Data de entrada em vigor: 23 de maio de 2026
Aviso de tradução: versão portuguesa juridicamente vinculativa para residentes em Portugal. Versão ucraniana:
privacy.md.
Respeitamos a sua privacidade. Este documento descreve quais os dados que recolhemos, como os utilizamos e como pode controlá-los. Em conformidade com o RGPD (Regulamento UE 2016/679).
1. Responsável pelo tratamento
Responsável: Ruslan Yarmoliuk NIF: a ser indicado após registo formal Endereço: Lisboa, Portugal Email para questões RGPD: dpo@olabotardivna.com Contacto geral: hello@olabotardivna.com
A função de DPO (Encarregado de Proteção de Dados) é atualmente desempenhada pelo responsável. A nomeação de um DPO dedicado será efetuada quando ultrapassados os limiares do art. 37 RGPD (atualmente não aplicável).
2. Dados recolhidos
2.1. Automaticamente no registo via Telegram
tg_user_id(identificador único Telegram)first_nametg_username(se público)language_codeis_premium- Endereço IP (90 dias, audit logs)
Base legal para tg_user_id / first_name: execução de contrato (Art. 6(1)(b)). Base legal para IP: interesse legítimo (Art. 6(1)(f)) — segurança / prevenção de fraude.
2.2. Dados que fornece voluntariamente
- Cidade, biografia, fotos, idiomas, categorias
- Geolocalização (opt-in apenas)
- Documentos de verificação (Especialistas, temporariamente)
Base legal: consentimento + execução de contrato.
Importante: documentos de verificação são dados pessoais comuns, NÃO categoria especial (Art. 9 RGPD), porque a selfie NÃO é utilizada para reconhecimento facial automático, apenas comparação visual por administrador.
2.3. Conteúdo criado
- Mensagens de chat, propostas, avaliações, pedidos no quadro reverso.
Base legal: execução de contrato.
3. Utilização dos dados
- Fornecimento de funcionalidade da Plataforma
- Notificações
- Melhoria do serviço (estatísticas agregadas)
- Cumprimento de obrigações legais
NÃO utilizamos os dados para: publicidade de terceiros, venda, profiling comercial, treino de IA.
4. Quem tem acesso
- Você: acesso total aos seus dados via perfil
- Outros utilizadores: apenas campos públicos
- Administradores: moderação, suporte técnico, verificação
- Telegram (Telegram FZ-LLC, UAE): interação via Bot API. Transferência transfronteiriça nos termos do Art. 49(1)(b) RGPD — necessária para execução do contrato, iniciada pelo titular dos dados.
- Hetzner Online GmbH (Alemanha — UE): infraestrutura. DPA disponível.
- OpenAI (apenas dev-stage): geração de fotos demo. Dados pessoais de utilizadores NÃO são transferidos.
5. Período de retenção
| Dados | Período | Base legal |
|---|---|---|
| Perfil ativo | Até eliminação da conta | Art. 6(1)(b) |
| Perfil pós-eliminação | Hard delete ≤30 dias | direito ao apagamento |
| Mensagens de chat | Até eliminação da conta | Art. 6(1)(b) |
| Encomendas históricas | 5 anos pseudonimizadas | Art. 6(1)(c) — Lei Geral Tributária art. 53 |
| Avaliações | Anonimizadas após eliminação | interesse legítimo |
| Documentos de verificação | 30d rejected / 90d approved | consentimento + auditoria |
| Endereços IP / audit logs | 90 dias | interesse legítimo |
| Cookies sessão | Até fechar browser | strictly necessary |
6. Os seus direitos (RGPD)
- Direito de acesso
- Direito de retificação
- Direito ao apagamento (right to be forgotten)
- Direito à limitação do tratamento
- Direito à portabilidade dos dados — endpoint
GET /api/v1/auth/me/export/ - Direito de oposição
- Direito de retirar consentimento
- Direito de apresentar reclamação à CNPD — https://www.cnpd.pt/
Para exercer os seus direitos: dpo@olabotardivna.com ou via @Ola_Botardivna_bot.
Notificação de violação: em caso de violação, notificaremos a CNPD em 72 horas (Art. 33 RGPD) e os titulares afetados sem atraso indevido se o risco for elevado.
7. Geolocalização
7.1. NÃO recolhemos geolocalização automaticamente. Apenas com consentimento expresso opt-in.
7.2. Coordenadas armazenadas arredondadas a 2 casas decimais (~1.1km precisão).
7.3. O consentimento é revogável em qualquer momento.
8. Cookies
- Cookie de sessão — exempto de banner per CNPD Guidelines 2019 (strictly necessary)
- Sem cookies analíticos de terceiros
- Mini App não utiliza cookies — autoautenticação via TG initData
9. Segurança
- HTTPS + HSTS
- Verificação HMAC do TG initData
- Documentos de verificação armazenados fora da web root, acesso autenticado
- Pillow re-encode para todas as imagens (EXIF + ICC strip)
- Backups encriptados diários (PGP)
- 2FA obrigatório para administradores
- Audit logs com retenção de 90 dias
10. Menores
A Plataforma não se destina a pessoas com menos de 18 anos. Contas detetadas serão eliminadas.
11. Alterações
Alterações substanciais comunicadas com 7 dias de antecedência.
12. DPIA
Foi realizada uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) para os processos de verificação e geolocalização. Documento disponível mediante pedido ao DPO.
13. Contactos
- DPO / questões de privacidade: dpo@olabotardivna.com
- CNPD (regulador nacional): https://www.cnpd.pt/
Версія українською: privacy.md.