Política de Privacidade

Em conformidade com o RGPD — Regulamento (UE) 2016/679

Última atualização: março de 2026

1. Responsável pelo Tratamento

A entidade responsável pelo tratamento dos seus dados pessoais é a TogaAI, Lda.
E-mail de contacto: geral@togai.pt

2. Dados que Recolhemos

Recolhemos e tratamos as seguintes categorias de dados pessoais:

  • Dados de identificação: Nome completo, endereço de e-mail e fotografia de perfil (quando o registo é feito via Google).
  • Dados de perfil profissional: Função declarada no onboarding (advogado, jurista, estudante, particular), áreas de prática jurídica, fonte de referenciação e número de telefone (opcional, apenas se solicitar ser contactado).
  • Dados de faturação: Plano de subscrição, estado e histórico de pagamentos (geridos pela Stripe — não armazenamos dados de cartão), NIF para emissão de faturas em Portugal.
  • Dados de utilização: Contadores de tokens de IA consumidos (input e output), histórico de planos, data do primeiro acesso e indicadores de estado da conta (ex: trial ativo).
  • Conteúdo jurídico (encriptado): Documentos carregados na plataforma (armazenados encriptados com AES-256-GCM), conversas com o assistente de IA associadas a processos (encriptadas quando o Vault está ativo) e análises de e-mail do Gmail (encriptadas).
  • Dados de processos e agenda: Títulos, tipos, tribunais, jurisdições, prazos, nomes de clientes, notas e estado dos processos criados; eventos de agenda (audiências, reuniões, prazos) e tarefas associadas.
  • Memória do utilizador (IA): Factos inferidos automaticamente das conversas para personalizar respostas futuras (ex: jurisdição preferida, estilo de resposta, função profissional) e fragmentos de conversas usados como contexto pelo assistente. Esta funcionalidade pode ser desativada nas Definições.
  • Conteúdo de estudo (vista de estudante): Documentos de estudo carregados e texto extraído dos mesmos, flashcards gerados (pares frente/verso e estado do algoritmo de espaçamento), quizzes, respostas e pontuações, e resumos gerados por IA.
  • Feedback e avaliações: Classificações de precisão, clareza e utilidade do assistente (escala 1–10), comentários escritos sobre o serviço e avaliações de mensagens individuais.
  • Dados de análise de visitas: Identificador anónimo de visitante (derivado de IP+agente de utilizador+data, sem armazenar o IP diretamente), tipo de dispositivo, navegador, sistema operativo, país/cidade/região e páginas visitadas. Referenciadores externos são registados; internos são removidos.
  • Integração Google (opcional): Se ligar a sua conta Google nas Definições: endereço de e-mail da conta Google, escopos OAuth concedidos e tokens de acesso/atualização (armazenados encriptados com AES-256-GCM).

3. Base Legal do Tratamento

Tratamos os seus dados com base nas seguintes fundações jurídicas (Art. 6.º RGPD):

  • Execução de contrato (Art. 6.º/1/b): Criação e gestão da conta, prestação do serviço de IA jurídica, processamento de subscrições.
  • Consentimento (Art. 6.º/1/a): Cookies analíticos, funcionalidade de memória do utilizador. Pode retirar o consentimento a qualquer momento.
  • Obrigação legal (Art. 6.º/1/c): Conservação de registos de faturação por período legalmente obrigatório (10 anos, nos termos do Código Comercial).
  • Interesse legítimo (Art. 6.º/1/f): Segurança da plataforma, prevenção de fraude e monitorização de erros técnicos.

4. Finalidades do Tratamento

  • Fornecimento e manutenção do serviço SaaS e acesso à plataforma.
  • Processamento de pagamentos e cumprimento de obrigações fiscais.
  • Personalização da experiência com base no histórico de interações (memória do utilizador).
  • Comunicações transacionais: confirmação de conta, recibos, notificações de plano.
  • Suporte ao cliente e resposta a pedidos de feedback.
  • Melhoria do serviço com base em dados agregados e anonimizados.

5. Segurança e Encriptação de Ponta a Ponta

Adotamos uma arquitetura de encriptação de ponta a ponta para todo o conteúdo jurídico sensível. O mecanismo funciona da seguinte forma:

  • Vault com PIN pessoal: O utilizador define um PIN de 4 dígitos exclusivamente no seu browser. A partir deste PIN, é derivada uma chave criptográfica via PBKDF2 (100 000 iterações, SHA-256) — esta chave nunca é transmitida ao servidor.
  • Chave de dados aleatória: É gerada uma chave AES-256-GCM única por utilizador. Esta chave é "embrulhada" (encriptada) com a chave derivada do PIN e armazenada na base de dados — sem o PIN, é inútil.
  • Encriptação no browser: Documentos, ficheiros e conversas são encriptados localmente (Web Crypto API) antes de serem enviados para os servidores. Os servidores TogaAI e os seus colaboradores veem apenas ciphertext opaco — sem capacidade técnica de aceder ao conteúdo.
  • Exportação encriptada: O ficheiro de exportação de dados (disponível em Definições) é encriptado com a mesma chave do Vault antes de ser descarregado. Apenas o titular do PIN o consegue abrir.
  • Encriptação em trânsito: Todas as comunicações usam TLS 1.2+.

Nota: O PIN não é recuperável pela TogaAI. Em caso de perda do PIN, os dados encriptados tornam-se inacessíveis. Guarde o seu PIN em local seguro.

6. Partilha de Dados e Subcontratantes

Não vendemos nem partilhamos dados pessoais para fins comerciais. Partilhamos apenas com subcontratantes necessários para a operação do serviço:

  • Supabase: Alojamento de base de dados e armazenamento de ficheiros (servidores AWS Frankfurt, UE). Conformidade RGPD.
  • Anthropic / Google: Processamento de IA via API Enterprise com política de "Zero Retention" — os dados não são utilizados para treino de modelos.
  • Stripe: Processamento de pagamentos. Certificado PCI-DSS nível 1. Não armazenamos dados de cartão de crédito.
  • Serviço de e-mail transacional: Envio de e-mails de boas-vindas e confirmação de compra.

7. Conservação dos Dados

Aplicamos os seguintes períodos de retenção:

  • Dados de conta e conteúdo: Conservados enquanto a conta estiver ativa. Após eliminação da conta, os dados são apagados imediatamente e em cascata (processos, documentos, conversas, memória).
  • Backups de base de dados: Purgados no prazo máximo de 90 dias após eliminação.
  • Registos de faturação: Conservados 10 anos por obrigação legal fiscal.
  • Logs técnicos de erros: Máximo de 30 dias, sem conteúdo de documentos.
  • Contas inativas (plano gratuito): Após 12 meses de inatividade, o utilizador é notificado e os dados eliminados passados 30 dias sem resposta.

8. Os seus Direitos

Nos termos do RGPD, tem o direito de:

  • Acesso (Art. 15.º): Solicitar confirmação e cópia dos seus dados pessoais.
  • Retificação (Art. 16.º): Disponível diretamente em Definições.
  • Apagamento (Art. 17.º): Disponível diretamente em Definições → Zona de Perigo.
  • Portabilidade (Art. 20.º): Disponível diretamente em Definições → Exportar Dados.
  • Limitação e oposição (Art. 18.º e 21.º): Limitar ou opor-se a determinados tratamentos.
  • Retirada de consentimento: Para cookies analíticos e memória do utilizador, pode retirar o consentimento a qualquer momento.

Para exercer direitos que não estejam disponíveis em self-service, contacte: geral@togai.pt. Respondemos no prazo de 30 dias.
Tem também o direito de apresentar reclamação junto da CNPD — Comissão Nacional de Proteção de Dados.

9. Cookies

Utilizamos cookies essenciais (necessários para autenticação e funcionamento da plataforma) e cookies analíticos (sujeitos a consentimento prévio). Pode gerir as suas preferências a qualquer momento através do banner de cookies ou consultando a nossa Política de Cookies.

10. Alterações a esta Política

Reservamo-nos o direito de atualizar esta Política de Privacidade. Alterações materiais serão comunicadas por e-mail com pelo menos 15 dias de antecedência. A data da última atualização é indicada no topo desta página.