Política de Privacidade

Política de Privacidade

Última atualização: 12 de abril de 2026

A presente Política de Privacidade explica como a Roraima ("nós", "nos", "a Plataforma"), operada por [RAGIONE_SOCIALE], recolhe, utiliza, partilha e protege os seus dados pessoais quando utiliza a nossa plataforma de marketplace IoT, incluindo o nosso website, serviços móveis, assistentes de IA e funcionalidades de dispositivos conectados.

Estamos empenhados em proteger a sua privacidade em conformidade com o Regulamento (UE) 2016/679 (o "Regulamento Geral sobre a Proteção de Dados" ou "RGPD"), o Decreto Legislativo italiano 196/2003, conforme alterado pelo Decreto Legislativo 101/2018, e toda a legislação aplicável em matéria de proteção de dados.

Por favor, leia atentamente esta política. Ao utilizar a nossa Plataforma, o utilizador reconhece que leu e compreendeu a presente Política de Privacidade.

1. Responsável pelo tratamento

O responsável pelo tratamento dos dados pessoais processados através da Plataforma é:

Empresa[RAGIONE_SOCIALE]
Sede social[INDIRIZZO]
Número de IVA (P.IVA)[P_IVA]
Email[EMAIL]
Email certificado (PEC)[PEC]

2. Encarregado da Proteção de Dados (DPO)

Designámos um Encarregado da Proteção de Dados que pode ser contactado para quaisquer questões relativas ao tratamento dos seus dados pessoais ou ao exercício dos seus direitos:

Contacto do DPO: [DPO_EMAIL]

3. Categorias de dados pessoais que recolhemos

Dependendo da forma como interage com a Plataforma, podemos recolher as seguintes categorias de dados pessoais:

3.1 Dados de conta e de identidade

  • Nome completo, endereço de email, número de telefone
  • Morada de faturação e de envio
  • Nome da empresa, número de IVA (para vendedores)
  • Credenciais de conta (palavra-passe armazenada apenas em formato hash)
  • Função do utilizador (comprador, vendedor, instalador)
  • Classificação do subtipo de vendedor (vendedor, instalador ou ambos)
  • Documentação profissional carregada por instaladores (certificações, seguros)

3.2 Dados de transações e encomendas

  • Histórico de encomendas, valores, estado de pagamento
  • Reservas de aluguer (datas, hóspedes, duração)
  • Informações de faturação
  • Identificadores de pagamento Stripe (não armazenamos números de cartão completos)
  • Saldos de créditos de IA e histórico de consumo

3.3 Dados de dispositivos IoT

  • Estado do dispositivo: estado ligado/desligado, conectividade, versão de firmware, nível de bateria
  • Dados de telemetria: leituras de sensores (temperatura, humidade, movimento, consumo energético), estados dos relés, métricas de saúde do dispositivo
  • Registos de acesso de fechaduras inteligentes: carimbos temporais de eventos de trancar/destrancar, método de acesso utilizado (PIN, aplicação, código temporário), identificadores de utilizadores associados a cada evento de acesso
  • Padrões de utilização: frequência de interações com dispositivos, histórico de acionamento de automatizações, registos de execução de cenários
  • Configuração do dispositivo: nomes personalizados, divisões/zonas atribuídas, regras de automatização, agendamentos
  • Dados de emparelhamento e delegação do dispositivo: transferências de propriedade de dispositivos, registos de delegação a instaladores, permissões de partilha

3.4 Dados de interação com IA

  • Conversas com os nossos assistentes de IA (Agente do Comprador, Agente do Vendedor, Agente do Instalador)
  • Perguntas submetidas e respostas recebidas
  • Consultas à base de conhecimento (apenas Agente do Instalador)

3.5 Dados técnicos e de utilização

  • Endereço IP, tipo e versão do navegador, sistema operativo
  • Páginas visitadas, tempo despendido, padrões de cliques
  • Cookies e tecnologias de rastreamento semelhantes (ver Secção 12)
  • Fonte de referência

3.6 Dados de localização

  • Morada comercial do vendedor (apresentada no Google Maps para conveniência do comprador)
  • Morada de envio do comprador
  • Localização aproximada derivada do endereço IP

3.7 Dados de comunicação

  • Pedidos de suporte e correspondência
  • Comunicações vendedor-comprador relativas a encomendas
  • Preferências de notificação

4. Finalidades e bases jurídicas do tratamento

Tratamos os seus dados pessoais para as seguintes finalidades, cada uma com a respetiva base jurídica ao abrigo do artigo 6.o, n.o 1, do RGPD:

4.1 Execução do contrato (Art. 6(1)(b))

FinalidadeDados envolvidos
Criação e gestão da sua contaDados de conta e de identidade
Processamento de encomendas, pagamentos e reembolsosDados de transações, dados de identidade
Gestão de tokens de acesso IoT associados a comprasDados de encomendas, dados de dispositivos
Execução de reservas de aluguerDados de reserva, dados de identidade
Prestação de serviços de assistente de IADados de interação com IA, saldos de créditos
Gestão da atribuição e consumo de créditos de IASaldos de créditos, dados de utilização
Facilitação de transações vendedor-compradorDados de identidade, transações e comunicação
Gestão de delegações e certificações de instaladoresDocumentação profissional, registos de delegação
Fornecimento de códigos de acesso temporários para fechaduras inteligentesRegistos de acesso, dados de reserva

4.2 Interesse legítimo (Art. 6(1)(f))

FinalidadeInteresse legítimo
Segurança da plataforma e prevenção de fraudeProteção dos utilizadores e da plataforma contra abusos
Análises e melhoria do serviçoMelhoria da experiência do utilizador e fiabilidade da plataforma
Telemetria IoT para resolução de problemasGarantir a funcionalidade dos dispositivos e resolver problemas técnicos
Aplicação dos Termos e CondiçõesManutenção da integridade da plataforma
Verificação e controlo de conformidade dos vendedoresGarantir a confiança e segurança do marketplace

4.3 Obrigação legal (Art. 6(1)(c))

  • Conservação de registos fiscais e contabilísticos (legislação fiscal italiana)
  • Conformidade com regulamentos de proteção do consumidor
  • Resposta a pedidos legítimos de autoridades públicas
  • Cálculo e declaração de IVA para transações transfronteiriças na UE

4.4 Consentimento (Art. 6(1)(a))

  • Comunicações de marketing e newsletters (quando aplicável)
  • Cookies não essenciais e análises (geridos através do gestor de consentimento Klaro)
  • Tratamento de categorias especiais de dados, se necessário

Quando o tratamento se baseia no consentimento, pode retirar o seu consentimento a qualquer momento sem afetar a licitude do tratamento efetuado antes da retirada.

5. Dados de dispositivos IoT — Disposições especiais

Dada a natureza da nossa plataforma, os dados de dispositivos IoT requerem atenção específica:

5.1 Que dados IoT recolhemos e porquê

  • Estado do dispositivo e telemetria são recolhidos para permitir a monitorização em tempo real, cenários de automatização e resolução de problemas. Estes dados fluem através da nossa Gateway IoT e podem ser temporariamente armazenados em cache por razões de desempenho.
  • Registos de acesso de fechaduras inteligentes registam quem acedeu a uma propriedade e quando. Estes dados são essenciais para a segurança, verificação de reservas e resolução de litígios. Os registos de acesso incluem carimbos temporais, o método de entrada (PIN, código temporário, aplicação) e o identificador do utilizador ou hóspede associado.
  • Registos de execução de cenários de automatização são mantidos para permitir automatizações baseadas em acionadores, permitir que os utilizadores revistem o histórico de cenários e diagnostiquem falhas.
  • Dados MQTT em tempo real podem ser transmitidos para dispositivos que utilizam o protocolo MQTT. Estes dados são encriptados em trânsito e não são armazenados para além da duração necessária ao processamento em tempo real, salvo se o utilizador os configurar explicitamente num cenário de automatização.

5.2 Minimização de dados IoT

Recolhemos apenas os pontos de dados dos dispositivos necessários para as funcionalidades que ativou. Se não utilizar cenários de automatização, os dados de execução de cenários não são gerados. A granularidade da telemetria é determinada pelo firmware do fabricante do dispositivo e pelas funcionalidades que optar por ativar.

5.3 Partilha de dados de dispositivos

Quando um dispositivo é delegado a um instalador ou partilhado com outros utilizadores, a parte delegada obtém acesso aos dados do dispositivo necessários para o seu papel. A delegação é rastreada e pode ser revogada a qualquer momento pelo proprietário do dispositivo. Após a revogação, o acesso da parte delegada aos dados do dispositivo cessa imediatamente.

6. Assistentes de IA — Disposições especiais

6.1 Como funcionam os nossos assistentes de IA

A Roraima oferece três assistentes baseados em IA (Agente do Comprador, Agente do Vendedor e Agente do Instalador) alimentados pelo modelo de linguagem Claude da Anthropic. Estes assistentes ajudam os utilizadores com questões sobre produtos, gestão de dispositivos IoT e orientação de instalação.

6.2 Dados processados pelos assistentes de IA

  • As suas mensagens e consultas submetidas durante uma sessão de conversa
  • Dados contextuais relevantes (por ex., estado do dispositivo, informações de encomenda) fornecidos à IA para gerar respostas úteis
  • Para o Agente do Instalador: documentação indexada da base de conhecimento (RAG) utilizada para responder a consultas técnicas

6.3 O que NÃO fazemos com os dados de IA

  • Não utilizamos as suas conversas para treinar ou aperfeiçoar qualquer modelo de IA
  • Não partilhamos o conteúdo das suas conversas com outros utilizadores
  • Não utilizamos conversas de IA para perfilagem ou tomada de decisões automatizada que produza efeitos jurídicos ou de forma semelhante significativos

6.4 Conservação de dados de IA

Os registos de conversas de IA são conservados por um período máximo de 90 dias para permitir a continuidade das conversas e apoiar a resolução de litígios. Após este período, as conversas são eliminadas permanentemente. Pode solicitar a eliminação antecipada a qualquer momento (ver Secção 10).

6.5 Subcontratante

O processamento de IA é realizado pela Anthropic, PBC (EUA) como subcontratante de dados. Ver Secções 7 e 8 para detalhes sobre transferências internacionais e salvaguardas.

7. Destinatários e subcontratantes

Podemos partilhar os seus dados pessoais com as seguintes categorias de destinatários:

7.1 Vendedores do marketplace (responsáveis pelo tratamento independentes)

Quando efetua uma encomenda junto de um vendedor na Roraima, o vendedor recebe os dados pessoais necessários para cumprir a sua encomenda (nome, morada de envio, detalhes da encomenda). Cada vendedor é um responsável pelo tratamento independente dos dados que recebe e processa no contexto da sua relação com o cliente. Os vendedores são contratualmente obrigados a cumprir o RGPD e a legislação aplicável de proteção de dados. Encorajamo-lo a consultar a política de privacidade de cada vendedor.

7.2 Processador de pagamentos

Stripe, Inc. (EUA) e a sua afiliada Stripe Payments Europe, Ltd. (Irlanda) processam transações de pagamento através do Stripe Connect. A Stripe atua como responsável pelo tratamento independente para os dados de pagamento. A política de privacidade da Stripe está disponível em stripe.com/privacy.

7.3 Fornecedor de serviços de IA

Anthropic, PBC (EUA) fornece o modelo de linguagem Claude que alimenta os nossos assistentes de IA. A Anthropic processa os dados de conversação exclusivamente em nosso nome como subcontratante e não utiliza estes dados para treinar os seus modelos.

7.4 Serviço de cartografia

Google LLC (EUA) fornece os serviços Google Maps para apresentar as localizações dos vendedores. A política de privacidade da Google está disponível em policies.google.com/privacy.

7.5 Alojamento e infraestrutura

A nossa plataforma está alojada em servidores localizados em [HOSTING_LOCATION]. O nosso fornecedor de alojamento processa dados exclusivamente em nosso nome ao abrigo de um acordo de tratamento de dados em conformidade com o artigo 28.o do RGPD.

7.6 Outros destinatários

  • Consultores profissionais: advogados, contabilistas e auditores, vinculados a obrigações de sigilo profissional
  • Autoridades públicas: quando exigido pela legislação, regulamentação ou processo judicial aplicável
  • Fabricantes de dispositivos IoT: determinados dados de dispositivos podem ser trocados com a plataforma na nuvem do fabricante do dispositivo (por ex., Tuya Smart) para permitir a funcionalidade do dispositivo. Tais trocas são regidas pela política de privacidade do fabricante e pelos nossos acordos de tratamento de dados

8. Transferências internacionais de dados

Alguns dos nossos subcontratantes e parceiros estão localizados fora do Espaço Económico Europeu (EEE), especificamente nos Estados Unidos. Asseguramos que qualquer transferência de dados pessoais para países fora do EEE é protegida por salvaguardas adequadas conforme exigido pelo Capítulo V do RGPD:

  • Cláusulas contratuais-tipo (CCT): Celebrámos as Cláusulas Contratuais-Tipo da Comissão Europeia (Decisão de Execução da Comissão (UE) 2021/914) com os nossos subcontratantes sediados nos EUA (Anthropic, Stripe, Google) para garantir um nível adequado de proteção dos dados transferidos.
  • Quadro de Proteção de Dados UE-EUA: Quando aplicável, baseamo-nos na certificação dos nossos subcontratantes ao abrigo do Quadro de Proteção de Dados UE-EUA como salvaguarda adicional.
  • Medidas suplementares: Implementamos medidas técnicas e organizativas adicionais conforme necessário, incluindo encriptação em trânsito e em repouso, controlos de acesso e minimização de dados.

Pode solicitar uma cópia das salvaguardas relevantes contactando o nosso DPO.

9. Conservação de dados

Conservamos os seus dados pessoais apenas durante o período necessário para cumprir as finalidades para as quais foram recolhidos, ou conforme exigido pela legislação aplicável. Seguem-se os períodos de conservação específicos por categoria de dados:

Categoria de dadosPeríodo de conservação
Dados de contaDuração da relação de conta + 12 meses após a eliminação da conta (para pedidos de reativação e resolução de litígios)
Dados de transações e encomendas10 anos a contar da data da transação (legislação fiscal e contabilística italiana, Art. 2220 do Código Civil)
Faturas e registos fiscais10 anos (obrigações fiscais italianas)
Telemetria de dispositivos IoT12 meses a contar da recolha, salvo se um período mais longo for necessário para um cenário de automatização ativo
Registos de acesso de fechaduras inteligentes24 meses (segurança e resolução de litígios)
Registos de reserva/aluguer10 anos (obrigações fiscais) para dados financeiros; 24 meses para dados de acesso de hóspedes
Registos de conversas de IA90 dias
Registos de créditos de IADuração da conta + 10 anos para registos fiscais
Documentação de instaladoresDuração do estatuto ativo de instalador + 24 meses
Registos de cookies e consentimento24 meses a contar do consentimento
Registos de servidor e endereços IP6 meses
Registos de consentimento de marketingDuração do consentimento + 24 meses
Acordos com vendedores e aceitação dos T&CDuração da relação com o vendedor + 10 anos

Quando os dados deixam de ser necessários, são eliminados de forma segura ou anonimizados para que não possam mais ser associados a si.

10. Os seus direitos enquanto titular dos dados

Ao abrigo do RGPD, tem os seguintes direitos relativamente aos seus dados pessoais:

DireitoDescrição
Acesso (Art. 15)Tem o direito de obter a confirmação de que tratamos os seus dados pessoais e, em caso afirmativo, de receber uma cópia desses dados juntamente com informações sobre o tratamento.
Retificação (Art. 16)Tem o direito de solicitar a correção de dados pessoais inexatos e de ter dados incompletos completados.
Apagamento (Art. 17)Tem o direito de solicitar a eliminação dos seus dados pessoais quando, entre outros motivos, os dados já não são necessários para a finalidade original, retira o consentimento ou os dados foram tratados ilicitamente. Este direito está sujeito a obrigações legais de conservação.
Limitação (Art. 18)Tem o direito de solicitar a limitação do tratamento dos seus dados em determinadas circunstâncias, como quando contesta a exatidão dos dados ou se opõe ao tratamento.
Portabilidade dos dados (Art. 20)Tem o direito de receber os seus dados pessoais num formato estruturado, de uso corrente e de leitura automática (por ex., JSON ou CSV) e de os transmitir a outro responsável pelo tratamento, quando o tratamento se baseia no consentimento ou contrato e é efetuado por meios automatizados.
Oposição (Art. 21)Tem o direito de se opor ao tratamento baseado no interesse legítimo. Cessaremos o tratamento a menos que demonstremos motivos legítimos imperiosos que prevaleçam sobre os seus interesses. Pode opor-se ao marketing direto a qualquer momento.
Retirada do consentimento (Art. 7(3))Quando o tratamento se baseia no consentimento, pode retirar o consentimento a qualquer momento. A retirada não afeta a licitude do tratamento efetuado antes da retirada.
Reclamação (Art. 77)Tem o direito de apresentar uma reclamação à autoridade de controlo competente.

Como exercer os seus direitos

Pode exercer qualquer dos direitos acima mencionados contactando-nos em [EMAIL] ou o nosso DPO em [DPO_EMAIL]. Responderemos ao seu pedido no prazo de 30 dias, podendo ser prorrogado por mais 60 dias para pedidos complexos, caso em que o informaremos da prorrogação e das suas razões.

Podemos solicitar que verifique a sua identidade antes de dar cumprimento ao seu pedido, para prevenir o acesso não autorizado a dados pessoais.

Autoridade de controlo

A autoridade de controlo competente para reclamações é:

Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma, Italy
Website: www.garanteprivacy.it
Email: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it

11. Funções no marketplace — Responsável pelo tratamento e subcontratante

A Roraima opera como uma plataforma de marketplace que liga vendedores e compradores. Isto cria funções distintas de responsável pelo tratamento:

11.1 Roraima como responsável pelo tratamento

Somos o responsável pelo tratamento para:

  • Dados de conta do utilizador (registo, autenticação, gestão de perfil)
  • Dados de utilização e análise da plataforma
  • Coordenação do processamento de pagamentos (via Stripe Connect)
  • Dados de dispositivos IoT geridos através da plataforma
  • Conversas com assistentes de IA
  • Gestão de créditos de IA
  • Gestão do consentimento de cookies
  • Comunicações e suporte da plataforma

11.2 Vendedores como responsáveis pelo tratamento independentes

Cada vendedor no marketplace da Roraima é um responsável pelo tratamento independente dos dados pessoais que recolhe e processa no contexto da sua relação com os compradores, incluindo:

  • Cumprimento de encomendas e prestação de suporte pós-venda
  • Gestão das suas próprias comunicações com clientes
  • Processamento de devoluções e reclamações de garantia
  • Serviços de instalação e disposições de acesso a propriedades

Os vendedores são obrigados, nos termos dos nossos Termos e Condições, a cumprir o RGPD e a manter as suas próprias políticas de privacidade. Não somos responsáveis pelas práticas de tratamento de dados dos vendedores para além do que ocorre através da Plataforma.

11.3 Responsabilidade conjunta

Para determinadas atividades de tratamento (por ex., apresentação de páginas de perfil de vendedores, facilitação de avaliações), a Roraima e o vendedor podem atuar como responsáveis conjuntos pelo tratamento nos termos do artigo 26.o do RGPD. As respetivas responsabilidades são definidas no nosso Acordo com o Vendedor.

12. Cookies e tecnologias semelhantes

Utilizamos cookies e tecnologias semelhantes na nossa Plataforma. Utilizamos o Klaro como a nossa plataforma de gestão de consentimento para lhe permitir gerir as suas preferências de cookies.

Em resumo, utilizamos:

  • Cookies estritamente necessários: essenciais para o funcionamento da Plataforma (por ex., gestão de sessão, carrinho de compras, segurança). Não requerem consentimento.
  • Cookies funcionais: memorizam as suas preferências (por ex., idioma, moeda).
  • Cookies analíticos: ajudam-nos a compreender como a Plataforma é utilizada para que possamos melhorá-la.
  • Cookies de terceiros: definidos pelos nossos parceiros (por ex., Stripe para segurança de pagamentos, Google Maps para localizações de vendedores).

Pode gerir as suas preferências de cookies a qualquer momento clicando no link de definições de cookies no rodapé do nosso website. Para detalhes completos, consulte a nossa Política de Cookies.

13. Tomada de decisões automatizada

Não realizamos atualmente tomada de decisões automatizada, incluindo perfilagem, que produza efeitos jurídicos que lhe digam respeito ou que o afetem de forma semelhante significativa na aceção do artigo 22.o do RGPD.

Os nossos assistentes de IA fornecem respostas informativas e sugestões, mas não tomam decisões que tenham efeitos jurídicos ou significativos sobre os utilizadores. Todas as decisões de compra, ações na conta e ativações de serviços requerem ação explícita do utilizador.

Caso venhamos a introduzir qualquer forma de tomada de decisões automatizada no futuro, atualizaremos a presente Política de Privacidade e, quando necessário, obteremos o seu consentimento explícito ou implementaremos salvaguardas adequadas, incluindo o direito de obter intervenção humana, de expressar o seu ponto de vista e de contestar a decisão.

14. Privacidade de menores

A Plataforma Roraima não se destina a ser utilizada por indivíduos com idade inferior a 18 anos. Não recolhemos conscientemente dados pessoais de menores de 18 anos. Se tomarmos conhecimento de que recolhemos dados pessoais de um menor de 18 anos, tomaremos medidas para eliminar prontamente esses dados.

Se é pai, mãe ou tutor e acredita que o seu filho forneceu dados pessoais à nossa empresa, contacte-nos em [EMAIL] para que possamos tomar as medidas adequadas.

15. Medidas de segurança

Implementamos medidas técnicas e organizativas adequadas para proteger os seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição, incluindo:

  • Encriptação de dados em trânsito (TLS/SSL) e em repouso quando aplicável
  • Armazenamento de palavras-passe em formato hash utilizando algoritmos padrão da indústria
  • Controlos de acesso e permissões baseadas em funções
  • Avaliações de segurança regulares e testes de vulnerabilidade
  • Geração segura de códigos de acesso para fechaduras inteligentes e transmissão encriptada
  • Limitação de taxa e prevenção de abusos em todos os endpoints da API
  • Proteção CSRF em todos os formulários
  • Cabeçalhos Content Security Policy (CSP)
  • Validação e saneamento de dados de entrada no lado do servidor

16. Alterações a esta Política de Privacidade

Podemos atualizar a presente Política de Privacidade periodicamente para refletir alterações nas nossas práticas, tecnologia, requisitos legais ou outros fatores. Quando efetuarmos alterações significativas:

  • Atualizaremos a data de "Última atualização" no topo desta política
  • Notificaremos os utilizadores registados por email ou notificação na plataforma no caso de alterações significativas
  • Quando exigido por lei, solicitaremos o seu consentimento renovado antes de aplicar alterações aos seus dados

Encorajamo-lo a rever periodicamente a presente Política de Privacidade. A sua utilização continuada da Plataforma após a data efetiva de quaisquer alterações constitui o seu reconhecimento da política atualizada.

17. Contacte-nos

Se tiver quaisquer questões, preocupações ou pedidos relativos à presente Política de Privacidade ou às nossas práticas de tratamento de dados, contacte-nos:

Questões gerais[EMAIL]
Questões sobre proteção de dados[DPO_EMAIL]
Morada postal[RAGIONE_SOCIALE], [INDIRIZZO]
PEC[PEC]

A presente Política de Privacidade está disponível nos seguintes idiomas: English, Italiano, Deutsch, Ελληνικά, Español, Français, Polski, Português.

Privacidade | Política de Cookies | Informações Legais | Direito de Retratação | Termos e Condições