Política de Privacidade
Conforme RGPD (Regulamento (UE) 2016/679) artigos 13 e 14. Última actualização: 1 de Maio de 2026
1. Responsável pelo tratamento
Vigente Solutions, Lda (entidade em formação). Contacto: privacidade@vigente.ai
2. Dados que recolhemos
- Email (obrigatório para conta)
- Nome (opcional)
- Conteúdo das tuas perguntas e respostas (para que as possas consultar mais tarde)
- Sources citadas em cada resposta (artigo, URL DRE)
- Contagem de uso mensal (para enforço de quota)
- Stripe customer ID (apenas se subscreveres Pro; o cartão NÃO é guardado pela Vigente — fica directamente na Stripe)
- IP anónimo (apenas para rate-limit do trial — não associado a contas)
3. Finalidades e bases legais
- Execução do contrato (Art. 6.1.b RGPD): prestar o serviço de IA com fontes citadas, processar pagamentos.
- Interesse legítimo (Art. 6.1.f RGPD): qualidade do serviço, prevenção de abuso (rate-limit, anti-fraude).
- Obrigação legal (Art. 6.1.c RGPD): registos contabilísticos, conformidade fiscal.
- NÃO usamos os teus dados para treinar modelos de IA. Enviamos sempre o cabeçalho HTTP
X-OpenRouter-Training: false.
4. Sub-processadores
A Vigente usa os seguintes sub-processadores para operar o serviço:
| Sub-processador | Finalidade |
|---|---|
| OpenRouter ↗ | Gateway para modelos de IA (LLMs e embeddings) |
| Cohere ↗ | Reranker de resultados (rerank-v3.5) |
| Resend ↗ | Envio de emails transaccionais (magic link, confirmação) |
| Stripe ↗ | Processamento de pagamentos do plano Pro |
| Tavily ↗ | Web search ao vivo restrito a domínios oficiais (plano Pro) |
| PostHog ↗ | Product analytics agregado (eventos de funil) |
| Sentry ↗ | Captura de erros para diagnóstico (sem PII intencional) |
| Vercel ↗ | Hosting do frontend (Next.js) |
| Railway ↗ | Hosting da API e workers |
| Neon ↗ | Base de dados Postgres (conversas, contas) |
| Upstash ↗ | Redis (rate-limit, filas) |
5. Transferências internacionais
Alguns sub-processadores (OpenRouter, Cohere, Stripe, PostHog, Sentry) podem processar dados em jurisdições fora do EEE, em particular nos EUA. As transferências são protegidas por Cláusulas Contratuais Tipo (SCC) da Comissão Europeia ou pelo EU-US Data Privacy Framework quando aplicável.
6. Retenção
- Conversas e mensagens: 12 meses após criação OU até apagares a conta, o que for mais cedo.
- Email + dados de conta: até cancelamento da conta.
- Logs de auditoria (Sentry): 90 dias.
- Faturação Stripe: conforme obrigações fiscais portuguesas (10 anos).
7. Os teus direitos RGPD
Tens direito a:
- Acesso e portabilidade (Art. 15 e 20): exporta todos os teus dados em JSON via Definições.
- Rectificação (Art. 16): editar nome/email em Definições.
- Apagamento (Art. 17): apagar a conta integralmente em Definições; cascade delete remove tudo.
- Oposição e limitação (Art. 21 e 18): contacta-nos.
- Reclamar à autoridade de controlo: CNPD.
8. Cookies
A Vigente usa apenas cookies essenciais (não requerem consentimento per Diretiva ePrivacy):
better-auth.session— sessão autenticada (HttpOnly + Secure + SameSite=Lax)vigente.disclosure-acked— lembra que dispensaste o aviso de IA
NÃO usamos cookies de tracking, advertising ou analytics 3rd-party.
9. Segurança
Comunicações em HTTPS/TLS 1.3. Passwords não são usadas (autenticação via magic link). Dados em Postgres com encryption-at-rest no provedor (Neon). Acessos administrativos com 2FA. Em caso de violação de dados pessoais, notificamos a CNPD em 72h conforme Art. 33 RGPD.
10. Alterações
Esta política pode ser actualizada. A data de última actualização no topo reflecte a versão actual. Alterações materiais serão notificadas por email aos utilizadores activos com 14 dias de antecedência.
11. Contacto
privacidade@vigente.ai
Para reclamações: Comissão Nacional de Protecção de Dados (CNPD)