Política de Privacidade — Reconflux
⚠️ DRAFT — carece de revisão jurídica. Documento vivo. Não constitui aconselhamento jurídico. Última atualização: [DATA] · Versão: 0.1
1. Responsável pelo tratamento
A Allyato, Lda (“Allyato”, “nós”), com sede na Calçada de Palma de Baixo 8, 8A, 1600-176 Lisboa, NIF PT519086708, é a entidade responsável pelo tratamento dos dados pessoais no âmbito da plataforma Reconflux (“Serviço”).
Contacto para questões de privacidade: através do formulário de suporte disponível em /support.
2. Encarregado de Proteção de Dados (DPO)
A designação de DPO não é obrigatória para a Allyato nos termos do art. 37 do RGPD. Para qualquer questão relativa a dados pessoais, utilize o contacto funcional indicado no ponto 1.
3. Que dados tratamos
O Reconflux é uma plataforma B2B de reconciliação/processamento de faturas. Tratamos:
- Dados de conta/utilizador profissional: nome, email, organização, credenciais de autenticação.
- Dados de faturação e subscrição: dados necessários ao pagamento (processados via Stripe).
- Dados contidos em documentos carregados pelos clientes (faturas e afins) — tratados em nome do cliente (ver §8 e o DPA).
- Dados técnicos: logs, endereço IP, dados de utilização e, quando aplicável, cookies (ver Política de Cookies).
4. Finalidades e fundamentos jurídicos (art. 6 RGPD)
| Finalidade | Fundamento jurídico |
|---|---|
| Prestação do Serviço e gestão da conta | Execução de contrato (art. 6(1)(b)) |
| Faturação e cobrança | Execução de contrato / obrigação legal (art. 6(1)(b)/(c)) |
| Segurança, prevenção de fraude e logs | Interesse legítimo (art. 6(1)(f)) |
| Comunicações de serviço | Execução de contrato / interesse legítimo |
| Cookies/analytics não essenciais | Consentimento (art. 6(1)(a)) |
| Cumprimento de obrigações legais (fiscais, contabilísticas) | Obrigação legal (art. 6(1)(c)) |
5. Prazos de conservação
- Dados de conta: durante a vigência do contrato e até [X] após o seu termo.
- Dados de faturação: pelo prazo legal de conservação fiscal/contabilística aplicável (regra geral 10 anos).
- Logs técnicos: [X] meses.
- Documentos de clientes: conforme instruções do cliente (ver DPA).
6. Destinatários e subcontratantes
Recorremos a subcontratantes (art. 28 RGPD) para prestar o Serviço — ver Lista de Subcontratantes (05-lista-de-subcontratantes.md). Não vendemos dados pessoais.
7. Transferências internacionais
Alguns subcontratantes estão sediados fora do EEE (ex.: EUA). Nesses casos asseguramos salvaguardas adequadas, designadamente Cláusulas Contratuais-Tipo (SCCs) aprovadas pela Comissão Europeia (arts. 44–49 RGPD).
8. Reconflux como subcontratante
Relativamente aos dados pessoais contidos nos documentos carregados pelos clientes, a Allyato atua como subcontratante e o cliente como responsável pelo tratamento. As condições deste tratamento constam do Acordo de Subcontratação (DPA).
9. Direitos dos titulares
Tem direito de acesso, retificação, apagamento, limitação, portabilidade e oposição, bem como a retirar o consentimento a qualquer momento. Para exercer estes direitos, use o formulário em /support.
Tem ainda o direito de apresentar reclamação à autoridade de controlo: Comissão Nacional de Proteção de Dados (CNPD) — www.cnpd.pt.
10. Segurança
Adotamos medidas técnicas e organizativas adequadas para proteger os dados pessoais (cifragem em trânsito, controlo de acessos, RLS na base de dados, entre outras).
11. Alterações
Esta política pode ser atualizada. A versão em vigor é a publicada em /privacy, com indicação da data da última atualização.
12. Legislação aplicável
RGPD (Regulamento (UE) 2016/679) e Lei n.º 58/2019, de 8 de agosto.