Política de privacidade
Como a Brifay recolhe, utiliza e protege os seus dados pessoais.
Última atualização: 10 de abril de 2026
Índice
1. Responsável pelo tratamento
O responsável pelo tratamento dos dados pessoais recolhidos através da aplicação e do sítio web Brifay é:
| Denominação social | Brifay |
|---|---|
| Forma jurídica | Société par actions simplifiée unipersonnelle (SASU — sociedade por ações simplificada unipessoal de direito francês) |
| Capital social | 5000 € |
| Sede social | 15 place Michelet, 37000 Tours, França |
| RCS / SIREN | RCS Tours 105 817 209 |
| SIRET | 105 817 209 00015 |
| N.º IVA intracomunitário | FR30105817209 |
| Código APE / NAF | 58.29C |
| Representante legal | A sociedade Brifay, representada pelo seu representante legal |
| [email protected] |
O responsável pela proteção de dados pode ser contactado através do endereço: [email protected].
2. Dados pessoais recolhidos
A Brifay recolhe apenas os dados estritamente necessários ao funcionamento do serviço de GMAO. Não recolhemos quaisquer dados sensíveis na aceção do artigo 9.º do RGPD.
| Categoria | Dados | Caráter |
|---|---|---|
| Conta de utilizador | E-mail, apelido, nome próprio, telefone, fotografia de perfil | E-mail e nome obrigatórios; telefone e fotografia facultativos |
| Autenticação | E-mail, palavra-passe (com hash) | Obrigatório |
| Localização | Coordenadas GPS dos locais e edifícios (introduzidas manualmente) | Facultativo |
| Ficheiros multimédia | Fotografias e ficheiros anexados aos pedidos de manutenção | Facultativo |
| Mensagens | Mensagens trocadas no chat dos pedidos | Ligado à utilização |
| Equipamentos | Dados de acompanhamento dos ativos e histórico de manutenção | Ligado à utilização |
| Notificações | Tokens de notificação push, preferências | Ligado à utilização |
| Pagamento | Processado exclusivamente pela Stripe — a Brifay não armazena dados bancários | Obrigatório para a subscrição |
| Dados técnicos | Endereço IP, tipo de dispositivo, versão do sistema operativo e da aplicação | Automático |
| Suporte ao cliente | Capturas de ecrã, relatórios de erros via Gleap | Facultativo |
3. Finalidades do tratamento e bases legais
Cada tratamento de dados assenta numa base legal prevista pelo RGPD (artigo 6.º):
| Finalidade | Base legal |
|---|---|
| Criação e gestão da conta de utilizador | Execução do contrato (art. 6.º, n.º 1, al. b) |
| Prestação do serviço de GMAO (pedidos, equipamentos, manutenção) | Execução do contrato (art. 6.º, n.º 1, al. b) |
| Mensagens internas (chat dos pedidos) | Execução do contrato (art. 6.º, n.º 1, al. b) |
| Armazenamento dos anexos | Execução do contrato (art. 6.º, n.º 1, al. b) |
| Visualização cartográfica (Google Maps) | Execução do contrato (art. 6.º, n.º 1, al. b) |
| Notificações push (Firebase) | Interesse legítimo (art. 6.º, n.º 1, al. f) — informar em tempo real sobre os eventos de manutenção. Desativável nas definições. |
| Faturação e subscrições (Stripe) | Obrigação legal (art. 6.º, n.º 1, al. c) e execução do contrato (art. 6.º, n.º 1, al. b) |
| Suporte ao cliente (Gleap) | Interesse legítimo (art. 6.º, n.º 1, al. f) — melhorar o serviço e resolver problemas |
| Segurança e prevenção de fraudes | Interesse legítimo (art. 6.º, n.º 1, al. f) |
| Estatísticas e melhoria do serviço | Interesse legítimo (art. 6.º, n.º 1, al. f) |
| Cumprimento de obrigações legais | Obrigação legal (art. 6.º, n.º 1, al. c) |
A Brifay não procede a qualquer definição de perfis nem a qualquer decisão automatizada que produza efeitos jurídicos sobre os utilizadores.
4. Destinatários e subcontratantes
Os seus dados nunca são vendidos a terceiros. Apenas são partilhados com os seguintes subcontratantes, contratualmente obrigados a tratá-los exclusivamente sob instrução da Brifay:
Subcontratantes « produto » (aplicação Brifay)
| Subcontratante | Função | Localização | Garantias |
|---|---|---|---|
| Supabase | Base de dados, autenticação, armazenamento de ficheiros, Edge Functions | União Europeia | DPA, cifragem AES-256 |
| Firebase / FCM (Google) | Notificações push móveis | EUA / global | EU-US Data Privacy Framework, ISO 27001 |
| Stripe | Pagamentos e subscrições | UE / EUA | PCI-DSS nível 1, DPA |
| Pennylane | Faturação com IVA (sincronização Stripe) | França (UE) | DPA, conformidade contabilística FR |
| EmailIt | E-mails transacionais do produto (a partir de brifay.com) | UE | DPA |
| Gleap | Suporte ao cliente, relatórios de erros | Áustria (UE) | RGPD nativo, DPO designado |
| Sentry | Observabilidade de erros nas Edge Functions | EUA | SCC, pseudonimização |
| Google Maps | Visualização cartográfica | EUA / global | EU-US Data Privacy Framework |
Subcontratantes « sítio e aquisição » (sítio institucional + e-mails marketing warm)
| Subcontratante | Função | Localização | Garantias |
|---|---|---|---|
| Cloudflare (DNS, Turnstile, Stream, Web Analytics) | DNS dos domínios brifay.com e usebrifay.com, antibot invisível dos formulários, alojamento e assinatura do vídeo de demonstração, estatísticas de audiência anónimas do sítio | Mundial (edge UE prioritário) | SCC, DPA, alojamento edge UE por defeito |
| Acumbamail | E-mails marketing warm apenas (após consentimento explícito) a partir de usebrifay.com | Espanha (UE) | DPA, opt-out com um clique, SPF/DKIM/DMARC |
| PostHog | Analytics de produto e de sítio (funis, identificação pós-captação), cookie first-party apenas, sem cookie de terceiros | UE (instância EU) | DPA, hashing de IP, anonimização por defeito |
| RADAAR | Publicação programada de conteúdos de marca no LinkedIn / YouTube / X / Perfil de Empresa do Google | EUA | SCC; trata apenas conteúdos públicos |
| Google Workspace | Caixa colaborativa [email protected] (receção de respostas por e-mail), agenda de marcação de reuniões FR | UE / EUA | EU-US Data Privacy Framework, DPA |
Subcontratantes « prospeção cold » (apenas se ativada)
Os seguintes subcontratantes só são mobilizados para a prospeção B2B ativa (cold email), com a base jurídica do interesse legítimo (LIA documentada), com opt-out de um clique (List-Unsubscribe) sistemático. Nenhum dado « produto » de cliente passa por eles.
| Subcontratante | Função | Localização | Garantias |
|---|---|---|---|
| Apify / Outscraper | Sourcing de empresas (apenas fontes públicas, nunca LinkedIn) | UE / global | SCC, fontes públicas |
| Dropcontact (ou Pharow) | Enriquecimento profissional nominativo conforme com o RGPD (B2B apenas) | França (UE) | DPA, RGPD by design |
| Smartlead | Envio de e-mails cold a partir de usebrifay.com (caixas dedicadas, isoladas do envio warm) | EUA | SCC, opt-out com um clique |
Dentro da Brifay, apenas as pessoas autorizadas (suporte técnico, direção) acedem aos dados, no limite das suas funções.
Isolamento multitenant
Cada organização que utiliza a Brifay dispõe de um espaço isolado. Um utilizador apenas pode aceder aos dados da organização a que pertence.
5. Transferências para fora da União Europeia
Alguns dos nossos subcontratantes (Firebase/Google, Stripe, Cloudflare, Sentry, RADAAR, Google Workspace e — se a prospeção cold for ativada — Smartlead) podem tratar dados nos Estados Unidos. Estas transferências são enquadradas por:
- O EU-US Data Privacy Framework (decisão de adequação da Comissão Europeia)
- As Cláusulas contratuais-tipo (SCC) da Comissão Europeia
- Medidas técnicas suplementares (cifragem de ponta a ponta, pseudonimização)
A sua base de dados principal (Supabase) está alojada na União Europeia. Pode obter uma cópia das garantias de transferência contactando [email protected].
6. Períodos de conservação
Os seus dados são conservados em conformidade com as recomendações da CNIL (ciclo em três fases: base ativa, arquivo intermédio, eliminação):
| Dados | Conservação ativa | Arquivo |
|---|---|---|
| Conta de utilizador | Duração da relação contratual | 3 anos após a última atividade |
| Dados de manutenção | Duração do contrato | 5 anos após o termo do contrato |
| Mensagens internas | Duração do contrato | 1 ano após o encerramento do pedido |
| Anexos | Duração do contrato | Eliminados com a conta |
| Dados de faturação | Duração do contrato | 10 anos (obrigação legal) |
| Registos técnicos | 1 ano | — |
| Cookies | 13 meses no máximo | — |
No final destes prazos, os dados são apagados ou anonimizados de forma irreversível. Pode solicitar uma eliminação antecipada, salvo obrigações legais em contrário.
7. Os seus direitos
Em conformidade com o RGPD e com a lei Informática e Liberdades francesa, dispõe dos seguintes direitos:
| Direito | Descrição |
|---|---|
| Acesso (art. 15.º) | Obter a confirmação de que os seus dados são tratados e receber uma cópia |
| Retificação (art. 16.º) | Corrigir ou completar os seus dados inexatos ou incompletos |
| Apagamento (art. 17.º) | Solicitar a eliminação dos seus dados (« direito ao esquecimento ») |
| Limitação (art. 18.º) | Suspender temporariamente o tratamento dos seus dados |
| Portabilidade (art. 20.º) | Receber os seus dados num formato estruturado e legível (CSV, JSON) |
| Oposição (art. 21.º) | Opor-se ao tratamento baseado no interesse legítimo |
| Retirada do consentimento (art. 7.º) | Retirar o seu consentimento a qualquer momento, sem afetar o tratamento anterior |
| Diretivas post mortem | Definir diretivas relativas ao destino dos seus dados após o seu falecimento (direito francês) |
Como exercer os seus direitos
- Por e-mail: [email protected]
- Através da página: Eliminar a minha conta
Respondemos no prazo de um mês (extensível por dois meses para pedidos complexos). Pode ser solicitada uma verificação de identidade.
Reclamação junto da autoridade de controlo
Se considerar que o tratamento dos seus dados não respeita a regulamentação, pode apresentar uma reclamação junto da autoridade de controlo competente. Em França, trata-se da CNIL; em Portugal, a CNPD (Comissão Nacional de Proteção de Dados).
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07, França
www.cnil.fr
Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134, 1.º
1200-651 Lisboa, Portugal
www.cnpd.pt
8. Cookies e rastreadores
Cookies estritamente necessários
Estes cookies são indispensáveis ao funcionamento do serviço e não exigem o seu consentimento:
- Supabase Auth — sessão de autenticação, tokens de segurança
- Stripe — segurança das transações e prevenção de fraudes
Cookies sujeitos a consentimento
- Firebase Analytics — medição de audiência e melhoria do serviço (duração: 13 meses no máximo)
- Google Maps — apresentação de mapas interativos
- Gleap — suporte técnico e retorno do utilizador
Gerir as suas preferências
Pode, a qualquer momento, alterar as suas preferências em matéria de cookies através das definições do seu navegador. A recusa de cookies não essenciais não bloqueia o acesso ao serviço.
9. Segurança dos dados
A Brifay implementa medidas técnicas e organizacionais para proteger os seus dados em conformidade com o artigo 32.º do RGPD:
Medidas técnicas
- Cifragem dos dados em trânsito (TLS/HTTPS)
- Cifragem dos dados em repouso (AES-256)
- Hashing das palavras-passe (bcrypt)
- Autenticação por tokens JWT
- Cópias de segurança automáticas regulares
- Registo dos acessos (audit logs)
- Alojamento em centros certificados SOC 2 e ISO 27001
Medidas organizacionais
- Acesso limitado ao pessoal estritamente necessário (princípio do menor privilégio)
- Política de palavras-passe robustas
- Procedimentos de gestão de incidentes de segurança
Em caso de violação
Em caso de violação de dados, a Brifay notifica a autoridade de controlo competente no prazo de 72 horas (art. 33.º do RGPD) e informa as pessoas em causa se o risco for elevado (art. 34.º do RGPD).
10. Proteção dos menores
A Brifay é um serviço profissional destinado a empresas e ao setor público (B2B). O serviço não se destina a pessoas com menos de 16 anos. Não são recolhidos intencionalmente quaisquer dados de menores.
11. Alterações à política
A Brifay pode atualizar a presente política de privacidade. Em caso de alteração substancial, informamos por e-mail ou por notificação na aplicação. A data da última atualização é indicada no topo desta página.
A presente política é regida pela lei francesa. Em caso de litígio, os tribunais franceses são competentes.
12. Contacto
Para qualquer questão relativa à proteção dos seus dados:
- E-mail: [email protected]
- Formulário: Página de contacto