Política de Privacidade

Recolhemos os seguintes dados pessoais: • E-mail — para autenticação e comunicação essencial do serviço • Perfil de consumo elétrico — potência contratada (kVA), ciclo horário, consumos (kWh) e valor pago, extraídos das suas faturas • Estado de subscrição — plano ativo, data de renovação • Preferências — idioma da interface, ativação de alertas por email • Registos de pedidos RGPD — export e eliminação de conta, para prova de conformidade

Por design e em cumprimento do princípio de minimização de dados (RGPD art. 5.º): • Ficheiros PDF de faturas — descartados imediatamente após processamento • NIF (número de identificação fiscal) • CPE (código de ponto de entrega) • Morada completa • Nome completo do titular do contrato O texto extraído das faturas é redigido antes de ser guardado: todos os identificadores são substituídos por marcadores ([NIF], [CPE], [MORADA], [NOME]).

Tratamos os seus dados com base nas seguintes bases legais: Execução de contrato (RGPD art. 6.º-1-b): e-mail, perfil de consumo e dados de subscrição — necessários para prestar o serviço pago. Interesse legítimo (RGPD art. 6.º-1-f): texto redigido de faturas — para melhorar os algoritmos de extração, sem identificadores pessoais. Consentimento (RGPD art. 6.º-1-a): alertas por email — pode ativar ou desativar a qualquer momento em /dashboard/conta.

Utilizamos os seguintes subcontratantes, todos com acordos de tratamento de dados (DPA) conformes com o RGPD: • Supabase (Supabase, Inc.) — base de dados e autenticação. Região: Frankfurt, Alemanha (UE) • Vercel (Vercel, Inc.) — hospedagem da aplicação web • Stripe (Stripe, Inc.) — processamento de pagamentos e gestão de subscrições • Resend (Resend, Inc.) — envio de emails transacionais e alertas • GitHub Actions (GitHub, Inc.) — automação de infraestrutura (sem acesso a dados pessoais)

Conservamos os seus dados enquanto a conta estiver ativa. Ao eliminar a conta: • Perfil, faturas, alertas e subscrição são eliminados imediatamente em cascade • Texto redigido de faturas é desligado do utilizador (user_id → null) e deixa de ser dado pessoal • Registos de pedidos RGPD são conservados indefinidamente como prova de conformidade legal Faturas anónimas (upload público sem registo): quando o parse automático falha, o ficheiro PDF é retido até 48 horas para melhoria do serviço, com consentimento explícito do utilizador. O ficheiro é eliminado automaticamente após esse prazo. Base legal: consentimento explícito (RGPD art. 6.º-1-a) + interesse legítimo na melhoria do serviço (art. 6.º-1-f).

Ao abrigo do RGPD, tem os seguintes direitos: • Acesso — saber que dados guardamos sobre si • Portabilidade — exportar os seus dados em formato JSON • Apagamento — eliminar a sua conta e todos os dados pessoais • Retificação — corrigir dados de perfil • Oposição — desativar alertas por email Para exercer estes direitos, aceda a /dashboard/conta ou contacte-nos pelo email indicado abaixo.

Para questões sobre privacidade ou para exercer os seus direitos, contacte: privacidade@erabom.pt Responderemos no prazo de 30 dias úteis, conforme exigido pelo RGPD.

Se considerar que o tratamento dos seus dados viola o RGPD, tem o direito de apresentar queixa à autoridade de controlo portuguesa: Comissão Nacional de Proteção de Dados (CNPD) www.cnpd.pt Rua de São Bento, 148-3.º, 1200-821 Lisboa