Saltar para o conteúdo

Aspetos legais

Política de Privacidade

Última atualização: 5 de maio de 2026

Última atualização:  ·  Leitura de 4 minutos

01.

Resumo

O FreeBillGen é um serviço de faturação alojado e gratuito em freebillgen.com. Esta política explica os dados pessoais que recolhemos, para que fins, quem mais tem acesso a eles, durante quanto tempo os conservamos e os direitos de que dispõe ao abrigo do direito da UE.

Foi redigida em conformidade com os artigos 13.º e 14.º do Regulamento Geral sobre a Proteção de Dados da UE (Regulamento (UE) 2016/679, «RGPD») e com a Lei da República da Lituânia sobre a Proteção Legal dos Dados Pessoais. A secção seguinte identifica o responsável pelo tratamento; o restante da página aborda cada tema individualmente.

02.

Quem é o responsável pelo tratamento

O serviço é operado pela MB Libranet, uma pequena sociedade com sede em Vilnius, Lithuania, e é o único responsável pelo tratamento ao abrigo do artigo 4.º, n.º 7, do RGPD. Para questões relacionadas com a privacidade, escreva para [email protected]. Os dados completos da entidade jurídica, incluindo os números de registo e de IVA, constam da página de informações sobre a empresa.

Não nomeámos um Encarregado de Proteção de Dados porque o nosso tratamento não atinge os limiares previstos no artigo 37.º. A pessoa responsável pela proteção de dados pode ser contactada através do endereço de e-mail acima indicado.

03.

Que dados tratamos

Tratamos as seguintes categorias limitadas de dados pessoais, com base nos fundamentos jurídicos indicados:

  • Dados da conta. O seu nome, endereço de e-mail e uma palavra-passe com hash bcrypt (ou chave pública de passkey). Base jurídica: Execução de contrato — art. 6.º, n.º 1, al. b), do RGPD.
  • Dados de faturas e clientes que o utilizador cria. Apenas os dados que o utilizador introduz: nomes de clientes, moradas, números de IVA, itens, totais e estado do pagamento. Base jurídica: Execução de contrato — art. 6.º, n.º 1, al. b), do RGPD.
  • Cookies de sessão e de segurança. Um cookie de sessão assinado e um cookie de token CSRF utilizados para manter a sessão iniciada e para bloquear pedidos falsificados. Base jurídica: Estritamente necessário — art. 6.º, n.º 1, al. f), do RGPD, interesses legítimos.
  • Registos do servidor. Endereço IP, agente de utilizador e metadados do pedido, conservados brevemente para efeitos de prevenção de abusos e resolução de problemas. Base jurídica: Interesses legítimos — art. 6.º, n.º 1, al. f), do RGPD.
  • Registo de auditoria do VIES. Quando o utilizador valida um número de IVA de um comprador da UE, guardamos o identificador do pedido, o país e o número consultados e a resposta, como prova ao abrigo do artigo 31.º do Regulamento (UE) n.º 904/2010 do Conselho. Base jurídica: Obrigação jurídica — art. 6.º, n.º 1, al. c), do RGPD.

Parte destes dados não pertence ao utilizador, mas aos seus clientes de faturação (art. 14.º do RGPD). A fonte é o próprio utilizador — recebemo-los apenas porque os introduz nas suas faturas. Tratamo-los com base no contrato celebrado com o utilizador e no seu interesse legítimo enquanto operador de negócios em manter registos de faturação conformes com a lei fiscal.

Nunca vendemos os seus dados. Não os partilhamos com anunciantes, corretores ou redes de análise, e não realizamos qualquer rastreamento, criação de perfis ou segmentação comportamental.

04.

Subcontratantes

Recorremos a um conjunto deliberadamente pequeno de subcontratantes. Nenhum deles é uma rede de publicidade ou de análise. Cada um está vinculado por um Aditamento de Tratamento de Dados e trata apenas o mínimo de dados necessário para a sua função.

SMTP2GO (e-mail transacional)

Quando envia uma fatura por e-mail ou recebe uma notificação do sistema, a mensagem é enviada através do SMTP2GO, via a sua região da UE (mail-eu.smtp2go.com). Dados partilhados: remetente, endereço do destinatário, assunto, corpo da mensagem e qualquer PDF em anexo. A SMTP2GO Inc. está sediada na Nova Zelândia com infraestrutura na UE; as transferências são cobertas por Cláusulas Contratuais-Tipo.

Cloudflare Turnstile (proteção contra bots)

Os formulários de /login e /register apresentam um desafio Cloudflare Turnstile para bloquear abusos automatizados. O widget é carregado a partir de challenges.cloudflare.com e troca um token de curta duração com o endpoint siteverify da Cloudflare. Dados partilhados: endereço IP, agente de utilizador e um token de desafio de utilização única. O Turnstile não define cookies de rastreamento e não é utilizado para publicidade. A Cloudflare, Inc. tem sede nos EUA; as transferências são cobertas pelo Enquadramento UE-EUA para a Privacidade dos Dados e pelas Cláusulas Contratuais-Tipo.

bunny.net (CDN de tipos de letra)

O sítio carrega dois tipos de letra a partir de fonts.bunny.net, uma CDN de tipos de letra orientada para a privacidade, operada pela BunnyWay d.o.o. (Eslovénia, UE). Dados partilhados: o seu endereço IP e agente de utilizador durante o pedido do tipo de letra. Consulte a declaração de privacidade da empresa.

VIES da Comissão Europeia (validação de IVA)

Quando o utilizador valida um número de IVA de um comprador, o código do país e o número de IVA introduzidos são enviados para o Sistema de Intercâmbio de Informações sobre o IVA (VIES) da Comissão Europeia em ec.europa.eu. O destinatário é uma instituição da UE; o tratamento é regulado pelo Regulamento (UE) 2018/1725.

Alojamento e renderização de PDF (interno)

A aplicação funciona em infraestrutura dedicada no interior da União Europeia. Os PDF de faturas são gerados internamente com recurso ao mPDF nos nossos próprios servidores. Não são utilizados serviços de PDF de terceiros nem revendedores de alojamento.

Sem serviços Google. Sem píxeis Meta ou Facebook. Sem SDKs de análise. Sem serviços de registo de erros de terceiros.

05.

Cookies

Definimos apenas cookies estritamente necessários. Ao abrigo do artigo 5.º, n.º 3, da Diretiva relativa à privacidade e às comunicações eletrónicas (2002/58/CE), os cookies estritamente necessários não requerem consentimento, pelo que não verá nenhum banner de cookies.

Cookie de sessão

Mantém a sessão iniciada e memoriza o idioma de interface escolhido para a sessão. Expira quando termina a sessão ou quando o tempo de vida da sessão é atingido.

HTTP-only · Secure · SameSite=Lax
Cookie de token CSRF (XSRF-TOKEN)

Contém um token anti-falsificação por sessão, utilizado para verificar que os pedidos com alteração de estado provêm deste sítio. Exigido pelo framework para qualquer ação em sessão iniciada.

Secure · SameSite=Lax

Sem cookies de análise. Sem cookies de publicidade. Não definimos quaisquer cookies de terceiros. O desafio Cloudflare Turnstile descrito na Secção 04 pode definir o seu próprio cookie de curta duração com âmbito em challenges.cloudflare.com; esse cookie é estritamente necessário para o desafio de proteção contra bots e não é utilizado para rastreamento.

06.

Conservação dos dados

Os dados da conta e das faturas são conservados enquanto a conta estiver ativa. Após a eliminação da conta, todos os dados pessoais normais são removidos no prazo de 30 dias, exceto quando a legislação lituaniana em matéria de contabilidade (que estabelece um período de conservação de 10 anos para os registos de faturas) nos obrigue a conservar documentos específicos por mais tempo — nesses casos, os registos são transferidos para um arquivo de acesso restrito e conservados apenas pelo período legalmente exigido.

Os registos do servidor são conservados por um máximo de 30 dias, salvo se forem necessários por mais tempo para uma investigação de segurança em curso. As linhas do registo de auditoria do VIES são conservadas durante pelo menos 10 anos para satisfazer os requisitos de prova do Regulamento (UE) n.º 904/2010 do Conselho.

07.

Os seus direitos ao abrigo do RGPD

Ao abrigo do RGPD, o utilizador tem os direitos de acesso (art. 15.º), retificação (art. 16.º), apagamento (art. 17.º), limitação do tratamento (art. 18.º), portabilidade dos dados (art. 20.º) e oposição (art. 21.º). Quando o tratamento se baseia em consentimento, pode retirá-lo a qualquer momento (art. 7.º, n.º 3).

O utilizador tem igualmente o direito, ao abrigo do artigo 77.º do RGPD, de apresentar reclamação junto de uma autoridade de controlo — normalmente a do país da UE/EEE onde reside, trabalha ou onde ocorreu a suposta infração. Uma vez que o operador está estabelecido na Lituânia, a autoridade principal é a Inspeção Estatal de Proteção de Dados (State Data Protection Inspectorate of Lithuania, VDAI).

Para um guia passo a passo sobre como exercer cada direito, incluindo prazos e o que incluir num pedido, consulte a página dedicada aos direitos ao abrigo do RGPD.

08.

Decisões automatizadas

O FreeBillGen não utiliza tomada de decisões automatizada nem criação de perfis na aceção do artigo 22.º do RGPD. Nenhuma decisão que produza efeitos jurídicos ou com impacto significativamente semelhante é tomada exclusivamente por meios automatizados. Não classificamos, ordenamos nem criamos perfis de utilizadores para fins publicitários, de crédito, de deteção de fraude ou para qualquer outro fim.

09.

Segurança dos dados

Medidas técnicas e organizativas (art. 32.º do RGPD):

  • Palavras-passe armazenadas como hashes bcrypt; suporte para passkeys (WebAuthn).
  • Autenticação de dois fatores temporal opcional (2FA) através de qualquer aplicação de autenticação compatível com TOTP.
  • Tokens CSRF em todos os pedidos com alteração de estado.
  • Consultas parametrizadas em todo o sistema — sem SQL por concatenação de strings.
  • HTTPS/TLS em trânsito; HSTS (HTTP Strict Transport Security) ativado.
  • Política de Segurança de Conteúdo (CSP) e outros cabeçalhos de reforço.
  • Registo de auditoria a nível da aplicação para ações sensíveis do ponto de vista da segurança.
  • Cópias de segurança da base de dados encriptadas com acesso restrito.
10.

Transferências internacionais

Os dados pessoais são tratados por defeito no interior da União Europeia. Dois dos subcontratantes referidos na Secção 04 podem implicar uma transferência para um país terceiro:

  • Cloudflare Turnstile — transferências para os Estados Unidos da América, cobertas pelo Enquadramento UE-EUA para a Privacidade dos Dados e pelas Cláusulas Contratuais-Tipo da Comissão Europeia.
  • SMTP2GO — a empresa operadora está estabelecida na Nova Zelândia (país com decisão de adequação da Comissão Europeia) e utiliza infraestrutura na região da UE para entrega. Quando ocorrem transferências, são cobertas por Cláusulas Contratuais-Tipo.

Não se realizam outras transferências para países terceiros. Se tal mudar, recorreremos ao mecanismo de transferência adequado ao abrigo do Capítulo V do RGPD e atualizaremos esta política antes de a nova transferência ter início.

11.

Menores

O FreeBillGen é uma ferramenta empresarial e não se destina a menores de 16 anos. Não recolhemos dados pessoais de menores de forma consciente.

12.

Alterações a esta política

Se introduzirmos alterações materiais, publicaremos o texto atualizado nesta página com uma nova data de «última atualização» e notificaremos as contas ativas por e-mail. A versão atual é identificada pela data no topo da página.

13.

Contacto

Questões de privacidade e pedidos de exercício de direitos: [email protected]. Morada postal e dados completos da entidade jurídica disponíveis na página de informações sobre a empresa.