Política de Privacidade

A BOUNCY ALGORITHM - UNIPESSOAL LIMITADA, que atua comercialmente como Velqory ("Velqory", "nós"), é a entidade responsável pelo tratamento dos dados pessoais recolhidos através dos nossos produtos, serviços e websites (em conjunto, a "Plataforma"). Esta Política de Privacidade explica que dados recolhemos, em que fundamento legal os tratamos, onde são tratados, com quem são partilhados, e quais os direitos que pode exercer.

Ao utilizar a Plataforma, declara que leu esta política. Se discordar de qualquer parte, não utilize a Plataforma.

Recolhemos as seguintes categorias de dados pessoais:

• Dados de conta - nome, email profissional, nome da empresa e cargo, quando se regista ou nos contacta.
• Dados de utilização - páginas visitadas, funcionalidades usadas, duração da sessão e eventos de interação, recolhidos através da nossa analítica de primeira parte. Não utilizamos pixels de terceiros.
• Dados do dispositivo - tipo de browser, sistema operativo e endereço IP (anonimizado após 30 dias). Não utilizamos fingerprinting entre dispositivos.
• Conteúdo do cliente - documentos, prompts, configurações de agentes e dados de integração que carrega ou cria. Armazenado em ficheiros num vault Obsidian dedicado por tenant, em infraestrutura operada pela Velqory na União Europeia. Cifrado em repouso (AES-256) e em trânsito (TLS 1.3).
• Dados de pagamento - nome, morada de faturação e número de contribuinte para emissão da fatura. Os dados do cartão são processados exclusivamente pela Stripe; nunca vemos nem armazenamos números de cartão nem CVVs.

Nos termos do artigo 6.º do RGPD, tratamos dados pessoais com base nos seguintes fundamentos legais:

• Contrato (Art. 6.º, n.º 1, al. b)) - para criar a sua conta, prestar a Plataforma, processar pagamentos e responder a pedidos de suporte.
• Interesse legítimo (Art. 6.º, n.º 1, al. f)) - para monitorização de segurança, prevenção de fraude, melhoria agregada do serviço e comunicação de atualizações essenciais.
• Consentimento (Art. 6.º, n.º 1, al. a)) - para cookies analíticos opcionais, comunicações de marketing e qualquer tratamento que não seja necessário ao contrato nem coberto por interesse legítimo.
• Obrigação legal (Art. 6.º, n.º 1, al. c)) - para registos fiscais, retenção de auditoria e cumprimento de legislação aplicável.

Quando o tratamento se baseia no consentimento, pode retirá-lo em qualquer momento sem afetar a licitude do tratamento efetuado antes dessa retirada.

Tratamos dados pessoais para as seguintes finalidades:

• Prestação do serviço - criar a sua conta, executar fluxos de trabalho, correr agentes e manter a disponibilidade da Plataforma.
• Segurança - detetar e prevenir acessos não autorizados, fraude e abuso.
• Melhoria do serviço - analisar padrões de utilização agregados e anonimizados. O conteúdo do cliente nunca é utilizado para treinar modelos de machine learning.
• Comunicação - enviar mensagens transacionais (faturas, alertas de segurança) e, com o seu consentimento, atualizações de produto.

Não vendemos dados pessoais. Não utilizamos o conteúdo do cliente para treinar modelos de machine learning. Não partilhamos dados pessoais com anunciantes.

A inferência de IA (classificação, recuperação, geração, visão e análise) é executada em infraestrutura operada pela Velqory dentro da União Europeia, alojada em Portugal. O conteúdo do cliente não sai da UE durante o tratamento.

Não transmitimos conteúdo do cliente, prompts, nem inputs de agentes para a OpenAI, Anthropic, Google, ou qualquer outro fornecedor terceiro de modelos de linguagem. A nossa camada de inferência corre em modelos auto-alojados em hardware na UE, sob o nosso controlo operacional direto.

Os outputs de IA são JSON determinístico validado contra esquema. Não retemos outputs em bruto além da janela de trace necessária à observabilidade e auditoria do cliente (90 dias por defeito, configurável).

Cada cliente ("tenant") está isolado ao nível da base de dados, do armazenamento e da computação:

• Base de dados - schema Postgres por tenant ou base de dados dedicada por tenant para clientes regulados.
• Armazenamento - os ficheiros vivem num vault Obsidian dedicado por tenant no filesystem do operador. Não existe armazenamento partilhado entre tenants.
• Inferência - sem estado de inferência partilhado entre tenants. Embeddings, prompts e dados de trace nunca atravessam fronteiras de tenant.
• Acesso - cada chamada de API carrega um tenant scope verificado no gateway. Pedidos cross-tenant são rejeitados na camada de autorização.

Apenas partilhamos dados pessoais com subcontratantes selecionados, contratualmente vinculados a padrões equivalentes de privacidade e segurança. Todos os subcontratantes são residentes na UE ou tratam dados exclusivamente sob jurisdição da UE:

• Alojamento - infraestrutura operada pela Velqory na União Europeia, em Portugal. Não utilizamos alojamento em região dos EUA nem fora da UE para conteúdo do cliente ou dados pessoais.
• Pagamentos - Stripe Payments Europe, Ltd. (Irlanda), certificada PCI DSS nível 1. Os dados do cartão são tratados sob o DPA da Stripe e nunca chegam aos sistemas Velqory.
• Entrega de email - infraestrutura SMTP da Amen.pt (Portugal) para mensagens transacionais e do formulário de contacto.
• Monitorização de erros - Sentry (região UE) para diagnósticos ao nível da aplicação. Nenhum conteúdo do cliente é capturado.

Podemos divulgar dados quando exigido por lei, regulamento ou ordem judicial emitida por autoridade de um Estado-Membro da UE.

Os dados de conta são conservados durante a vigência da subscrição ativa mais 90 dias após a cessação, sendo depois apagados em definitivo, salvo quando se aplique conservação por obrigação legal (por exemplo, registos fiscais: 10 anos ao abrigo da lei portuguesa).

Os dados de utilização e dispositivo são anonimizados após 30 dias e conservados em forma agregada até 24 meses.

O conteúdo do cliente pode ser exportado a pedido, em qualquer momento durante a subscrição. Após a cessação, dispõe de 30 dias para exportar. Findo esse prazo, o conteúdo do cliente é apagado em definitivo dos sistemas de produção em 30 dias e dos backups em 90 dias.

Enquanto titular dos dados na UE, dispõe dos seguintes direitos ao abrigo do RGPD:

• Acesso (Art. 15.º) - solicitar uma cópia dos dados pessoais que detemos sobre si.
• Retificação (Art. 16.º) - corrigir dados inexatos ou incompletos.
• Apagamento (Art. 17.º)- solicitar a eliminação ("direito a ser esquecido").
• Limitação (Art. 18.º) - limitar a forma como tratamos os seus dados.
• Portabilidade (Art. 20.º) - receber os seus dados num formato estruturado, de uso comum e legível por máquina.
• Oposição (Art. 21.º) - opor-se ao tratamento baseado em interesse legítimo.
• Retirar consentimento (Art. 7.º) - em qualquer momento, quando o consentimento seja o fundamento legal.
• Apresentar reclamação - junto da Comissão Nacional de Proteção de Dados (CNPD) ou da autoridade de controlo do seu país.

Para exercer qualquer direito, contacte [email protected]. Respondemos no prazo de 30 dias.

Em caso de violação de dados pessoais suscetível de implicar risco para os direitos e liberdades das pessoas singulares, notificaremos a autoridade de controlo competente (Portugal: CNPD) no prazo de 72 horas após o conhecimento, nos termos do artigo 33.º do RGPD.

Quando a violação for suscetível de implicar risco elevado para os titulares dos dados, notificaremos os utilizadores afetados sem demora indevida, com descrição da violação, categorias de dados envolvidos, consequências prováveis e medidas adotadas ou propostas (artigo 34.º).

Utilizamos cookies estritamente necessários para autenticação, gestão de sessão, preferência de idioma e proteção CSRF. Estes não exigem consentimento ao abrigo da Diretiva ePrivacy.

Cookies analíticos ou de marketing opcionais só são carregados com o seu consentimento explícito através do nosso banner. Pode retirar o consentimento em qualquer momento nas definições da Plataforma.

Não utilizamos cookies de publicidade de terceiros. Não participamos em rastreio entre sites.

Localização, armazenamento, transferências e subcontratantes dependem do serviço, configuração do tenant, DPA e âmbito do projeto. Quando uma transferência internacional for necessária, deve assentar em base legal adequada e salvaguardas contratuais.

Os subcontratantes concretos são identificados no acordo aplicável, lista de subcontratantes ou documentação do projeto quando forem relevantes para o serviço contratado.

A Velqory alinha o seu programa de segurança e privacidade com os seguintes quadros:

• RGPD (Regulamento UE 2016/679) - quadro legal principal para o tratamento de dados pessoais de residentes na UE.
• Diretiva NIS2 (UE 2022/2555) - para gestão do risco de cibersegurança e reporte de incidentes.
• ISO/IEC 27001 - preparação de gestão de segurança da informação e mapeamento de controlos quando aplicável.
• SOC 2 - preparação de controlos operacionais e evidência quando aplicável.

Documentação relevante de segurança ou privacidade pode ser pedida a [email protected], sujeita a estatuto de cliente, âmbito e requisitos de confidencialidade.

Esta política poderá ser atualizada periodicamente. Alterações materiais serão anunciadas por email e através de notificação na Plataforma com pelo menos 30 dias de antecedência relativamente à sua entrada em vigor.

Para questões, pedidos ou dúvidas sobre esta Política de Privacidade:

• Email: [email protected]
• Dados administrativos são indicados em documentos formais quando necessário.

Pode também apresentar reclamação junto da autoridade portuguesa de proteção de dados: Comissão Nacional de Proteção de Dados (CNPD), www.cnpd.pt.