Política de Privacidade

A proteção da sua privacidade é fundamental para nós. Esta Política de Privacidade explica como recolhemos, utilizamos e protegemos os seus dados pessoais em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) — Regulamento (UE) 2016/679 — e a legislação portuguesa aplicável.

1. Identificação do Responsável pelo Tratamento de Dados

O guito é operado por:

Luar Quieto — Unipessoal Lda NIPC: 518 823 830 Email: info@guito.pt Website: guito.pt

Contacto para Questões de Proteção de Dados: Email: info@guito.pt (Assunto: "Proteção de Dados")

2. Dados que Recolhemos

Podemos recolher as seguintes categorias de dados pessoais:

2.1. Dados de Registo e Identificação

• Nome completo;
• Endereço de email;
• Palavra-passe (armazenada de forma encriptada);
• Data de criação da conta.

2.2. Dados Financeiros (fornecidos voluntariamente)

• Informações sobre ativos financeiros (ações, fundos, certificados, etc.);
• Informações sobre contas bancárias (através de Open Banking — apenas leitura);
• Transações financeiras e movimentos;
• Dados de carteiras de investimento;
• Informações patrimoniais (imóveis, veículos, etc.);
• Informações sobre passivos (créditos, empréstimos).

Nota importante: O guito não armazena credenciais bancárias. A ligação a contas bancárias é efetuada através de fornecedores certificados conformes com PSD2, que utilizam ligações seguras e encriptadas.

2.3. Dados de Utilização e Técnicos

• Endereço IP;
• Tipo de navegador e dispositivo;
• Sistema operativo;
• Páginas visitadas e funcionalidades utilizadas;
• Data e hora de acesso;
• Dados de desempenho e erros técnicos.

2.4. Dados de Comunicações

• Mensagens enviadas através do suporte ao cliente;
• Interações com a funcionalidade de inteligência artificial;
• Feedback e sugestões submetidos.

2.5. Preferências do Utilizador

• Preferências de interface e visualização;
• Preferências de privacidade e consentimentos;
• Configurações de notificações.

3. Base Legal para o Tratamento de Dados

Tratamos os seus dados pessoais com base nas seguintes bases legais previstas no RGPD:

Finalidade do Tratamento	Base Legal (RGPD)	Artigo
Criação e gestão de conta de utilizador	Execução de contrato	Art. 6.º n.º 1 b)
Prestação dos serviços do guito	Execução de contrato	Art. 6.º n.º 1 b)
Processamento de pagamentos (se aplicável)	Execução de contrato	Art. 6.º n.º 1 b)
Análises web e melhoria do serviço	Consentimento	Art. 6.º n.º 1 a)
Comunicações de marketing (se aplicável)	Consentimento	Art. 6.º n.º 1 a)
Prevenção de fraude e segurança	Interesse legítimo	Art. 6.º n.º 1 f)
Resposta a pedidos de suporte	Interesse legítimo	Art. 6.º n.º 1 f)
Cumprimento de obrigações legais	Cumprimento de obrigação legal	Art. 6.º n.º 1 c)

4. Como Utilizamos os Dados

Utilizamos os dados recolhidos para:

4.1. Prestação dos Serviços

• Permitir a criação e gestão da sua conta;
• Fornecer funcionalidades de acompanhamento financeiro e de investimentos;
• Processar ligações a contas bancárias (Open Banking);
• Calcular simulações fiscais e financeiras;
• Fornecer assistência por inteligência artificial;
• Sincronizar dados entre dispositivos.

4.2. Comunicação com os Utilizadores

• Responder a pedidos de suporte;
• Enviar notificações importantes sobre a conta ou o serviço;
• Informar sobre alterações aos Termos ou Política de Privacidade;
• Enviar comunicações de marketing (apenas com consentimento prévio).

4.3. Melhoria e Desenvolvimento

• Analisar padrões de utilização para melhorar o serviço;
• Desenvolver novas funcionalidades;
• Identificar e corrigir erros técnicos;
• Realizar testes e otimizações.

4.4. Segurança e Conformidade

• Prevenir fraude e abuso;
• Proteger a segurança dos utilizadores e do serviço;
• Cumprir obrigações legais e regulamentares;
• Responder a pedidos de autoridades competentes.

5. Partilha de Dados com Terceiros

Não vendemos, alugamos ou partilhamos os seus dados pessoais com terceiros para fins de marketing sem o seu consentimento explícito.

Podemos partilhar dados com as seguintes categorias de destinatários:

Os nossos fornecedores de serviços apenas processam os dados estritamente necessários para a prestação dos respetivos serviços e estão contratualmente proibidos de:

• Utilizar os seus dados para finalidades próprias;
• Partilhar os seus dados com terceiros;
• Reter os seus dados além do período necessário para o serviço.

5.1. Fornecedores de Serviços (Subcontratantes RGPD)

Trabalhamos com fornecedores de confiança que processam dados em nosso nome, sujeitos a obrigações contratuais rigorosas de proteção de dados:

Armazenamento e Infraestrutura:

• Supabase Inc. — Armazenamento de dados (servidores localizados na União Europeia)
• Website: www.supabase.com

Inteligência Artificial:

• OpenAI, L.L.C. — Funcionalidade de assistência por IA
• Localização: Estados Unidos da América
• Website: www.openai.com
• Transferência: Cláusulas Contratuais-Tipo da UE

Open Banking / PSD2:

• GoCardless Ltd — Ligação segura a contas bancárias
• Regulador: Banco de Portugal
• Conformidade: PSD2, GDPR

Análises Web (opcional, com consentimento):

• Vercel Analytics — Análise agregada de utilização
• Localização: Estados Unidos da América
• Dados: Agregados e anonimizados, sem cookies de rastreamento

Publicidade e Conversões (opcional, com consentimento):

• Google Ireland Limited — Acompanhamento de conversões publicitárias
• Localização: Irlanda (com transferência para EUA)
• Website: www.google.com
• Conformidade: GDPR
• Transferência: Cláusulas Contratuais-Tipo da UE

Processamento de Pagamentos:

• Stripe, Inc. — Processamento seguro de pagamentos
• Localização: Estados Unidos da América (com operações na UE)
• Conformidade: PCI-DSS Level 1, GDPR

5.2. Obrigações Legais

Podemos divulgar dados pessoais quando:

• Exigido por lei ou regulamento;
• Solicitado por autoridades judiciais ou administrativas competentes;
• Necessário para proteger os nossos direitos legais;
• Essencial para prevenir danos graves à segurança de pessoas.

5.3. Transferência em Caso de Transação Comercial

Em caso de fusão, aquisição, venda de ativos ou reestruturação, os dados pessoais podem ser transferidos, sendo o adquirente obrigado a respeitar esta Política de Privacidade.

6. Transferências Internacionais de Dados

Os seus dados são armazenados primariamente em servidores localizados na União Europeia (Paris, França).

Alguns dos nossos fornecedores de serviços (nomeadamente OpenAI, Stripe, Vercel Analytics e Google) estão localizados fora do Espaço Económico Europeu, incluindo nos Estados Unidos da América.

Nestas situações, garantimos proteção adequada através de:

• Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914);
• Avaliação de Adequação da Comissão Europeia (quando aplicável);
• Garantias Adicionais conforme RGPD Art. 46.

Pode solicitar uma cópia das garantias implementadas contactando info@guito.pt.

7. Cookies e Local Storage

7.1. Cookies Estritamente Necessários

Utilizamos cookies estritamente necessários para funcionalidades essenciais da aplicação, incluindo:

• Autenticação de utilizadores e gestão de sessões (cookies de sessão);
• Preferências de segurança e proteção contra fraude;
• Funcionalidades técnicas necessárias ao funcionamento da aplicação.

Base legal: Interesse legítimo (prestação do serviço contratado) Estes cookies são essenciais e não requerem consentimento prévio.

7.2. Armazenamento Local (Local Storage)

Utilizamos Local Storage para armazenar temporariamente informações no dispositivo do utilizador:

• Preferências de interface e visualização;
• Estados temporários da aplicação;
• Preferências de privacidade e consentimento;
• Dados em cache para melhor desempenho.

7.3. Cookies e Análises Web (Opcionais — Requerem Consentimento)

Com o seu consentimento explícito, utilizamos ferramentas de análise web para compreender como melhorar o nosso serviço:

• Não utilizam cookies para rastreamento entre sites;
• Não recolhem informações pessoalmente identificáveis;
• Recolhem dados agregados sobre utilização (páginas visitadas, tempos de carregamento, país de origem);
• Os dados são mantidos de forma agregada e anónima.

Pode optar por desativar estas análises a qualquer momento através das suas preferências de privacidade na aplicação, sem afetar o funcionamento do serviço.

Base legal: Consentimento (RGPD Art. 6.º n.º 1 a)

7.4. Publicidade e Acompanhamento de Conversões

Com o seu consentimento explícito, podemos utilizar tecnologias de acompanhamento de conversões publicitárias (Google Ads) para medir a eficácia das nossas campanhas. Estes dados são recolhidos apenas com o seu consentimento prévio e podem ser desativados a qualquer momento nas definições de privacidade.

Não utilizamos cookies para marketing direcionado ou criação de perfis de utilizador para fins publicitários.

8. Retenção de Dados

Conservamos os seus dados pessoais apenas pelo período necessário às finalidades para as quais foram recolhidos, em conformidade com as obrigações legais aplicáveis:

Categoria de Dados	Período de Retenção	Fundamento
Dados de conta ativa	Enquanto a conta estiver ativa	Execução de contrato
Dados após cancelamento da conta	Até 12 meses	Resolução de disputas, cumprimento legal
Dados de transações e movimentos	Até 12 meses após eliminação da conta	Resolução de disputas e cumprimento legal
Dados de análises (agregados)	Até 2 anos	Melhoria do serviço
Comunicações de suporte	Até 3 anos	Interesse legítimo
Dados de pagamento (se aplicável)	Conforme exigências regulamentares	Cumprimento legal
Preferências de privacidade	Mantidas localmente no dispositivo	N/A

Após os períodos indicados, os dados são eliminados de forma segura e irreversível, ou anonimizados para análise estatística.

9. Direitos dos Titulares dos Dados

Em conformidade com o RGPD, tem os seguintes direitos relativamente aos seus dados pessoais:

9.1. Direito de Acesso (Art. 15.º)

Pode solicitar confirmação sobre se tratamos os seus dados e obter uma cópia dos mesmos.

9.2. Direito de Retificação (Art. 16.º)

Pode solicitar a correção de dados inexatos ou incompletos.

9.3. Direito ao Apagamento — "Direito a Ser Esquecido" (Art. 17.º)

Pode solicitar a eliminação dos seus dados quando:

• Já não forem necessários para as finalidades originais;
• Retirar o consentimento e não existir outra base legal;
• Opuser-se ao tratamento e não existirem interesses legítimos prevalecentes;
• Os dados tenham sido tratados ilicitamente.

9.4. Direito à Limitação do Tratamento (Art. 18.º)

Pode solicitar a restrição temporária do tratamento em determinadas circunstâncias.

9.5. Direito à Portabilidade dos Dados (Art. 20.º)

Pode receber os seus dados num formato estruturado, de uso corrente e leitura automática (JSON, CSV) e transmiti-los a outro responsável.

9.6. Direito de Oposição (Art. 21.º)

Pode opor-se ao tratamento dos seus dados baseado em interesse legítimo, incluindo para fins de marketing direto.

9.7. Direito de Retirar o Consentimento

Quando o tratamento se baseia no consentimento, pode retirá-lo a qualquer momento, sem comprometer a licitude do tratamento efetuado anteriormente.

9.8. Direito de Apresentar Reclamação

Tem o direito de apresentar reclamação junto da autoridade de controlo.

9.9. Como Exercer os Seus Direitos

Para exercer qualquer dos direitos acima, pode:

• Email: info@guito.pt (Assunto: "Direitos RGPD")
• Definições da Aplicação: Algumas funcionalidades (exportação, eliminação) estão disponíveis diretamente na aplicação

Responderemos ao seu pedido no prazo de 1 mês (prorrogável até 3 meses em casos complexos).

10. Gestão das Suas Preferências de Privacidade

10.1. Preferências de Análises Web

Pode gerir as suas preferências de análises web a qualquer momento:

• Através das definições de privacidade na aplicação;
• Clicando no ícone de definições de privacidade (se disponível);
• Contactando-nos através de info@guito.pt.

A retirada do consentimento não afeta a legalidade do tratamento efetuado anteriormente e não prejudica o funcionamento do serviço.

10.2. Limpeza de Dados Locais

Para remover completamente os dados armazenados localmente no seu dispositivo:

Cookies:

• Limpe os cookies do site nas definições do seu navegador (Chrome, Firefox, Safari, etc.).

Local Storage:

• Limpe os dados do site nas definições do navegador;
• Ou utilize o modo de navegação privada/anónima.

10.3. Notificações e Comunicações

Pode gerir as suas preferências de notificações nas definições da aplicação ou através dos links de cancelamento de subscrição incluídos nos emails.

11. Segurança dos Dados

Adotamos medidas técnicas e organizativas adequadas para proteger os seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição, incluindo:

11.1. Medidas Técnicas

• Encriptação de dados em trânsito e em repouso conforme as melhores práticas da indústria;
• Palavras-passe armazenadas de forma segura através de algoritmos de hashing fortes;
• Sistemas de proteção de rede e deteção de intrusões;
• Backups regulares encriptados;
• Testes de segurança e auditorias periódicas.

11.2. Medidas Organizativas

• Controlos de acesso rigorosos — acesso aos dados apenas por pessoal autorizado, em situações específicas como resolução de problemas reportados pelo utilizador, investigação de incidentes de segurança, ou manutenção dos sistemas;
• Formação em proteção de dados para colaboradores;
• Políticas de segurança da informação documentadas;
• Acordos de confidencialidade com colaboradores e fornecedores;
• Procedimentos de resposta a incidentes de segurança.

11.3. Fornecedores Certificados

Os nossos principais fornecedores de serviços mantêm certificações de segurança relevantes para os respetivos serviços prestados, incluindo normas internacionais de gestão de segurança da informação e controlos de segurança.

11.4. Proteção dos Dados Financeiros

Os seus dados financeiros beneficiam de múltiplas camadas de proteção:

Encriptação: Os dados são protegidos através de encriptação em repouso e em trânsito, seguindo práticas de segurança reconhecidas na indústria de serviços financeiros.

Separação de dados: A sua informação de identificação (nome e email) é armazenada separadamente dos seus dados financeiros. Os dados financeiros são associados apenas através de identificadores internos, limitando a exposição em caso de incidente.

Controlos de acesso: Implementamos controlos de segurança ao nível da base de dados que garantem que cada utilizador apenas consegue aceder aos seus próprios dados através da aplicação. Todo o acesso aos sistemas é controlado e registado.

Dados sensíveis: Informações como IBANs não são armazenadas na íntegra — guardamos apenas os primeiros quatro e os últimos quatro caracteres para identificação.

11.5. Notificação de Violações de Dados

Em caso de violação de dados pessoais que represente um risco elevado para os seus direitos e liberdades:

• Notificaremos a Comissão Nacional de Proteção de Dados (CNPD) no prazo de 72 horas;
• Notificaremos os utilizadores afetados sem demora injustificada através de:
  • Email para o endereço registado;
  • Notificação na aplicação;
  • Publicação no website (se apropriado).

12. Proteção de Menores

O guito não recolhe intencionalmente dados pessoais de menores de 16 anos sem consentimento parental verificável.

Se utilizar o guito tem pelo menos 16 anos de idade, ou tem autorização de um titular de responsabilidades parentais.

Se tiver conhecimento ou suspeita de que recolhemos dados de um menor de 16 anos sem consentimento adequado, contacte-nos imediatamente através de info@guito.pt. Eliminaremos esses dados de forma imediata e permanente.

13. Decisões Automatizadas e Definição de Perfis

O guito não toma decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente o utilizador, com base exclusivamente no tratamento automatizado de dados (RGPD Art. 22.º).

A funcionalidade de inteligência artificial pode:

• Sugerir categorizações de transações;
• Fornecer insights sobre hábitos financeiros;
• Auxiliar na introdução de dados.

Estas sugestões são sempre revistas e confirmadas pelo utilizador. Não tomamos decisões automáticas sobre:

• Concessão ou recusa de serviços;
• Condições contratuais;
• Avaliação de crédito ou risco financeiro.

14. Funcionalidade de Inteligência Artificial

O guito disponibiliza uma funcionalidade de inteligência artificial (IA) para apoio e interação com os utilizadores. Esta funcionalidade é fornecida através da OpenAI, L.L.C.

14.1. Dados Enviados para Processamento por IA

As mensagens e comandos enviados pelo utilizador para a IA podem, de forma voluntária, conter:

• Informações sobre transações financeiras;
• Perguntas sobre gestão financeira;
• Dados pessoais fornecidos pelo utilizador.

14.2. Importação Inteligente de Transações

O guito oferece uma funcionalidade de importação automática de transações através de inteligência artificial, que permite:

• Upload de documentos financeiros (extratos bancários, faturas);
• Extração automática de informações de transações;
• Categorização inteligente de movimentos.

Durante este processo:

• Os documentos são temporariamente processados pela IA;
• Os dados extraídos ficam sob o controlo do utilizador;
• Os documentos originais não são armazenados permanentemente (salvo se o utilizador optar por guardar);
• A precisão da extração deve ser sempre verificada pelo utilizador.

14.3. Processamento e Retenção

Esses dados são processados de acordo com a presente Política de Privacidade e os termos de serviço da OpenAI.

O tratamento de dados pela funcionalidade de IA está sujeito a acordos contratuais rigorosos com os nossos fornecedores, que incluem:

• Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia para transferências internacionais;
• Compromissos de não utilização dos dados para treino de modelos de IA;
• Períodos de retenção limitados conforme os nossos acordos de processamento de dados.

Ao utilizar a funcionalidade de IA, o utilizador pode optar por:

• Evitar incluir informações pessoais identificáveis nas suas interações;
• Utilizar descrições genéricas em vez de valores específicos;
• Desativar funcionalidades de IA nas definições da conta.

14.4. Recomendações

Recomendamos que o utilizador:

• Evite enviar dados sensíveis ou informações pessoais identificáveis desnecessárias;
• Seja genérico nas perguntas quando possível;
• Reveja cuidadosamente as informações antes de as enviar para a IA.

As interações podem ser armazenadas pelo nosso fornecedor de tecnologia para fins de:

• Melhoria do serviço e dos modelos de IA;
• Garantia de qualidade e segurança;
• Cumprimento de obrigações legais.

15. Alterações a esta Política de Privacidade

Poderemos atualizar esta Política de Privacidade periodicamente para refletir alterações nos nossos serviços, práticas de tratamento de dados ou obrigações legais.

As alterações serão comunicadas através de:

• Notificação na aplicação — pop-up ou banner informativo;
• Atualização da data de revisão no final desta página;
• Email direto para o endereço registado (para alterações materiais ou significativas);
• Publicação no website com destaque para as alterações.

Encorajamos a consulta regular desta Política. Alterações materiais que afetem os seus direitos entrarão em vigor:

• 30 dias após a notificação; ou
• Após a obtenção do seu consentimento explícito (quando exigido por lei).

A continuação da utilização do guito após a entrada em vigor das alterações implica a aceitação da Política revista.

16. Autoridade de Controlo — Direito de Reclamação

Tem o direito de apresentar reclamação junto da autoridade de controlo competente em matéria de proteção de dados pessoais:

Comissão Nacional de Proteção de Dados (CNPD) Website: www.cnpd.pt Email: geral@cnpd.pt Telefone: +351 213 928 400 Morada: Av. D. Carlos I, 134, 1.º, 1200-651 Lisboa, Portugal Horário de Atendimento: Segunda a Sexta, 09h30 — 12h30 | 14h00 — 17h00

Pode também apresentar reclamação junto da autoridade de controlo do país da UE onde reside ou trabalha habitualmente, ou onde ocorreu a alegada violação.

17. Contacto e Questões sobre Privacidade

Para quaisquer dúvidas relacionadas com esta Política de Privacidade, proteção de dados ou exercício dos seus direitos, por favor contacte-nos através de:

Email: info@guito.pt Assunto sugerido: "Privacidade e Proteção de Dados"

Responderemos no prazo máximo de 1 mês a contar da receção do pedido.

18. Legislação Aplicável

Esta Política de Privacidade é regida pelo:

• Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados — RGPD);
• Lei n.º 58/2019, de 8 de agosto (Lei de Proteção de Dados Pessoais);
• Lei n.º 41/2004, de 18 de agosto (Privacidade nas Comunicações Eletrónicas);
• Demais legislação portuguesa e europeia aplicável em matéria de proteção de dados.