Política de Privacidade
Última atualização: Abril 2026
1. Responsável pelo Tratamento
O ObraXRAY (acessível em obraxray.com) é o responsável pelo tratamento dos dados pessoais aqui descritos. Esta política explica, em conformidade com o Regulamento (UE) 2016/679 (RGPD) e a Lei 58/2019 de 8 de agosto, que dados tratamos, de quem, com que base legal, por quanto tempo, com quem partilhamos, e como pode exercer os seus direitos. Esta política aplica-se tanto aos utilizadores que usam a plataforma como aos titulares indiretos cujos dados são tratados no âmbito do serviço (gerentes, administradores e sócios de empresas de construção civil).
2. Âmbito e Titulares de Dados
Tratamos dados de duas categorias de titulares, com regimes distintos. (A) Utilizadores: pessoas que se registam, pesquisam empresas e adquirem relatórios na plataforma. A base legal para estes dados é a execução do contrato de prestação de serviços e o consentimento para cookies não essenciais e comunicações opcionais. (B) Titulares indiretos: gerentes, administradores, sócios e representantes legais de empresas de construção civil portuguesas cujos dados constam em registos públicos oficiais. Estes titulares não se registam connosco e os seus dados são tratados com base no interesse legítimo (Art. 6(1)(f) RGPD), ao abrigo de uma Avaliação de Interesse Legítimo (LIA) documentada internamente.
3. Dados dos Utilizadores
Quando utiliza a plataforma, recolhemos: dados de conta (nome e email fornecidos no registo); dados de pagamento (processados diretamente pelo Stripe, não armazenamos dados de cartão); dados de utilização (pesquisas realizadas, relatórios adquiridos, páginas visitadas); dados técnicos (endereço IP, tipo de browser, para segurança e rate limiting); e dados de contacto (nome, email, mensagem quando utiliza o formulário de contacto). Não vendemos nem cedemos estes dados a terceiros para fins de marketing, nem alimentamos modelos de inteligência artificial externos com eles.
4. Dados de Gerentes, Administradores e Sócios
No âmbito do serviço de avaliação de risco, tratamos dados pessoais de gerentes, administradores, sócios e representantes legais de empresas de construção civil portuguesas. Estes dados provêm de registos públicos oficiais portugueses e incluem: nome, NIF pessoal, cargo societário, datas de designação e cessação, empresas associadas, e historial de processos de insolvência, PER, ações executivas, citações edital, processos cíveis, sanções administrativas laborais, e inclusão em listas públicas de devedores do Estado. Não tratamos categorias especiais de dados (saúde, origem racial, convicções políticas, dados biométricos) nem dados relativos a condenações penais. Não extraímos morada pessoal nem data de nascimento, mesmo quando visíveis na fonte. Por ser operacionalmente impraticável contactar individualmente cada titular, ao abrigo do Art. 14(5)(b) RGPD, a informação é prestada por este meio público. Todos os titulares podem exercer os direitos previstos na secção 9.
5. Fontes Oficiais Consultadas
Os dados sobre empresas e seus gerentes são recolhidos exclusivamente de fontes oficiais públicas portuguesas: CITIUS (Ministério da Justiça, processos de insolvência, execuções, citações edital e mapa de litigância, ao abrigo do Código de Processo Civil e do CIRE); Publicações do Ministério da Justiça (publicacoes.mj.pt, ao abrigo do Código do Registo Comercial); IMPIC (cadastro público de alvarás e licenças de construção, Lei 41/2015); Lista Pública de Devedores da Autoridade Tributária (Art. 64.º, n.º 5, al. a) da Lei Geral Tributária (LGT)); Lista Pública de Devedores da Segurança Social (por remissão legal aplicável aos devedores à Segurança Social); Autoridade para as Condições do Trabalho (ACT, sanções laborais publicadas); Portal Base (base.gov.pt, contratos públicos); e 197 tribunais judiciais portugueses (listas de distribuição de processos cíveis). O cadastro básico de empresas (denominação social, CAE, capital) é obtido via NIF.pt (prestador privado que agrega dados públicos). Não utilizamos fontes privadas, redes sociais, nem dados obtidos por meios não oficiais.
6. Base Legal
Ao abrigo do Art. 6.º RGPD: (a) execução de contrato (Art. 6(1)(b)) para os serviços prestados aos utilizadores, incluindo processamento de pagamentos e entrega de relatórios; (b) consentimento (Art. 6(1)(a)) para cookies não essenciais, comunicações de marketing opcionais e alertas, retirável a qualquer momento sem afetar a licitude do tratamento anterior; (c) interesse legítimo (Art. 6(1)(f)) para o tratamento de dados de gerentes, administradores e sócios a partir de fontes públicas oficiais, com a finalidade de proteger consumidores no mercado da construção civil. Este interesse legítimo é documentado numa Avaliação de Interesse Legítimo (LIA) interna, alinhada com o Considerando 47 RGPD e com o Art. 60.º da Constituição da República Portuguesa; (d) obrigação legal (Art. 6(1)(c)) para o cumprimento de obrigações fiscais e contabilísticas aplicáveis.
7. Subcontratantes e Transferências
Os dados podem ser tratados pelos seguintes subcontratantes, vinculados por Acordos de Tratamento de Dados (DPAs) ao abrigo do Art. 28.º RGPD e exclusivamente para as finalidades descritas: Supabase (base de dados e autenticação, servidores na UE); Vercel (alojamento da aplicação web, regiões europeias); Hetzner (VPS em Nuremberg, Alemanha, para operações de scraping e análise de gerentes); Stripe (processamento de pagamentos, certificado PCI DSS); Sentry (monitorização técnica e deteção de erros, dados pseudonimizados); e Resend (envio de emails transacionais, quando aplicável). Não partilhamos dados com terceiros fora destas finalidades. Os dados são preferencialmente tratados na União Europeia. Qualquer transferência para fora do EEE será protegida por Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia ou por decisão de adequação.
8. Período de Conservação
Dados de conta de utilizadores: enquanto a conta estiver ativa, mais 6 meses após eliminação, por razões probatórias. Relatórios adquiridos: acesso online ao perfil da empresa durante 90 dias por compra, PDF do relatório guardado enquanto a conta existir. A re-verificação dentro de 12 meses (9,99€) dá dados atualizados e mais 90 dias de acesso online. Registos de pagamento e faturação: 10 anos, por obrigação legal fiscal. Dados técnicos e logs: até 90 dias. Dados de formulário de contacto: até 24 meses. Dados recolhidos das fontes públicas (cache): entre 3 e 30 dias por fonte, conforme Time-To-Live definido operacionalmente (CITIUS 7 dias, IMPIC 30 dias, NIF.pt 14 dias, listas de devedores 3 dias), sendo re-consultados periodicamente para garantir atualização. Dados de gerentes cessados: conservados em arquivo histórico enquanto a empresa existir, dado que a cessação de funções é, ela própria, informação relevante para a avaliação de risco (deteção de esquemas phoenix), com possibilidade de oposição fundamentada nos termos da secção 9.
9. Direitos dos Titulares
Ao abrigo dos Art. 15.º a 22.º RGPD, tem os seguintes direitos: acesso (obter confirmação e cópia dos seus dados); retificação (corrigir dados inexatos ou incompletos); apagamento (solicitar eliminação, avaliado caso a caso quando o tratamento tem base em interesse legítimo); limitação (restringir temporariamente o tratamento); portabilidade (receber os seus dados em formato estruturado, apenas aplicável a dados tratados com base em consentimento ou contrato); e oposição (Art. 21.º, opor-se ao tratamento baseado em interesse legítimo por motivos relativos à sua situação particular). Utilizadores registados podem exercer grande parte destes direitos diretamente a partir do painel da conta. Titulares indiretos (gerentes, administradores, sócios) podem exercer os seus direitos contactando contact@obraxray.com, indicando nome, NIF e natureza do pedido. Respondemos no prazo máximo de 30 dias, prorrogável por 60 dias em casos complexos. Pedidos de apagamento ou oposição são avaliados individualmente e, quando negados, a recusa é fundamentada por escrito com indicação dos meios de reclamação disponíveis.
10. Autoridade de Controlo e Reclamações
Se considerar que o tratamento dos seus dados viola o RGPD, tem o direito de apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD), a autoridade de controlo portuguesa, através de www.cnpd.pt, sem prejuízo do recurso aos tribunais. Pedimos, antes de o fazer, que nos contacte primeiro para tentarmos resolver a situação diretamente.
11. Segurança e Accountability
Implementamos medidas técnicas e organizacionais proporcionais ao risco: encriptação em trânsito (HTTPS/TLS 1.2+), autenticação segura com Supabase Auth e possibilidade de 2FA, Row Level Security (RLS) ativo ao nível da base de dados, rate limiting e proteção contra abusos, backups periódicos, controlo de acesso restrito às chaves de serviço, monitorização ativa com Sentry, política de falha segura para fontes críticas (fail-closed: se uma fonte falhar, o relatório indica indisponibilidade em vez de apresentar resultado falsamente limpo). Em cumprimento do princípio da responsabilidade (Art. 5(2) RGPD), mantemos documentação interna incluindo Avaliação de Impacto sobre a Proteção de Dados (AIPD), Avaliação de Interesse Legítimo (LIA), Registo de Atividades de Tratamento (Art. 30.º RGPD) e DPAs assinados com subcontratantes. Esta documentação é disponibilizável à CNPD em caso de inspeção.
12. Cookies
Utilizamos cookies essenciais para o funcionamento do website (autenticação, preferências de idioma, sessão) e cookies analíticos para compreender a utilização e melhorar a plataforma. Os cookies analíticos e de terceiros (Google Analytics, PostHog) só são ativados mediante o seu consentimento, que pode dar ou retirar a qualquer momento através do banner de consentimento. Para detalhes sobre cada cookie, consulte a nossa Política de Cookies.
13. Alterações à Política
Esta política pode ser atualizada periodicamente para refletir alterações operacionais, legais ou de práticas de segurança. As alterações são publicadas nesta página com a data de atualização. Para alterações substanciais que afetem direitos ou finalidades do tratamento, notificamos os utilizadores registados por email e, quando aplicável, destacamos a alteração na plataforma.
14. Contacto
Para questões sobre privacidade, exercício de direitos, ou pedidos relativos a tratamento de dados, contacte-nos através de contact@obraxray.com. Identifique-se (nome e, se aplicável, NIF), descreva o pedido, e indique a capacidade em que nos contacta (utilizador registado, gerente/administrador/sócio referido num relatório, outro). Respondemos no prazo máximo de 30 dias.