1. Responsável pelo Tratamento
A entidade responsável pelo tratamento dos seus dados pessoais é a Toga AI, Lda.
E-mail de contacto: geral@togai.pt
2. Dados que Recolhemos
Recolhemos e tratamos as seguintes categorias de dados pessoais:
- –Dados de identificação: Nome completo, endereço de e-mail, telefone (opcional), NIF para faturação.
- –Dados profissionais: Número de cédula profissional (para validação de advogados), escritório ou sociedade.
- –Dados de utilização: Logs de acesso, métricas de tokens utilizados, preferências de conta.
- –Conteúdo jurídico: Documentos, textos e informações submetidas para análise de IA, tratados com sigilo profissional reforçado.
- –Histórico de conversas: Mensagens trocadas com o assistente de IA no contexto dos processos criados.
- –Memória do utilizador: Factos relevantes sobre a prática profissional do utilizador e eventos associados a processos, guardados automaticamente pela IA para personalizar respostas futuras. Esta funcionalidade pode ser desativada nas Definições.
- –Feedback: Mensagens de suporte ou pedidos de ajuda submetidos através do formulário de feedback.
- –Dados de faturação: Plano de subscrição, estado e histórico de pagamentos (geridos pela Stripe — não armazenamos dados de cartão).
3. Base Legal do Tratamento
Tratamos os seus dados com base nas seguintes fundações jurídicas (Art. 6.º RGPD):
- –Execução de contrato (Art. 6.º/1/b): Criação e gestão da conta, prestação do serviço de IA jurídica, processamento de subscrições.
- –Consentimento (Art. 6.º/1/a): Cookies analíticos, funcionalidade de memória do utilizador. Pode retirar o consentimento a qualquer momento.
- –Obrigação legal (Art. 6.º/1/c): Conservação de registos de faturação por período legalmente obrigatório (10 anos, nos termos do Código Comercial).
- –Interesse legítimo (Art. 6.º/1/f): Segurança da plataforma, prevenção de fraude e monitorização de erros técnicos.
4. Finalidades do Tratamento
- –Fornecimento e manutenção do serviço SaaS e acesso à plataforma.
- –Processamento de pagamentos e cumprimento de obrigações fiscais.
- –Personalização da experiência com base no histórico de interações (memória do utilizador).
- –Comunicações transacionais: confirmação de conta, recibos, notificações de plano.
- –Suporte ao cliente e resposta a pedidos de feedback.
- –Melhoria do serviço com base em dados agregados e anonimizados.
5. Segurança e Encriptação de Ponta a Ponta
Adotamos uma arquitetura de encriptação de ponta a ponta para todo o conteúdo jurídico sensível. O mecanismo funciona da seguinte forma:
- –Vault com PIN pessoal: O utilizador define um PIN de 4 dígitos exclusivamente no seu browser. A partir deste PIN, é derivada uma chave criptográfica via PBKDF2 (100 000 iterações, SHA-256) — esta chave nunca é transmitida ao servidor.
- –Chave de dados aleatória: É gerada uma chave AES-256-GCM única por utilizador. Esta chave é "embrulhada" (encriptada) com a chave derivada do PIN e armazenada na base de dados — sem o PIN, é inútil.
- –Encriptação no browser: Documentos, ficheiros e conversas são encriptados localmente (Web Crypto API) antes de serem enviados para os servidores. Os servidores TOGAI e os seus colaboradores veem apenas ciphertext opaco — sem capacidade técnica de aceder ao conteúdo.
- –Exportação encriptada: O ficheiro de exportação de dados (disponível em Definições) é encriptado com a mesma chave do Vault antes de ser descarregado. Apenas o titular do PIN o consegue abrir.
- –Encriptação em trânsito: Todas as comunicações usam TLS 1.2+.
Nota: O PIN não é recuperável pela TOGAI. Em caso de perda do PIN, os dados encriptados tornam-se inacessíveis. Guarde o seu PIN em local seguro.
6. Partilha de Dados e Subcontratantes
Não vendemos nem partilhamos dados pessoais para fins comerciais. Partilhamos apenas com subcontratantes necessários para a operação do serviço:
- –Supabase: Alojamento de base de dados e armazenamento de ficheiros (servidores AWS Frankfurt, UE). Conformidade RGPD.
- –Anthropic / Google: Processamento de IA via API Enterprise com política de "Zero Retention" — os dados não são utilizados para treino de modelos.
- –Stripe: Processamento de pagamentos. Certificado PCI-DSS nível 1. Não armazenamos dados de cartão de crédito.
- –Serviço de e-mail transacional: Envio de e-mails de boas-vindas e confirmação de compra.
7. Conservação dos Dados
Aplicamos os seguintes períodos de retenção:
- –Dados de conta e conteúdo: Conservados enquanto a conta estiver ativa. Após eliminação da conta, os dados são apagados imediatamente e em cascata (processos, documentos, conversas, memória).
- –Backups de base de dados: Purgados no prazo máximo de 90 dias após eliminação.
- –Registos de faturação: Conservados 10 anos por obrigação legal fiscal.
- –Logs técnicos de erros: Máximo de 30 dias, sem conteúdo de documentos.
- –Contas inativas (plano gratuito): Após 12 meses de inatividade, o utilizador é notificado e os dados eliminados passados 30 dias sem resposta.
8. Os seus Direitos
Nos termos do RGPD, tem o direito de:
- –Acesso (Art. 15.º): Solicitar confirmação e cópia dos seus dados pessoais.
- –Retificação (Art. 16.º): Disponível diretamente em Definições.
- –Apagamento (Art. 17.º): Disponível diretamente em Definições → Zona de Perigo.
- –Portabilidade (Art. 20.º): Disponível diretamente em Definições → Exportar Dados.
- –Limitação e oposição (Art. 18.º e 21.º): Limitar ou opor-se a determinados tratamentos.
- –Retirada de consentimento: Para cookies analíticos e memória do utilizador, pode retirar o consentimento a qualquer momento.
Para exercer direitos que não estejam disponíveis em self-service, contacte: geral@togai.pt. Respondemos no prazo de 30 dias.
Tem também o direito de apresentar reclamação junto da CNPD — Comissão Nacional de Proteção de Dados.
9. Cookies
Utilizamos cookies essenciais (necessários para autenticação e funcionamento da plataforma) e cookies analíticos (sujeitos a consentimento prévio). Pode gerir as suas preferências a qualquer momento através do banner de cookies ou consultando a nossa Política de Cookies.
10. Alterações a esta Política
Reservamo-nos o direito de atualizar esta Política de Privacidade. Alterações materiais serão comunicadas por e-mail com pelo menos 15 dias de antecedência. A data da última atualização é indicada no topo desta página.