Política de privacidade

1. Responsável pelo tratamento

Navescale, Lda
Praça Duque de Saldanha 1, 2.º andar
1050-094 Lisboa, Portugal
NIF: 518556719
Contacto DPO: [email protected]

2. Dados recolhidos

O Qaptivo recolhe e trata os seguintes dados:

• Clientes (utilizadores do dashboard): email, palavra-passe (com hash bcrypt), nome do estabelecimento
• Visitantes (utilizadores do chatbot): mensagens de conversa, email/telefone/nome (se comunicados voluntariamente), endereço IP (apenas para rate limiting), parâmetros UTM e referrer

3. Finalidades do tratamento

• Fornecimento do serviço de chatbot IA e de captura de leads
• Scoring automático de leads para priorizar o acompanhamento comercial
• Melhoria contínua do serviço (perguntas sem resposta, saúde da base de conhecimento)
• Envio de notificações e relatórios semanais aos Clientes
• Faturação e gestão das subscrições

4. Base legal

• Execução do contrato (art. 6.1.b RGPD): tratamento dos dados necessários à prestação do serviço
• Interesse legítimo (art. 6.1.f RGPD): captura de leads em nome do Cliente, melhoria do serviço
• Consentimento (art. 6.1.a RGPD): o visitante comunica voluntariamente os seus dados de contacto através do chatbot

5. Estatuto jurídico do Qaptivo

O Qaptivo atua sob dois estatutos jurídicos distintos, a precisar para cada tratamento:

• Responsável pelo tratamento dos dados dos seus próprios Clientes (contas do dashboard, faturação, suporte, potenciais clientes do qaptivo.com).
• Subcontratante na aceção do art. 28.º RGPD dos dados dos visitantes e potenciais interessados de cada escola Cliente, tratados através do widget chatbot. A escola é, neste caso, o responsável pelo tratamento e fixa as finalidades. Um Data Processing Agreement (DPA) é celebrado com cada escola Cliente — disponível em qaptivo.com/dpa.

6. Subcontratantes ulteriores

O Qaptivo recorre aos seguintes subcontratantes ulteriores, todos abrangidos por garantias adequadas (Data Privacy Framework e/ou cláusulas contratuais-tipo da Comissão Europeia):

• Hetzner Online GmbH (Alemanha, Frankfurt) — Alojamento do servidor, base de dados e armazenamento de ficheiros
• Anthropic, PBC (EUA) — Processamento IA das conversas (modelo Claude). Os dados enviados através da API não são utilizados para treinar os modelos.
• OpenAI, L.L.C. (EUA) — Geração de embeddings para pesquisa semântica. Os dados enviados através da API não são utilizados para treinar os modelos.
• Cloudflare, Inc. (EUA) — Browser Rendering API para o scraping de sites das escolas e Turnstile para a proteção anti-bots
• Stripe, Inc. (EUA / Irlanda) — Pagamento e faturação das subscrições Qaptivo
• Sendinblue (Brevo) (França) — Envio de emails transacionais (notificações de leads, relatórios semanais)
• Giphy, Inc. (EUA) — Pesquisa e exibição de GIFs nas conversas (apenas se a opção for ativada pela escola)
• Functional Software, Inc. (Sentry.io) (EUA) — Monitorização de erros aplicacionais. Filtro ativo sobre os dados pessoais (PII scrubbing).
• JustShipIt Pte. Ltd. (DataFast) (Singapura, infraestrutura UE) — Analytics do site marketing qaptivo.com apenas (não tem qualquer acesso aos dados do widget nem das escolas Clientes)

Qualquer evolução desta lista é objeto de notificação prévia aos Clientes com um pré-aviso razoável, em conformidade com os compromissos do DPA.

7. Duração de conservação

• Conversas: 12 meses, seguido de eliminação ou anonimização automática
• Leads: conservados enquanto a conta do Cliente estiver ativa, eliminados mediante pedido
• Contas de Cliente: conservadas durante a duração da subscrição + 30 dias após rescisão

8. Direitos das pessoas em causa

Em conformidade com o RGPD, dispõe dos seguintes direitos:

• Direito de acesso aos seus dados pessoais
• Direito de retificação dos dados inexatos
• Direito ao apagamento («direito ao esquecimento»)
• Direito à limitação do tratamento
• Direito à portabilidade dos dados
• Direito de oposição ao tratamento

Para exercer estes direitos, contacte-nos em [email protected]. Responderemos num prazo de 30 dias.

9. Segurança

• Palavras-passe com hash bcrypt (cost factor 12)
• Comunicações cifradas em HTTPS (TLS 1.2+)
• Isolamento dos dados por tenant (cada cliente acede apenas aos seus próprios dados)
• Rate limiting nos endpoints públicos
• Cópias de segurança diárias da base de dados

10. Cookies e analytics

O site qaptivo.com utiliza o DataFast para medir a sua audiência (páginas visitadas, origem dos visitantes). Este serviço é carregado apenas após o seu consentimento explícito através do banner de cookies. Pode retirar o seu consentimento a qualquer momento eliminando o cookie qaptivo_consent nas definições do seu navegador. O DataFast não tem qualquer acesso aos dados recolhidos através do widget chatbot.

O widget Qaptivo integrado nas escolas Clientes não coloca qualquer cookie nem identificador local enquanto o visitante não tiver clicado na bolha para abrir o chat. Após a abertura, é utilizado um identificador de sessão temporário em memória (não persistente entre recargas de página) para manter a continuidade da conversa. Não é colocado qualquer cookie publicitário ou de rastreamento de terceiros.

11. Transferências para fora da UE

Alguns dados são transferidos para os Estados Unidos (Anthropic, OpenAI, Stripe, Cloudflare, Giphy, Sentry). Estas transferências são enquadradas pelo EU-US Data Privacy Framework e/ou por cláusulas contratuais-tipo aprovadas pela Comissão Europeia. O alojamento principal (base de dados e ficheiros aplicacionais) permanece localizado na Alemanha (Hetzner, Frankfurt).

12. Decisões automatizadas e lead scoring

O serviço Qaptivo aplica às conversas captadas uma análise automatizada destinada a avaliar o nível de interesse comercial do potencial interessado («lead scoring», pontuação de 0 a 100 calculada a partir do envolvimento e das intenções expressas).

Em conformidade com o artigo 22.º do RGPD, esta análise não produz qualquer efeito jurídico em relação à pessoa em causa e não a afeta significativamente de forma similar. Serve apenas para ajudar as equipas humanas da escola a priorizar os contactos telefónicos. Nenhuma decisão (admissão, recusa, atribuição de financiamento) é tomada com base nesta pontuação. A pessoa em causa pode, a qualquer momento, solicitar a eliminação dessa pontuação contactando a escola Cliente ou o Qaptivo.

13. Reclamação

Se considerar que o tratamento dos seus dados não está em conformidade com o RGPD, pode apresentar uma reclamação junto da CNPD (Comissão Nacional de Proteção de Dados, autoridade de controlo competente para a Navescale, Lda em Portugal), ou junto da autoridade de proteção de dados do seu país de residência (por exemplo a CNIL em França).