English · Español · Suomi · Deutsch · Français · Nederlands · Svenska · Norsk · Português · Русский

Política de Privacidade

Pataluha Ventures S.L. · Última atualização: 22 May 2026 · Versão 2.6

Procura o aviso de privacidade relativo ao nosso sítio web de marketing? Consulte https://solidmaint.com/privacy.

Cumprimos o Regulamento Geral sobre a Proteção de Dados da UE (GDPR) e a Lei Orgânica Espanhola sobre Proteção de Dados Pessoais (LOPDGDD 3/2018).

1. Responsável pelo Tratamento

Pataluha Ventures S.L. ("nós", "nossa empresa"), NIF B26627539, registada em Espanha, opera a plataforma SolidMaint (aplicação Customer, aplicação Crew, back-office web) e é o responsável pelo tratamento dos seus dados pessoais. SolidMaint S.L. (NIF B27612159, sede social aos cuidados de The Pool, Avda. Bulevar Príncipe Alfonso de Hohenlohe 2, 29602 Marbella, Málaga, Espanha) é uma subsidiária da Pataluha Ventures S.L., registada em 7 May 2026. Até à transferência da plataforma para a SolidMaint S.L., a Pataluha Ventures S.L. permanece como único responsável pelo tratamento. Contacto: privacy@solidmaint.com

2. Dados Pessoais que Recolhemos

Recolhemos diferentes categorias de dados consoante a aplicação utilizada (Customer ou Crew). Sempre que uma categoria se aplique apenas a uma das aplicações, tal é expressamente indicado.

Dados de conta (ambas as aplicações) — Nome, endereço de e-mail, número de telefone, fotografia de perfil, preferência de idioma, função.
Dados de autenticação (ambas as aplicações) — Palavra-passe armazenada em formato hash, tokens de sessão, identificador federado opcional do Apple Sign In ou Google Sign In, estado opcional de desbloqueio biométrico (Face ID / impressão digital permanece no dispositivo e nunca é transmitido).
Dados do imóvel (aplicação Customer) — Endereço, referência cadastral, dados de construção, equipamentos e eletrodomésticos, documentos carregados.
Dados do serviço (ambas as aplicações) — Pedidos de serviço, histórico de tarefas, fotografias (antes / durante / após a intervenção), legendas, avaliações, entradas no caderno de registo.
Dados de pagamento (aplicação Customer) — Referências de mandato SEPA, identificadores de cliente Stripe, últimos quatro dígitos do cartão armazenados pela Stripe (não armazenamos números de cartão completos). Os pagamentos aos técnicos são processados através do Stripe Connect; a aplicação Crew não recolhe dados de cartões.
Gravações de voz (aplicação Crew) — Notas de voz para relatórios de trabalho e modo de condução assistida por IA por voz. Transcrição do lado do servidor via Google Gemini; o ficheiro de áudio é eliminado 30 dias após o carregamento, sendo a transcrição conservada com o registo da tarefa.
Dados de OCR de recibos (aplicação Crew) — Imagens de recibos carregadas para registo de despesas; extração do lado do servidor de linhas de detalhe (nome do estabelecimento, data, artigos, totais) armazenada no registo de despesa.
Dados de localização (aplicação Crew) — Coordenadas GPS precisas enquanto o cronómetro de uma tarefa está ativo, utilizadas para verificação de geofence de 100 metros e para a notificação de serviço em primeiro plano "a registar localização durante tarefa ativa". A localização em segundo plano é solicitada apenas se o utilizador ativar o lembrete de chegada com o cronómetro, ou enquanto um cronómetro ativo estiver em execução com o ecrã desligado. As coordenadas são eliminadas 8 semanas após a conclusão da tarefa e a emissão da fatura.
Dados de comunicação (ambas as aplicações) — Mensagens de chat entre o utilizador e a HQ, os técnicos, os clientes ou os participantes de grupos de tarefas. Mensagens WhatsApp de entrada retransmitidas via Twilio.
Tokens de notificações push (ambas as aplicações) — Tokens de dispositivo FCM (Android) / APNs (iOS) associados à conta do utilizador, utilizados para o envio de notificações sobre pedidos de serviço, atribuição de tarefas, aprovações e mensagens.
Diagnóstico de falhas (ambas as aplicações) — Relatórios de falhas Sentry, registos de rastreio (eventos de interação do utilizador, rastreios de desempenho) e uma tag `userId`, utilizados para diagnosticar erros.
Dados de utilização (ambas as aplicações) — Marcas temporais de início de sessão, informações do dispositivo (modelo, versão do sistema operativo), endereço IP (utilizado brevemente para limitação de taxa e verificações de segurança; não conservado como campo de perfil).
Dados tratados pelo operador (back-office HQ) — Os nossos colaboradores poderão introduzir, importar ou de outro modo tratar os dados de contacto e do imóvel do utilizador em seu nome, no âmbito de fluxos operacionais internos (por exemplo, durante o processo de integração, agendamento, acompanhamento ou coordenação de serviços). Esse tratamento poderá incluir assistência de inteligência artificial — consulte o §10 para os subcontratantes de IA que utilizamos.

3. Base Jurídica do Tratamento

Execução de contrato (Art. 6(1)(b) GDPR) — tratamento necessário à prestação dos serviços de manutenção solicitados e ao pagamento dos técnicos.
Interesse legítimo (Art. 6(1)(f) GDPR) — segurança da plataforma, prevenção de fraude, diagnóstico de falhas, análise anónima da qualidade do serviço.
Consentimento (Art. 6(1)(a) GDPR) — comunicações de marketing (apenas mediante opt-in); persistência de dados para treino de IA (ver §10).
Obrigação jurídica (Art. 6(1)(c) GDPR) — registos fiscais e conservação de faturas (até 10 anos — mínimo de 6 anos nos termos do *Código de Comercio* Art. 30, alargado a 10 anos quando os registos suportam uma *base imponible negativa* nos termos da *Ley General Tributaria* Art. 66 bis).

4. Como Utilizamos os Seus Dados

Prestação e melhoria dos nossos serviços de manutenção de imóveis.
Processamento de pagamentos (do lado do cliente) e pagamentos aos técnicos (do lado da equipa técnica, via Stripe Connect).
Comunicação sobre pedidos de serviço, tarefas, aprovações e mensagens.
Tradução automática de mensagens de chat entre utilizadores com idiomas diferentes.
Funcionalidades assistidas por IA: reconhecimento de fotografias (Smart Scan), transcrição de voz (relatórios de voz da Crew, condução assistida por IA), OCR de recibos, assistência por agente, análise de imagem.
Verificação da presença dos técnicos no imóvel através de geofence.
Diagnóstico de falhas e análise de produto.
Notificações de expiração de garantia para equipamentos registados.

As conversas na aplicação NÃO são privadas relativamente a nós

As mensagens nas conversas de pedidos de serviço (cliente ↔ técnico, cliente ↔ HQ, técnico ↔ HQ), o chat de IA na aplicação com o nosso assistente, e as conversas WhatsApp encaminhadas através da nossa plataforma são visíveis para colaboradores da HQ devidamente autorizados para efeitos de:

Monitorização da qualidade do serviço — verificação por amostragem de que a conversa entre o utilizador e o técnico designado é construtiva, de que os orçamentos correspondem ao acordado e de que os problemas são identificados atempadamente.
Manutenção e depuração de rotina do sistema — compreender o que os utilizadores solicitaram ao assistente de IA quando uma interação falha, por que razão uma tradução produziu um resultado inesperado, por que razão uma notificação não foi entregue. Minimizamos este acesso — mas uma ocorrência reportada como "o sistema não funciona" sem mais detalhes não pode ser diagnosticada sem analisar a interação em causa.
Resolução de litígios — quando um cliente ou um técnico reporta que a outra parte prometeu X e entregou Y, a HQ analisa o chat para mediar de forma justa com base em evidências documentadas.

As mensagens são encriptadas em trânsito e em repouso (HTTPS em trânsito; encriptação gerida pela AWS no espelho S3 e na base de dados Neon Postgres). A encriptação protege contra interceção por terceiros e contra o acesso por parte de fornecedores de infraestrutura — não torna as conversas privadas relativamente aos colaboradores operacionais da SolidMaint. Para assuntos confidenciais (reclamações jurídicas, questões de natureza similar a RH), contacte privacy@solidmaint.com.

O mesmo se aplica às conversas diretas entre clientes e técnicos; a plataforma é operada como um serviço gerido, e não como uma ferramenta de mensagens peer-to-peer.

5. Partilha de Dados / Subcontratantes

Partilhamos os seus dados apenas com os subcontratantes e sub-subcontratantes indicados abaixo. Não vendemos os seus dados pessoais. A lista reflete os fluxos de dados efetivos nas aplicações; é atualizada sempre que alteramos os subcontratantes.

| --- | --- | --- | --- |

| Stripe Payments Europe Ltd | Irlanda (empresa-mãe: Stripe Inc., EUA, com CCT) | Dados do cartão, referências de mandato SEPA, identificadores de cliente / contratante, metadados de pagamento. A aplicação Customer recolhe dados de cartão na aplicação através do SDK da Stripe; a aplicação Crew recebe apenas pagamentos — sem recolha de dados de cartão. | Processamento de pagamentos (clientes) e pagamentos aos técnicos via Stripe Connect Express. |

| Amazon Web Services (S3 + CloudFront) | Buckets S3 na UE (eu-central-1); cache edge global do CloudFront | Fotografias, gravações de voz, imagens de recibos, documentos carregados. | Armazenamento de ficheiros e entrega por CDN. A cache edge do CloudFront poderá armazenar conteúdo fora da UE; aplicam-se CCT. (Migrámos do Cloudflare R2 em março de 2026 devido a bloqueios por parte de ISPs espanhóis na CDN anterior.) |

| Google LLC — Gemini API | EUA, com CCT | Conteúdo de chat de IA, fotografias enviadas para análise de imagem, gravações de voz enviadas para transcrição, conteúdo de recibos e documentos enviados para análise/OCR, e dados pessoais (como nome, e-mail, telefone, endereço) tratados por assistência de IA em ferramentas orientadas para o cliente ou para o operador. Utilizamos o nível pago do Google Gemini, ao abrigo do qual o Google se compromete contratualmente a não utilizar os inputs ou outputs para treinar os seus modelos. | Assistência de IA em funcionalidades orientadas para o cliente e para o operador. |

| Google LLC — Firebase Cloud Messaging | EUA, com CCT | Token de notificações push FCM do dispositivo; payload mínimo de notificação (sem PII no próprio payload). | Notificações push em Android. |

| Google LLC — Google Maps Platform | EUA, com CCT | Endereços de imóveis enviados para geocodificação; exibição opcional do Street View. | Interface de mapas nas aplicações. |

| Sentry GmbH (subcontratante na AWS EUA) | Viena (responsável pelo tratamento); EUA (tratamento) | Relatórios de falhas, registos de rastreio (interações, desempenho), tag `userId`, tag de dispositivo. | Diagnóstico de falhas e monitorização de desempenho. |

| Twilio Inc. | EUA, com CCT e subcontratantes na UE | Número de telefone, conteúdo de mensagens SMS / WhatsApp. | Notificações por SMS e retransmissão de mensagens WhatsApp de entrada. |

| Apple Inc. — Sign In with Apple | EUA, com CCT | Token de identificação OAuth; e-mail de retransmissão opcional caso o utilizador opte por ocultar o seu endereço. | Início de sessão federado opcional. |

| Técnicos designados | UE (a operar em Espanha) | Nome do cliente, endereço do imóvel, códigos de acesso, detalhes da tarefa — apenas para as tarefas atribuídas a esse técnico. | Prestação do serviço. |

6. Transferências Internacionais

O armazenamento primário de dados (base de dados, armazenamento de ficheiros) encontra-se na UE. Alguns subcontratantes operam nos Estados Unidos para funções específicas (inferência de IA, notificações push, diagnóstico de falhas, e-mail, identidade OAuth); estas transferências internacionais baseiam-se nas Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia nos termos do Art. 46(2)(c) do GDPR. Sempre que um subcontratante disponibilize opções de residência de dados na UE que tenhamos selecionado, tal é indicado na tabela do §5.

7. Prazos de Conservação

| Tipo de dados | Conservação |

| --- | --- |

| Dados de conta | Até à eliminação da conta + período de carência de 30 dias |

| Gravações de voz (Crew) | 30 dias; a transcrição é conservada no registo da tarefa |

| Imagens de recibos (Crew) | Conservadas no registo de despesa até à eliminação da conta |

| Coordenadas GPS de trabalhos concluídos | 8 semanas após a conclusão da tarefa e a emissão da fatura |

| Mensagens de chat | Até à eliminação da conta |

| Eventos de falha Sentry | 90 dias (período de conservação do plano padrão Sentry) |

| Registos de auditoria (eventos relevantes para a segurança) | 2 anos |

| Registos financeiros (transações, faturas, recibos de pagamento, PDFs de faturas, documentos de suporte contabilístico) | Até 10 anos — mínimo de 6 anos nos termos do *Código de Comercio* Art. 30, alargado a 10 anos para registos que suportem uma *base imponible negativa* (reporte de perdas) nos termos da *Ley General Tributaria* Art. 66 bis |

| Corpus de treino de IA (apenas mediante consentimento) | Até à retirada do consentimento ou à eliminação da conta |

| Métricas agregadas anonimizadas | Indefinido; não podem ser associadas ao utilizador |

8. Medidas de Segurança

Protegemos os seus dados com as seguintes medidas técnicas e organizativas:

TLS em trânsito — todo o tráfego cliente-servidor utiliza HTTPS com conjuntos de cifras modernos; o protocolo HTTP é rejeitado ao nível do balanceador de carga.
Encriptação em repouso — encriptação gerida pela AWS no armazenamento de ficheiros S3, encriptação gerida pelo fornecedor na base de dados Neon Postgres e encriptação gerida pelo Sentry nos dados de diagnóstico.
Hash de palavras-passe — as palavras-passe são armazenadas como hashes bcrypt, nunca em texto simples.
Controlo de acesso baseado em funções — as contas do back-office HQ e dos técnicos dispõem de funções explícitas (administrador, supervisor, despachante, suporte, técnico, cliente) que determinam quais os dados acessíveis a cada função.
Registo de auditoria — os eventos relevantes para a segurança (início de sessão, alterações de função, exportações de dados, eliminações de conta, ativação/desativação de dados de treino de IA) são registados e conservados por 2 anos.
Resposta a incidentes — monitorização de falhas e erros com Sentry, com acesso controlado pelo operador; os processos de dados pessoais estão identificados com tags para triagem rápida durante incidentes de segurança.

9. Os Seus Direitos (Artigos 15 a 22 do GDPR)

Acesso (Art. 15) — Descarregue todos os seus dados a partir de Perfil → Transferir os Meus Dados.
Retificação (Art. 16) — Edite o seu perfil em qualquer momento.
Apagamento (Art. 17) — Elimine a sua conta a partir de Perfil → Eliminar Conta, ou siga o guia de eliminação de dados em `/legal/data-deletion`.
Portabilidade dos dados (Art. 20) — Exporte os seus dados num arquivo ZIP legível por máquina.
Limitação (Art. 18) / Oposição (Art. 21) — Envie um e-mail para privacy@solidmaint.com.
Retirada do consentimento (Art. 7(3)) — Desative a persistência de dados de treino de IA no seu perfil, ou cancele a subscrição de e-mails de marketing através do link constante em qualquer um desses e-mails.
Reclamação — Pode apresentar uma reclamação junto da autoridade espanhola de proteção de dados (AEPD) em www.aepd.es ou junto da autoridade de controlo da UE/EEE da sua localidade.

10. Tratamento por IA e Persistência de Dados de Treino

Alguns conteúdos de utilizadores e operacionais são tratados por modelos de IA para disponibilizar funcionalidades (reconhecimento de fotografias, transcrição de voz, OCR, assistência por agente, tradução de chat, análise de documentos e outras assistências de IA orientadas para o cliente e para o operador). Existem dois fluxos distintos:

Inferência (sempre ativa) — O conteúdo relevante para a funcionalidade que o utilizador está a utilizar, ou para uma ação do operador executada em seu nome, é enviado para o modelo em questão (tipicamente a Google Gemini API), o modelo devolve um resultado, e esse resultado é armazenado no registo associado (tarefa, mensagem, despesa, imóvel, etc.). Este tratamento é necessário para disponibilizar a funcionalidade solicitada ou para cumprir o contrato de serviço celebrado com o utilizador (Art. 6(1)(b) GDPR). Utilizamos o nível pago do Google Gemini; ao abrigo dos termos da API do Google, os inputs e outputs pagos não são utilizados para treinar os modelos do Google, e os registos transitórios do Google são conservados apenas durante o tempo necessário para monitorização de utilização abusiva.
Persistência de dados de treino (apenas mediante consentimento) — Se o utilizador tiver ativado a opção Dados de treino de IA no seu perfil, conservamos adicionalmente o input e o output de cada chamada de IA originada pela sua própria atividade num arquivo pseudonimizado na nossa própria infraestrutura, para efeitos de melhoria do modelo. Este tratamento tem base no consentimento (Art. 6(1)(a) GDPR) e pode ser retirado a qualquer momento. As chamadas de IA efetuadas pelos nossos operadores no âmbito de fluxos de trabalho internos não são incluídas neste arquivo de opt-in; constituem dados operacionais, conservados apenas enquanto o registo operacional relevante existir.

A retirada do consentimento exclui as futuras chamadas do utilizador do arquivo de treino e desencadeia a eliminação de todos os registos de treino previamente arquivados associados à sua conta. Utilize Perfil → Dados de treino de IA para ativar/desativar, ou Perfil → Apagar dados de treino de IA para eliminação imediata. A rotina de eliminação é `DELETE /v1/profile/ai-training-data` e é também invocada no âmbito da eliminação completa de conta (`gdpr-delete.ts`).

As tabelas operacionais que armazenam o estado de sessão de IA (`ai_sessions`, `ai_turns`, `ai_tool_calls`) constituem dados de runtime, não dados de treino. Existem para suportar a retoma após desconexão, a depuração por utilizador e a auditoria por pedido, sendo eliminadas em cascata quando o utilizador elimina a sua conta ou revoga o consentimento.

11. Cookies e Tecnologias Similares

Utilizamos apenas cookies e armazenamento estritamente necessários. Não definimos cookies de publicidade, de rastreamento comportamental ou de análise de terceiros.

Especificamente: um token de sessão de autenticação em `localStorage` (web) ou `expo-secure-store` (móvel), registos anónimos de service-worker / notificações push, e identificadores de diagnóstico de falhas da plataforma (Sentry).

Os demais subcontratantes não definem cookies nas nossas aplicações; recebem apenas telemetria associada ao pedido.

12. Privacidade de Menores

A plataforma não se destina a utilizadores com menos de 18 anos. Não recolhemos conscientemente dados pessoais de menores. Caso considere que uma criança nos forneceu dados pessoais, contacte privacy@solidmaint.com.

13. Alterações a Esta Política

Notificaremos o utilizador sobre alterações materiais por e-mail e/ou através de aviso na aplicação, com uma antecedência mínima de 30 dias relativamente à sua entrada em vigor. O número de versão e a data indicados no topo desta página indicam quando foi realizada a última atualização.

14. Contacto

Para qualquer questão relacionada com privacidade: privacy@solidmaint.com.

Para eliminação de conta, consulte o guia dedicado em /legal/data-deletion.