1. Responsável pelo tratamento de dados
O responsável pelo tratamento de dados é a Tatic ApS (CVR 42532940), Mejsevej 2, Hadbjerg, 8370 Hadsten, Dinamarca, que opera sob a denominação secundária OpenBanking IO ApS.
Pedidos de privacidade e RGPD: [email protected].
2. O que recolhemos
Dados pessoais: apenas o teu endereço de e-mail, recebido quando inicias sessão via OIDC. Utilizamo-lo para faturação e para notificações operacionais. Sem marketing sem o teu consentimento, sem venda de dados, sem anúncios, sem definição de perfis.
Dados bancários: com o teu consentimento PSD2, obtemos e armazenamos os dados da tua conta bancária e das tuas transações. Esta é a essência do serviço — processamo-los apenas para os devolver a ti.
3. Finalidades e fundamentos jurídicos
- Prestação do serviço e faturação — contrato, RGPD art. 6.º, n.º 1, alínea b)
- Segurança e alertas quando um consentimento bancário está prestes a expirar — interesse legítimo, RGPD art. 6.º, n.º 1, alínea f)
- Acesso aos teus dados bancários ao abrigo da PSD2 — o teu consentimento, RGPD art. 6.º, n.º 1, alínea a), dado diretamente no teu banco e revogável a qualquer momento
4. Subcontratantes e subcontratantes ulteriores
Utilizamos um pequeno conjunto de subcontratantes europeus:
- Enable Banking Oy (Espoo, Finlândia) — conetividade bancária; um AISP registado e supervisionado pela Autoridade de Supervisão Financeira finlandesa (FIN-FSA) ao abrigo da PSD2. Nem nós nem a Enable Banking armazenamos as tuas credenciais bancárias.
- Hetzner (Hetzner Online GmbH / Hetzner Finland Oy) — alojamento em centros de dados certificados pela ISO/IEC 27001:2022 na Alemanha e na Finlândia.
- Gcore — proteção contra DDoS e edge de rede, em infraestrutura europeia.
- Stripe (Stripe Payments Europe, Ltd., Irlanda) — pagamentos com cartão e carregamentos. Nunca armazenamos os dados do cartão.
Os dados bancários nunca são partilhados com terceiros para além destes subcontratantes.
5. Onde ficam os teus dados
Todos os dados são armazenados e processados na UE — em centros de dados na Alemanha e na Finlândia. Não transferimos os teus dados para fora da UE.
6. Conservação e eliminação
Conservamos os teus dados enquanto a tua conta estiver ativa. Quando eliminas a tua conta, os dados da tua conta bancária e das tuas transações são eliminados.
Podes também revogar consentimentos bancários individuais a qualquer momento; deixamos então de obter dados desse banco.
7. Segurança
Os dados são encriptados em trânsito e em repouso. O alojamento decorre em centros de dados certificados pela ISO/IEC 27001:2022, protegidos por proteção europeia contra DDoS.
Encontraste uma vulnerabilidade? Comunica-a para [email protected]. Confirmamos a receção dos relatórios no prazo de 48 horas e pedimos que coordenes connosco antes de divulgares publicamente.
8. Os teus direitos
Ao abrigo do RGPD, tens direito de acesso, retificação, apagamento, portabilidade dos dados, limitação do tratamento e oposição. Para exercer qualquer um destes, escreve para [email protected].
Se considerares que tratamos os teus dados de forma ilícita, podes apresentar queixa à Datatilsynet, a Autoridade de Proteção de Dados dinamarquesa (datatilsynet.dk).
9. Notificações de expiração de consentimento
Ao abrigo da PSD2, os consentimentos bancários expiram periodicamente e têm de ser renovados. Enviamos-te um e-mail antes de um consentimento expirar para que a sincronização continue sem interrupções. Estas são notificações operacionais, não marketing, e são enviadas ao abrigo do nosso interesse legítimo em manter o serviço a funcionar para ti.
10. Alterações a esta política
Se alterarmos esta política de forma substancial — por exemplo, adicionando um subcontratante ou uma nova finalidade — notificamos-te por e-mail antes de a alteração entrar em vigor. A data no topo reflete sempre a versão atual.
11. Contacto
- Pedidos de privacidade e RGPD: [email protected]
- Apoio geral: [email protected]
- Relatórios de segurança: [email protected]