Politica de privacidade

1. Responsavel pelo tratamento

tevaxia.lu
Contacto : contact@tevaxia.lu

2. Dados recolhidos

Dados de navegacao:
Cookies tecnicos necessarios ao funcionamento do site. Google Analytics (com consentimento previo) para medicao de audiencia: paginas visitadas, duracao da visita, tipo de navegador, endereco IP anonimizado.

Conta de utilizador:
Endereco de email, nome (opcional), profissao (opcional), palavra-passe com hash. Pode criar uma conta por email/palavra-passe ou atraves de um servico terceiro (Google, LinkedIn).

Ligacao OAuth (Google, LinkedIn):
Apenas o seu endereco de email e o seu nome sao transmitidos por estes servicos. Nao recebemos a sua palavra-passe, os seus contactos, nem quaisquer outros dados da sua conta de terceiros. A autenticacao e gerida pelo Supabase Auth atraves do protocolo OAuth 2.0 / OpenID Connect.

Dados de simulacao:
Os dados introduzidos nos calculadores e simuladores (montantes, áreas, parâmetros energéticos, lotes de arrendamento, etc.) são armazenados no localStorage do seu navegador e — se estiver ligado — sincronizados no Supabase para que possa aceder a partir de qualquer dispositivo. Teto de 500 itens por utilizador gratuito (10 000 no plano Pro), retenção de 180 dias desde a última modificação, purga automática diária depois disso.

Perfil de avaliador:
Nome, empresa, dados de contacto profissional — armazenados no localStorage do seu navegador ou no Supabase se estiver conectado. Estes dados servem para personalizar os relatorios de avaliacao.

Dados profissionais B2B (operacionais):
Os utilizadores profissionais (administradores de condominios, agencias imobiliarias, hoteleiros) introduzem nos modulos Syndic/CRM/PMS dados sobre terceiros: condominos (nome, lote, IBAN, saldo), clientes de hotel (nome, datas de estadia, endereco, numero de cartao tokenizado), contactos CRM (nome, email, telefone, criterios de compra), mandatos imobiliarios. Para estes dados, a tevaxia atua como subcontratante nos termos do RGPD art. 28: o utilizador profissional e o responsavel pelo tratamento e deve dispor de uma base legal adequada (execucao de um contrato de administracao, de alojamento, de mandato imobiliario).

Dados bancarios PSD2 (ligacao Enable Banking):
Se ligar uma conta bancaria via o servico PSD2 Enable Banking (AIS — Account Information Service) para reconciliacao automatica, as transacoes obtidas (descricao, montante, data, referencia) sao tratadas em memoria durante a reconciliacao e nao armazenadas nos nossos servidores para alem da sessao. A ligacao PSD2 tem duracao maxima de 90 dias imposta pelo regulamento UE 2015/2366, renovavel pelo seu banco via SCA. A chave privada JWT usada para assinar os pedidos permanece no servidor tevaxia, nunca exposta ao navegador.

OCR faturas & documentos — tratamento local:
Os PDF e imagens carregados no modulo OCR faturas sao tratados exclusivamente no seu navegador (PDF.js para extracao de texto, Tesseract.js para OCR de imagens digitalizadas). Nenhum ficheiro, imagem ou texto extraido e enviado a um servico de IA terceiro (OpenAI, Anthropic, Google, Mistral) nem aos nossos servidores. Apenas os dados estruturados extraidos (fornecedor, montante, IBAN, IVA…) que validar explicitamente sao depois guardados no Supabase.

Dados de pagamento (Stripe):
Se subscrever um plano pago, o processamento do pagamento (cartao, SEPA) e inteiramente gerido pela Stripe Payments Europe Limited (Irlanda). A tevaxia nunca recebe nem armazena o numero completo do seu cartao: apenas um identificador de cliente Stripe, os 4 ultimos digitos do cartao e a data de validade sao conservados na nossa base para lhe permitir gerir a sua subscricao.

3. Finalidades do tratamento

• Funcionamento do servico (calculos, simulacoes, apresentacao de resultados)
• Salvaguarda de simulacoes e avaliacoes na sua conta
• Personalizacao dos relatorios de avaliacao (perfil de avaliador)
• Melhoria do servico (estatisticas de audiencia anonimizadas)

4. Base juridica do tratamento

• Consentimento (art. 6.1.a RGPD): cookies analiticos Google Analytics.
• Execucao do contrato (art. 6.1.b RGPD): criacao e gestao da sua conta, salvaguarda das suas simulacoes.
• Interesse legitimo (art. 6.1.f RGPD): melhoria do servico, seguranca da plataforma.

Pode retirar o seu consentimento a qualquer momento para os tratamentos baseados nesta base juridica.

5. Subcontratantes

6. Duracao de conservacao

• Dados de conta: conservados até à eliminação da conta pelo utilizador.
• Dados de simulação (avaliações guardadas, lotes locativos): 180 dias desde a última modificação, teto de 500 itens por conta gratuita (10 000 no plano Pro). Purga automática diária às 03:00 UTC das linhas acima destes limites. Os dados locais (localStorage) permanecem disponíveis enquanto o navegador não for limpo.
• Links públicos de partilha: 90 dias por defeito, duração configurável (1 a 365 dias) na criação, com limite de visualizações opcional.
• Cookies: duração máxima de 13 meses.
• Dados operacionais B2B (condominos, clientes de hotel, contactos CRM): conservados durante a vigencia do contrato de servico com o utilizador profissional. Obrigacoes legais de conservacao especificas LU aplicam-se (contabilidade e faturas 10 anos art. L.16-2 Codigo Comercial, atas de AG 10 anos, dados AML/KYC 5 anos).
• Dados PSD2 Enable Banking: transacoes bancarias consultadas em memoria, nao persistidas alem da sessao. Ligacao PSD2: 90 dias no maximo (renovavel via SCA).
• OCR faturas: PDF/imagens carregados nunca sao armazenados nos nossos servidores — tratamento 100% navegador. Apenas os dados estruturados validados pelo utilizador sao guardados.

7. Os seus direitos

Em conformidade com o Regulamento Geral sobre a Protecao de Dados (RGPD) e a lei luxemburguesa de 1 de agosto de 2018, dispoe dos seguintes direitos:

• Direito de acesso aos seus dados pessoais
• Direito de retificacao
• Direito ao apagamento ("direito ao esquecimento")
• Direito de portabilidade de dados — está disponível um botão « Exportar todos os meus dados (JSON) » na secção « Dados & plano » do seu perfil
• Direito de oposicao ao tratamento

Para exercer estes direitos, contacte-nos em contact@tevaxia.lu.

8. Cookies

• Cookies tecnicos (necessarios): indispensaveis ao funcionamento do site (preferencias de idioma, sessao). Nenhum consentimento necessario.
• Cookies analiticos (consentimento): Google Analytics, apenas colocados apos consentimento explicito. Permitem a medicao de audiencia anonimizada.
• Cookies de autenticacao: gestao de sessao Supabase (token de ligacao). Necessarios para a funcionalidade da conta de utilizador.

9. Transferencias de dados para fora da Uniao Europeia

Alguns dos nossos subcontratantes estao situados nos Estados Unidos. Estas transferencias sao enquadradas por clausulas contratuais tipo aprovadas pela Comissao Europeia e/ou pela decisao de adequacao EU-US Data Privacy Framework.

Os dados de conta e de simulacao sao alojados pelo Supabase em servidores situados na Uniao Europeia (AWS eu-central-1, Frankfurt, Alemanha).

10. Medidas de seguranca

Implementamos as seguintes medidas tecnicas e organizacionais para proteger os seus dados:

• Encriptacao das comunicacoes via HTTPS (TLS)
• Politica de seguranca de conteudo (Content Security Policy — CSP)
• Row Level Security (RLS) no Supabase: cada utilizador so acede aos seus proprios dados
• Palavras-passe com hash (nunca armazenadas em texto simples)
• Tratamento local no navegador para OCR faturas (PDF.js + Tesseract.js): nenhum documento enviado a servico de IA externo
• Chaves PSD2 armazenadas em variaveis de ambiente do servidor, assinatura JWT RS256 para cada pedido bancario

11. Encarregado da protecao de dados / Contacto

Para qualquer questao relativa a protecao dos seus dados pessoais, pode contactar-nos em contact@tevaxia.lu.

12. Direito de reclamacao

Se considerar que o tratamento dos seus dados pessoais constitui uma violacao do RGPD, tem o direito de apresentar uma reclamacao junto da autoridade de controlo luxemburguesa:

Commission Nationale pour la Protection des Données (CNPD)
15 Boulevard du Jazz, L-4370 Belvaux, Luxembourg
cnpd.public.lu