Legal

Política de Privacidade

O Paylo respeita a tua privacidade. Esta política explica que dados recolhemos, para que servem, com quem partilhamos, durante quanto tempo guardamos e como podes exercer os teus direitos — em conformidade com o Regulamento (UE) 2016/679 (RGPD) e a Lei n.º 58/2019.

Última atualização: 21 de maio de 2026

01Responsável pelo tratamento

O responsável pelo tratamento dos dados pessoais é SwipeUpLabs, com sede em CEI, Av. do Empresário Castelo Branco, Portugal , contactável através de ruben@swipeuplabs.com.

Atualmente não existe obrigação legal de designação de Encarregado de Proteção de Dados (DPO/EPD). Caso passe a existir, o contacto do EPD será publicado nesta página.

02Que dados recolhemos

2.1 Dados de conta

  • Nome, endereço de email e password (esta última armazenada com hash).
  • Identificador da conta Google, quando inicias sessão com Google (não armazenamos a tua password Google).
  • Imagem de perfil, se a forneceres via Google.

2.2 Dados fiscais e de faturação

  • NIF, morada, código postal, cidade e IBAN do utilizador.
  • Regime de IVA aplicável, taxa padrão de IVA, data de início de atividade.
  • Dados dos clientes inseridos pelo utilizador: nome, NIF, email, morada, tipo de cliente, taxa de retenção na fonte.
  • Avenças, faturações (estado, valores, datas, descrições) e linhas de fatura.
  • Volume acumulado anual e flags de alertas associadas ao Art. 53.º do CIVA.
  • Lembretes criados manualmente pelo utilizador.

2.3 Dados técnicos

  • Endereço IP, agente do utilizador (browser) e identificador de sessão.
  • Registos de acesso e de erros, durante períodos limitados, para fins de segurança e diagnóstico.

03Finalidades e fundamentos legais

Tratamos os teus dados pessoais para as seguintes finalidades, com os fundamentos jurídicos indicados (art. 6.º do RGPD):

FinalidadeFundamento legal
Criação e gestão da conta de utilizador.Execução do contrato (art. 6.º, n.º 1, al. b).
Prestação do serviço de faturação, incluindo cálculos fiscais.Execução do contrato (art. 6.º, n.º 1, al. b).
Envio de avisos de proximidade do limiar do Art. 53.º (configurável nas definições).Execução do contrato e/ou consentimento — revogável a qualquer momento (al. b) e al. a)).
Resposta a pedidos de suporte.Execução do contrato e interesse legítimo (al. b) e al. f)).
Cumprimento de obrigações legais (faturação, retenção fiscal, prevenção de fraude).Obrigação jurídica — al. c).
Segurança da plataforma e prevenção de abusos.Interesse legítimo — al. f).
Comunicações de produto não promocionais.Interesse legítimo — al. f).

Não realizamos decisões totalmente automatizadas com efeitos jurídicos sobre o utilizador na aceção do art. 22.º do RGPD.

04Subprocessadores

Recorremos a prestadores de serviços externos, vinculados por contrato de subcontratação nos termos do art. 28.º do RGPD. Os subprocessadores ativos são:

SubprocessadorFinalidadeLocalização
Vercel Inc.Alojamento da aplicação web.EUA (com garantias adequadas — DPF)
Neon, Inc.Base de dados PostgreSQL.União Europeia (região configurável)
Resend, Inc.Envio de emails transacionais (verificação, recuperação, alertas).EUA (com garantias adequadas — DPF)
Google LLCAutenticação OAuth (opcional, para iniciar sessão sem password).EUA (com garantias adequadas — DPF)

A lista pode ser atualizada para refletir novos subprocessadores — alterações materiais serão comunicadas com aviso prévio.

05Transferências internacionais

Sempre que possível, mantemos os dados em servidores localizados no Espaço Económico Europeu. Algumas transferências para os Estados Unidos (Vercel, Resend, Google) são feitas ao abrigo do EU–US Data Privacy Framework (DPF), ou de Cláusulas Contratuais Tipo da Comissão Europeia, garantindo um nível de proteção essencialmente equivalente ao do RGPD (artigos 45.º e 46.º).

06Períodos de conservação

6.1 Conta de utilizador

Os dados de conta são conservados enquanto a conta estiver ativa. Após pedido de eliminação (em «Definições → Zona perigosa»), os dados pessoais são removidos no prazo máximo de 30 dias — ressalvados os documentos cuja conservação seja legalmente obrigatória.

6.2 Documentos fiscais e contabilísticos

Faturações, recibos, dados de clientes envolvidos em emissões efetivas e demais documentos com relevância fiscal são conservados durante 10 anos, em cumprimento do art. 123.º da Lei Geral Tributária e do art. 40.º do Código Comercial. Após esse prazo, são eliminados ou anonimizados.

6.3 Registos técnicos

Logs de acesso e diagnóstico são conservados por um período máximo de 6 meses, salvo necessidade superior por motivos de segurança ou para resposta a incidentes.

07Os teus direitos

Nos termos do RGPD, dispões dos seguintes direitos sobre os teus dados pessoais:

  • Acesso (art. 15.º) — obter cópia dos dados pessoais que tratamos sobre ti.
  • Retificação (art. 16.º) — corrigir dados inexatos ou incompletos diretamente em «Definições» ou por pedido.
  • Apagamento (art. 17.º) — solicitar a eliminação dos teus dados, sem prejuízo de obrigações legais de conservação.
  • Limitação (art. 18.º) — pedir a suspensão do tratamento em determinadas situações.
  • Portabilidade (art. 20.º) — receber os dados em formato estruturado e de uso corrente (CSV/JSON).
  • Oposição (art. 21.º) — opor-te a tratamentos baseados em interesse legítimo.
  • Retirada de consentimento (art. 7.º, n.º 3) — quando o fundamento for o consentimento, podes retirá-lo em qualquer momento sem afetar a licitude do tratamento anterior.

Para exercer qualquer destes direitos, envia um email para ruben@swipeuplabs.com. Responderemos no prazo legal — em regra, um mês, prorrogável por mais dois em casos complexos.

08Segurança

Implementamos medidas técnicas e organizativas adequadas para proteger os teus dados, designadamente:

  • Cifragem em trânsito (TLS) em todas as comunicações.
  • Cifragem em repouso aplicada pela infraestrutura dos subprocessadores (base de dados, alojamento).
  • Hashing de passwords com algoritmos modernos e configuração de salt adequada.
  • Princípio do menor privilégio nos acessos administrativos.
  • Monitorização contínua e processos de resposta a incidentes.

Em caso de violação de dados pessoais com risco para os direitos e liberdades dos utilizadores, notificaremos a CNPD em 72 horas e — se for caso disso — os utilizadores afetados, conforme exigido pelos artigos 33.º e 34.º do RGPD.

09Cookies e tecnologias similares

O Paylo utiliza apenas cookies estritamente necessários ao funcionamento da Plataforma — designadamente para manter a sessão autenticada do utilizador. Estes cookies estão dispensados de consentimento prévio nos termos do n.º 2 do art. 5.º da Diretiva 2002/58/CE («ePrivacy») e da Lei n.º 41/2004.

Não utilizamos cookies de marketing ou de análise comportamental (analytics) sem o teu consentimento explícito. Caso venhamos a introduzi-los no futuro, será apresentada uma janela de consentimento (CMP) com opção clara de aceitar, recusar ou personalizar.

10Menores de idade

O Paylo destina-se a adultos com capacidade para exercer atividade profissional independente. Não recolhemos conscientemente dados de menores de 18 anos. Caso tenhamos conhecimento de tratamento inadvertido desse tipo, procederemos à eliminação imediata dos dados.

11Alterações à política

Esta Política poderá ser atualizada para refletir alterações legais, técnicas ou ao serviço. Alterações materiais serão notificadas com aviso prévio mínimo de 15 dias, por email e/ou por aviso na Plataforma. A data da última atualização consta no topo do documento.

12Contacto e reclamações

Para qualquer dúvida relativa ao tratamento dos teus dados, contacta-nos em ruben@swipeuplabs.com.

Sem prejuízo do contacto direto connosco, tens igualmente o direito de apresentar reclamação junto da autoridade de controlo competente — em Portugal, a Comissão Nacional de Proteção de Dados (CNPD):

  • Av. D. Carlos I, 134 — 1.º, 1200-651 Lisboa
  • Telefone: +351 213 928 400
  • Email: geral@cnpd.pt
  • Web: cnpd.pt