Política de Privacidade
Em vigor desde junho de 2026 · Aplicável a todos os Utilizadores da plataforma Ecoing
Aviso importante — versão de testes. A Ecoing encontra-se em fase de protótipo, acessível apenas a utilizadores e empresas convidadas. Nesta fase, os utilizadores não devem introduzir dados pessoais reais nem dados financeiros ou fiscais reais, devendo recorrer exclusivamente a dados fictícios ou de demonstração. O tratamento descrito nesta Política aplica-se na medida em que tais dados sejam, ainda assim, introduzidos.
Texto sujeito a parecer jurídico antes da exploração comercial. Reflecte o entendimento da plataforma quanto ao Regulamento (UE) 2016/679 (RGPD) e à Lei n.º 58/2019.
1. Enquadramento
A presente Política de Privacidade descreve o regime de tratamento dos dados pessoais e da informação confidencial efectuado pela plataforma Ecoing (doravante "a Plataforma") na prestação dos serviços de geração assistida do relatório de sustentabilidade segundo a norma VSME-EFRAG.
Para efeitos do RGPD, o Responsável pelo tratamento é a entidade exploradora da Plataforma, contactável através do endereço ops@ecoing.pt.
2. Categorias de dados tratados
Minimização de dados. Esta versão foi concebida para não recolher dados pessoais na criação de conta. O registo é feito apenas com um nome de utilizador escolhido livremente (pseudónimo) e uma palavra-passe — não são pedidos nome, apelido, email, NIF nem função. O endereço de email usado internamente pelo sistema de autenticação é fictício, construído a partir do nome de utilizador, e não corresponde a um contacto real.
A Plataforma pode, ainda assim, tratar as seguintes categorias de dados:
- Credenciais de acesso: nome de utilizador (pseudónimo) e palavra-passe (esta última guardada apenas sob a forma cifrada/hash pelo sistema de autenticação).
- Dados introduzidos pelo Utilizador (denominação da empresa, e, caso opte por os introduzir, NIPC, CAE, ficheiros SAF-T, facturas, lançamentos e respostas ao questionário). Recorda-se que, nesta fase de testes, não devem ser introduzidos dados reais; os dados servem apenas para gerar o relatório/passaporte da própria empresa.
- Identificador de sessão (cookie de autenticação), estritamente necessário ao funcionamento. A Plataforma não armazena na sua base de dados o endereço IP nem o agente de utilizador dos visitantes, nem instala ferramentas de rastreio ou analítica comportamental de terceiros (ex.: Google Analytics, Sentry, PostHog).
Nota: os subcontratantes de infra-estrutura (Vercel, Cloudflare, Supabase) mantêm, ao seu próprio nível, registos técnicos de acesso (que podem incluir endereço IP) por períodos curtos, para fins de segurança e funcionamento, ao abrigo das respectivas políticas e dos acordos de tratamento de dados — sem que tais registos sejam acedidos ou conservados pela Plataforma.
3. Política de não-retenção de ficheiros
Os ficheiros originais carregados pela Entidade Cliente (facturas em PDF ou imagem) não são persistidos nos servidores da Plataforma. O processamento opera em memória e apenas os dados estruturados extraídos são armazenados. Cabe à Entidade Cliente a custódia dos documentos originais para fins de auditoria ou prova em sede de litígio.
O ficheiro SAF-T pode ser conservado para efeitos de regeneração de versões dos relatórios, pelo período máximo definido na cláusula 7.
4. Finalidades e fundamento jurídico
| Finalidade | Fundamento (RGPD) |
|---|---|
| Execução do contrato de prestação de serviços | Art. 6.º, n.º 1, al. b) |
| Cumprimento de obrigações legais e fiscais aplicáveis | Art. 6.º, n.º 1, al. c) |
| Segurança da Plataforma e prevenção de fraude | Art. 6.º, n.º 1, al. f) — interesse legítimo |
| Partilha selectiva com terceiros (Grande Empresa) mediante autorização | Art. 6.º, n.º 1, al. a) — consentimento explícito do Titular |
5. Assistente conversacional (Ecoing AI)
O assistente conversacional opera exclusivamente sobre os dados do relatório da Entidade Cliente em sessão e sobre uma base de conhecimento pública da norma VSME. Não são transmitidos ao prestador do modelo (Anthropic PBC) dados de outras Entidades Cliente nem se utiliza o conteúdo das conversas para treino do modelo.
O assistente regista o histórico das interacções para efeitos de melhoria de qualidade do serviço. A Entidade Cliente pode solicitar a eliminação destes registos ao abrigo da cláusula 9.
6. Subcontratantes
A Plataforma recorre aos seguintes subcontratantes, todos sujeitos a acordos de tratamento de dados:
- Supabase, Inc. — alojamento da base de dados, autenticação e armazenamento. Região: União Europeia (Paris).
- Vercel, Inc. — infra-estrutura de execução e entrega de conteúdo. Região: União Europeia.
- Anthropic PBC — execução do modelo de linguagem para extracção documental e assistência conversacional. Estados Unidos da América; transferências ao abrigo das Cláusulas Contratuais-Tipo da Comissão Europeia.
7. Prazos de conservação
- Dados da conta e relatórios: pelo período de vigência do contrato, acrescido de cinco (5) anos por imposição legal/contabilística.
- Registos técnicos: noventa (90) dias.
- Após eliminação solicitada: até trinta (30) dias para remoção efectiva, salvo dever legal de conservação.
8. Cookies e tecnologias equivalentes
A Plataforma utiliza exclusivamente cookies estritamente necessários ao funcionamento (sessão de autenticação, protecção CSRF, preferências de interface). Não são utilizados cookies de tracking, perfilagem ou publicidade comportamental, pelo que não é apresentado banner de consentimento adicional.
9. Direitos dos Titulares
Os Titulares dos dados pessoais podem exercer, ao abrigo dos artigos 15.º a 22.º do RGPD, os direitos de acesso, rectificação, apagamento, limitação do tratamento, portabilidade e oposição. O exercício destes direitos efectua-se mediante comunicação para ops@ecoing.pt, sendo respondida no prazo legalmente estabelecido.
O Titular tem ainda direito de apresentar reclamação à Comissão Nacional de Protecção de Dados (CNPD, cnpd.pt).
10. Segurança da informação
A Plataforma implementa medidas técnicas e organizativas adequadas, designadamente: cifragem em trânsito (TLS 1.2+), cifragem em repouso ao nível da infra-estrutura, controlo de acessos baseado em funções (RLS), registo de auditoria, autenticação multi-factor e backup com Point-in-Time Recovery.
11. Comunicação de incidentes
Em caso de violação de dados pessoais que represente risco para os direitos e liberdades dos Titulares, a Plataforma compromete-se a notificar a CNPD no prazo de 72 horas e a comunicar individualmente os Titulares afectados sempre que tal seja exigível, nos termos do artigo 33.º do RGPD.
12. Alterações
A presente Política pode ser alterada para reflectir evolução regulamentar, técnica ou contratual. Alterações materiais serão comunicadas com antecedência razoável, por via electrónica.