Política de Privacidade

1. Responsável pelo tratamento

Razão social

[RAZÃO SOCIAL]

NIPC

[NIPC]

Sede social

[MORADA]

Contacto

feedback@swoophub.xyz

Não há Encarregado de Proteção de Dados (DPO) designado — não é exigível à escala actual da operação (sem tratamento sistemático em larga escala, sem dados de categoria especial).

2. Que dados recolhemos

Lista de espera (área pública)

• Email — obrigatório. Base da comunicação.
• Zona de interesse — opcional. Texto livre (ex.: “Oeiras”).
• Proveniência — identifica de que página chegaste à lista (ex.: landing-hero, analise-oeiras) para podermos priorizar melhor.
• User-agent — browser/dispositivo, truncado a 500 caracteres, para detecção de abuso.
• Data do registo e data do consentimento — prova de consentimento nos termos do Art. 7(1) RGPD.
• Versão da política aceite — identifica o texto vigente quando deste consentimento.

Área autenticada

• Email + password (hash bcrypt, cost 10).
• Nome (opcional).
• Role (user ou admin).
• Pesquisas guardadas e fila de notificações — criados por ti, apagáveis a qualquer momento.

Cookies e tecnologias similares

Em área pública não usamos cookies de rastreamento — apenas cookies estritamente necessários de preferência de tema (cláusula de exceção ao consentimento). A área autenticada usa uma cookie de sessão (NextAuth, JWT assinado) enquanto estás ligado. Não partilhamos cookies com terceiros.

Analytics (Umami, self-hosted)

Medimos páginas vistas e eventos de conversão (ex.: inscrição na lista de espera) com Umami, auto-alojado no mesmo servidor em analytics.swoophub.xyz. Umami:

• Não usa cookies nem fingerprinting.
• Hashea o endereço IP diariamente com salt rotativo — o IP em si não é guardado.
• Não segue visitantes entre sites.
• Não partilha dados com terceiros (a infraestrutura é nossa).

Base legal: interesse legítimo (Art. 6(1)(f) RGPD) para compreender a procura e melhorar o produto. Enquadra-se na excepção de cookies estritamente necessários das orientações da CNIL/CNPD por ausência de tracking cross-site e por anonimização imediata dos IPs.

Logs do servidor

Caddy e Next.js mantêm logs transitórios de IP + user-agent + caminho requisitado. Base legal: interesse legítimo (Art. 6(1)(f) RGPD) para diagnóstico e segurança. Retenção: 30 dias.

3. Porque é que tratamos estes dados

• Lista de espera. Avisar-te quando abrirmos acesso; priorizar por zona.
• Sessão autenticada. Identificar-te entre pedidos e controlar acesso (admin vs. user).
• Diagnóstico. Investigar erros e tentativas de abuso.

Não fazemos profiling, decisões automatizadas com efeitos legais, nem tratamento para publicidade comportamental.

4. Base legal

• Consentimento (Art. 6(1)(a) RGPD) — para a lista de espera. Registado com data e versão do texto aceite.
• Execução de contrato (Art. 6(1)(b)) — para a conta autenticada, quando abrirmos o serviço pago.
• Interesse legítimo (Art. 6(1)(f)) — para logs de segurança e diagnóstico.

5. Com quem partilhamos

Ninguém, em regra. O Swoop é self-hosted num VPS próprio em território da União Europeia. A base de dados (PostgreSQL) corre no mesmo servidor. O reverse proxy (Caddy) termina SSL localmente.

Excepção: os portais Idealista e Imovirtual são fontes de dados públicos que o Swoop consulta — nenhum dado dos utilizadores da waitlist ou subscritores é transmitido para esses portais.

Se no futuro passarmos a usar um processador terceiro (ex.: provedor de envio de email, ferramenta de analytics), esta política será actualizada e os subscritores actuais serão notificados antes da mudança.

6. Durante quanto tempo guardamos os dados

• Lista de espera: até pedires remoção ou 24 meses após o último contacto, o que ocorrer primeiro.
• Conta autenticada: enquanto mantiveres a conta activa. Eliminamos mediante pedido.
• Logs do servidor: 30 dias.
• Backups do PostgreSQL: até 30 dias, depois rotacionados.

7. Os teus direitos

Nos termos dos Arts. 15 a 22 do RGPD tens direito a:

• Acesso — saber que dados teus temos.
• Rectificação — corrigir dados incorrectos.
• Eliminação (“direito a ser esquecido”) — apagar os teus dados.
• Limitação — restringir como usamos os teus dados.
• Oposição — opor-te a um tratamento baseado em interesse legítimo.
• Portabilidade — receber os teus dados em formato estruturado (JSON/CSV).
• Retirada de consentimento — a qualquer momento, sem afectar a licitude do tratamento anterior.

Para exercer qualquer destes direitos, escreve para feedback@swoophub.xyz. Respondemos em até 30 dias (prorrogável por mais 60 em pedidos complexos).

Se considerares que o Swoop tratou dados em violação do RGPD, podes apresentar reclamação à autoridade de controlo: Comissão Nacional de Protecção de Dados (CNPD).

8. Transferências internacionais

Nenhuma. Toda a infraestrutura está em servidor na União Europeia. Não transferimos dados para fora do EEE.

9. Segurança

• Todo o tráfego em HTTPS (Caddy com Let’s Encrypt).
• Passwords armazenadas com bcrypt (cost 10). Nunca em texto limpo.
• Acesso administrativo (/admin) restrito a contas com role admin; cada chamada é autenticada via JWT.
• Backups do PostgreSQL encriptados e armazenados no próprio servidor. A rotação off-site está em roadmap — qualquer incidente será comunicado aos titulares afectados no prazo de 72h (Art. 33 RGPD).

10. Alterações a esta política

Esta versão é a 1.0.0, em vigor desde 2026-04-21. Cada consentimento registado pelo Swoop é associado à versão vigente no momento. Alterações materiais (novas finalidades, novos terceiros, mudança de base legal) serão notificadas por email a quem está na lista de espera e pedirão novo consentimento.