Política de Privacidade — SAVI
Versão 2.2 · 19 de Junho de 2026 Funde a profundidade RGPD do v1.0 com a camada AI Act. Revisto com aconselhamento jurídico (19 Jun 2026). (Resend a adicionar à lista de subcontratantes quando o envio de emails próprios for ativado.)
A tua privacidade importa-nos. E porque nos deste autorização para tratamento dos teus dados pessoais, esta política explica, em linguagem clara, que dados recolhemos quando usas o SAVI, porque os tratamos, com quem os partilhamos e que direitos tens. O SAVI é uma plataforma de estudo assistida por inteligência artificial (IA), acessível em savi.pt.
1. Quem somos
O responsável pelo tratamento dos teus dados pessoais é:
VETOR SIDERAL UNIPESSOAL LDA NIPC 519379705 · Capital social: 500€ Conservatória do Registo Comercial de Almada · Código de certidão permanente: 1766-2513-0602 Contacto: contacto@savi.pt
2. Que dados recolhemos
2.1. Dados de registo — nome, email, fotografia de perfil (se fornecida via Google SSO) e data de criação da conta.
2.2. Materiais de estudo — PDFs, imagens e outros ficheiros que carregas, e os conteúdos que a IA gera a partir deles (resumos, flashcards, quizzes, artigos da wiki).
2.3. Dados de atividade — resultados de quizzes e flashcards, progresso (XP, streaks, níveis), Prontidão por disciplina, interações com o tutor e registos de sessões de estudo.
2.4. Dados técnicos — endereço IP, tipo de browser e sistema operativo, funcionalidades utilizadas, e dados de erro e desempenho.
2.5. Dados de pagamento — processados diretamente pela Stripe. Nunca armazenamos nem temos acesso aos dados do teu cartão; recebemos apenas a confirmação do pagamento e os últimos 4 dígitos para referência.
3. Para que usamos os teus dados
| Finalidade | Base legal (RGPD) |
|---|---|
| Criar e gerir a tua conta | Execução do contrato (Art. 6.º/1/b) |
| Prestar os serviços do SAVI (processar materiais, gerar atividades) | Execução do contrato (Art. 6.º/1/b) |
| Processar pagamentos e subscrições | Execução do contrato (Art. 6.º/1/b) |
| Cumprir obrigações legais (faturação, fiscalidade) | Obrigação legal (Art. 6.º/1/c) |
| Melhorar a plataforma e corrigir erros | Interesse legítimo (Art. 6.º/1/f) |
| Analytics de produto | Consentimento — opt-in (Art. 6.º/1/a) |
| Comunicações de marketing (se aplicável) | Consentimento (Art. 6.º/1/a) |
Não usamos os teus dados para publicidade direcionada nem os vendemos a terceiros. Não temos anúncios.
4. Inteligência artificial e processamento de materiais
4.1. Quando carregas materiais, estes são processados por modelos de IA de terceiros — Anthropic (Claude) e Mistral — para gerar as atividades de estudo. Estes fornecedores atuam como nossos subcontratantes e não usam os teus dados para treinar os respetivos modelos no contexto da utilização via API.
4.2. O conteúdo gerado por IA (resumos, flashcards, quizzes, artigos da wiki, respostas do tutor) é identificado como gerado por IA dentro da aplicação, em cumprimento do Art. 50.º do Regulamento (UE) 2024/1689 (AI Act). A IA pode conter erros e não substitui o professor.
4.3. Os indicadores que o SAVI calcula sobre o teu estudo (como a Prontidão) servem apenas para te orientares. Não tomamos decisões automatizadas com efeitos jurídicos ou similarmente significativos sobre ti na aceção do Art. 22.º do RGPD: o SAVI não atribui notas oficiais, não decide admissões nem progressões académicas.
4.4. O conteúdo da tua wiki (Saber Vivo) é guardado associado à conta e é derivado dos teus materiais. Ao eliminares a conta, é permanentemente eliminado.
5. Subcontratantes (quem trata dados por nossa conta)
Para prestar o serviço, recorremos a subcontratantes que tratam dados pessoais por nossa conta e segundo as nossas instruções, ao abrigo de contratos de subcontratação (DPA). Não são terceiros a quem cedemos ou "vendemos" os teus dados — cada um trata apenas os dados necessários à sua função (por exemplo, autenticação, pagamento, ou o processamento dos materiais pela IA).
| Subcontratante | Serviço | Localização | Garantia de transferência |
|---|---|---|---|
| Supabase | Base de dados e armazenamento | UE (Frankfurt) | Tratamento na UE |
| Mistral | Processamento de IA (OCR) | UE (Paris) | Tratamento na UE |
| PostHog | Analytics (opt-in) | UE | Tratamento na UE |
| Clerk | Autenticação e SSO | EUA | SCCs + DPA |
| Anthropic | Processamento de IA (Claude) | EUA | SCCs + DPA |
| Stripe | Pagamentos | EUA | SCCs + DPA |
| Vercel | Alojamento | EUA | SCCs + DPA |
| Sentry | Monitorização de erros | EUA | SCCs + DPA + EU-US DPF |
| Inngest | Processamento em segundo plano | EUA | SCCs (DPA a confirmar antes do launch) |
Groq (transcrição de áudio) e Resend (email transacional) não são utilizados no lançamento, pelo que não constam desta lista. Quando o envio de emails próprios através do Resend for ativado, esta política será atualizada para o incluir como subcontratante antes de qualquer tratamento de dados.
Não partilhamos os teus dados com outras entidades, exceto quando obrigados por lei.
6. Transferências internacionais
Alguns subcontratantes estão nos EUA. Essas transferências assentam nas Cláusulas Contratuais-Tipo (SCCs) adotadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914) e/ou no EU-US Data Privacy Framework, em conformidade com o Capítulo V do RGPD. Mantemos uma avaliação de impacto das transferências (TIA) para cada subcontratante fora do Espaço Económico Europeu.
7. Durante quanto tempo conservamos os teus dados
| Dados | Período de conservação |
|---|---|
| Dados de registo | Enquanto a conta estiver ativa |
| Materiais de estudo e wiki | Conta ativa + 30 dias após eliminação |
| Dados de atividade | Enquanto a conta estiver ativa |
| Dados técnicos e analytics | 26 meses (anonimizados) |
| Dados de pagamento/faturação | Conforme obrigações fiscais (8 anos) |
| Comunicações de suporte | 2 anos após resolução |
Após o pedido de eliminação, os dados pessoais são eliminados no prazo de 30 dias. Dados anonimizados e agregados podem ser conservados para fins estatísticos.
8. Os teus direitos
Tens direito a: acesso, retificação, apagamento ("direito ao esquecimento" — ao eliminares a conta, eliminamos materiais, wiki e atividade), portabilidade, oposição (quando a base for o interesse legítimo), limitação, e retirada do consentimento a qualquer momento (sem afetar a licitude do tratamento anterior).
Para exercer qualquer direito, escreve para contacto@savi.pt — respondemos no prazo de 30 dias. Se considerares que tratámos os teus dados indevidamente, podes reclamar junto da CNPD — Comissão Nacional de Proteção de Dados (www.cnpd.pt).
9. Menores
A idade mínima para usar o SAVI sem consentimento parental é 16 anos. Entre os 13 e os 15 anos, é necessário o consentimento de quem exerce as responsabilidades parentais (Art. 8.º do RGPD e Art. 16.º da Lei n.º 58/2019, de 8 de agosto). Menores de 13 anos não podem usar o SAVI; se detetarmos dados de um menor de 13 anos, eliminamo-los de imediato.
10. Segurança
Aplicamos medidas técnicas e organizativas adequadas: encriptação em trânsito (HTTPS/TLS) e em repouso, autenticação segura (incl. Google SSO), controlo de acessos baseado em funções, monitorização contínua e backups encriptados. Em caso de violação de dados com risco elevado para os teus direitos, serás notificado sem demora injustificada (Art. 34.º do RGPD).
11. Encarregado de Proteção de Dados (DPO)
Não nomeámos DPO por não estarmos abrangidos pelas situações do Art. 37.º do RGPD (não há tratamento em larga escala de categorias especiais nem monitorização sistemática em larga escala). O contacto para proteção de dados é contacto@savi.pt.
12. Alterações
Podemos atualizar esta política. Alterações significativas são comunicadas por email, e a data da versão em vigor consta sempre no topo.
13. Contacto
Email: contacto@savi.pt
VETOR SIDERAL UNIPESSOAL LDA · SAVI · Política de Privacidade v2.2 · 19 Jun 2026 · revisto com aconselhamento jurídico.