Privacy Policy

Política de Privacidade

Última atualização: 27 de março de 2026

1. Controlador de Dados

O responsável pelos seus dados pessoais é: Kamil Zwarycz, realizando negócios sob o nome LogicLoom Kamil Zwarycz Registado no Registo Central e Informação sobre Empresas (CEIDG) PIN: 5871749235 □ REGIÃO: 540001576 Kalinowa 6L lok. 3, 81-198 Kosakowo, Polónia E-mail: legal@budiflow.com Registo público: biznes.gov.pl Esta Política de Privacidade explica como coletamos, usamos, armazenamos e protegemos dados pessoais relacionados com a plataforma BudiFlow e descreve seus direitos ao abrigo do Regulamento (UE) 2016/679 (GDPR), da Lei Polaca sobre Proteção de Dados Pessoais e da Lei sobre Prestação de Serviços Eletrônicos. Nós não nomeamos um Diretor de Proteção de Dados (DPO), uma vez que não cumprimos os limiares que exigem nomeação obrigatória do DPO nos termos do Artigo 37 do GDPR. As consultas de privacidade podem ser direcionadas para legal@budiflow.com.

2. Nosso duplo papel: controlador e processador

BudiFlow opera em dois papéis distintos de proteção de dados, e é importante entender a distinção: Função 1 — Controlador de dados (para dados da conta do assinante): Quando você se registra e usa BudiFlow, determinamos os propósitos e meios de processar seus dados pessoais (nome, endereço de e-mail, informações de faturamento, dados de uso). Nesta capacidade, somos o seu controlador de dados e esta Política de Privacidade aplica-se plenamente. Papel 2 — Processador de dados (para os dados dos seus clientes): Quando você usa BudiFlow para armazenar registros sobre seus próprios clientes (nomes de clientes, dados de contato, notas de nomeação, histórico de serviços), você — o contratante ou provedor de serviços — é o controlador de dados desses dados do cliente. Nós o processamos exclusivamente em seu nome, sob suas instruções, como seu processador de dados de acordo com o artigo 28 do GDPR. Como seu processador de dados, nós: • Processe os dados de seus clientes apenas se necessário para fornecer o Serviço, nunca para fins de marketing ou análise. • Manter a confidencialidade e implementar medidas técnicas de segurança adequadas. • Notificá-lo prontamente de qualquer violação de dados que afete os dados de seus clientes. • Excluir ou devolver todos os dados do cliente após o término de sua assinatura. Você é responsável por garantir que você tenha uma base RGPD legal para coletar e armazenar os dados de seus clientes em BudiFlow. Se os seus clientes forem residentes na UE/EEE, deve fornecer-lhes um aviso de privacidade conforme ao GDPR. O Contrato de Processamento de Dados (DPA) incorporado em nossos Termos de Serviço rege nosso relacionamento de processador com você.

3. Dados pessoais que coletamos

Coletamos e processamos as seguintes categorias de dados pessoais sobre Assinantes (não clientes finais): Dados da conta: nome completo, nome da empresa (se aplicável), endereço de e-mail, senha (armazenado como um hash criptográfico único — não podemos recuperar sua senha), foto do perfil (opcional). Dados de faturamento e pagamento: nome e endereço de fatura, e-mail de fatura, número de IVA (se aplicável). Os detalhes do cartão de pagamento são coletados e armazenados exclusivamente pela Stripe, Inc. — recebemos apenas um token de pagamento e os últimos quatro dígitos do seu cartão. Uso e dados técnicos: endereço IP, tipo e versão do navegador, tipo de dispositivo, páginas visitadas, recursos usados, duração da sessão, horários, registros de erros e métricas de desempenho. Estes dados são recolhidos automaticamente quando utiliza o Serviço. Dados de comunicação: o conteúdo de e-mails, tickets de suporte e mensagens de chat que você nos envia. Dados do cliente digitado pelo assinante: como um processador de dados (veja Secção 2), armazenamos os registros do cliente que você introduz. Esses dados pertencem aos seus clientes e você é responsável por eles. Nós não coletamos ou processamos intencionalmente categorias especiais de dados pessoais (dados sensíveis) nos termos do artigo 9.o do RGPD — tais como dados de saúde, dados biométricos ou crenças religiosas — sobre Assinantes. Se esses dados aparecerem nos registros de clientes inseridos no Assinante, você é responsável por garantir a existência de uma base legal.

4. Bases legais para o processamento

Processamos os seus dados pessoais nas seguintes bases legais ao abrigo do artigo 6.o do GDPR: Desempenho do contrato (Art. 6.o, n.o 1, alínea b) GDPR): Os dados da conta e os dados de faturamento são processados para entrar e executar o contrato de assinatura com você — para fornecer acesso, gerenciar sua conta, emitir faturas e fornecer suporte. Fornecendo esses dados é uma exigência contratual; sem ele não podemos fornecer o Serviço. Interesses legítimos (Art. 6.o, n.o 1, alínea f), GDPR): Os dados técnicos e de uso são processados para nossos legítimos interesses em: melhorar o Serviço e experiência do usuário, detectar e prevenir fraudes, abusos e incidentes de segurança e monitorar o desempenho do sistema. Nós equilibramos esses interesses contra seus direitos e concluímos que nossos interesses não se sobrepõem aos seus, dada a sensibilidade limitada dos dados de uso. Obrigação legal (Art. 6.o, n.o 1, alínea c), GDPR): Os registos de facturação e as facturas são mantidos para cumprir a legislação fiscal e contabilística polaca (Ustawa o rachunkowości, Ordynacja podatkowa), que exige retenção durante 5 anos. Consentimento (Art. 6.o, n.o 1, alínea a), GDPR): Quando dependemos do consentimento — por exemplo, para cookies de análise não essenciais ou para o envio de comunicações de marketing — pode retirar o seu consentimento a qualquer momento sem afectar a legalidade do processamento prévio. A retirada pode ser feita através do painel de gerenciamento de cookies ou enviando e-mail legal@budiflow.com.

5. Como usamos seus dados

Utilizamos os seus dados pessoais para os seguintes fins: Prestação de serviço: para criar e gerenciar sua conta, fornecer acesso a todos os recursos de serviço e garantir as funções de serviço corretamente para você. Faturação e faturamento: para processar pagamentos de assinatura via Stripe, emitir faturas de IVA, lidar com pagamentos fracassados e manter registros financeiros. Suporte ao cliente: responder às suas solicitações de suporte, solucionar problemas e melhorar nossa documentação de ajuda com base em problemas comuns. Comunicações de serviço: para enviar e-mails transacionais essenciais para o seu uso do Serviço — confirmação da conta, redefinição de senhas, avisos de renovação de assinatura, recibos de pagamento e atualizações importantes do Serviço. Melhoria e segurança do serviço: monitorar o desempenho do sistema, detectar bugs, analisar padrões de uso (em forma agregada/anônimo, sempre que possível), prevenir fraudes e manter a segurança e integridade do Serviço. Conformidade jurídica: cumprir as nossas obrigações nos termos da legislação polaca e da UE, incluindo os requisitos fiscais, contabilísticos e de protecção de dados. Marketing (somente com consentimento): se você tiver optado, podemos enviar newsletters, anúncios de atualização de produto e ofertas promocionais. Você pode cancelar a assinatura a qualquer momento através do link em qualquer email de marketing ou contatando legal@budiflow.com. Não vendemos os seus dados pessoais a terceiros. Nós não usamos seus dados pessoais para perfis automatizados que produzem efeitos legais ou igualmente significativos.

6. Retenção de dados

Conservamos os seus dados pessoais apenas durante o tempo necessário para os fins descritos nesta Política: Dados da conta (nome, e-mail, perfil): retidos durante a duração da sua assinatura ativa mais 30 dias após a exclusão da conta. O período de 30 dias permite exportar seus dados antes da exclusão permanente. Dados do cliente (entrados por você como Assinante): tratados de forma idêntica — retidos por 30 dias após o término, então excluídos permanentemente. Registos de facturação e facturas: conservados durante 5 anos a partir do final do ano fiscal em que ocorreu a transacção, conforme exigido pela lei fiscal polaca (Ordynacja podatkowa, Art. 70) e pela lei contabilística (Ustawa o rachunkowości). Registros de uso e dados técnicos: retidos por até 12 meses para monitoramento de segurança, detecção de fraudes e melhoria do serviço. A análise anônima agregada pode ser mantida indefinidamente. Comunicações de apoio: mantidas durante 3 anos a partir da data da resolução, para ajudar com questões de acompanhamento e melhoria da qualidade. Registros de consentimento: retidos para a duração de sua conta mais 3 anos, como evidência de consentimento para fins de conformidade. Quando os dados não são mais necessários, são excluídos com segurança usando métodos padrão da indústria ou anonimizados de modo que você não pode mais ser identificado.

7. Seus direitos sob o GDPR

Como titular de dados sob o GDPR, você tem os seguintes direitos: Direito de acesso (Art. 15): Solicite uma cópia de todos os dados pessoais que temos sobre você, incluindo informações sobre finalidades de processamento, destinatários e períodos de retenção. Direito de retificação (Art. 16): Solicitar correção de quaisquer dados pessoais imprecisos ou incompletos. Direito de apagar / direito de ser esquecido (Art. 17): Solicitar a exclusão de seus dados pessoais onde: não é mais necessário para sua finalidade original; você retira o consentimento (onde o consentimento foi a base legal); você se opõe ao tratamento com base em interesses legítimos e não temos motivos imperiosos; ou o processamento é ilegal. Direito à restrição do tratamento (artigo 18.o): Solicitar que limitemos temporariamente a forma como usamos seus dados enquanto uma disputa sobre precisão ou legalidade é resolvida. Direito à portabilidade de dados (Art. 20): Receba seus dados pessoais em um formato estruturado, comumente usado, legível por máquina (JSON ou CSV) e transmita-os para outro controlador. Este direito aplica-se aos dados tratados com base em contrato ou consentimento. Direito de oposição (Art. 21): Objeção a qualquer momento ao processamento baseado em nossos interesses legítimos. Vamos parar de processar a menos que possamos demonstrar motivos legítimos convincentes que sobreponham os seus interesses. Você tem o direito absoluto de se opor ao marketing direto. Direito de retirar o consentimento (artigo 7.o, n.o 3): Se o processamento for baseado no seu consentimento, retire-o a qualquer momento. A retirada não afecta a legalidade do tratamento efectuado antes da retirada. Sem tomada de decisão automatizada: Nós não tomamos decisões sobre você com base apenas no processamento automatizado que produz efeitos legais ou igualmente significativos (Art. 22 GDPR). Como exercer seus direitos: E-mail legal@budiflow.com com a linha de assunto "Pedido de Direitos do GDPR". Vamos verificar a sua identidade e responder dentro de 30 dias (extensível a 60 dias para pedidos complexos com aviso prévio). Todos os pedidos são gratuitos. Podemos precisar de manter certos dados, apesar de um pedido de apagamento, em que temos a obrigação legal de o fazer.

8. Processadores de terceiros

Envolvemos os seguintes subprocessadores confiáveis que processam dados pessoais em nosso nome. Todos estão vinculados por acordos escritos de processamento de dados: Stripe, Inc. (EUA) — processamento de pagamentos. Processa informações de faturamento, dados de cartão de pagamento e sinais de detecção de fraude. PCI DSS Nível 1 certificado. As transferências para os EUA são regidas pela Norma Contratual Claus (SCC) pela Decisão 2021/914 da Comissão da UE e pela certificação EU-US Data Privacy Framework da Stripe. Política de privacidade da Stripe: stripe.com/privacy. DPA da Stripe: liste.com/legal/dpa. Auth.js (NextAuth) v5 — gestão de identidade e autenticação de código aberto. Processa credenciais de conta (e-mail, palavra-passe com hash), tokens de sessão e eventos de autenticação. A biblioteca Auth.js é auto-hospedada na nossa infraestrutura (UE/EEE); delegamos o início de sessão a fornecedores OAuth (Google, Apple, Microsoft Entra ID, Facebook, LinkedIn, X/Twitter) — apenas os fornecedores ativados na implementação são utilizados. Documentação do Auth.js: authjs.dev. Provedor de hospedagem em nuvem (EU/EEA) — servidores de aplicativos, bancos de dados e armazenamento de arquivos. Todos os dados primários estão hospedados na UE/EEE. Processa todas as categorias de dados pessoais armazenados no Serviço. Uma lista atualizada de todos os subprocessadores está disponível em budiflow.com/subprocessadores. Iremos notificar os Assinantes com pelo menos 14 dias de antecedência para adicionar ou substituir um subprocessador. Os assinantes que se oponham a uma alteração de sub-processador podem encerrar sua assinatura dentro desse período de aviso com um reembolso proporcional. Não vendemos os seus dados pessoais a terceiros.

9. Transferências Internacionais de Dados

Alguns dos nossos subprocessadores (Stripe, Cloudflare, os fornecedores de identidade OAuth aos quais delegamos) estão situados nos Estados Unidos, fora do Espaço Económico Europeu (EEE). Os dados pessoais transferidos para estes processadores estão protegidos pelas seguintes salvaguardas: Cláusulas contratuais normalizadas (CCE): contamos com os CCE aprovados pela Comissão Europeia ao abrigo da Decisão de Execução (UE) 2021/914. Estas cláusulas criam obrigações de protecção de dados aplicáveis ao destinatário. Quadro de Privacidade de Dados UE-EUA (FDP): Sempre que aplicável, utilizamos processadores certificados ao abrigo do DPF, que foi reconhecido como fornecendo proteção adequada pela Comissão Europeia na sua decisão de adequação de 10 de julho de 2023. Seus direitos: Você pode obter mais detalhes sobre as salvaguardas específicas aplicadas às transferências contatando legal@budiflow.com. Tem o direito de solicitar uma cópia dos SCC aplicáveis. Todos os dados armazenados na nossa base de dados principal e infra-estrutura de aplicações estão hospedados na UE/EEE e não estão sujeitos a transferência internacional.

10. Cookies e tecnologias de rastreamento

Utilizamos cookies e tecnologias semelhantes de acordo com a Lei Polonesa de Comunicações Eletrónicas (Prawo komunikacji elektronicznej, PKE, Dz.U. 2024 poz. 1221, Arts. 399-400) e GDPR. Cookies estritamente necessários (sem consentimento necessário): Estes são essenciais para o funcionamento do Serviço e não podem ser desativados. Eles incluem: cookies de autenticação/sessão exigidos pelo Auth.js (NextAuth), cookies de segurança (incluindo proteção CSRF), e nossos cookies de estado de cookie-consent. Modelo de cookies atual: Neste momento, o BudiFlow não permite cookies de análise, marketing, social ou personalização opcionais através do painel de consentimento. Categorias opcionais são desabilitadas por padrão e não são usadas ativamente. Suas escolhas de cookies: • Você pode rever o modelo de cookie atual em budiflow.com/cookies. • Você pode redefinir seu estado de consentimento a partir de configurações de cookies no aplicativo. • Você também pode gerenciar cookies através das configurações do seu navegador, embora isso possa afetar a funcionalidade do Serviço. Retenção de cookies: os cookies de sessão são excluídos quando você fecha seu navegador. Os cookies do estado de consentimento são mantidos por até um ano. Nós não usamos cookies de publicidade ou rastreamento transversal para servir publicidade direcionada.

11. Crianças e Menores

BudiFlow é uma ferramenta profissional de negócios destinada para uso de adultos (18+) que operam como empreiteiros ou prestadores de serviços. Não coletamos dados pessoais de pessoas com menos de 18 anos de idade. Idade de consentimento para serviços digitais: Sob a implementação polonesa do RGPD Artigo 8, a idade mínima para fornecer consentimento para serviços da sociedade da informação é de 16 anos. Nosso Serviço não é direcionado a pessoas menores de 18 anos. Se tivermos consciência de que recolhemos dados pessoais de alguém com menos de 18 anos sem o consentimento adequado, eliminaremos esses dados imediatamente. Entre em contato com legal@budiflow.com se você acredita que podemos ter coletado dados inadvertidamente de um menor. Em relação aos dados de seus clientes: Como contratante, você pode armazenar registros de projetos para clientes menores (menos de 16 anos). Você, como controlador de dados, é responsável por garantir que tenha obtido o consentimento adequado dos pais ou responsáveis de acordo com a lei aplicável. Nossos Termos de Serviço e DPA exigem que você garanta uma base legal para todos os dados que você inserir no Serviço.

12. Tomada de decisão automatizada e criação de perfis

Não realizamos a tomada de decisão automatizada, incluindo o perfil, que produz efeitos jurídicos ou afeta de forma significativa, na acepção do artigo 22.o do RGPD. Usamos sistemas automatizados para: detecção de fraudes (para identificar atividade incomum de conta que pode indicar uso não autorizado ou fraude de pagamento) e filtragem de spam (para bloquear conteúdo malicioso). Esses sistemas sinalizam casos para revisão humana e não tomam decisões vinculativas finais sem envolvimento humano. Qualquer análise analítica ou análise de uso que realizemos é usada apenas para melhorar o Serviço em conjunto e não resulta em decisões individuais que afetem seus direitos ou acesso ao Serviço.

13. Autoridade Supervisora

Tem o direito de apresentar uma queixa à autoridade supervisora competente em matéria de protecção de dados, se considerar que processámos os seus dados pessoais em violação do GDPR. A autoridade de supervisão competente para a Polónia é: Prezes Urzędu Ochrony Danych Osobowych (UODO) Presidente do Gabinete de Protecção de Dados Pessoais ul. Stawki 2, 00-193 Warszawa, Polónia Sítio Web: uodo.gov.pl Telefone: +48 22 531 03 00 E-mail: legal@budiflow.com Pode igualmente apresentar uma queixa à autoridade de supervisão do Estado-Membro da UE da sua residência habitual ou local de trabalho. Está disponível em edpb.europa.eu um directório das autoridades de supervisão da UE. Agradecemos a oportunidade de abordar as suas preocupações antes de contactar a UODO. Entre em contato conosco primeiro em legal@budiflow.com.

14. Contacte-nos

Para todas as questões relacionadas com a privacidade, pedidos de direitos ou preocupações: Kamil Zwarycz, realizando negócios sob o nome LogicLoom Kamil Zwarycz Kalinowa 6L lok. 3, 81-198 Kosakowo, Polónia PIN: 5871749235 □ REGIÃO: 540001576 E-mail: legal@budiflow.com Reconheceremos o seu inquérito no prazo de 3 dias úteis e forneceremos uma resposta completa no prazo de 30 dias (extensível a 60 dias para pedidos complexos, com notificação prévia). Esta Política de Privacidade foi atualizada pela última vez em 26 de março de 2026. Iremos notificá-lo de alterações materiais por e-mail e/ou um aviso proeminente no Serviço pelo menos 30 dias antes de as alterações produzirem efeito. A versão atual está sempre disponível no budiflow.com/privacy.

Vamos te avisar por e-mail quando o BudiFlow for lançado — entre na lista de espera para ser notificado.