Política de Privacidade

Última atualização: 18 de fevereiro de 2026

1. Responsável pelo Tratamento de Dados

A Always Here (“nós”, “nosso” ou “Serviço”) é responsável pelo tratamento dos seus dados pessoais. Pode contactar-nos através do email: privacidade@always-here.com.

2. Dados que Recolhemos

Recolhemos os seguintes tipos de dados pessoais:

2.1. Dados fornecidos diretamente

  • Dados de conta: nome, endereço de email e palavra-passe (armazenada com hash bcrypt).
  • Dados de perfil: foto de perfil, preferências de memorial e custódia de dados.
  • Conteúdo biográfico: entradas de biografia com texto, fotografias e ficheiros áudio.
  • Dados familiares: nomes, relações, emails e datas de nascimento de membros da família.
  • Mensagens póstumas: assuntos, corpos de mensagem e informações de destinatários.
  • Validação de óbito: certificados de óbito, informações de validadores e dados de verificação.
  • Dados de pagamento: processados pelo Stripe — não armazenamos dados de cartão diretamente.

2.2. Dados recolhidos automaticamente

  • Endereço IP: utilizado para limitação de taxa, deteção de fraude e segurança.
  • Dados de sessão: cookies de autenticação e tokens CSRF para segurança da sessão.
  • Dados de erro: relatórios de erro anónimos via Sentry para estabilidade do serviço.

3. Bases Legais para o Tratamento

Nos termos do artigo 6.º do RGPD, tratamos os seus dados com base nas seguintes bases legais:

  • Execução de contrato (Art. 6.º(1)(b)): para prestar o Serviço, incluindo gestão de conta, armazenamento de conteúdo biográfico, entrega de mensagens e geração de memorial.
  • Consentimento (Art. 6.º(1)(a)): para envio de emails de marketing, análises e partilha com terceiros. Pode retirar o consentimento a qualquer momento nas definições de conta.
  • Interesse legítimo (Art. 6.º(1)(f)): para segurança do serviço, deteção de fraude, prevenção de abuso e melhoria do serviço.
  • Obrigação legal (Art. 6.º(1)(c)): para cumprimento de obrigações fiscais e legais relacionadas com pagamentos.

4. Como Utilizamos os Seus Dados

  • Prestar e manter o Serviço Always Here.
  • Autenticar e proteger a sua conta.
  • Armazenar e encriptar o seu conteúdo biográfico e mensagens.
  • Entregar mensagens póstumas aos destinatários designados.
  • Gerar e gerir páginas de memorial.
  • Processar pagamentos de subscrição via Stripe.
  • Enviar notificações transacionais (verificação, lembretes, entregas).
  • Detetar e prevenir fraude em validações de óbito.
  • Monitorizar erros e melhorar a estabilidade do serviço.

5. Encriptação e Segurança

Levamos a segurança dos seus dados muito a sério. As seguintes medidas estão implementadas:

  • Encriptação em repouso: todo o conteúdo multimédia (fotografias, áudio) é encriptado com AES-256-GCM antes do armazenamento.
  • Encriptação de mensagens: cada mensagem póstuma é encriptada com uma chave AES-256-GCM única, gerida pelo Supabase Vault.
  • Hashing de palavras-passe: bcrypt com salt automático.
  • Integridade de selo: compromissos criptográficos SHA-256 para mensagens seladas.
  • Proteção CSRF: validação de origem + tokens double-submit.
  • Limitação de taxa: proteção contra abuso em todos os endpoints.
  • Verificação de ficheiros: validação magic-byte e digitalização de malware em todos os uploads.

6. Partilha de Dados com Terceiros

Partilhamos dados apenas com os seguintes fornecedores, necessários para a prestação do Serviço:

  • Supabase (Alemanha, Frankfurt): base de dados, autenticação e armazenamento. Dados armazenados na UE.
  • Cloudflare R2: armazenamento de ficheiros multimédia encriptados.
  • Stripe: processamento de pagamentos. Consulte a política de privacidade do Stripe.
  • Resend: envio de emails transacionais. Consulte a política de privacidade da Resend.
  • Sentry: monitorização de erros (dados anónimos).
  • Vercel: alojamento e distribuição do Serviço.

Não vendemos, alugamos nem partilhamos os seus dados pessoais para fins de marketing de terceiros.

7. Transferências Internacionais de Dados

A nossa infraestrutura principal está localizada na região de Frankfurt (UE). Alguns subprocessadores (Stripe, Resend, Sentry, Vercel) podem processar dados fora do EEE. Estas transferências são protegidas por Cláusulas Contratuais-Tipo (CCT) da Comissão Europeia ou mecanismos equivalentes aprovados.

8. Retenção de Dados

  • Dados de conta e perfil: mantidos enquanto a conta estiver ativa.
  • Conteúdo biográfico: mantido até eliminação pelo utilizador ou eliminação da conta.
  • Mensagens seladas: mantidas permanentemente até à entrega, em virtude do compromisso criptográfico de imutabilidade.
  • Memoriais: mantidos permanentemente como registo memorial público ou familiar.
  • Conta eliminada: período de graça de 30 dias, após o qual os dados são irreversivelmente apagados, incluindo ficheiros em armazenamento.
  • Registos de auditoria: mantidos durante 2 anos para fins de segurança e conformidade.
  • Exportações de dados: disponíveis durante 7 dias após geração.

9. Os Seus Direitos ao Abrigo do RGPD

Tem os seguintes direitos relativamente aos seus dados pessoais:

  • Direito de acesso (Art. 15.º): solicitar uma cópia dos seus dados pessoais.
  • Direito de retificação (Art. 16.º): corrigir dados incorretos ou incompletos.
  • Direito ao apagamento (Art. 17.º): solicitar a eliminação dos seus dados. Disponível nas definições de conta.
  • Direito à portabilidade (Art. 20.º): exportar os seus dados em formato estruturado (JSON). Disponível nas definições de conta.
  • Direito de oposição (Art. 21.º): opor-se ao tratamento baseado em interesse legítimo.
  • Direito de limitação (Art. 18.º): restringir o tratamento dos seus dados.
  • Direito de retirar consentimento (Art. 7.º): a qualquer momento, nas definições de conta.

Para exercer estes direitos, contacte-nos em privacidade@always-here.com ou utilize as ferramentas disponíveis nas definições da sua conta.

Tem também o direito de apresentar uma reclamação junto da autoridade de proteção de dados competente. Em Portugal, a autoridade é a Comissão Nacional de Proteção de Dados (CNPD).

10. Cookies

Utilizamos os seguintes cookies:

  • Cookies de autenticação (essenciais): cookies de sessão do Supabase para manter a sua sessão autenticada.
  • Cookie CSRF (essencial): token de proteção contra falsificação de pedidos entre sites.

Não utilizamos cookies de rastreamento, publicidade ou análise de terceiros.

11. Menores

O Serviço não se destina a menores de 16 anos. Não recolhemos conscientemente dados de menores de 16 anos. Se tiver conhecimento de que um menor nos forneceu dados pessoais, contacte-nos para que possamos proceder à sua eliminação.

12. Alterações a Esta Política

Podemos atualizar esta Política de Privacidade periodicamente. Notificaremos os utilizadores registados por email sobre alterações significativas. A utilização continuada do Serviço após as alterações constitui aceitação da política atualizada.

13. Contacto

Para questões relacionadas com privacidade ou proteção de dados: