Política de Privacidade

Esta política descreve como o InvoiceNows recolhe, usa, partilha e protege os teus dados pessoais. Operamos em conformidade com o Regulamento Geral de Proteção de Dados (RGPD) da UE.

1. Quem somos

O serviço InvoiceNows é operado por [Nome / Empresa a confirmar], com NIF [a confirmar], com sede em [a confirmar], contactável em privacy@invoicenows.com. Somos o "Controlador" dos teus dados pessoais para os fins descritos abaixo.

Nota: até registo formal de actividade nas Finanças, o serviço opera em fase pre-revenue / beta privada em nome de [Nome próprio]. Os dados de identificação completa serão actualizados quando a entidade legal estiver registada.

2. Que dados recolhemos

Dados que tu nos dás

• Email e password (encriptada) ao registar conta
• Nome da organização, NIF, região fiscal
• Logo da organização (opcional)
• Conteúdo das faturas que carregas: NIFs, valores, descrições, anexos PDF/imagens
• Lista de remetentes autorizados que configuras

Dados que recolhemos automaticamente

• Logs de acesso (IP, user agent, timestamp) para segurança
• Tokens OAuth do Google Drive (encriptados, usados só para acesso autorizado)

Dados de terceiros nas tuas faturas

As faturas que processas contêm dados de terceiros (fornecedores) — NIFs, nomes, moradas. Tu és o Controlador desses dados; nós somos o sub-processador que os trata em teu nome. Tens de ter base legal própria (contrato, obrigação legal de arquivo) para processar esses dados. O nosso DPA formaliza esta relação.

3. Para que usamos os dados

• Prestar o serviço (extracção, validação, arquivo de faturas)
• Comunicar contigo (suporte, alertas, actualizações de produto)
• Cumprir obrigações legais (faturação, fiscalidade)
• Melhorar o serviço com agregados anónimos

Não vendemos os teus dados. Não usamos os teus dados para treinar modelos de IA.

4. Onde ficam guardados

• Base de dados aplicacional: Supabase (servidores na UE — Frankfurt, Alemanha)
• Anexos das faturas (PDF/imagens): No teu próprio Google Drive — tu és o owner. Nós só temos acesso de leitura/escrita à pasta InvoiceNows.
• Logs e métricas: Vercel (servidores UE)
• Emails transaccionais: Resend (sub-processador)
• Processamento de IA: Google Gemini (Google Cloud, regiões UE)

Lista completa de sub-processadores em /sub-processadores.

5. Quanto tempo guardamos

• Dados de faturas: enquanto a tua conta estiver activa. Após cancelamento, eliminamos a base de dados em 30 dias. Os ficheiros no teu Drive permanecem (são teus).
• Logs de segurança: 12 meses
• Dados de faturação (subscrição): 10 anos (obrigação legal fiscal)

6. Os teus direitos (RGPD)

Tens direito a:

• Acesso aos teus dados (artigo 15)
• Rectificação de dados incorrectos (16)
• Apagamento dos teus dados (17)
• Limitação do tratamento (18)
• Portabilidade — pedir todos os teus dados em formato exportável (20)
• Oposição ao tratamento (21)
• Reclamação à Comissão Nacional de Protecção de Dados (CNPD)

Para exercer qualquer destes direitos: privacy@invoicenows.com. Respondemos em até 30 dias.

7. Segurança

• Encriptação em trânsito (TLS 1.3) e em repouso (AES-256)
• Autenticação multi-factor disponível
• Row-level security na base de dados (cada utilizador só vê os seus dados)
• Backups encriptados
• Acesso restrito por princípio de least-privilege

8. Notificação de incidentes

Em caso de violação de dados pessoais que coloque em risco os teus direitos, notificamos-te e à CNPD em até 72 horas após termos conhecimento, conforme exigido pelo RGPD.

9. Cookies

Usamos apenas cookies essenciais para o funcionamento do serviço (sessão, autenticação). Não usamos cookies de tracking ou publicidade.

10. Alterações a esta política

Quando alterarmos esta política, notificamos-te por email com pelo menos 14 dias de antecedência sobre alterações materiais.

11. Contacto

Encarregado de Protecção de Dados (DPO): privacy@invoicenows.com
Autoridade de controlo: Comissão Nacional de Protecção de Dados (CNPD) — www.cnpd.pt