Documento legal
Política de Privacidade
Última atualização: 14 de Maio de 2026
1. Responsável pelo tratamento
O FundaFácil é uma plataforma online que disponibiliza informação estruturada sobre fundos europeus e nacionais para empresas portuguesas, com base em fontes oficiais (PT2030, PRR, Turismo de Portugal, IAPMEI, IFAP).
Responsável pelo tratamento dos dados: Gustavo Cruz Pinto (empresário em nome individual), NIF 256 121 664, com domicílio fiscal em Rua Dom João I, n.º 220, Portugal. Contacto: geral@fundafacil.pt.
Encarregado de Proteção de Dados (DPO): não temos DPO obrigatório por não cumprirmos os requisitos do Art. 37.º do RGPD (tratamento sistemático em larga escala ou dados especiais). Todas as questões relativas a proteção de dados são tratadas pelo responsável.
2. Que dados recolhemos
Recolhemos apenas os dados estritamente necessários para prestar o serviço:
- Email e password — quando crias conta (a password é guardada cifrada via Supabase Auth, nunca em texto plano)
- Respostas do diagnóstico — tipo de negócio, região, dimensão do investimento (guardadas apenas se confirmares no painel)
- Candidaturas guardadas — fundos que adicionas ao teu painel, estado de cada uma, prazos, notas pessoais
- Documentos enviados — quando submetes ficheiros para análise IA ou armazenamento na conta (formato original, conteúdo extraído)
- Dados de pagamento — processados directamente pelo Stripe; nunca armazenamos número de cartão. Guardamos apenas o ID Stripe da subscrição/cliente para gerir a conta
- Preferências de comunicação — opt-in/out de cada tipo de email (alertas, novos programas, newsletter)
- Dados técnicos — endereço IP, tipo de browser, páginas visitadas (logs Supabase/Vercel retidos por 30 dias) — para detecção de fraude e debugging
3. Bases legais de tratamento (Art. 6.º RGPD)
Tratamos os teus dados ao abrigo das seguintes bases legais:
- Execução do contrato (Art. 6.º/1/b): criar e manter a conta, processar pagamentos, prestar funcionalidades subscritas
- Obrigação legal (Art. 6.º/1/c): retenção de dados de faturação por 10 anos, resposta a ordens judiciais ou autoridades competentes
- Interesse legítimo (Art. 6.º/1/f): segurança da plataforma, prevenção de fraude, melhoria do produto via logs agregados
- Consentimento (Art. 6.º/1/a): envio de newsletter, carregamento de cookies de analytics/marketing após aceitação na banner
O consentimento pode ser retirado a qualquer momento — em Painel → Conta → Notificações (newsletter) ou limpando o banner de cookies (analytics/marketing).
4. Para que usamos os teus dados
- Criar e manter a tua conta
- Mostrar fundos compatíveis com o teu perfil (com base no diagnóstico)
- Permitir guardar candidaturas e gerar análises IA personalizadas
- Processar pagamentos da subscrição Premium (via Stripe)
- Enviar emails transacionais (confirmação de conta, recibos, alertas de prazo)
- Enviar comunicações de marketing apenas com o teu consentimento expresso
- Cumprir obrigações legais (faturação, contabilidade, RGPD)
5. Sub-processadores (com quem partilhamos)
Para prestar o serviço, recorremos aos seguintes fornecedores. Todos têm acordos de processamento de dados que cumprem o RGPD:
| Fornecedor | Função | Localização |
|---|---|---|
| Supabase | Autenticação, base de dados, storage | UE (Irlanda) |
| Stripe | Processamento de pagamentos | UE / EUA (cláusulas contratuais tipo) |
| Vercel | Hosting + edge runtime + analytics | UE / EUA (cláusulas contratuais tipo) |
| Anthropic | Inteligência artificial (Claude) para análises, chat, ghostwriter | EUA (cláusulas contratuais tipo) |
| Resend | Envio de emails transacionais e newsletter | UE / EUA (cláusulas contratuais tipo) |
| Sentry | Monitorização de erros (opcional, anonimizado) | UE |
| Google Analytics / Meta Pixel | Apenas se aceitares cookies analytics/marketing | EUA (cláusulas contratuais tipo) |
Transferências fora da UE: alguns sub-processadores (Stripe, Vercel, Anthropic, Resend) podem processar dados nos EUA. A transferência é coberta pelas Cláusulas Contratuais Tipo (Standard Contractual Clauses) aprovadas pela Comissão Europeia e pelos compromissos do EU-US Data Privacy Framework aplicáveis.
Não vendemos dados a terceiros. Nunca usamos os teus dados para treinar modelos de IA de terceiros — os pedidos à Anthropic são abrangidos pelos termos comerciais da API (não usados para treino).
6. Onde armazenamos os dados principais
A base de dados primária (conta, diagnósticos, candidaturas, documentos) está em servidores Supabase localizados na União Europeia (Irlanda — região eu-west-1).
7. Por quanto tempo guardamos os dados
- Dados da conta e candidaturas — enquanto a conta estiver activa, mais 30 dias após eliminação
- Documentos enviados — enquanto a conta estiver activa; podes apagá-los em qualquer momento
- Dados de faturação — 10 anos (obrigação legal contabilística)
- Logs técnicos (IP, browser) — 30 dias
- Feedback de cancelamento — anonimizado após 24 meses
Quando eliminas a conta em Painel → Conta → Apagar conta, todos os dados pessoais são apagados em até 30 dias, excepto os de faturação que permanecem retidos pelo período legal.
8. Inteligência artificial e decisões automatizadas
Algumas funcionalidades do Premium usam IA (Claude da Anthropic) para gerar análises, sugestões de texto e respostas em chat. Estas saídas são sugestões informativas, não decisões vinculativas — a decisão final sobre candidatar-te ou não é sempre tua. Não usamos os teus dados para tomar decisões automatizadas com efeitos jurídicos ou similarmente significativos (Art. 22.º RGPD).
9. Os teus direitos (RGPD)
Tens o direito de:
- Acesso — pedir cópia dos teus dados em Painel → Conta → Exportar dados ou por email
- Rectificação — corrigir dados incorrectos directamente no painel ou contactar-nos
- Eliminação ("direito ao esquecimento") — apagar a conta em Painel → Conta → Apagar conta
- Portabilidade — receber os dados em formato JSON via exportação no painel
- Oposição — opor-te a tratamentos baseados em interesse legítimo
- Retirar consentimento — em qualquer momento, em Painel → Conta → Notificações ou banner de cookies
- Reclamação — apresentar reclamação à CNPD (cnpd.pt) — Comissão Nacional de Protecção de Dados
Para exercer qualquer direito não acessível directamente no painel, contacta geral@fundafacil.pt (assunto "RGPD"). Respondemos no prazo máximo de 30 dias.
10. Cookies
Por defeito carregamos apenas cookies essenciais (autenticação Supabase, processamento Stripe). Cookies de analytics (Google Analytics, Vercel Analytics) e marketing (Meta Pixel) só são carregados se aceitares expressamente no banner que aparece na primeira visita. Consulta a Política de Cookies para a lista completa e como gerir.
11. Segurança
Aplicamos medidas técnicas e organizativas adequadas: cifragem em trânsito (TLS 1.3), passwords em hash bcrypt, Row Level Security em todas as tabelas com dados pessoais, acessos administrativos limitados a emails autorizados (lista ADMIN_EMAILS), autenticação 2FA recomendada. Em caso de violação de dados pessoais, notificamos a CNPD em 72h conforme Art. 33.º RGPD.
12. Alterações a esta política
Esta política pode ser actualizada. Quando o fizermos, alteramos a data de "Última actualização" no topo. Para alterações materiais (novos sub-processadores, novas finalidades, retenção alterada), notificamos os utilizadores por email com 30 dias de antecedência.
13. Contacto
Para qualquer questão sobre privacidade ou exercício de direitos:
Email: geral@fundafacil.pt (assunto "RGPD")