Política de Privacidade

Data de entrada em vigor: 26 de abril de 2026
Responsável pelo tratamento: BuildFlow
Email de contacto / DPO: info@buildflow.pt
Domínio: https://buildflow.pt

BuildFlow ("nós") compromete-se a proteger os dados pessoais dos utilizadores do Despesas & Fiscal ("serviço") em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD, Regulamento UE 2016/679) e a legislação portuguesa aplicável. Esta política descreve quais os dados que recolhemos, como os utilizamos, como os protegemos, e os seus direitos.

1. Dados que tratamos

• Conta: nome, email, função, organização, NIF/NIPC, contactos.
• Documentos carregados: faturas, recibos, contratos e respetivos metadados (fornecedor, NIF, valor, IVA, data).
• Utilização: logs de acesso, IP, user-agent, eventos de auditoria, eventos de uso (para faturação e métricas).
• Pagamentos: processados via Stripe; não armazenamos dados completos de cartão.

2. Finalidades e base legal

• Execução do contrato (art. 6.º, n.º 1, b) RGPD): fornecer o serviço subscrito.
• Obrigação legal (art. 6.º, n.º 1, c) RGPD): conservação de documentos fiscais por 10 anos conforme art. 123.º-A do CIVA.
• Interesse legítimo (art. 6.º, n.º 1, f) RGPD): segurança da plataforma, prevenção de fraude, melhoria do serviço.
• Consentimento (art. 6.º, n.º 1, a) RGPD): cookies não-essenciais e comunicações de marketing.

3. Subcontratantes (sub-processadores)

Recorremos aos seguintes prestadores, todos vinculados por contrato e em conformidade com o RGPD:

• Hetzner Online GmbH (Alemanha): infraestrutura de servidores.
• OpenAI / Google / Mistral: processamento de OCR (apenas o conteúdo do documento; sem identificadores pessoais persistidos pelo prestador).
• Stripe Payments Europe: processamento de pagamentos.
• Resend: envio de emails transacionais.

4. Conservação

Documentos fiscais (faturas, SAF-T): 10 anos a contar do fim do exercício, conforme obrigação legal portuguesa. Logs de acesso e auditoria: 12 meses. Após cessação do contrato, os dados são exportáveis durante 90 dias e depois eliminados de forma irreversível.

5. Os seus direitos

Como titular dos dados pode, a qualquer momento:

• Aceder e obter cópia dos seus dados (direito de acesso e portabilidade);
• Corrigir dados incorretos ou desatualizados (direito de retificação);
• Solicitar a eliminação dos dados, sem prejuízo das obrigações legais de conservação (direito ao apagamento);
• Solicitar a limitação ou opor-se a determinados tratamentos;
• Retirar consentimento previamente dado.

Para exercer estes direitos contacte info@buildflow.pt. Respondemos no prazo máximo de 30 dias. Pode também apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD).

6. Segurança

• Encriptação em trânsito (TLS 1.3) e em repouso (AES-256);
• Autenticação multi-fator (MFA) obrigatória para todas as contas pagas;
• Backups diários encriptados, com retenção de 30 dias;
• Logs de auditoria imutáveis para todos os acessos administrativos;
• Isolamento de instâncias por cliente (modelo dedicated-per-tenant).

7. Transferências internacionais

Os dados são armazenados em servidores na União Europeia (Alemanha). Algumas integrações (OpenAI, Stripe) podem implicar transferências para fora da UE; nesses casos aplicam-se Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia.

8. Alterações

Atualizações materiais a esta Política são comunicadas com 30 dias de antecedência por email para o endereço associado à conta.

Em caso de dúvida sobre o tratamento dos seus dados pessoais, contacte info@buildflow.pt.