corporation — Fornecedor de identidade (login via Microsoft OAuth); processamento de dados regido pelo Adendo de Proteção de Dados da Microsoft
  • Paddle.com Market Limited — Processamento de pagamentos e faturação (Merchant of Record); as transferências de dados para o Reino Unido estão cobertas pela Decisão de Adequação do Reino Unido
  • Google LLC (Vertex AI) — Inferência de modelos de IA (modelos Gemini) para processamento de documentos, pesquisa semântica, chat de IA, tradução e resumo; processamento configurado para permanecer nas regiões da UE do Google Cloud (europe-west); sujeito ao Adendo de Processamento de Dados do Google Cloud; os dados da API não são utilizados para treino de modelos por predefinição
  • Backblaze, Inc. (B2 Cloud Storage) — Armazenamento primário de objetos para documentos e cópias de segurança; dados armazenados exclusivamente na UE (Amesterdão, Países Baixos); certificação SOC 2 Tipo II; Política de Privacidade da Backblaze
  • IDrive, Inc. (e2 Cloud Storage) — Armazenamento de objetos para recuperação de desastres de documentos e cópias de segurança; dados armazenados exclusivamente na UE (Frankfurt, Alemanha); certificação SOC 2; sem período mínimo de armazenamento
  • Hetzner Online GmbH — Infraestrutura de nuvem e servidores de aplicação; dados armazenados exclusivamente na UE (Alemanha/Finlândia); certificação ISO/IEC 27001:2022
  • Cloudflare, Inc. — Rede de distribuição de conteúdo (CDN) e serviços de segurança (proteção DDoS, otimização de desempenho); processa metadados de pedidos HTTP (endereço IP, user-agent, carimbos de data/hora); as transferências de dados para os EUA estão cobertas por Cláusulas Contratuais-Tipo (SCCs)

7.2 Requisitos Legais

Poderemos divulgar os seus dados se tal for exigido por lei, ordem judicial ou autoridade governamental, ou quando acreditarmos que a divulgação é necessária para proteger os nossos direitos ou a segurança de terceiros.

7.3 Transferências de Negócios

Em caso de fusão, aquisição ou venda de ativos, os seus dados pessoais poderão ser transferidos. Forneceremos um aviso antes que os seus dados pessoais sejam transferidos e fiquem sujeitos a uma política de privacidade diferente.

8. Transferências Internacionais de Dados

Armazenamos e processamos os seus dados principalmente dentro da União Europeia. A tabela abaixo descreve a residência dos dados para cada subcontratante:

  • Backblaze, Inc. (B2 Cloud Storage — armazenamento primário): Todos os documentos, dados de utilizador e cópias de segurança são armazenados no Backblaze B2 na UE (Amesterdão, Países Baixos). Sem transferência internacional.
  • IDrive, Inc. (e2 Cloud Storage — armazenamento de recuperação de desastres): Cópias de segurança de documentos e dados são armazenadas no IDrive e2 na UE (Frankfurt, Alemanha). A IDrive, Inc. é uma empresa dos EUA; as transferências de dados estão cobertas por Cláusulas Contratuais-Tipo (SCCs).
  • Hetzner Online GmbH (infraestrutura): Os servidores de aplicação e a infraestrutura de computação estão alojados exclusivamente na Alemanha/Finlândia. Sem transferência internacional.
  • Google LLC (Vertex AI — processamento por IA): O conteúdo dos documentos é processado através do Google Cloud Vertex AI configurado para regiões da UE (europe-west). Não ocorre qualquer transferência para fora do EEE para a inferência de IA.
  • Google LLC (autenticação OAuth): O seu e-mail e perfil do Google são partilhados com a Google durante o início de sessão. A transferência para os EUA está coberta por Cláusulas Contratuais-Tipo (SCCs, Decisão de Execução da Comissão (UE) 2021/914).
  • Paddle.com Market Limited (pagamentos): O endereço de faturação e os dados da transação são partilhados com a Paddle para processamento de pagamentos. A transferência para o Reino Unido está coberta pela Decisão de Adequação do Reino Unido.
  • Cloudflare, Inc. (CDN / segurança): Os metadados dos pedidos HTTP (endereço IP, user-agent, carimbos de data/hora) são processados pela Cloudflare. A transferência para os EUA está coberta por SCCs.

Pode solicitar uma cópia das garantias de transferência relevantes contactando-nos através de privacy@veluvanto.com.

9. Os Seus Direitos ao Abrigo do RGPD

Ao abrigo do RGPD (Capítulo III), tem os seguintes direitos:

  • Direito de Acesso (Art. 15): Solicitar uma cópia dos seus dados pessoais que conservamos
  • Direito de Retificação (Art. 16): Solicitar a correção de dados incorretos ou incompletos
  • Direito ao Apagamento / Direito a ser Esquecido (Art. 17): Solicitar a eliminação dos seus dados
  • Direito à Portabilidade dos Dados (Art. 20): Receber os seus dados num formato estruturado, de uso corrente e de leitura automática (arquivo JSON ou ZIP contendo os seus documentos e metadados). Contacte-nos para solicitar uma exportação.
  • Direito de Oposição ao tratamento baseado em interesses legítimos (Art. 21, n.º 1): Opor-se ao tratamento baseado nos nossos interesses legítimos (por exemplo, segurança, análises). Cessaremos o tratamento, a menos que demonstremos motivos legítimos imperiosos.
  • Direito de Oposição ao marketing direto (Art. 21, n.º 2): Tem o direito absoluto de se opor a qualquer momento ao tratamento dos seus dados pessoais para efeitos de marketing direto, sem exceções. Pararemos imediatamente após a oposição.
  • Direito à Limitação do Tratamento (Art. 18): Solicitar a limitação do tratamento em determinadas circunstâncias
  • Direito de retirar o consentimento (Art. 7, n.º 3): Retirar o consentimento a qualquer momento, sem comprometer a licitude do tratamento efetuado anteriormente
  • Direito de não sujeição a decisões individuais automatizadas (Art. 22): Consulte a Secção 10 abaixo

Para exercer qualquer um destes direitos, contacte-nos através de privacy@veluvanto.com. Responderemos no prazo de 1 mês. Poderá ser necessário verificar a sua identidade antes de satisfazer o seu pedido.

O Seu Direito de Oposição ao Tratamento Baseado em Interesses Legítimos (Art. 21, n.º 4 do RGPD): Quando tratamos os seus dados com base nos nossos interesses legítimos (Art. 6, n.º 1, alínea f) do RGPD — incluindo segurança, prevenção de fraudes e análise do serviço), tem o direito de se opor a qualquer momento. Após a oposição, cessaremos esse tratamento, a menos que demonstremos motivos legítimos imperiosos que prevaleçam sobre os seus interesses, direitos e liberdades, ou que o tratamento seja necessário para a declaração, exercício ou defesa de direitos num processo judicial. Para exercer este direito, contacte privacy@veluvanto.com.

Direito de apresentar reclamação: Tem o direito de apresentar reclamação a uma autoridade de controlo. Na República Checa, esta é:

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
Sítio web: www.uoou.cz
E-mail: posta@uoou.cz

10. Tratamento Automatizado e Definição de Perfis

O Veluvanto utiliza processamento automatizado por IA para identificar e extrair metadados (datas, entidades, categorias, valores). Este tratamento automatizado:

  • É realizado exclusivamente para lhe fornecer o serviço
  • Não não efeitos jurídicos ou o afeta significativamente de forma similar
  • Não constitui definição de perfis para fins de marketing ou tomada de decisões

Pode corrigir quaisquer metadados incorretos gerados por IA a qualquer momento na vista de detalhes do documento. Para mais informações sobre os nossos sistemas de IA e as suas limitações, consulte o nosso Aviso de Transparência de IA.

11. Retenção de Dados

Retemos os seus dados pessoais enquanto a sua conta estiver ativa ou conforme necessário para fornecer os serviços. Períodos de retenção específicos:

  • Dados da conta e documentos: Retidos até à eliminação da conta. Após a eliminação da conta, os dados são eliminados permanentemente no prazo de 30 dias.
  • Registos de faturação: Retidos por 10 anos, conforme exigido pela lei de contabilidade checa (Lei n.º 563/1991 Coll.).
  • Registos de segurança e acesso: Retidos por 12 meses.
  • Dados de utilização (funcionalidades utilizadas, créditos de IA consumidos, interações): Retidos por 24 meses, sendo depois agregados ou eliminados.
  • Metadados gerados por IA (resumos, etiquetas, entidades extraídas): Retidos durante a vida útil do documento associado. Eliminados juntamente com o documento.
  • Consentimento de marketing: Até que retire o seu consentimento.
  • Contas canceladas devido a excesso de armazenamento: Contas canceladas devido a excesso prolongado de armazenamento (conforme descrito na Secção 19 dos Termos de Serviço) — todos os dados pessoais e documentos são eliminados permanentemente no prazo de 30 dias após o cancelamento, em conformidade com o Artigo 17 do RGPD.

Os documentos movidos para a Reciclagem são retidos por 30 dias antes da eliminação permanente.

12. Cookies

Utilizamos cookies e tecnologias semelhantes. Utilizamos apenas os cookies estritamente necessários para o funcionamento do serviço (gestão de sessões e autenticação). Não utilizamos cookies de rastreio ou cookies publicitários de terceiros. Para informações detalhadas, consulte a nossa Política de Cookies.

13. Privacidade das Crianças

O nosso serviço não se destina a menores de 18 anos. Não recolhemos conscientemente dados pessoais de crianças. Se considerar que recolhemos inadvertidamente dados de uma criança, contacte-nos e eliminá-los-emos de imediato.

14. Alterações a Esta Política

Poderemos atualizar esta Política de Privacidade periodicamente. Notificá-lo-emos de quaisquer alterações materiais por e-mail e publicando a nova política nesta página com uma data de "Última atualização" atualizada, pelo menos 30 dias antes de as alterações entrarem em vigor. Para alterações significativas na forma como processamos os seus dados, solicitaremos um novo consentimento sempre que necessário.

15. Contacte-nos

Para quaisquer dúvidas sobre esta Política de Privacidade, para exercer os seus direitos ou para qualquer questão relacionada com a proteção de dados:

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail: privacy@veluvanto.com