Política de Privacidade — CostureiraTech
Última atualização: 18 de junho de 2026 · Versão: 1.2
1. Quem somos
O CostureiraTech é um serviço de gestão de negócio para costureiras autónomas, disponível para iOS e Android. O responsável pelo tratamento dos seus dados pessoais é:
Mauricio da Silva Maia Rua do Estaleiro 360, Cabeçudo, 6100-015 Sertã, Castelo Branco, Portugal E-mail de contacto: msmaia.pt@gmail.com
Sempre que este documento usar "nós", "nos" ou "nosso", refere-se a esta entidade.
2. A quem se aplica esta política
Esta política aplica-se a duas categorias distintas de pessoas:
a) Costureiras (utilizadoras do serviço) — quem cria uma conta e usa o CostureiraTech para gerir o seu negócio.
b) Clientes das costureiras — cujos dados são introduzidos na aplicação pelas costureiras no âmbito da sua atividade profissional. Se é um cliente de uma costureira que usa o CostureiraTech, a secção 4.2 aplica-se especificamente a si.
3. Dados que recolhemos das costureiras (utilizadoras)
3.1 Dados de conta e perfil
| Dado | Finalidade |
|---|---|
| Número de telemóvel | Autenticação (código de uso único por SMS) e contacto |
| Nome e nome do atelier | Identificação e personalização |
| Cidade e país | Configuração de moeda, fuso horário e língua |
| NIF / CNPJ | Identificação fiscal (opcional; para emissão de documentos) |
| Logótipo do atelier | Personalização de recibos e ordens de serviço |
| Preferências (língua, moeda, meta horária, margem de insumos) | Funcionamento do serviço |
| Identificador RevenueCat | Gestão de subscrição Pro |
3.2 Dados de atividade profissional
- Pedidos de serviço (descrição, tipo de serviço, datas, valores, estado)
- Itens e insumos de cada pedido
- Fotografias de pedidos (armazenadas no Supabase Storage)
- Sessões de trabalho (tempo registado por pedido)
- Transações financeiras (receitas e despesas)
3.3 Dados de dispositivo e notificações
Token de notificação push (identificador do dispositivo, plataforma iOS/Android) — recolhido apenas se conceder permissão de notificações; removido do nosso sistema quando termina sessão.
4. Dados dos clientes das costureiras
4.1 Que dados são estes
As costureiras introduzem no CostureiraTech informação sobre as suas clientes para efeitos de gestão de pedidos e CRM. Esses dados incluem:
- Nome, telefone, e-mail, morada
- Sexo e data de nascimento
- Medidas corporais (busto, cintura, quadril, ombros, manga, altura, peso e notas adicionais)
- Notas livres sobre preferências ou historial de pedidos
- Fotografias associadas a pedidos
4.2 Informação para os clientes das costureiras
Se os seus dados foram introduzidos no CostureiraTech por uma costureira, deve saber que:
- A costureira é responsável por recolher o seu consentimento e informá-la(o) sobre o tratamento dos seus dados no âmbito da relação comercial entre ambas.
- Nós atuamos como subprocessador da costureira — tratamos os dados por conta dela, sob as nossas condições de segurança.
- Pode exercer os seus direitos (acesso, retificação, apagamento) junto da costureira diretamente, ou contactar-nos em msmaia.pt@gmail.com se a costureira não responder no prazo de 30 dias.
4.3 Medidas corporais — dado de sensibilidade elevada
As medidas corporais são dados de natureza íntima e potencialmente biométrica. O seu tratamento assenta exclusivamente na prestação de serviços de costura solicitados, e apenas a costureira que os registou tem acesso a eles.
5. Bases jurídicas do tratamento (RGPD e LGPD)
Para utilizadoras na União Europeia aplica-se o RGPD (Reg. UE 2016/679); para utilizadoras no Brasil aplica-se a LGPD (Lei 13.709/2018). As bases legais correspondem-se da seguinte forma:
| Tipo de tratamento | Base jurídica (RGPD) | Base jurídica (LGPD) |
|---|---|---|
| Criar e manter conta | Execução de contrato — Art. 6(1)(b) | Execução de contrato — Art. 7.º, V |
| Gerir pedidos, clientes e finanças | Execução de contrato — Art. 6(1)(b) | Execução de contrato — Art. 7.º, V |
| Retenção de dados fiscais (após eliminação) | Obrigação legal — Art. 6(1)(c) | Cumprimento de obrigação legal — Art. 7.º, II |
| Notificações de sistema (lembretes, resumos) | Interesse legítimo — Art. 6(1)(f) | Legítimo interesse — Art. 7.º, IX |
| Comunicações de marketing e novidades (se fornecer um e-mail opcional) | Consentimento — Art. 6(1)(a), revogável a qualquer momento em Definições | Consentimento — Art. 7.º, I, revogável a qualquer momento em Definições |
| Dados dos clientes das costureiras | Interesse legítimo da costureira — Art. 6(1)(f) | Legítimo interesse da costureira — Art. 7.º, IX |
6. Com quem partilhamos os dados — subprocessadores
Trabalhamos com os seguintes fornecedores, que tratam dados por nossa conta:
| Fornecedor | Finalidade | País / Região |
|---|---|---|
| Supabase (Supabase Inc.) | Base de dados, autenticação e armazenamento de ficheiros | EUA / UE (AWS) |
| Twilio (Twilio Inc.) | Envio de códigos de verificação por SMS (autenticação) | EUA |
| RevenueCat (RevenueCat Inc.) | Gestão de subscrições e pagamentos in-app | EUA |
| Postmark (ActiveCampaign LLC) | Envio de e-mails, apenas se fornecer um e-mail opcional (funcionalidade futura) | EUA |
| Expo / EAS (Expo Inc.) | Distribuição, atualizações e notificações push | EUA |
| Anthropic (Anthropic PBC) | Assistente de apoio com IA no website (chatbot "Maria Clara") | EUA |
| Apple App Store / Google Play | Distribuição da aplicação e pagamentos | EUA |
Não vendemos dados pessoais a terceiros.
6.1 Assistente de apoio com inteligência artificial (website)
O nosso website inclui um assistente de apoio automatizado ("Maria Clara"). Quando interage com ele, as mensagens que escreve são enviadas à Anthropic PBC (EUA), que opera o modelo de inteligência artificial que gera as respostas. Tenha em conta que:
- O assistente destina-se a responder a dúvidas gerais sobre o serviço. Não introduza dados pessoais sensíveis (dados de saúde, financeiros ou palavras-passe) nas mensagens.
- A Anthropic trata as mensagens apenas para gerar a resposta, não as utiliza para treinar os seus modelos e conserva-as apenas por um período limitado para fins de segurança e prevenção de abuso.
- Base jurídica: interesse legítimo (al. f) na prestação de apoio eficiente; a interação é sempre iniciada por si.
- A transferência para os EUA está coberta pelas Cláusulas Contratuais-Tipo da Anthropic.
6.2 Lista de espera (website)
Se subscrever a lista de espera no nosso website, recolhemos o seu endereço de email com a finalidade única de o avisar quando a aplicação for lançada.
- Base jurídica: consentimento (Art. 6(1)(a)), prestado ao submeter o formulário.
- O email é guardado no Supabase (ver lista de subprocessadores acima) e não é usado para mais nada nem partilhado com terceiros.
- Retenção: eliminamos o email após o lançamento, ou antes se o solicitar em msmaia.pt@gmail.com.
6.3 Cookies do website
O website usa apenas um cookie funcional (region) para recordar a sua preferência de país (Portugal/Brasil), criado quando a seleciona. Não usamos cookies de publicidade, de analytics nem de rastreamento — por isso não apresentamos banner de cookies.
7. Transferências internacionais de dados
Alguns subprocessadores listados acima estão sediados fora do Espaço Económico Europeu (EEE). Essas transferências são realizadas com base em:
- Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia, ou
- Decisão de adequação da Comissão, quando aplicável.
Para titulares no Brasil (LGPD): as transferências internacionais assentam no Art. 33.º da LGPD — nomeadamente quando necessárias à execução de contrato (Art. 33.º, IX) — e, quando aplicável, nas Cláusulas-Padrão Contratuais aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024).
O Supabase disponibiliza hospedagem na região UE (AWS eu-west) mediante configuração. Para mais informações ou garantias adicionais, contacte-nos.
8. Durante quanto tempo guardamos os dados
Enquanto a conta estiver ativa
| Categoria de dados | Período de conservação |
|---|---|
| Dados de conta e perfil | Enquanto a conta estiver ativa |
| Pedidos e ordens de serviço | Enquanto a conta estiver ativa |
| Dados de clientes (CRM) | Enquanto a conta estiver ativa |
| Transações financeiras | Enquanto a conta estiver ativa |
| Fotografias de pedidos | Enquanto a conta estiver ativa |
| Tokens de notificação push | Removidos no logout; tokens sem uso há mais de 90 dias são eliminados automaticamente |
| Logs de sistema e segurança | Máximo 90 dias |
Após eliminação da conta
A eliminação é processada nos sistemas ativos no prazo de 30 dias. Cópias de segurança são expurgadas ao fim de 90 dias adicionais, com exceção dos dados abaixo sujeitos a obrigação legal:
| Categoria de dados | Prazo pós-eliminação | Base jurídica |
|---|---|---|
| Transações financeiras (valores agregados, sem dados pessoais identificáveis) | 5 anos | Obrigação legal fiscal — Art. 6(1)(c) RGPD; Art. 52.º CIVA (PT) / 5 anos Receita Federal (BR) |
| Pedidos e ordens de serviço | 3 anos após eliminação ou após o último pedido | Prazo de prescrição civil — Art. 309.º Código Civil (PT); Art. 27.º CDC / Art. 206.º Código Civil (BR) |
| Dados de clientes (nome, contacto) | 3 anos após o último pedido registado | Vinculado ao prazo dos pedidos |
| Fotografias de pedidos | Eliminadas imediatamente ou, no máximo, 1 ano após a conclusão do pedido | Sem obrigação legal; princípio da minimização (Art. 5(1)(e) RGPD) |
Os dados financeiros retidos após eliminação são conservados de forma anonimizada (totais mensais de receitas e despesas, sem identificação de clientes ou conteúdo de pedidos), exclusivamente para eventual auditoria fiscal do operador do serviço.
Contas inativas
Uma conta é considerada inativa quando não é acedida há 24 meses consecutivos. Nesse caso:
- Enviamos um aviso por SMS para o número de telemóvel registado, com 30 dias de antecedência.
- Se não houver acesso no prazo de 30 dias após o aviso, a conta e os respetivos dados são eliminados automaticamente, aplicando-se os prazos pós-eliminação descritos acima.
Pode reativar a conta fazendo login antes do prazo de 30 dias.
9. Os seus direitos
Ao abrigo do RGPD (Art. 15.º a 22.º) e da LGPD (Art. 18.º), tem os seguintes direitos:
| Direito | Como exercer |
|---|---|
| Confirmação da existência de tratamento (Art. 18.º, I LGPD) | Pedido por e-mail (ver abaixo) |
| Acesso — obter cópia dos seus dados | Definições → Exportar os meus dados (ficheiro JSON), ou pedido por e-mail |
| Retificação / correção — corrigir dados incorretos, incompletos ou desatualizados | Editar diretamente no perfil ou contactar-nos |
| Apagamento / eliminação ("direito ao esquecimento") | Definições → Eliminar conta |
| Eliminação de dados desnecessários, excessivos ou tratados em desconformidade (Art. 18.º, IV LGPD) | Contactar-nos por e-mail |
| Portabilidade — receber dados em formato estruturado | Definições → Exportar os meus dados (JSON), ou pedido por e-mail |
| Informação sobre as entidades com quem partilhamos os dados (Art. 18.º, VII LGPD) | Ver secção 6; ou pedido por e-mail |
| Informação sobre a possibilidade de não consentir e as respetivas consequências (Art. 18.º, VIII LGPD) | Ver secção 5; ou pedido por e-mail |
| Oposição ao marketing | Definições → Novidades e promoções (desativar switch) |
| Limitação / bloqueio do tratamento | Contactar-nos por e-mail |
| Retirada de consentimento | A qualquer momento, sem afetar tratamentos anteriores |
Para exercer qualquer direito: envie e-mail para msmaia.pt@gmail.com com o assunto "Direitos de privacidade". Prazos de resposta:
- RGPD (UE): até 30 dias.
- LGPD (Brasil): os pedidos de acesso e de confirmação de tratamento são respondidos de imediato em formato simplificado ou, em formato completo, no prazo de 15 dias (Art. 19.º LGPD).
Se considerar que o tratamento dos seus dados viola a legislação aplicável, tem o direito de apresentar reclamação ou petição à autoridade de controlo competente:
- Portugal: CNPD — cnpd.pt
- Brasil: ANPD — gov.br/anpd (Art. 18.º, parágrafo único, e Art. 22.º LGPD)
10. Segurança
Adotamos medidas técnicas e organizativas para proteger os seus dados:
- Autenticação sem palavra-passe, por código de uso único (OTP) enviado por SMS (Twilio), via Supabase Auth com tokens JWT de curta duração
- Isolamento de dados por utilizadora via Row Level Security (RLS) na base de dados — nenhuma costureira acede aos dados de outra
- Comunicações cifradas via HTTPS / TLS
- Armazenamento de ficheiros com acesso por URL assinada e com prazo de validade
- Acesso à base de dados restrito a funções com privilégios mínimos
Em caso de violação de dados que possa acarretar risco ou dano relevante, comunicaremos o incidente à autoridade competente e aos titulares afetados nos prazos legalmente exigidos — no Brasil, à ANPD em até 3 dias úteis (Art. 48.º LGPD e Resolução CD/ANPD nº 15/2024).
11. Menores
O CostureiraTech é um serviço profissional dirigido a adultos. Não recolhemos intencionalmente dados de menores — na UE, de menores de 16 anos (RGPD Art. 8.º); no Brasil, de crianças (menores de 12 anos) ou de adolescentes (12 a 18 anos) sem o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, no melhor interesse da criança (Art. 14.º LGPD). Se tiver conhecimento de que dados de um menor foram introduzidos, contacte-nos para remoção imediata.
12. Alterações a esta política
Alterações significativas serão comunicadas por notificação na aplicação com pelo menos 30 dias de antecedência. A data de "Última atualização" no topo do documento indica sempre a versão em vigor.
13. Encarregado pela Proteção de Dados (LGPD) / DPO (RGPD)
Para efeitos da LGPD (Art. 41.º), o canal de comunicação com o titular dos dados e com a ANPD é assegurado por:
Mauricio da Silva Maia — msmaia.pt@gmail.com
O responsável qualifica-se como agente de tratamento de pequeno porte nos termos da Resolução CD/ANPD nº 2/2022, beneficiando das simplificações aí previstas — incluindo a dispensa da indicação formal de um encarregado, mantendo-se contudo este canal de comunicação à disposição dos titulares. Ao abrigo do RGPD (Art. 37.º), não é exigível a nomeação de um Encarregado da Proteção de Dados (DPO), uma vez que não há monitorização sistemática em larga escala nem tratamento de categorias especiais em grande escala.
14. Contacto
Mauricio da Silva Maia Rua do Estaleiro 360, Cabeçudo, 6100-015 Sertã, Castelo Branco, Portugal msmaia.pt@gmail.com