OficinaDeIAOficinaDeIA

Política de privacidade

Última atualização: 14 de maio de 2026

1. Introdução

A OficinaDeIA ("OficinaDeIA", "nós") compromete-se a tratar os seus dados pessoais com transparência e em conformidade com o Regulamento (UE) 2016/679 ("RGPD") e a Lei n.º 58/2019. Esta política explica como recolhemos, utilizamos, partilhamos e protegemos a sua informação quando visita o website ou utiliza a plataforma de agentes de inteligência artificial.

Pré-lançamento: A plataforma encontra-se em fase de pré-lançamento (beta). A entidade jurídica que prestará os Serviços comercialmente está em processo de constituição. Durante esta fase, o Responsável pelo Tratamento dos dados pessoais é a pessoa singular identificada abaixo; a Política será atualizada com a denominação, NIPC e morada da entidade no momento do lançamento comercial.

Responsável pelo Tratamento: João Coucelo
Contacto para questões de privacidade: joaocoucelo@oficina-ia.com

2. Base legal do tratamento

Tratamos dados pessoais ao abrigo das seguintes bases legais do RGPD:

  • Execução de contrato (art. 6.º/1/b): criação de conta, prestação da plataforma e dos Agentes, gestão da subscrição (quando aplicável), apoio ao Utilizador.
  • Interesse legítimo (art. 6.º/1/f): registo de auditoria e logs de segurança, prevenção de fraude e abuso, melhoria do produto com dados agregados/anonimizados, comunicações operacionais relativas ao serviço.
  • Consentimento (art. 6.º/1/a): marketing, newsletters, cookies não essenciais, autorização das integrações OAuth de terceiros (Gmail, Calendar, etc.).
  • Obrigação legal (art. 6.º/1/c): conservação de registos para cumprimento das exigências legais aplicáveis, designadamente as decorrentes do RGPD e do Regulamento (UE) 2024/1689 (Regulamento IA).

3. Dados que recolhemos

3.1 Dados de conta e organização

Nome, email, password (armazenada com hash bcrypt), cargo, nome da empresa, NIF (quando indicado), preferências de notificação e idioma.

3.2 Conteúdo submetido aos Agentes

Mensagens de chat trocadas com os Agentes, ficheiros carregados (faturas, SAF-T, extratos bancários, documentos), dados extraídos pelos Agentes e quaisquer outros conteúdos que o Utilizador opte por partilhar. Estes dados são transmitidos aos fornecedores de modelos de IA listados em §6 para processamento.

3.3 Dados obtidos via integrações autorizadas pelo Utilizador

Quando o Utilizador autoriza expressamente a ligação a serviços terceiros (Gmail, Google Calendar, Google Drive, Slack, Notion, Apollo.io, entre outros, através da Composio), recolhemos os dados desses serviços estritamente no âmbito dos scopes autorizados e exclusivamente para a execução das tarefas pedidas aos Agentes. O Utilizador pode revogar o acesso a qualquer momento.

3.4 Dados recolhidos automaticamente

Endereço IP, tipo de navegador, dispositivo, dados de utilização (acessos, ações, latências), páginas visitadas, cookies e tecnologias similares, origem de referência, registos de transparência da IA (art. 50.º do Regulamento IA, aceitação de avisos, sessões de chat, modelo utilizado, timestamp).

3.5 Fontes externas

Dados de contacto empresarial provenientes de fontes públicas ou de prestadores de prospeção (Apollo.io), quando o Utilizador active esta funcionalidade através de um Agente.

4. Finalidades

Utilizamos os dados para:

  • Prestar a plataforma e operar os Agentes de IA, incluindo a execução das tarefas pedidas pelo Utilizador.
  • Autenticar o Utilizador, gerir contas, organizações e subscrições.
  • Garantir a segurança do serviço, prevenir fraude, abuso e violações dos Termos.
  • Cumprir obrigações legais e regulamentares, incluindo registos de auditoria e transparência (RGPD, Regulamento IA).
  • Comunicar com o Utilizador sobre o serviço (informações operacionais, atualizações de produto, alterações nestes termos).
  • Enviar marketing, newsletters e novidades de produto quando o Utilizador tiver consentido, com possibilidade de cancelamento a qualquer momento.
  • Melhorar o produto, com base em métricas agregadas e anonimizadas. Não treinamos modelos de IA com o Conteúdo do Utilizador.

5. Cookies e rastreio

Utilizamos cookies e tecnologias semelhantes para preferências, análise e funcionalidade. Pode gerir cookies no navegador ou no gestor de consentimento. Categorias: estritamente necessários, desempenho, funcional e marketing (quando aplicável).

6. Subprocessadores

Recorremos a subprocessadores cuidadosamente selecionados para prestar o serviço. Estes subprocessadores apenas tratam dados pessoais sob as nossas instruções e ao abrigo de contratos de subprocessamento (DPA) que incluem, quando aplicável, as Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia (Decisão 2021/914). Não vendemos dados pessoais.

6.1 Modelos de IA generativa

  • Anthropic, PBC (EUA), modelos Claude. Processa mensagens e ficheiros submetidos aos Agentes. Anthropic não utiliza dados de API comercial para treinar modelos.
  • Together Computer, Inc. (Together AI) (EUA), modelos open-source servidos via API (e.g. Gemma, GPT-OSS). Processa pedidos específicos do produto.

6.2 Infraestrutura

  • Hostinger International, Ltd. (UE; servidor virtual privado utilizado pela OficinaDeIA), alojamento do backend, do runtime dos Agentes e do widget de apoio.
  • Netlify, Inc. (EUA), alojamento do frontend e da rede de entrega de conteúdos.
  • Supabase, Inc. (EUA/UE consoante região do projeto), base de dados PostgreSQL e armazenamento de ficheiros.

6.3 Integrações de terceiros autorizadas pelo Utilizador

  • Composio Inc. (EUA), orquestrador OAuth que liga os Agentes a serviços do Utilizador (Gmail, Google Calendar, Google Drive, Slack, Notion, Apollo.io, entre outros). Cada ligação é explicitamente autorizada pelo Utilizador.

6.4 Comunicação e marketing

  • Resend, Inc. (EUA), envio de emails transacionais (verificação de conta, redefinição de password, notificações operacionais).
  • Beehiiv, Inc. (EUA), gestão da newsletter (apenas para subscritores que tenham consentido).
  • Cal.com, Inc., marcação de demonstrações e reuniões.
  • Tolt, Inc. (EUA), gestão do programa de afiliados (apenas para afiliados registados).

6.5 Pagamentos (dormente em fase de pré-lançamento)

  • Stripe Payments Europe, Ltd. (Irlanda), processamento de pagamentos. Ativado apenas quando os Serviços passarem ao regime comercial.

A lista pode ser atualizada com aviso razoável. Para a versão consolidada e atualizada dos subprocessadores, contacte-nos pelo endereço indicado em §1.

7. Transferências internacionais

Alguns subprocessadores listados em §6 estão sedeados nos Estados Unidos da América (designadamente Anthropic, Together AI, Netlify, Composio, Resend, Beehiiv e Tolt), pelo que dados pessoais podem ser transferidos para fora do Espaço Económico Europeu (EEE).

Estas transferências estão cobertas, conforme aplicável, por: (i) decisões de adequação da Comissão Europeia, designadamente o EU-U.S. Data Privacy Framework sempre que o subprocessador esteja certificado; (ii) Cláusulas Contratuais-Tipo aprovadas pela Decisão (UE) 2021/914 da Comissão (módulo 2, responsável para subcontratante); e (iii) salvaguardas técnicas e organizativas adicionais (encriptação em trânsito e em repouso, controlos de acesso, minimização de dados).

Realizámos uma avaliação preliminar do impacto das transferências (TIA) em conformidade com as orientações do EDPB (Recomendações 01/2020), considerando o regime norte-americano de acesso governamental a dados após Schrems II. O Utilizador é informado de que dados submetidos aos Agentes (incluindo conteúdos potencialmente sensíveis como faturas ou extratos bancários) são transmitidos a fornecedores nos EUA para processamento; recomenda-se que dados particularmente sensíveis sejam ofuscados antes de submissão sempre que possível.

8. Conservação

  • Dados da conta: enquanto a conta estiver ativa e durante 12 meses após o encerramento, salvo obrigação legal de conservação mais longa.
  • Mensagens trocadas com os Agentes e ficheiros submetidos: enquanto a conta estiver ativa, com possibilidade de o Utilizador apagar conversas e ficheiros a qualquer momento.
  • Registos de transparência da IA (aceitação de avisos do art. 50.º): 36 meses a contar da última aceitação, para efeitos de auditoria.
  • Registos de auditoria e logs de segurança: 12 meses (mais alargados em caso de incidente sob investigação).
  • Contactos de marketing: até cancelar a subscrição ou retirar o consentimento.
  • Faturação e contabilidade (quando o regime comercial entrar em vigor): pelo prazo legal aplicável (em regra, 10 anos para documentos fiscais em Portugal).

9. Os seus direitos (RGPD)

Pode exercer os seguintes direitos:

  • Acesso aos seus dados pessoais;
  • Retificação de dados inexatos ou incompletos;
  • Apagamento ("direito ao esquecimento");
  • Limitação do tratamento;
  • Portabilidade dos dados em formato estruturado;
  • Oposição ao tratamento baseado em interesse legítimo;
  • Retirada do consentimento (sem efeito retroativo);
  • Não ser sujeito a decisões exclusivamente automatizadas com efeito jurídico ou similarmente significativo (art. 22.º do RGPD).

Para exercer estes direitos, contacte-nos pelo endereço joaocoucelo@oficina-ia.com, indicando o seu pedido e elementos suficientes para verificarmos a sua identidade. Responderemos no prazo máximo de 30 dias.

9.A Utilizadores empresariais e dados de terceiros

Quando o Utilizador é uma organização (ex.: uma PME que utiliza a plataforma para o seu negócio) e submete aos Agentes dados pessoais de terceiros (clientes, fornecedores, colaboradores), designadamente faturas, contactos, mensagens recebidas ou outras informações, essa organização é responsável pelo tratamento (controller) desses dados, e a OficinaDeIA atua como subcontratante (processor). Essa relação será formalizada num Acordo de Tratamento de Dados (DPA) específico, disponibilizado mediante pedido, no momento da contratação comercial. A organização deve garantir a existência de base legal própria para o tratamento e informar os respetivos titulares.

10. Segurança

Aplicamos medidas técnicas e organizativas, incluindo encriptação, controlos de acesso e avaliações periódicas. Consulte a página Segurança.

11. Menores

Os serviços não se destinam a menores de 16 anos. Não recolhemos conscientemente dados de menores de 16 anos.

12. Marketing e cancelamento

Enviamos marketing apenas com consentimento ou quando legalmente permitido. Cada email inclui opção de cancelamento. Também pode contactar joaocoucelo@oficina-ia.com para deixar de receber comunicações.

13. Alterações

Podemos atualizar esta política. Alterações relevantes serão comunicadas por email ou aviso destacado no website. A data de "Última atualização" será revista.

14. Autoridade de controlo

Pode apresentar reclamação à autoridade de proteção de dados da sua residência. Em Portugal: Comissão Nacional de Proteção de Dados (cnpd.pt).

15. Contacto

Para todas as questões de privacidade e proteção de dados, contacte: joaocoucelo@oficina-ia.com.

Esta secção será atualizada após a constituição formal da entidade jurídica, com indicação de canais dedicados e morada da sede.

← Voltar ao início