Jabpick
Início

Política de Privacidade

Como recolhemos, usamos e protegemos os teus dados pessoais, conforme o RGPD (Regulamento (UE) 2016/679).

Última atualização: 23 de abril de 2026

1. Responsável pelo tratamento

O responsável pelo tratamento dos teus dados pessoais é Data Script Swiss, contactável em support@jabpick.com.

2. Que dados recolhemos

2.1 Dados que forneces diretamente

  • Conta: endereço de email, password (armazenada em forma de hash, nunca em texto claro).
  • Perfil editorial: nome da marca, handle de Instagram, nicho, cor primária, estilo visual, oferta, audiência, CTA, link principal, idioma preferido, tom de voz, jargão, letra de badge e avatar opcional.
  • Conteúdo: inputs de geração (links, texto, imagens) e carrosséis gerados.
  • BYOK: chave API da Anthropic, armazenada cifrada (AES-256-GCM) e descifrada apenas no servidor no momento da geração.

2.2 Dados recolhidos automaticamente

  • Dados técnicos mínimos para operar o serviço (endereço IP, cabeçalhos HTTP básicos, ID de sessão).
  • Logs de pedidos e erros para diagnóstico e segurança.

2.3 Dados de pagamento e autenticação

A autenticação (login) e os pagamentos são tratados pelo Clerk. Quando subscreves um plano pago, os dados de pagamento (número de cartão, data, CVV) são recolhidos e processados diretamente pelo Clerk. Não armazenamos dados de cartão nos nossos sistemas.

3. Finalidades e bases legais

FinalidadeDadosBase legal
Prestar o serviço (criar conta, gerar carrosséis, guardar histórico)Email, perfil, inputs, outputsExecução de contrato (art. 6.º-1-b)
Faturação e cobrançaDados fiscais, transaçõesObrigação legal (art. 6.º-1-c)
Segurança, prevenção de fraude e abusoIP, logs, atividadeInteresse legítimo (art. 6.º-1-f)
Comunicações transacionais (reposição de password, avisos)EmailExecução de contrato
Comunicações de marketingEmailConsentimento (art. 6.º-1-a), opt-in, revogável
Melhoria do produto (métricas agregadas, anónimas)Uso agregadoInteresse legítimo

4. Prazos de retenção

  • Dados de conta e perfil: enquanto a conta estiver ativa + 30 dias após o pedido de eliminação (janela de reversão).
  • Carrosséis gerados: guardados enquanto a conta estiver ativa; podes apagá-los individualmente no dashboard.
  • Chave API BYOK: enquanto a mantiveres; removida imediatamente após pedido de remoção.
  • Registos de faturação: 5 anos (ajustar conforme obrigação contabilística da jurisdição aplicável).
  • Logs técnicos: 30 dias, salvo necessidade de investigação de incidente.

5. Sub-processadores

Para prestar o Serviço, recorremos aos seguintes sub-processadores. Todos assinaram cláusulas contratuais tipo (SCC) ou equivalentes e são conformes com o RGPD.

Sub-processadorFinalidadeLocalização
Vercel Inc.Hosting, edge network, logsEUA (SCC)
Supabase Inc.Base de dados e armazenamentoUE / EUA (conforme região; SCC quando aplicável)
Anthropic PBCModelo de linguagem para geração (Claude)EUA (SCC)
Clerk, Inc.Autenticação (login) e processamento de pagamentosEUA (SCC)

Alterações ao conjunto de sub-processadores são publicadas com pelo menos 15 dias de antecedência. Podes opor-te antes da entrada em vigor, cessando o contrato.

6. Transferências internacionais

Alguns sub-processadores estão sediados fora do Espaço Económico Europeu (EEE). As transferências são feitas ao abrigo de:

  • Cláusulas Contratuais Tipo (SCC) aprovadas pela Comissão Europeia;
  • Avaliações de impacto em transferência (TIA) quando aplicáveis;
  • Medidas técnicas suplementares (cifra em trânsito e em repouso, minimização de dados).

7. Segurança

  • Cifra em trânsito (TLS 1.2+) em todas as ligações.
  • Cifra em repouso: base de dados Supabase, e chaves API BYOK adicionalmente cifradas em camada aplicacional (AES-256-GCM com chave-mestra gerida em vault de ambiente).
  • Row-Level Security (RLS) na base de dados.
  • Controlo de acesso ao código e ambientes por princípio de menor privilégio.
  • Notificação de violação de dados pessoais à autoridade competente (CNPD, em Portugal) em até 72 horas, conforme art. 33.º RGPD.

8. Os teus direitos

Ao abrigo do RGPD tens direito a:

  • Acesso aos dados que tratamos sobre ti;
  • Retificação de dados inexatos;
  • Apagamento ("direito a ser esquecido");
  • Limitação do tratamento;
  • Portabilidade num formato estruturado e legível;
  • Oposição ao tratamento baseado em interesse legítimo;
  • Retirar consentimento a qualquer momento, sem afetar a licitude do tratamento anterior.

Para exercer qualquer direito, escreve para support@jabpick.com. Respondemos em até 30 dias.

Tens também o direito de apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD) em Portugal ou à autoridade do teu país de residência.

9. Cookies

O uso de cookies está descrito em detalhe na Política de Cookies.

10. Menores

O Jabpick não se destina a menores de 18 anos. Se tomares conhecimento que um menor forneceu dados sem consentimento parental adequado, contacta-nos para remoção imediata.

11. Alterações a esta política

Esta Política pode ser atualizada. Alterações materiais são notificadas por email e através de aviso visível no site pelo menos 30 dias antes da entrada em vigor.

12. Contactos

Para qualquer questão sobre privacidade: support@jabpick.com.

Questões sobre este documento?
support@jabpick.com