Politica de Privacidade — Portugal
Ultima atualizacao: 20 de maio de 2026
1. Responsavel pelo Tratamento
A cepaos LLC, sociedade de responsabilidade limitada constituida no Estado de Wyoming, Estados Unidos, e a responsavel pelo tratamento dos dados pessoais recolhidos atraves da plataforma cepaos ("a Plataforma").
- E-mail de contacto: privacidad@cepaos.com
- Encarregado de protecao de dados: dpo@cepaos.com
Representante na UE (Art. 27 RGPD): A designacao de um representante na Uniao Europeia nos termos do artigo 27 do Regulamento Geral sobre a Protecao de Dados esta em processo de formalizacao. Os dados de contacto definitivos serao publicados num prazo maximo de 14 dias. Entretanto, as questoes sobre protecao de dados de residentes da UE podem ser enviadas para privacy@cepaos.com.
2. Dados Pessoais que Coletamos
2.1 Dados Fornecidos pelo Usuário
- Nome completo e cargo
- Endereco de e-mail
- Numero de telefone (opcional)
- Nome da organizacao, identificacao fiscal e endereco
- Informacoes de faturamento e metodos de pagamento (processados pela dLocalGo ou Stripe conforme mercado)
- Dados de perfil e preferencias da conta
2.2 Dados Coletados Automaticamente
- Endereco IP e dados de geolocalizacao aproximada
- Tipo de navegador e sistema operativo
- Paginas visitadas, tempo de permanencia e fluxos de navegacao
- Identificadores de dispositivo e cookies (ver Politica de Cookies)
- Registos de acesso e logs de seguranca
2.3 Dados da Organizacao
O Usuario pode inserir dados operacionais da sua organizacao (inventarios, lotes, processos produtivos, dados comerciais). Estes dados sao tratados em conformidade com os Termos e Condicoes e o Contrato-Quadro de Servicos aplicavel. A cepaos trata estes dados como informacao confidencial do Cliente.
3. Bases Legais do Tratamento
- Execucao contratual: para prestar o servico contratado.
- Consentimento: para comunicacoes de marketing, analitica nao essencial e cookies opcionais.
- Interesse legitimo: seguranca, prevencao de fraude e analitica agregada.
- Obrigacao legal: obrigacoes fiscais e contabeis.
4. Finalidades do Tratamiento
- Prestar e manter o servico da Plataforma
- Gerir a conta, autenticacao e controlo de acessos
- Processar pagamentos e faturamento
- Enviar notificacoes operacionais e de seguranca
- Fornecer suporte tecnico ao Usuario
- Melhorar a Plataforma atraves de analitica agregada e anonimizada
- Cumprir obrigacoes legais e regulatorias
- Prevenir fraudes e garantir a seguranca da Plataforma
- Enviar comunicacoes de marketing (apenas com consentimento)
5. Compartilhamento de Dados
A cepaos nao vende dados pessoais. Compartilhamos dados apenas com:
5.1 Subprocessadores
Os seguintes fornecedores tratam dados pessoais em nome da cepaos sob contratos de tratamento (DPA) e, quando aplicavel, sob as Clausulas Contratuais-Tipo (SCC) da Comissao Europeia ou via adesao ao EU-U.S. Data Privacy Framework como mecanismo de transferencia internacional.
| Fornecedor | Funcao | Localizacao | Base / mecanismo legal |
|---|---|---|---|
| Stripe Inc. | Processador de pagamentos (non-LATAM) | Estados Unidos | EU-U.S. DPF + SCC + Stripe DPA |
| dLocal Pty Ltd | Processador de pagamentos (LATAM) | Uruguai | Adequacao LGPD/GDPR + DPA |
| Supabase Inc. | Banco de dados e autenticacao | EUA / UE | SCC + Supabase DPA |
| Railway Corp. | Hospedagem da aplicacao | Estados Unidos | SCC + Railway DPA |
| Cloudflare Inc. | CDN e protecao DDoS | Estados Unidos (rede global) | EU-U.S. DPF + SCC + Cloudflare DPA |
| Upstash Inc. | Cache e rate limiting (Redis) | Estados Unidos | SCC + Upstash DPA |
| Resend Inc. | E-mail transacional | Estados Unidos | SCC + Resend DPA |
| Sentry / Functional Software | Monitoramento de erros | Estados Unidos | SCC + Sentry DPA |
| PostHog Inc. | Analitica de produto (com consentimento) | Estados Unidos / UE | SCC + PostHog DPA |
Dados compartilhados com Stripe (Usuarios non-LATAM): e-mail do administrador, nome da organizacao, Stripe Customer ID e Stripe PaymentMethod ID (tokenizado). A cepaos nao recebe nem armazena o numero do cartao.
Dados compartilhados com dLocal Go (Usuarios LATAM): e-mail do administrador, identificador de cliente e token de cartao. A cepaos nao recebe nem armazena o numero do cartao.
5.2 Autoridades
Podemos divulgar dados pessoais quando exigido por ordem judicial, pedido de autoridade competente ou quando necessario para proteger direitos, propriedade ou seguranca da cepaos.
6. Transferencias Internacionais
Os dados pessoais podem ser transferidos para paises fora da jurisdicao do Usuario, incluindo os Estados Unidos. Aplicamos:
- Clausulas contratuais-tipo (SCC)
- Avaliacoes de impacto de transferencia quando aplicavel
- Acordos de processamento de dados (DPA) com todos os subprocessadores
- Encriptacao em transito (TLS 1.3) e em repouso (AES-256)
7. Retencao de Dados
- Dados de conta: durante a vigencia da assinatura mais 30 dias apos o cancelamento.
- Registros de faturamento: 10 anos (obrigacao legal fiscal).
- Logs de seguranca: 12 meses.
- Dados de analitica: 24 meses em formato agregado e anonimizado.
- Backups: eliminados dentro de 90 dias apos a eliminacao dos dados originais.
8. Seguranca
- Encriptacao em transito (TLS 1.3) e em repouso (AES-256)
- Isolamento multi-tenant com Row Level Security (RLS) em PostgreSQL
- Autenticacao com tokens seguros via Supabase Auth
- Rate limiting e protecao contra ataques de forca bruta
- Monitoramento continuo de seguranca e alertas automatizados
- Controle de acesso baseado em funcoes (RBAC)
- Auditorias periodicas de seguranca
9. Direitos dos Titulares dos Dados
O Usuario tem os seguintes direitos:
- Acesso: solicitar uma copia dos dados pessoais.
- Retificacao: corrigir dados inexatos.
- Eliminacao: solicitar a eliminacao de dados.
- Portabilidade: receber dados em formato estruturado e legivel por maquina.
- Oposicao: opor-se ao tratamento baseado em interesse legitimo.
- Limitacao: restringir temporariamente o tratamento.
- Retirada do consentimento: sem afetar a licitude do tratamento anterior.
Para exercer estes direitos, contate privacidad@cepaos.com. Os prazos de resposta dependem da legislacao aplicavel a sua jurisdicao (ver Secao 10).
10. Conformidade — Portugal (RGPD + Lei 58/2019)
RGPD Regulamento Geral sobre a Protecao de Dados
Para utilizadores em Portugal, a cepaos cumpre o Regulamento (UE) 2016/679 (RGPD) e a Lei n° 58/2019, de 8 de agosto, que assegura a execucao do RGPD na ordem juridica nacional.
Fundamentos Juridicos (RGPD art. 6)
- Art. 6(1)(a) — Consentimento
- Art. 6(1)(b) — Execucao do contrato
- Art. 6(1)(c) — Obrigacao legal
- Art. 6(1)(f) — Interesse legitimo
Direitos do Titular (RGPD arts. 15-22)
Prazo geral de resposta: 1 mes a contar da recepcao do pedido (prorrogavel ate 2 meses adicionais conforme art. 12.3 RGPD).
- Acesso (art. 15)
- Retificacao (art. 16)
- Apagamento / direito a ser esquecido (art. 17)
- Limitacao do tratamento (art. 18)
- Portabilidade dos dados (art. 20)
- Oposicao (art. 21)
- Decisoes automatizadas e definicao de perfis (art. 22) — nao aplicavel: a cepaos nao realiza decisoes individuais automatizadas com efeitos juridicos.
Encarregado de Protecao de Dados (DPO)
A cepaos designou um Encarregado de Protecao de Dados contactavel em dpo@cepaos.com, conforme arts. 37-39 do RGPD.
Representante na UE (RGPD art. 27)
Como a cepaos LLC esta estabelecida fora da UE, a designacao de um representante na Uniao Europeia nos termos do artigo 27 do RGPD esta em processo de formalizacao. Os dados de contacto definitivos serao publicados num prazo maximo de 14 dias. Ate a sua nomeacao, as questoes sobre protecao de dados podem ser enviadas para privacy@cepaos.com.
Transferencias Internacionais (RGPD cap. V)
As transferencias para os Estados Unidos sao realizadas mediante Clausulas Contratuais-Tipo (SCC) 2021/914 da Comissao Europeia. Realizamos Avaliacoes de Impacto da Transferencia (TIA) quando aplicavel.
Autoridade de Controlo — CNPD
O titular tem direito a apresentar reclamacao a Comissao Nacional de Protecao de Dados (CNPD): https://www.cnpd.pt.
11. Menores de Idade
A Plataforma destina-se exclusivamente a operacoes comerciais (B2B) e nao coleta intencionalmente dados de menores de 18 anos. Se tomarmos conhecimento de que coletamos dados de um menor, procederemos a elimina-los de imediato.
12. Alteracoes a esta Politica
A cepaos pode atualizar esta Politica de Privacidade periodicamente. As alteracoes serao notificadas com pelo menos 30 dias de antecedencia por e-mail e/ou aviso na Plataforma.
13. Contato
- Privacidade: privacidad@cepaos.com
- DPO: dpo@cepaos.com
- cepaos LLC — Wyoming, Estados Unidos
Estes termos podem ser atualizados periodicamente. A versão vigente é a publicada em cepaos.com. Para consultas legais, escreva para legal@cepaos.com.