← Alva
Privacidade

Política de privacidade

Última actualização: 25 de Abril de 2026

Esta política descreve como o Alva ("Alva", "nós") recolhe, utiliza e protege os dados pessoais dos utilizadores no contexto do piloto na Câmara Municipal da Nazaré e da plataforma aialva.pt. Está em conformidade com o Regulamento Geral sobre a Protecção de Dados (RGPD, UE 2016/679) e com a Lei n.º 58/2019.

Responsável pelo tratamento

O responsável pelo tratamento dos dados pessoais é Samuel Fialho, pessoa singular residente em Portugal. Para qualquer questão sobre privacidade ou exercício de direitos, o utilizador pode contactar contacto@aialva.pt.

Que dados recolhemos

O Alva recolhe e trata os seguintes dados pessoais:

  • Dados de conta — quando o utilizador inicia sessão com Google: nome, endereço de e-mail e identificador único atribuído pelo Google. Não acedemos a outros dados da conta Google do utilizador.
  • Histórico de conversas — perguntas colocadas ao Alva e respostas geradas, associadas à conta do utilizador, para que possa reler e continuar conversas.
  • Mensagens de contacto — quando o utilizador submete o formulário de contacto: nome, e-mail e o conteúdo da mensagem.
  • Dados técnicos agregados — através de Vercel Web Analytics (sem cookies, sem fingerprinting): páginas visitadas, país aproximado, tipo de dispositivo. Estes dados são anonimizados e não permitem identificar pessoas singulares.

Não recolhemos dados sensíveis (saúde, religião, convicções políticas, orientação sexual, etc.). As actas municipais que processamos são documentos administrativos públicos, ao abrigo da Lei n.º 26/2016 (Lei de Acesso aos Documentos Administrativos), não dados pessoais privados.

Para que servem os dados

  • Autenticação — identificar o utilizador de forma segura através do Google (fundamento: execução de contrato).
  • Operação do serviço — gerar respostas, manter histórico de conversas e aplicar limites de utilização (fundamento: execução de contrato).
  • Resposta a contactos — responder a mensagens enviadas via formulário de contacto (fundamento: interesse legítimo).
  • Métricas agregadas — perceber padrões de utilização para melhorar o produto (fundamento: interesse legítimo). Sem perfis individuais.
  • Segurança — detectar e prevenir abuso ou utilização indevida (fundamento: interesse legítimo).

Não partilhamos os dados dos utilizadores com terceiros para marketing nem para fins não descritos nesta política.

Quanto tempo guardamos os dados

  • Dados de conta — enquanto a conta existir. O apagamento da conta implica o apagamento destes dados.
  • Histórico de conversas — até 12 meses após a última actividade. O utilizador pode apagar conversas individualmente em qualquer altura.
  • Mensagens de contacto — até resolução da questão e por mais 12 meses após o último contacto, para permitir continuidade.
  • Métricas Vercel Analytics — agregadas, sem identificação individual; a Vercel mantém o histórico conforme a sua política.

Subprocessadores

O Alva utiliza fornecedores tecnológicos para operar o serviço. Todos estão sujeitos a contratos de tratamento de dados (DPA) compatíveis com o RGPD:

  • Vercel Inc. — alojamento da aplicação e Web Analytics (UE/EUA, com Standard Contractual Clauses).
  • Google LLC — autenticação OAuth (recolhe e-mail e nome quando o utilizador inicia sessão).
  • Resend — envio de e-mails transaccionais (notificações de contacto).
  • Neon — base de dados PostgreSQL gerida (servidores na UE).

O modelo de linguagem que processa as perguntas corre em infra-estrutura própria em Portugal. Os dados das conversas não são enviados para LLMs externos (OpenAI, Anthropic, Google) por defeito.

Direitos do utilizador

Ao abrigo do RGPD, o utilizador tem direito a:

  • Acesso — saber que dados o Alva guarda sobre si e obter uma cópia.
  • Rectificação — corrigir dados incorrectos ou desactualizados.
  • Apagamento— pedir a eliminação dos seus dados ("direito ao esquecimento").
  • Limitação — restringir temporariamente o tratamento.
  • Portabilidade — receber os seus dados num formato estruturado.
  • Oposição — opor-se a tratamentos baseados em interesse legítimo.
  • Reclamação — apresentar queixa à Comissão Nacional de Protecção de Dados (CNPD).

Para exercer qualquer um destes direitos, o utilizador deve enviar um e-mail para contacto@aialva.pt. Resposta no prazo máximo de 30 dias.

Segurança

Aplicamos medidas técnicas e organizativas adequadas para proteger os dados: cifragem em trânsito (HTTPS/TLS), cifragem da base de dados em repouso, acesso restrito ao responsável pelo tratamento e revisão periódica das permissões. Nenhum sistema é 100% seguro; em caso de violação de dados pessoais com risco para os direitos e liberdades dos utilizadores, notificaremos a CNPD em até 72 horas e os afectados sem demora injustificada.

Crianças

O Alva destina-se a maiores de 16 anos. Não recolhemos dados pessoais de menores. Caso chegue ao conhecimento do utilizador que um menor criou conta, deve ser comunicado para contacto@aialva.pt para apagamento imediato.

Cookies

O Alva não utiliza cookies não-essenciais. Os únicos cookies que podem ser definidos servem para manter a sessão do utilizador iniciada e para protecção contra ataques CSRF. Mais detalhes em Cookies.

Alterações a esta política

Se actualizarmos esta política, alteramos a data no topo. Mudanças materiais serão comunicadas por e-mail ou banner antes de entrarem em vigor.