Resumo
O FreeBillGen é um serviço gratuito de faturamento hospedado em freebillgen.com. Esta política explica quais dados pessoais coletamos, com qual finalidade, quem mais tem acesso a eles, por quanto tempo os conservamos e quais direitos você possui nos termos da legislação da UE.
Ela foi elaborada em conformidade com os artigos 13 e 14 do Regulamento Geral de Proteção de Dados da UE (Regulamento (UE) 2016/679, "RGPD") e com a Lei da República da Lituânia sobre a Proteção Jurídica de Dados Pessoais. A seção seguinte identifica o controlador de dados; o restante da página aborda cada tema em sequência.
Quem é o controlador dos dados
O serviço é operado pela MB Libranet, uma sociedade simples com sede em Vilnius, Lithuania, que é o único controlador de dados nos termos do artigo 4.º, n.º 7, do RGPD. Para consultas relativas à privacidade, escreva para [email protected]. Os dados completos da pessoa jurídica, incluindo os códigos de registro e o número de identificação fiscal (NIF), constam da página de informações da empresa.
Não nomeamos um Encarregado de Proteção de Dados (DPO), pois o nosso tratamento não atinge os limiares previstos no artigo 37.º. O responsável pela proteção de dados pode ser contactado pelo endereço de e-mail acima.
Que dados tratamos
Tratamos as seguintes categorias limitadas de dados pessoais, com base nas bases jurídicas indicadas:
- Dados da conta. Seu nome, endereço de e-mail e uma senha com hash bcrypt (ou chave pública de passkey). Base jurídica: Execução de contrato — art. 6.º, n.º 1, alínea b), do RGPD.
- Dados de faturas e clientes que você cria. Apenas os dados que você optar por inserir: nomes de clientes, endereços, números de identificação fiscal (NIF/IVA), itens de linha, totais e status de pagamento. Base jurídica: Execução de contrato — art. 6.º, n.º 1, alínea b), do RGPD.
- Cookies de sessão e segurança. Um cookie de sessão assinado e um cookie de token CSRF usados para mantê-lo autenticado e bloquear requisições forjadas. Base jurídica: Estritamente necessários — art. 6.º, n.º 1, alínea f), interesses legítimos.
- Logs do servidor. Endereço IP, agente do utilizador e metadados da requisição, conservados brevemente para prevenção de abusos e depuração. Base jurídica: Interesses legítimos — art. 6.º, n.º 1, alínea f), do RGPD.
- Registo de auditoria VIES. Quando você valida o NIF/IVA de um comprador da UE, armazenamos o identificador da solicitação, o país e o número consultados e a resposta obtida, como prova nos termos do artigo 31.º do Regulamento (UE) n.º 904/2010 do Conselho. Base jurídica: Obrigação legal — art. 6.º, n.º 1, alínea c), do RGPD.
Parte destes dados não lhe pertence, mas pertence aos clientes das suas faturas (art. 14.º do RGPD). A fonte é você — só os recebemos porque você os insere nas suas faturas. Tratamos esses dados com base no contrato celebrado com você e no seu interesse legítimo, enquanto operador de negócios, em manter um registo de faturas em conformidade com a legislação fiscal.
Nunca vendemos os seus dados. Não os partilhamos com anunciantes, intermediários ou redes de análise estatística, nem realizamos qualquer rastreamento, criação de perfis ou direcionamento comportamental.
Suboperadores
Recorremos a um conjunto deliberadamente reduzido de suboperadores. Nenhum deles integra redes de publicidade ou análise estatística. Cada um está vinculado por um Aditamento de Tratamento de Dados e trata apenas os dados mínimos necessários para a sua função.
SMTP2GO (e-mail transacional)
Quando você envia uma fatura por e-mail ou recebe uma notificação do sistema, a mensagem é enviada através do SMTP2GO via a sua região europeia (mail-eu.smtp2go.com). Dados partilhados: remetente, endereço do destinatário, assunto, corpo da mensagem e qualquer PDF anexo. A SMTP2GO Inc. está estabelecida na Nova Zelândia com infraestrutura na UE; as transferências são cobertas por Cláusulas Contratuais Padrão.
Cloudflare Turnstile (proteção contra bots)
Os formulários /login e /register apresentam um desafio Cloudflare Turnstile para bloquear o abuso automatizado. O widget é carregado de challenges.cloudflare.com e troca um token de uso único com o endpoint de verificação do Cloudflare. Dados partilhados: seu endereço IP, agente do utilizador e um token de desafio de uso único. O Turnstile não define cookies de rastreamento e não é utilizado para publicidade. A Cloudflare, Inc. é sediada nos EUA; as transferências são cobertas pelo Quadro de Privacidade de Dados UE-EUA e por Cláusulas Contratuais Padrão.
bunny.net (CDN de fontes)
O site carrega duas fontes web de fonts.bunny.net, uma CDN de fontes orientada à privacidade, operada pela BunnyWay d.o.o. (Eslovênia, UE). Dados partilhados: seu endereço IP e agente do utilizador durante a requisição da fonte. Consulte a declaração de privacidade deles.
VIES da Comissão Europeia (validação de IVA)
Quando você valida o NIF/IVA de um comprador, o código de país e o número de IVA que você inseriu são enviados ao Sistema de Intercâmbio de Informações sobre o IVA (VIES) da Comissão Europeia em ec.europa.eu. O destinatário é uma instituição da UE; o tratamento é regido pelo Regulamento (UE) 2018/1725.
Hospedagem e geração de PDF (própria)
A aplicação funciona em infraestrutura dedicada dentro da União Europeia. Os PDFs de faturas são gerados internamente com o mPDF em nossos próprios servidores. Não há envolvimento de terceiros para serviço de PDF como serviço (PDF-as-a-service) nem de revendedores de hospedagem.
Nenhum serviço do Google. Nenhum pixel do Meta ou Facebook. Nenhum SDK de análise estatística. Nenhum serviço de relatório de erros de terceiros.
Retenção de dados
Os dados da conta e das faturas são conservados enquanto a sua conta estiver ativa. Após a exclusão da conta, todos os dados pessoais padrão são removidos no prazo de 30 dias, exceto quando a legislação contabilística lituana (que estabelece um período de conservação de 10 anos para registros de faturas) nos exige manter documentos específicos por mais tempo — caso em que esses registros são transferidos para um arquivo com acesso restrito e conservados apenas pelo tempo legalmente exigido.
Os logs do servidor são conservados por até 30 dias, salvo se necessários por mais tempo para uma investigação de segurança em curso. As linhas do registo de auditoria VIES são conservadas por pelo menos 10 anos, para satisfazer os requisitos probatórios do Regulamento (UE) n.º 904/2010 do Conselho.
Seus direitos sob o GDPR
Nos termos do RGPD, você tem os direitos de acesso (art. 15.º), retificação (art. 16.º), apagamento (art. 17.º), limitação do tratamento (art. 18.º), portabilidade dos dados (art. 20.º) e oposição (art. 21.º). Quando o tratamento se baseia no consentimento, pode retirá-lo a qualquer momento (art. 7.º, n.º 3).
Você também tem o direito, nos termos do artigo 77.º do RGPD, de apresentar reclamação a uma autoridade de controle — normalmente a do país da UE/EEE onde reside, trabalha ou onde ocorreu a suposta infração. Uma vez que o operador está estabelecido na Lituânia, a autoridade principal é a Inspeção Estatal de Proteção de Dados (State Data Protection Inspectorate of Lithuania, VDAI).
Para um guia passo a passo sobre como exercer cada direito, incluindo prazos e o que incluir num pedido, consulte a página sobre direitos ao abrigo do RGPD.
Tomada de decisão automatizada
O FreeBillGen não utiliza decisões automatizadas nem criação de perfis na aceção do artigo 22.º do RGPD. Nenhuma decisão que produza efeitos jurídicos ou igualmente significativos sobre você é tomada exclusivamente por meios automatizados. Não avaliamos, classificamos nem elaboramos perfis de utilizadores para fins publicitários, de crédito, de prevenção de fraude ou qualquer outra finalidade.
Segurança dos dados
Medidas técnicas e organizacionais (art. 32.º do RGPD):
- Senhas armazenadas como hashes bcrypt; suporte a passkeys (WebAuthn).
- Autenticação de dois fatores (2FA) opcional baseada em tempo, via qualquer aplicativo autenticador compatível com TOTP.
- Tokens CSRF em cada solicitação de alteração de estado.
- Consultas parametrizadas em toda a aplicação — sem concatenação de strings SQL.
- HTTPS/TLS em trânsito; HTTP Strict Transport Security ativado.
- Política de Segurança de Conteúdo (Content Security Policy) e outros cabeçalhos de proteção.
- Registo de auditoria na camada de aplicação para ações sensíveis em termos de segurança.
- Cópias de segurança de bases de dados encriptadas com acesso restrito.
Transferências internacionais
Os dados pessoais são tratados por padrão dentro da União Europeia. Dois dos suboperadores mencionados na Seção 04 podem implicar uma transferência para um país terceiro:
- Cloudflare Turnstile — transferências para os Estados Unidos, cobertas pelo Quadro de Privacidade de Dados UE-EUA e pelas Cláusulas Contratuais Padrão da Comissão Europeia.
- SMTP2GO — a empresa operadora está estabelecida na Nova Zelândia (país com decisão de adequação da Comissão Europeia) e utiliza infraestrutura da região europeia para entrega. Onde ocorram transferências, estas são cobertas por Cláusulas Contratuais Padrão.
Não ocorrem outras transferências para países terceiros. Se isso mudar, recorreremos ao mecanismo de transferência adequado ao abrigo do Capítulo V do RGPD e atualizaremos esta política antes de a nova transferência ter início.
Crianças
O FreeBillGen é uma ferramenta empresarial e não se destina a crianças menores de 16 anos. Não recolhemos conscientemente dados pessoais de crianças.
Alterações desta política
Se realizarmos alterações materiais, publicaremos o texto atualizado nesta página com uma nova data de "última atualização" e notificaremos as contas ativas por e-mail. A versão atual é identificada pela data no topo da página.
Contato
Questões sobre privacidade e pedidos de exercício de direitos: [email protected]. O endereço postal e os dados completos da pessoa jurídica constam da página de informações da empresa.