ClaimPack
Privacidade

Política de Privacidade

Última actualização: 2026-05-04. Cumprimos o Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679, "RGPD") e a Lei 58/2019. Este aviso descreve o que recolhemos, porquê, durante quanto tempo o guardamos, e o que pode fazer sobre isso.

1 · Quem somos

O ClaimPack é operado por Oskar Zabik, trabalhador independente sediado em Portugal. O operador é o responsável pelo tratamento dos dados pessoais descritos abaixo.

Contacto para questões de proteção de dados: privacy@claimpack.pt. Respondemos no prazo máximo de 30 dias previsto no RGPD; geralmente muito antes.

Não designámos Encarregado de Proteção de Dados (EPD/DPO). Nos termos do art. 37 do RGPD a designação só é obrigatória quando (i) o tratamento é efectuado por uma autoridade pública, (ii) as actividades centrais consistem em monitorização sistemática e em larga escala, ou (iii) as actividades centrais consistem em tratamento em larga escala de dados de categorias especiais. Nenhuma destas situações se aplica ao ClaimPack nesta fase.

2 · Que dados pessoais recolhemos

2.1 · Dados que fornece directamente

  • Dados de conta: endereço de email, primeiro nome. Usados para autenticação e titularidade do caso.
  • Dados do caso: factos da sua disputa de obras — datas, valores, descrições de defeitos, notas em texto livre.
  • Documentos e media que carrega: exportações WhatsApp, fotos, vídeos, comprovativos de transferência, orçamentos, contratos, faturas. Preservamos os metadados originais (EXIF) e calculamos um hash SHA-256 no momento do carregamento como parte da integridade probatória.
  • Identificação de terceiros (o seu empreiteiro): nome, NIF/NIPC, sede, contactos, número de alvará ou título de registo, e outras informações identificativas necessárias para construir o dossier do caso. São dados de terceiro — ver §3.

2.2 · Dados que recolhemos automaticamente

  • Logs técnicos de acesso (endereço IP, user-agent, timestamps), retidos por motivos de segurança e prevenção de abuso.
  • Analítica de produto privacy-friendly (ex.: Plausible) que não usa cookies nem rastreio entre sites.
  • Estado do funil no localStorage do seu browser enquanto completa o diagnóstico (apagado a pedido ou ao concluir).

2.3 · O que NÃO recolhemos

  • Não usamos rastreadores publicitários de terceiros no fluxo de diagnóstico ou no produto. Páginas de marketing podem usá-los, mediante consentimento.
  • Não recolhemos categorias especiais de dados (art. 9 RGPD) salvo se as carregar voluntariamente (ex.: fotos relativas a saúde). Tratamos esses dados com cuidado acrescido e apenas com base no seu consentimento explícito.
  • Não recolhemos dados biométricos, credenciais financeiras nem números de cartão de pagamento (pagamentos passam pelo nosso processador — ver §6).

3 · Bases legais (art. 6 RGPD)

  • Execução do contrato — art. 6(1)(b): tratamento de dados de conta e do caso para entregar o diagnóstico, espaço de trabalho, carta firme grátis e (se adquirido) o pacote de saída.
  • Interesse legítimo — art. 6(1)(f): tratamento de dados de identificação do empreiteiro e outros dados de terceiros necessários para construir o dossier e validar o estado IMPIC alvará / NIF. A nossa avaliação de impacto sobre o interesse legítimo (LIA) considera (i) a necessidade do tratamento para o serviço prestado, (ii) a natureza limitada e circunscrita ao caso, (iii) a disponibilidade pública dos dados de registo, e (iv) as expectativas razoáveis de empreiteiros em actividade profissional. Apoiamo-nos na excepção do art. 14(5)(b) para não notificar o empreiteiro quando a notificação seja impossível, desproporcionada, ou prejudique litígio antecipado entre si e o empreiteiro.
  • Obrigação legal — art. 6(1)(c): retenção de dados fiscais imposta pela lei portuguesa (quando aplicável às facturas emitidas em nosso nome).
  • Consentimento — art. 6(1)(a): emails de marketing opcionais (pode retirar a qualquer momento sem afectar outros tratamentos).

4 · Retenção

  • Contas activas: enquanto a sua conta estiver aberta, retemos os dados do caso por tempo indeterminado para que possa regressar quando precisar. Litígios civis em Portugal podem prolongar-se por anos (o art. 309 do CC fixa um prazo de prescrição geral de 20 anos) — as suas provas permanecem disponíveis durante todo esse período.
  • Apagamento da conta a pedido do utilizador: não apagamos automaticamente. Para remover os seus dados, inicie sessão em app.claimpack.pt/account e clique em Pausar e pedir apagamento. A sua conta é pausada imediatamente (sessão bloqueada, sem novo tratamento) e apagamos definitivamente todos os seus dados no prazo de 30 dias. Para reverter dentro desses 30 dias, envie email para privacy@claimpack.pt.
  • Registos fiscais obrigatórios: quando aplicável, metadados mínimos de facturação podem ser retidos pelo prazo exigido pela lei fiscal portuguesa (tipicamente 10 anos pela AT). Quando os pagamentos são processados pela Polar (Merchant of Record), é a Polar — e não o ClaimPack — quem retém os registos fiscais.
  • Logs técnicos: retidos 90 dias por motivos de segurança e prevenção de abuso, depois apagados ou agregados.
  • Leads do diagnóstico (sem registo): se completar o diagnóstico mas não terminar o registo, o lead (email + respostas do funil) é retido 24 horas e depois apagado.

5 · Os seus direitos (arts. 15–22 RGPD)

  • Acesso: obter cópia dos seus dados.
  • Rectificação: corrigir dados inexactos.
  • Apagamento ("direito ao esquecimento"): apagar os seus dados, sob reserva de obrigações legais de retenção.
  • Limitação: limitar a utilização dos seus dados.
  • Portabilidade: receber os seus dados num formato estruturado, comum, legível por máquina (forneceremos JSON).
  • Oposição: opor-se a tratamento baseado em interesse legítimo.
  • Retirada do consentimento: a qualquer momento, quando o tratamento se baseie no consentimento.
  • Reclamação: junto da Comissão Nacional de Proteção de Dados (CNPD) se entender que os seus direitos foram violados.

Para exercer qualquer direito, envie email para privacy@claimpack.pt ou use a ferramenta de exportação no produto.

6 · Subcontratantes e destinatários

Usamos os seguintes subcontratantes (processors). Tratam dados pessoais por nossa conta, ao abrigo de acordos compatíveis com o art. 28 RGPD.

  • Neon — base de dados Postgres gerida (regiões UE)
  • Cloudflare R2 — armazenamento de ficheiros (regiões UE quando suportadas)
  • Hetzner (via Dokploy) — hospedagem aplicacional UE
  • Netlify — hospedagem de frontend e CDN
  • Resend — entrega de email transaccional
  • Polar (Polar Software Inc., DBA Polar.sh) — Merchant of Record para pagamentos. A Polar emite facturas e cumpre o IVA europeu por nós.
  • Plausible Analytics — analítica privacy-friendly sem cookies (UE)
  • Provedores de IA — OpenAI / Google / Mistral (provedor específico fixado após Marco 0). Enviamos apenas excertos do caso necessários à geração de prosa; não autorizamos retenção para treino.

Não vendemos os seus dados pessoais a terceiros. Não partilhamos os seus dados com empreiteiros, sociedades de advogados, seguradoras ou outros terceiros, salvo (a) com os subcontratantes acima, (b) quando o solicite expressamente (ex.: encaminhamento para advogado parceiro), ou (c) por imposição legal.

7 · Transferências internacionais

Onde algum subcontratante trate dados fora do EEE, baseamo-nos em decisões de adequação da Comissão Europeia (quando aplicáveis) ou em Cláusulas Contratuais-Tipo (SCC) ao abrigo do art. 46(2)(c) RGPD, com medidas adicionais quando necessário (encriptação em trânsito e em repouso).

8 · Segurança

Aplicamos medidas técnicas e organizacionais adequadas ao risco (art. 32 RGPD):

  • Encriptação em repouso (BD, armazenamento) e em trânsito (TLS 1.3)
  • Controlo de acessos baseado em papéis e logs de auditoria
  • Separação estrita entre dados de utilizadores e datasets de treino — não usamos os seus dados para treinar modelos
  • Revisões regulares de dependências e segurança
  • Procedimento de notificação de violações em 72h (art. 33 RGPD), reportando à CNPD quando exigido

9 · Cookies

Usamos um único cookie técnico para sessões autenticadas (HttpOnly, Secure, SameSite=Lax). Não usamos cookies publicitários no fluxo de diagnóstico nem no produto. Páginas de marketing podem usar pixel da Meta para conversão quando dado consentimento; o banner aparece na primeira visita.

10 · Dados de terceiros

Para produzir o seu dossier tratamos informação identificativa do empreiteiro — nome, NIF/NIPC, sede, número de alvará IMPIC, etc. Apoiamo-nos na base de interesse legítimo descrita em §3, e na excepção do art. 14(5)(b) para não notificar o empreiteiro no momento da recolha por prejudicar o litígio antecipado entre si e ele.

Se nos pedir para remover dados do empreiteiro, removemos — mas isso poderá tornar o dossier inenviável. Explicamos os trade-offs e agimos conforme a sua instrução.

11 · Menores

ClaimPack não se dirige a menores. Não recolhemos conscientemente dados pessoais de menores de 16 anos (Lei 58/2019 art. 16). Se acreditar que um menor nos forneceu dados, contacte-nos e procedemos ao apagamento.

12 · Alterações

Notificamos por email (e actualizamos a "Última actualização" acima) quando houver alterações materiais. Esclarecimentos menores podem ocorrer sem notificação.