Carvoxcar/vox
Comparador

Legal

Política de privacidade

Tratamos os teus dados em conformidade com o RGPD (UE 2016/679) e com a Lei n.º 58/2019 (execução nacional). Última actualização em maio de 2026.

ATUALIZADO MAIO DE 2026

1. Responsável pelo tratamento

Carvox, Lda., com sede em Lisboa, Portugal, NIPC [• inserir NIPC •], é responsável pelo tratamento dos teus dados pessoais ao abrigo do RGPD. Contacto DPO: dados@carvox.pt.

2. Que dados recolhemos

  • Pesquisas e filtros: o que pesquisas no catálogo (anonimamente; só agregamos para estatísticas).
  • Conta de utilizador (via Clerk): email, nome, telefone (opcional), foto de avatar opcional.
  • Lead de contacto: quando contactas um vendedor — nome, telefone, email, mensagem opcional, hash do IP, user agent (anti-spam).
  • Conversas com o Vox: prompts e respostas; identificadores pessoais são anonimizados ao fim de 30 dias.
  • Pagamentos (via Stripe): dados de faturação/cartão são guardados pela Stripe (com mandato off-session quando activares auto-recarga). Carvox armazena apenas o identificador Stripe (customer_id, payment_method_id) — não vemos o número de cartão.
  • KYB (apenas stands): NIPC, alvará IMT, morada física. Validados manualmente.
  • Cookies: ver secção 7.

3. Finalidades e bases legais

FinalidadeBase legal
Permitir-te usar a plataforma (sessão, conta, anúncios)Execução do contrato (art.º 6.º/1/b RGPD)
Encaminhar leads para o vendedorConsentimento explícito (art.º 6.º/1/a RGPD)
Faturação e obrigações fiscaisObrigação legal (art.º 6.º/1/c RGPD)
Anti-fraude, anti-spam, segurança da plataformaInteresse legítimo (art.º 6.º/1/f RGPD)
Melhorar relevância dos resultados e do VoxInteresse legítimo, com anonimização

4. Com quem partilhamos

  • Vendedor escolhido: nome, telefone, email e mensagem da lead — apenas após o teu consentimento explícito no formulário.
  • Subprocessadores com contratos DPA assinados:
    • Stripe Payments Europe Ltd. (Irlanda) — pagamentos
    • Clerk, Inc. (EUA, com SCCs) — autenticação
    • Resend, Inc. (EUA, com SCCs) — email transaccional
    • OpenAI, Inc. (EUA, com SCCs) — modelo do Vox; prompts e respostas. OpenAI compromete-se a não treinar modelos com os dados.
    • Neon Inc. (UE, eu-central-1) — base de dados
    • Vercel Inc. (EUA, com SCCs; edge na UE) — hosting
    • Sentry (Functional Software, Inc.) (EUA, com SCCs) — monitorização de erros, apenas após teu consentimento de cookies
  • Autoridades: AT, IMT, GNR/PSP, CNPD, IGF quando legalmente obrigado a colaborar.

Nunca vendemos os teus dados a terceiros para marketing.

5. Transferências internacionais

Alguns dos subprocessadores acima estão sediados nos EUA. As transferências fazem-se ao abrigo das Cláusulas Contratuais-Tipo (Standard Contractual Clauses) aprovadas pela Comissão Europeia, e quando aplicável do Data Privacy Framework UE-EUA.

6. Os teus direitos (RGPD)

  • Acesso (art.º 15.º) — pedir cópia dos dados que temos sobre ti
  • Rectificação (art.º 16.º) — corrigir dados incorrectos
  • Apagamento(art.º 17.º) — pedir remoção dos dados (“direito a ser esquecido”), excepto quando conservados por obrigação legal
  • Limitação (art.º 18.º) — bloquear o tratamento temporariamente
  • Portabilidade (art.º 20.º) — receber os teus dados em formato estruturado e legível
  • Oposição (art.º 21.º) — opor-te ao tratamento baseado em interesse legítimo
  • Retirada de consentimento a qualquer momento, sem afectar a licitude do tratamento anterior
  • Reclamação à autoridade de controlo: CNPD (Comissão Nacional de Protecção de Dados)

Para exercer estes direitos: dados@carvox.pt. Resposta em até 30 dias. Acesso e apagamento podem ser feitos autonomamente em /backoffice/conta (ferramentas self-service).

7. Cookies e tecnologias semelhantes

Utilizamos:

  • Cookies estritamente necessárias: sessão Clerk, preferências (comparador, idioma). Sempre activas, sem consentimento necessário.
  • Cookies analíticas: Vercel Analytics (sem identificadores pessoais), agregadas. Sujeitas a consentimento.
  • Cookies de monitorização de erros: Sentry session replay, com mask de campos sensíveis. Sujeitas a consentimento.

Podes gerir as tuas preferências em qualquer altura no banner inferior ou em /cookies.

8. Conservação

  • Conta activa: enquanto durar a relação contratual
  • Conta encerrada: anonimização ao fim de 90 dias
  • Leads: 24 meses (depois soft-delete + anonimização)
  • Conversas com o Vox: 12 meses (anonimizadas após 30 dias)
  • Dados de faturação: 10 anos (obrigação legal — art.º 123.º CIRC)
  • Logs de auditoria: 24 meses

9. Segurança

Aplicamos medidas técnicas e organizativas adequadas: HTTPS/TLS 1.3 obrigatório, dados encriptados em repouso (Neon AES-256), autenticação multi-factor disponível (via Clerk), princípio do menor privilégio nos acessos internos, monitorização de erros e webhooks com assinatura verificada (Stripe, Resend, Clerk).

10. Alterações

Esta política pode ser actualizada quando adicionamos funcionalidades novas ou novos subprocessadores. Alterações materiais são comunicadas por email com 30 dias de antecedência.

11. Contacto

Encarregado de Protecção de Dados (DPO): dpo@carvox.pt. Outras questões: dados@carvox.pt.