Política de privacidade
Última atualização: 9 de julho de 2026
1. Introdução
A OficinaIA trata os seus dados pessoais com transparência e em conformidade com o Regulamento (UE) 2016/679 ("RGPD") e a Lei n.º 58/2019. Esta política explica que dados recolhemos, para quê, com quem os partilhamos e como os protegemos, quando visita o website ou utiliza a plataforma de agentes de IA.
Fase de pré-lançamento. A plataforma está em beta e a entidade jurídica que prestará os Serviços está em constituição. Até lá, o responsável pelo tratamento é a pessoa singular identificada abaixo; esta política será atualizada com a denominação, o NIPC e a morada da entidade no lançamento comercial.
Responsável pelo tratamento: João Coucelo · joaocoucelo@oficina-ia.com
2. Base legal
Tratamos dados pessoais ao abrigo das seguintes bases legais do RGPD:
- Execução de contrato (art. 6.º/1/b), criar a conta, prestar a plataforma e os Agentes, gerir a subscrição e o apoio ao Utilizador.
- Interesse legítimo (art. 6.º/1/f), segurança e prevenção de fraude, registos de auditoria, e melhoria do produto com dados agregados e anonimizados.
- Consentimento (art. 6.º/1/a), marketing e newsletter, cookies não essenciais e a autorização de integrações OAuth (Gmail, Calendar, etc.).
- Obrigação legal (art. 6.º/1/c), conservação de registos exigida por lei, designadamente pelo RGPD e pelo Regulamento (UE) 2024/1689 ("Regulamento IA").
3. Dados que recolhemos
3.1 Conta e organização
Nome, email, palavra-passe (armazenada com hash bcrypt), cargo, nome da empresa, NIF (quando indicado) e preferências de idioma e notificações.
3.2 Conteúdo submetido aos Agentes
Mensagens trocadas com os Agentes, ficheiros carregados (faturas, SAF-T, extratos, documentos), dados extraídos pelos Agentes e outros conteúdos que opte por partilhar. Estes dados são enviados ao fornecedor de inferência indicado em §6 para processamento.
3.3 Integrações que autoriza
Quando liga expressamente serviços terceiros (Gmail, Google Calendar, Google Drive, Slack, Notion, Apollo.io, entre outros, através da Composio), acedemos aos dados desses serviços estritamente no âmbito dos scopes autorizados e apenas para executar as tarefas que pede. Pode revogar o acesso a qualquer momento.
3.4 Dados recolhidos automaticamente
Endereço IP, navegador e dispositivo, dados de utilização (acessos, ações, latências), páginas visitadas, cookies, origem de referência e registos de transparência da IA (aceitação de avisos do art. 50.º, sessão, modelo utilizado e data/hora).
3.5 Fontes externas
Dados de contacto empresarial de fontes públicas ou de prestadores de prospeção (Apollo.io), quando ative essa funcionalidade através de um Agente.
4. Para que usamos os dados
- prestar a plataforma e operar os Agentes, executando as tarefas que pede;
- autenticar o Utilizador e gerir contas, organizações e subscrições;
- garantir a segurança e prevenir fraude, abuso e violações dos Termos;
- cumprir obrigações legais e de auditoria/transparência (RGPD, Regulamento IA);
- comunicar sobre o serviço (informação operacional, atualizações, alterações a estes termos);
- enviar marketing e newsletter, quando tiver consentido, com cancelamento a qualquer momento;
- melhorar o produto com métricas agregadas e anonimizadas. Não treinamos modelos de IA com o Conteúdo do Utilizador.
5. Cookies
Usamos cookies e tecnologias semelhantes para funcionalidade, preferências e análise, nas categorias estritamente necessários, desempenho, funcional e marketing (quando aplicável). Pode geri-los no navegador ou no gestor de consentimento.
6. Subprocessadores
Recorremos a subprocessadores selecionados, que tratam dados pessoais apenas sob as nossas instruções e ao abrigo de contratos de subprocessamento (DPA) que incluem, quando aplicável, as Cláusulas Contratuais-Tipo (Decisão (UE) 2021/914). Não vendemos dados pessoais.
6.1 Inferência de IA
- Fireworks AI, Inc. (EUA), serve os modelos de linguagem da plataforma, processando mensagens de chat, a análise de imagens e ficheiros carregados (visão) e a indexação do conhecimento (embeddings). Opera em regime de retenção zero de dados (Zero Data Retention): os conteúdos enviados para inferência são processados de forma efémera, não são conservados após o processamento nem utilizados para treinar modelos.
6.2 Infraestrutura
- Hostinger International, Ltd. (UE), alojamento do backend e do runtime dos Agentes.
- Netlify, Inc. (EUA), alojamento do frontend e rede de entrega de conteúdos.
- Supabase, Inc. (base de dados PostgreSQL e armazenamento de ficheiros alojados na União Europeia).
6.3 Integrações que autoriza
- Composio Inc. (EUA), orquestra o OAuth que liga os Agentes aos seus serviços (Gmail, Google Calendar, Google Drive, Slack, Notion, Apollo.io, entre outros). Cada ligação é autorizada explicitamente por si.
6.4 Pagamentos (dormente no pré-lançamento)
- Stripe Payments Europe, Ltd. (Irlanda), processamento de pagamentos, ativado apenas no regime comercial.
A lista pode ser atualizada com aviso razoável. Para a versão consolidada, contacte-nos pelo endereço em §1.
7. Transferências internacionais
Alguns subprocessadores (§6) estão sedeados nos EUA (Fireworks AI, Netlify e Composio), pelo que dados pessoais podem ser transferidos para fora do Espaço Económico Europeu (EEE).
Estas transferências assentam, conforme aplicável, em:
- decisões de adequação da Comissão Europeia, incluindo o EU-U.S. Data Privacy Framework, quando o subprocessador esteja certificado;
- Cláusulas Contratuais-Tipo (Decisão (UE) 2021/914, módulo responsável para subcontratante);
- salvaguardas técnicas adicionais (encriptação em trânsito e em repouso, controlos de acesso, minimização de dados).
Realizámos uma avaliação preliminar do impacto das transferências (TIA), segundo as Recomendações 01/2020 do EDPB e considerando o contexto pós-Schrems II. Note que os dados submetidos aos Agentes (incluindo conteúdos sensíveis, como faturas ou extratos) são enviados ao fornecedor de inferência nos EUA (Fireworks AI, em regime de retenção zero de dados) para processamento; sempre que possível, recomendamos ofuscar dados particularmente sensíveis antes de os submeter.
8. Conservação
- Dados da conta, enquanto a conta estiver ativa e até 12 meses após o encerramento, salvo obrigação legal mais longa.
- Mensagens e ficheiros submetidos aos Agentes, enquanto a conta estiver ativa; pode apagar conversas e ficheiros a qualquer momento.
- Registos de transparência da IA (aceitação de avisos do art. 50.º), 36 meses a contar da última aceitação, para auditoria.
- Registos de auditoria e segurança, 12 meses (mais, se houver incidente em investigação).
- Contactos de marketing, até cancelar ou retirar o consentimento.
- Faturação e contabilidade (no regime comercial), pelo prazo legal aplicável (em regra, 10 anos para documentos fiscais em Portugal).
9. Os seus direitos
Ao abrigo do RGPD, pode exercer os direitos de:
- acesso aos seus dados;
- retificação de dados inexatos ou incompletos;
- apagamento ("direito a ser esquecido");
- limitação do tratamento;
- portabilidade, em formato estruturado;
- oposição ao tratamento baseado em interesse legítimo;
- retirada do consentimento, sem efeito retroativo;
- não ser sujeito a decisões exclusivamente automatizadas com efeito significativo (art. 22.º).
Para exercer estes direitos, escreva para joaocoucelo@oficina-ia.com, com elementos que permitam confirmar a sua identidade. Respondemos no prazo máximo de 30 dias.
10. Clientes empresariais e dados de terceiros
Quando o Utilizador é uma organização (por exemplo, uma PME) e submete aos Agentes dados pessoais de terceiros (clientes, fornecedores, colaboradores), essa organização é a responsável pelo tratamento (controller) desses dados e a OficinaIA atua como subcontratante (processor). Esta relação será formalizada num Acordo de Tratamento de Dados (DPA), disponibilizado a pedido no momento da contratação comercial. A organização deve assegurar base legal própria e informar os titulares.
11. Segurança
Aplicamos medidas técnicas e organizativas, incluindo encriptação, controlos de acesso e avaliações periódicas. Saiba mais na página Segurança.
12. Menores
Os Serviços não se destinam a menores de 16 anos e não recolhemos conscientemente os seus dados.
13. Marketing e cancelamento
Só enviamos marketing com consentimento ou quando legalmente permitido, e cada email inclui a opção de cancelar. Pode também escrever para joaocoucelo@oficina-ia.com para deixar de receber comunicações.
14. Alterações
Podemos atualizar esta política. Alterações relevantes serão comunicadas por email ou por aviso destacado no website, e a data de "Última atualização" será revista.
15. Autoridade de controlo e contacto
Pode apresentar reclamação junto da autoridade de proteção de dados da sua residência; em Portugal, a Comissão Nacional de Proteção de Dados (cnpd.pt). Para qualquer questão de privacidade, contacte joaocoucelo@oficina-ia.com.
Esta secção será atualizada, após a constituição da entidade jurídica, com a morada da sede e eventuais canais dedicados.