Política de Privacidade

Em conformidade com o RGPD — Regulamento (UE) 2016/679

Última atualização: março de 2026

1. Responsável pelo Tratamento

A entidade responsável pelo tratamento dos seus dados pessoais é a Toga AI, Lda.
E-mail de contacto: geraltogai@gmail.com

2. Dados que Recolhemos

Recolhemos e tratamos as seguintes categorias de dados pessoais:

  • Dados de identificação: Nome completo, endereço de e-mail, telefone (opcional), NIF para faturação.
  • Dados profissionais: Número de cédula profissional (para validação de advogados), escritório ou sociedade.
  • Dados de utilização: Logs de acesso, métricas de tokens utilizados, preferências de conta.
  • Conteúdo jurídico: Documentos, textos e informações submetidas para análise de IA, tratados com sigilo profissional reforçado.
  • Histórico de conversas: Mensagens trocadas com o assistente de IA no contexto dos processos criados.
  • Memória do utilizador: Factos relevantes sobre a prática profissional do utilizador e eventos associados a processos, guardados automaticamente pela IA para personalizar respostas futuras. Esta funcionalidade pode ser desativada nas Definições.
  • Feedback: Mensagens de suporte ou pedidos de ajuda submetidos através do formulário de feedback.
  • Dados de faturação: Plano de subscrição, estado e histórico de pagamentos (geridos pela Stripe — não armazenamos dados de cartão).

3. Base Legal do Tratamento

Tratamos os seus dados com base nas seguintes fundações jurídicas (Art. 6.º RGPD):

  • Execução de contrato (Art. 6.º/1/b): Criação e gestão da conta, prestação do serviço de IA jurídica, processamento de subscrições.
  • Consentimento (Art. 6.º/1/a): Cookies analíticos, funcionalidade de memória do utilizador. Pode retirar o consentimento a qualquer momento.
  • Obrigação legal (Art. 6.º/1/c): Conservação de registos de faturação por período legalmente obrigatório (10 anos, nos termos do Código Comercial).
  • Interesse legítimo (Art. 6.º/1/f): Segurança da plataforma, prevenção de fraude e monitorização de erros técnicos.

4. Finalidades do Tratamento

  • Fornecimento e manutenção do serviço SaaS e acesso à plataforma.
  • Processamento de pagamentos e cumprimento de obrigações fiscais.
  • Personalização da experiência com base no histórico de interações (memória do utilizador).
  • Comunicações transacionais: confirmação de conta, recibos, notificações de plano.
  • Suporte ao cliente e resposta a pedidos de feedback.
  • Melhoria do serviço com base em dados agregados e anonimizados.

5. Segurança e Encriptação de Ponta a Ponta

Adotamos uma arquitetura de encriptação de ponta a ponta para todo o conteúdo jurídico sensível. O mecanismo funciona da seguinte forma:

  • Vault com PIN pessoal: O utilizador define um PIN de 4 dígitos exclusivamente no seu browser. A partir deste PIN, é derivada uma chave criptográfica via PBKDF2 (100 000 iterações, SHA-256) — esta chave nunca é transmitida ao servidor.
  • Chave de dados aleatória: É gerada uma chave AES-256-GCM única por utilizador. Esta chave é "embrulhada" (encriptada) com a chave derivada do PIN e armazenada na base de dados — sem o PIN, é inútil.
  • Encriptação no browser: Documentos, ficheiros e conversas são encriptados localmente (Web Crypto API) antes de serem enviados para os servidores. Os servidores TOGAI e os seus colaboradores veem apenas ciphertext opaco — sem capacidade técnica de aceder ao conteúdo.
  • Exportação encriptada: O ficheiro de exportação de dados (disponível em Definições) é encriptado com a mesma chave do Vault antes de ser descarregado. Apenas o titular do PIN o consegue abrir.
  • Encriptação em trânsito: Todas as comunicações usam TLS 1.2+.

Nota: O PIN não é recuperável pela TOGAI. Em caso de perda do PIN, os dados encriptados tornam-se inacessíveis. Guarde o seu PIN em local seguro.

6. Partilha de Dados e Subcontratantes

Não vendemos nem partilhamos dados pessoais para fins comerciais. Partilhamos apenas com subcontratantes necessários para a operação do serviço:

  • Supabase: Alojamento de base de dados e armazenamento de ficheiros (servidores AWS Frankfurt, UE). Conformidade RGPD.
  • Anthropic / Google: Processamento de IA via API Enterprise com política de "Zero Retention" — os dados não são utilizados para treino de modelos.
  • Stripe: Processamento de pagamentos. Certificado PCI-DSS nível 1. Não armazenamos dados de cartão de crédito.
  • Serviço de e-mail transacional: Envio de e-mails de boas-vindas e confirmação de compra.

7. Conservação dos Dados

Aplicamos os seguintes períodos de retenção:

  • Dados de conta e conteúdo: Conservados enquanto a conta estiver ativa. Após eliminação da conta, os dados são apagados imediatamente e em cascata (processos, documentos, conversas, memória).
  • Backups de base de dados: Purgados no prazo máximo de 90 dias após eliminação.
  • Registos de faturação: Conservados 10 anos por obrigação legal fiscal.
  • Logs técnicos de erros: Máximo de 30 dias, sem conteúdo de documentos.
  • Contas inativas (plano gratuito): Após 12 meses de inatividade, o utilizador é notificado e os dados eliminados passados 30 dias sem resposta.

8. Os seus Direitos

Nos termos do RGPD, tem o direito de:

  • Acesso (Art. 15.º): Solicitar confirmação e cópia dos seus dados pessoais.
  • Retificação (Art. 16.º): Corrigir dados incorretos ou incompletos — disponível diretamente em Definições.
  • Apagamento (Art. 17.º): Eliminar a sua conta e todos os dados associados — disponível em Definições → Zona de Perigo.
  • Portabilidade (Art. 20.º): Exportar todos os seus dados num ficheiro estruturado — disponível em Definições → Exportar Dados.
  • Limitação e oposição (Art. 18.º e 21.º): Limitar ou opor-se a determinados tratamentos.
  • Retirada de consentimento: Para cookies analíticos e memória do utilizador, pode retirar o consentimento a qualquer momento.

Para exercer direitos que não estejam disponíveis em self-service, contacte: geraltogai@gmail.com. Respondemos no prazo de 30 dias.
Tem também o direito de apresentar reclamação junto da CNPD — Comissão Nacional de Proteção de Dados.

9. Cookies

Utilizamos cookies essenciais (necessários para autenticação e funcionamento da plataforma) e cookies analíticos (sujeitos a consentimento prévio). Pode gerir as suas preferências a qualquer momento através do banner de cookies ou consultando a nossa Política de Cookies.

10. Alterações a esta Política

Reservamo-nos o direito de atualizar esta Política de Privacidade. Alterações materiais serão comunicadas por e-mail com pelo menos 15 dias de antecedência. A data da última atualização é indicada no topo desta página.