Política de Privacidade

O responsável pelo tratamento dos dados pessoais é a Firestarter ("Firestarter", "nós"), contactável através de privacy@firestarter.app. Esta Política de Privacidade descreve como recolhemos, utilizamos, armazenamos e protegemos os dados pessoais dos utilizadores da Plataforma, em conformidade com o Regulamento Geral sobre a Protecção de Dados (RGPD — Regulamento (UE) 2016/679), a Lei n.º 58/2019, o UK GDPR e, quando aplicável, a Lei Geral de Protecção de Dados do Brasil (LGPD — Lei n.º 13.709/2018).

Recolhemos as seguintes categorias de dados:

**Dados fornecidos pelo Utilizador:** endereço de email, dados financeiros introduzidos voluntariamente (rendimento, despesas, poupanças, portfólio — nunca dados bancários directos), idade, país de residência, preferências de língua.

**Dados recolhidos automaticamente:** endereço IP (anonimizado), tipo de navegador e versão, sistema operativo, páginas visitadas, duração da sessão, eventos de interacção com a Plataforma.

**Dados de pagamento:** processados exclusivamente pelo Stripe, Inc. A Firestarter não tem acesso a dados de cartões de crédito ou débito. Armazenamos apenas o identificador de cliente Stripe e o estado da subscrição.

**Dados gerados pelo Serviço:** FIRE Score, cálculos, snapshots mensais, histórico de cenários.

Tratamos os dados pessoais com base nas seguintes bases legais:

• **Execução de contrato (art. 6.º, n.º 1, al. b) do RGPD):** prestação do Serviço, gestão de conta, processamento de subscrições.

• **Interesse legítimo (art. 6.º, n.º 1, al. f) do RGPD):** segurança da Plataforma, prevenção de fraude, melhoria do Serviço, análise de desempenho agregada e anonimizada.

• **Consentimento (art. 6.º, n.º 1, al. a) do RGPD):** envio de comunicações de marketing, utilização de cookies não essenciais. O consentimento pode ser retirado a qualquer momento.

• **Cumprimento de obrigação legal (art. 6.º, n.º 1, al. c) do RGPD):** conservação de registos fiscais e contabilísticos.

Utilizamos os seguintes tipos de cookies:

**Cookies essenciais (sem necessidade de consentimento):** necessários para o funcionamento da Plataforma, autenticação de sessão e segurança. Não podem ser desactivados.

**Cookies de análise (mediante consentimento):** utilizamos o PostHog para análise de comportamento de utilizadores de forma anonimizada e agregada. Os dados não são vendidos a terceiros. O Utilizador pode recusar estes cookies no banner de cookies.

**Cookies de terceiros:** o Stripe pode definir cookies para processamento de pagamentos e prevenção de fraude. Estes são regidos pela política de privacidade do Stripe.

Não utilizamos cookies para fins de publicidade comportamental ou segmentação individual. Não vendemos dados a redes de publicidade.

Os dados do Utilizador podem ser partilhados com os seguintes subcontratantes, estritamente para prestação do Serviço:

• **Supabase, Inc.** — armazenamento de dados e autenticação (servidores na UE); • **Stripe, Inc.** — processamento de pagamentos; • **Anthropic, PBC** — geração de conteúdo por IA (dados enviados podem incluir informação financeira anonimizada fornecida pelo Utilizador); • **Resend** — envio de emails transaccionais; • **PostHog, Inc.** — análise de utilização anonimizada.

Não vendemos, alugamos ou cedemos dados pessoais a terceiros para fins comerciais. Não partilhamos dados com redes de publicidade. Em caso de requisição legal por autoridade competente, seremos obrigados a cumprir, notificando o Utilizador na medida do legalmente permitido.

Alguns dos nossos subcontratantes (Stripe, Anthropic, PostHog) têm sede nos Estados Unidos da América. As transferências de dados para fora do Espaço Económico Europeu são efectuadas com base em Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia (art. 46.º do RGPD) ou em decisões de adequação da Comissão. Os Utilizadores residentes no Reino Unido beneficiam das garantias equivalentes ao abrigo do UK GDPR.

Conservamos os dados pessoais durante o tempo necessário para as finalidades descritas:

• Dados de conta: durante a vigência da conta e por 30 dias após o cancelamento; • Dados financeiros introduzidos: eliminados no prazo de 30 dias após cancelamento da conta; • Registos fiscais e de pagamento: 10 anos, conforme obrigação legal; • Dados de análise anonimizados: podem ser conservados indefinidamente por não constituírem dados pessoais; • Logs de segurança: 90 dias.

Após os prazos de retenção, os dados são eliminados de forma segura e irreversível.

O Utilizador tem os seguintes direitos, exercíveis através de pedido escrito para privacy@firestarter.app:

• **Direito de acesso:** obter confirmação sobre se os seus dados são tratados e receber uma cópia; • **Direito de rectificação:** corrigir dados inexactos ou incompletos; • **Direito ao apagamento ("direito a ser esquecido"):** solicitar a eliminação dos dados, nos casos previstos no RGPD; • **Direito à limitação do tratamento:** solicitar a suspensão do tratamento em determinadas circunstâncias; • **Direito à portabilidade:** receber os dados em formato estruturado e legível por máquina; • **Direito de oposição:** opor-se ao tratamento baseado em interesse legítimo; • **Direito de não sujeição a decisões automatizadas:** solicitar intervenção humana em decisões que produzam efeitos jurídicos.

Responderemos a todos os pedidos no prazo de 30 dias. O Utilizador tem também o direito de apresentar reclamação à Comissão Nacional de Protecção de Dados (CNPD) em www.cnpd.pt.

Implementamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais, incluindo: encriptação em trânsito (TLS 1.2+) e em repouso; controlo de acesso baseado em funções; autenticação multi-factor para sistemas internos; monitorização de segurança e logs de auditoria; testes de penetração periódicos; separação de ambientes de produção e desenvolvimento.

Em caso de violação de dados pessoais que apresente risco para os direitos e liberdades dos titulares, notificaremos a CNPD no prazo de 72 horas e os Utilizadores afectados sem atraso injustificado, conforme exigido pelo RGPD.

O Serviço não é dirigido a menores de 16 anos. Não recolhemos intencionalmente dados pessoais de menores de 16 anos. Se tomarmos conhecimento de que recolhemos dados de um menor sem consentimento parental verificável, eliminaremos esses dados imediatamente. Se acreditar que recolhemos dados de um menor, contacte-nos em privacy@firestarter.app.

Podemos actualizar esta Política de Privacidade periodicamente. As alterações materiais serão comunicadas por email com antecedência mínima de 30 dias. A continuação da utilização do Serviço após a data de entrada em vigor das alterações constitui aceitação da Política revista. A versão actualizada estará sempre disponível na Plataforma com a data de última actualização.

Para questões relacionadas com privacidade e protecção de dados, contacte: privacy@firestarter.app. Comprometemo-nos a responder no prazo máximo de 30 dias. Para reclamações não resolvidas, o Utilizador pode contactar a autoridade de supervisão competente: CNPD (Portugal): www.cnpd.pt | ICO (Reino Unido): www.ico.org.uk | ANPD (Brasil): www.gov.br/anpd