Skip to content
Legal

Política de Privacidade

Última atualização: 16 de abril de 2026

1. Responsável pelo Tratamento

A maqia ai ("MAQIA", "nós") é a entidade responsável pelo tratamento dos dados pessoais processados através da nossa plataforma de procurement e do nosso website. Se alguma secção desta política não for clara — ou se pretender exercer algum dos seus direitos ao abrigo do RGPD — basta enviar-nos um e-mail e uma pessoa da nossa equipa responder-lhe-á.

maqia ai
E-mail: privacy@maqia.eu

2. Que Dados Pessoais Recolhemos

Recolhemos apenas o estritamente necessário para operar o serviço, emitir faturas e manter a plataforma segura:

  • Dados de conta — nome, e-mail profissional, empresa e função.
  • Dados de faturação — nome da empresa, NIF/número de IVA, morada de faturação e dados do instrumento de pagamento (tratados pela Stripe; ver Secção 4).
  • Dados de utilização — atividade do tenant, documentos de procurement que cria e interações com as funcionalidades da plataforma.
  • Dados técnicos — endereço IP, user agent e cookies de sessão necessários para manter a sessão iniciada e proteger a plataforma contra abusos.
  • Comunicações — tudo o que nos envia por suporte, formulários de feedback ou e-mail.

3. Fundamentos Legais do Tratamento

Nos termos do artigo 6.º do RGPD, o fundamento legal específico para cada categoria é o seguinte:

  • Dados de conta — execução do contrato consigo (art. 6.º, n.º 1, al. b)).
  • Dados de faturação — execução do contrato (art. 6.º, n.º 1, al. b)) em conjugação com a obrigação legal de conservar registos fiscais (art. 6.º, n.º 1, al. c)).
  • Dados de utilização — interesse legítimo em operar, proteger e melhorar a plataforma (art. 6.º, n.º 1, al. f)).
  • Comunicações de marketing (se existirem) — o seu consentimento, que pode retirar a qualquer momento (art. 6.º, n.º 1, al. a)).
  • Dados de análise (visualizações de página, eventos de navegação, Web Vitals) — o seu consentimento ao abrigo do art. 6.º, n.º 1, al. a) do RGPD. O Google Analytics 4 não é carregado enquanto não aceitar os cookies de análise.

4. Processamento de Pagamentos e Stripe

Quando subscreve um plano pago, utilizamos a Stripe Payments Europe, Limited (Irlanda) como nosso processador de pagamentos. A Stripe recolhe e trata o seu nome, e-mail de faturação, morada de faturação, número de IVA e dados do instrumento de pagamento em nosso nome, para execução do contrato consigo (art. 6.º, n.º 1, al. b) do RGPD) e para cumprimento das nossas obrigações fiscais (art. 6.º, n.º 1, al. c)).

A MAQIA nunca recebe nem armazena o número completo do seu cartão nem o CVV. Todos os dados de pagamento são tokenizados pela Stripe.

A Stripe pode transferir dados pessoais limitados para a Stripe, Inc. nos Estados Unidos ao abrigo do EU-US Data Privacy Framework e das Cláusulas Contratuais-Tipo da Comissão Europeia. A Stripe está autocertificada ao abrigo do Data Privacy Framework.

A Stripe utiliza tecnologia automatizada de prevenção de fraude (Stripe Radar). Se um pagamento for recusado e considerar que se trata de um erro, contacte-nos em billing@maqia.eu para uma revisão humana (art. 22.º, n.º 2, al. a) e n.º 3 do RGPD).

Política de privacidade da Stripe: stripe.com/privacy

5. Subcontratantes

Estes são os terceiros que tratam dados pessoais em nosso nome. Mantemos esta lista intencionalmente curta — e atualizá-la-emos aqui antes de adicionar qualquer novo subcontratante.

FornecedorFinalidadeLocalizaçãoMecanismo de transferência
Stripe Payments Europe, LtdProcessamento de pagamentosIrlanda (+ EUA para alguns dados)CCT + Data Privacy Framework
SupabaseBase de dados, autenticação, armazenamentoUE (Frankfurt)Dentro da UE — sem mecanismo adicional
Google Cloud (Cloud Run)Alojamento da aplicaçãoUE (Bélgica — europe-west1)Dentro da UE — sem mecanismo adicional
Google LLC (Google Analytics 4)Análise do website — visualizações de página, eventos de navegação, Web Vitals (condicionado ao consentimento; não é carregado salvo aceitação dos cookies de análise)Estados UnidosEU-US Data Privacy Framework (decisão de adequação, Decisão de Execução (UE) 2023/1795 da Comissão, de 10 de julho de 2023)
InvoiceXpressFaturação certificada pela ATPortugalDentro da UE — sem mecanismo adicional

6. Durante Quanto Tempo Conservamos os Seus Dados

Conservamos os dados apenas pelo tempo necessário — ou pelo prazo exigido por lei:

  • Dados de conta — eliminados no prazo de 30 dias após o encerramento da conta, salvo quando a sua conservação for exigida por obrigação legal.
  • Registos de faturação — registos fiscais mantidos durante 10 anos, conforme exigido pelo artigo 52.º do CIVA e pelo artigo 66.º da LGT espanhola, sendo depois eliminados em definitivo.
  • Registos de utilização — 90 dias em regime rotativo.
  • Registos de auditoria — 2 anos, para cumprimento das nossas obrigações de segurança ao abrigo do artigo 32.º do RGPD.
  • Dados de eventos do Google Analytics 4 — até 14 meses, conforme configuração da propriedade GA4. Pode eliminar a sua atividade a qualquer momento em myactivity.google.com.
  • Registos de consentimento de marketing — até à retirada do consentimento.

7. Os Seus Direitos ao Abrigo do RGPD

Se reside no EEE ou no Reino Unido, tem os seguintes direitos relativamente aos seus dados pessoais:

  • Direito de acesso (art. 15.º) — saber que dados temos sobre si.
  • Direito de retificação (art. 16.º) — corrigir qualquer informação incorreta.
  • Direito ao apagamento (art. 17.º) — eliminar os seus dados, sem prejuízo do prazo de conservação fiscal acima indicado.
  • Direito à limitação do tratamento (art. 18.º) — suspender o tratamento enquanto investigamos uma reclamação.
  • Direito à portabilidade (art. 20.º) — receber os seus dados num formato legível por máquina.
  • Direito de oposição (art. 21.º) — opor-se ao tratamento com base em interesse legítimo ou marketing direto.
  • Direito de retirar o consentimento — a qualquer momento, sem prejuízo da licitude do tratamento realizado antes dessa retirada.

Para exercer qualquer destes direitos, envie um e-mail para privacy@maqia.eu e responder-lhe-emos no prazo de 30 dias.

Tem também o direito de apresentar reclamação junto de uma autoridade de controlo. Em Portugal, é a Comissão Nacional de Proteção de Dados — cnpd.pt. Em Espanha, é a Agencia Española de Protección de Datos — aepd.es.

8. Transferências Internacionais de Dados

Por defeito, os seus dados permanecem na União Europeia. A Stripe pode transferir dados de faturação limitados para os Estados Unidos ao abrigo do EU-US Data Privacy Framework e das Cláusulas Contratuais-Tipo, conforme descrito na Secção 4. Quando consente nos cookies de análise, o Google Analytics 4 (operado pela Google LLC, Estados Unidos) recebe igualmente dados de análise anonimizados — caminhos de URL, eventos personalizados e Web Vitals — ao abrigo da mesma decisão de adequação EU-US Data Privacy Framework (Decisão de Execução (UE) 2023/1795 da Comissão, de 10 de julho de 2023). A Google LLC encontra-se autocertificada ao abrigo do Data Privacy Framework. Não realizamos outras transferências de dados pessoais sem as divulgar previamente nesta política.

9. Segurança

Levamos o artigo 32.º do RGPD muito a sério. As nossas medidas de base incluem:

  • Cifra em trânsito (TLS 1.2+) e em repouso.
  • Autenticação em dois fatores e imposição opcional de MFA a nível organizacional.
  • Registo de auditoria para ações administrativas sensíveis.
  • Controlos de acesso de privilégio mínimo e isolamento de tenants ao nível da linha (row-level).
  • Plano documentado de resposta a incidentes e notificação de violações à CNPD / AEPD no prazo de 72 horas ao abrigo do art. 33.º.

10. Cookies

Utilizamos cookies para autenticação, pagamentos, prevenção de fraude e — mediante consentimento — análise estatística. Os cookies de análise são definidos exclusivamente pelo Google Analytics 4 (ID de medição: G-TZ9X0D56XJ). O script do GA4 nunca é carregado para visitantes que não tenham aceite os cookies de análise; não ocorrem pings sem cookies nem recolha do lado do servidor. O GA4 anonimiza os endereços IP por defeito (o último octeto é truncado antes do armazenamento). São registados apenas os caminhos de URL — os parâmetros de pesquisa são removidos para evitar a captura acidental de dados pessoais. Pode retirar o consentimento de análise a qualquer momento através do banner de cookies, sem prejuízo da licitude do tratamento anteriormente efetuado (art. 7.º, n.º 3, do RGPD). Pode também consultar ou eliminar a sua atividade no Google Analytics em myactivity.google.com. Consulte o banner de cookies na parte inferior desta página para gerir as suas preferências.

11. Menores

A MAQIA é um serviço B2B e não se destina a pessoas com menos de 16 anos. Se acreditar que recolhemos inadvertidamente dados de um menor, contacte-nos em privacy@maqia.eu e eliminá-los-emos.

12. Alterações a Esta Política

Se fizermos alterações materiais a esta política, notificá-lo-emos por e-mail e/ou dentro da plataforma com, pelo menos, 30 dias de antecedência relativamente à sua entrada em vigor. Clarificações não materiais (gralhas, formatação) podem ser feitas a qualquer momento.

13. Contacto

Para qualquer questão relacionada com privacidade, contacte-nos através de um dos seguintes endereços:

Pedidos de direitos dos titulares: privacy@maqia.eu
Questões de faturação e Stripe: billing@maqia.eu
Encarregado de Proteção de Dados: dpo@maqia.eu

Nota: a MAQIA poderá não estar formalmente obrigada a designar um Encarregado de Proteção de Dados ao abrigo do artigo 37.º do RGPD. Caso tal designação não seja obrigatória, este endereço é monitorizado pela nossa equipa de privacidade.

Quantas horas pode a sua equipa poupar em compras?simule o seu caso específico

Utilizamos cookies para operar a plataforma, processar pagamentos de forma segura e (com a sua permissão) compreender como os visitantes utilizam o nosso site. Consulte a nossa Política de Privacidade.