VoltarKamla · Legal

Política de Privacidade

Última actualização: 19 de Junho de 2026 · privacy-v0.3-2026-06-19 (draft de implementação, revisão jurídica pendente)

1. Responsável pelo tratamento e âmbito

xGrowth Tech, Lda., com sede em Lisboa, Portugal, é a responsável pelo tratamento dos dados pessoais usados para prestar o serviço Kamla. Contacto para questões de privacidade: [email protected].

Esta política aplica-se ao serviço Kamla no seu conjunto: o site kamla.ai e as aplicações móveis Kamla para iOS e Android.

2. Dados pessoais que recolhemos

  • Dados de conta: email, nome quando fornecido, idioma, plano escolhido, estado da subscrição, data de criação, identificadores internos e preferências de conta.
  • Dados de autenticação: identificadores Supabase Auth, provider OAuth, timestamps de login e metadata técnica necessária para segurança da conta.
  • Dados de billing: plano, ciclo, estado de pagamento, IDs de cliente e subscrição, eventos de pagamento, valor, moeda e referências fiscais. Dados completos de cartão são processados pelo fornecedor de pagamento e não são armazenados pela Kamla.
  • Dados Telegram: username, user ID, comandos e estado de ligação quando o utilizador opta por alertas ou canal VIP.
  • Dados de utilização: páginas acedidas, eventos de onboarding, eventos de billing, acções de conta, preferências de plano e interacções necessárias para prestar suporte.
  • Dados técnicos: IP, user agent, timestamps, logs de erro, eventos de segurança, cookies estritamente necessários e identificadores de sessão.
  • Dados da aplicação móvel: tokens de notificações push (via Expo, Apple APNs e Google FCM), idioma do dispositivo, versão da app e identificadores técnicos estritamente necessários para entregar notificações e diagnóstico. As push são opcionais e podem ser desligadas nas definições do dispositivo.
  • Dados de ligação à corretora: quando ligas opcionalmente uma conta de corretora (atualmente Alpaca), tratamos as credenciais de API que forneces, o estado da ligação, o ambiente (paper/live), permissões, configurações de risco, ordens, posições, saldo/equity e logs de auditoria. As credenciais de API são guardadas encriptadas em infraestrutura de segredos, usadas apenas para executar ordens que autorizas, nunca expostas no dashboard nem partilhadas, e podes revogá-las a qualquer momento removendo a ligação.

3. Finalidades e base legal

  • Execução do contrato (art. 6.º/1/b RGPD): prestar o serviço subscrito, autenticar a conta, gerir planos, processar pagamentos, entregar sinais, alertas, dashboard, suporte e funcionalidades de conta.
  • Obrigação legal (art. 6.º/1/c): emissão de facturas, comunicação à AT, conservação por períodos exigidos por lei (10 anos para documentos contabilísticos).
  • Interesse legítimo (art. 6.º/1/f): segurança operacional, prevenção de fraude, debug, melhoria de produto, protecção contra abuso e monitorização de fiabilidade.
  • Consentimento (art. 6.º/1/a): comunicações de marketing opcionais (waitlist, lançamentos), revogável a qualquer momento.

4. Subprocessadores e fornecedores

Para prestar o serviço, recorremos aos seguintes subprocessadores:

  • Supabase: autenticação, base de dados PostgreSQL e storage operacional.
  • Lemon Squeezy: checkout, subscrições, pagamentos e eventos de billing.
  • Resend: emails transaccionais, confirmação de conta e notificações.
  • AWS: infraestrutura, computação, logs, backups e gestão de segredos.
  • Cloudflare: DNS, protecção, cache e routing de tráfego.
  • Alpaca: execução de ordens e dados de conta na corretora que ligas opcionalmente.
  • Expo, Apple (APNs) e Google (FCM): entrega de notificações push e distribuição das aplicações móveis.
  • Telegram: canal de alertas, comunidade e ligação opcional ao bot.
  • OpenAI / Google Gemini: geração e apoio à análise de conteúdo educacional.
  • Fornecedores de dados de mercado: cotações, notícias e cobertura analítica.
  • InvoiceXpress: facturação fiscal, quando ligado.

5. Transferências internacionais

Alguns subprocessadores podem tratar dados fora do Espaço Económico Europeu. Quando aplicável, usamos mecanismos reconhecidos pelo RGPD, incluindo Cláusulas Contratuais Tipo, decisões de adequação ou medidas equivalentes disponibilizadas pelos fornecedores.

6. Períodos de conservação

  • Dados de conta e subscrição activa: enquanto durar a conta ou subscrição.
  • Dados após cancelamento: período razoável para reactivação, suporte, fraude e obrigações legais.
  • Documentos contabilísticos: 10 anos (obrigação fiscal).
  • Logs técnicos: 90 dias.
  • Eventos de billing e auditoria: enquanto necessário para prova contratual, fraude, suporte e obrigações legais.
  • Marketing opcional: até retirada de consentimento ou inactividade prolongada.

7. Os teus direitos (RGPD)

Tens direito a:

  • Acesso aos teus dados pessoais;
  • Rectificação de dados incorrectos;
  • Apagamento ("direito ao esquecimento"), salvo obrigações legais de retenção;
  • Portabilidade num formato estruturado (JSON);
  • Oposição ao tratamento baseado em interesse legítimo;
  • Limitação do tratamento;
  • Apresentar reclamação à CNPD (autoridade portuguesa de protecção de dados).

Para exercer qualquer destes direitos, envia email para [email protected] a partir do email registado. Respondemos em até 30 dias.

8. Segurança

Aplicamos medidas técnicas e organizacionais adequadas: cifra em trânsito (TLS) e em repouso, controlo de acessos com least-privilege, rotação de credenciais e backups encriptados.

9. Cookies

A landing page kamla.ai usa apenas cookies estritamente necessários (sessão, autenticação, segurança, preferências). Se forem adicionados analytics, pixels de marketing ou cookies não essenciais, será apresentado um mecanismo de consentimento antes da activação.

10. Alterações

Podemos actualizar esta política. Alterações materiais serão comunicadas por email, notificações na aplicação ou outro canal razoável com pelo menos 14 dias de antecedência, salvo quando uma alteração urgente for necessária por segurança, lei ou fornecedor.

Esta versão é um draft operacional pendente de revisão jurídica. Para exercer direitos RGPD ou colocar questões de privacidade, contactar [email protected].