Última atualização: Junho de 2026
1. Introdução
O Centro de Ayurveda valoriza a sua privacidade e está empenhado em proteger os seus dados pessoais. Esta Política de Privacidade explica como recolhemos, utilizamos, armazenamos, partilhamos e protegemos as suas informações quando utiliza a plataforma Vashist. Esta política está em conformidade com o Regulamento Geral de Proteção de Dados (RGPD — Regulamento (UE) 2016/679).
2. Dados que Recolhemos
Recolhemos as seguintes categorias de informações:
- Dados pessoais: nome, email, palavra-passe (armazenada em hash bcrypt, nunca em texto simples).
- Dados de bem-estar: resultados dos questionários (Prakriti, Vikrutti, Koshta, Guna, Ojas), preferências alimentares, objetivos pessoais, histórico de práticas e remédios. Estes dados são autorrelatos para fins de bem-estar — não são dados clínicos médicos.
- Dados de utilização: conversas com o chat de IA, progresso em rotinas e protocolos, histórico de atividade na plataforma, interações com a comunidade.
- Dados técnicos: endereço IP, tipo de dispositivo, navegador, identificadores de sessão e cookies, registos de acesso.
3. Como Utilizamos os Seus Dados
Tratamos os seus dados com base nas seguintes bases jurídicas (Art. 6.º RGPD): execução do contrato de subscrição, consentimento (para funcionalidades opcionais como memória persistente Mem0), e interesse legítimo (segurança, prevenção de fraude). Utilizamos os seus dados para:
- Fornecer e manter os nossos serviços (autenticação, sessões, subscrições).
- Personalizar recomendações e conteúdo ayurvédico com base no seu dosha e histórico.
- Comunicar consigo sobre a sua conta, atualizações e suporte.
- Melhorar e desenvolver novos recursos na plataforma (sempre com dados agregados ou pseudonimizados quando possível).
4. Segurança dos Dados
Implementamos medidas de segurança técnicas e organizacionais adequadas para proteger os seus dados pessoais, incluindo: encriptação SSL/TLS para todas as comunicações, armazenamento seguro de palavras-passe com hash bcrypt, tokens JWT com rotação de refresh tokens, sessões geridas em Redis com expiração configurável, acesso restrito a dados pessoais por equipa autorizada, e monitorização regular de segurança e backups.
5. Cookies e Tecnologias Similares
Utilizamos apenas cookies estritamente necessários e funcionais — não utilizamos cookies de publicidade nem de tracking de terceiros para fins de marketing.
- Cookies essenciais (autenticação): mantêm a sua sessão ativa e protegem contra CSRF. Sem estes cookies, a plataforma não funciona.
- Cookies de sessão: armazenam preferências temporárias durante a sua visita.
- Armazenamento local (localStorage): guarda preferências de idioma, tema visual, e estado de avisos dispensados.
- Análise interna: medimos métricas agregadas de utilização (sem identificadores individuais) para melhorar o produto.
6. Partilha com Terceiros
Não vendemos nem partilhamos os seus dados pessoais com terceiros para fins de marketing. Partilhamos dados apenas com os subprocessadores listados na secção 7, que nos ajudam a operar a plataforma sob contratos de processamento de dados (DPA). Podemos também divulgar dados quando exigido por lei ou para proteger os nossos direitos legais.
7. Subprocessadores
Para fornecer o serviço Vashist, contratamos os seguintes subprocessadores. Cada um opera sob um contrato de processamento de dados (DPA) compatível com o RGPD. Transferências de dados para fora do EEE estão protegidas por Cláusulas Contratuais Padrão (SCC) da Comissão Europeia.
| Fornecedor | Finalidade | Dados processados | Região |
|---|---|---|---|
| Hostinger | Alojamento da aplicação (VPS) e base de dados. | Todos os dados da conta e da aplicação. | UE (Lituânia / Países Baixos) |
| Stripe | Processamento de pagamentos e gestão de subscrições. | Email, nome de faturação, últimos 4 dígitos do cartão, histórico de transações. | UE / EUA (SCC) |
| Resend | Envio de emails transacionais (verificação, recuperação de palavra-passe, notificações). | Email e conteúdo da mensagem. | EUA (SCC) |
| OpenRouter | Roteamento de pedidos para modelos de IA. | Mensagens da conversa de IA (sem identificadores pessoais diretos quando possível). | EUA (SCC) |
| Anthropic (Claude) | Modelo de linguagem para chat de IA, embeddings e gurus. | Mensagens enviadas ao chat. A Anthropic não treina modelos com os dados da API. | EUA (SCC) |
| OpenAI (GPT) | Modelo de linguagem alternativo e embeddings. | Mensagens enviadas ao chat. A OpenAI não treina modelos com os dados da API. | EUA (SCC) |
| Google (Gemini, OAuth, Calendar) | Modelo alternativo, login OAuth (opcional), sincronização de calendário (opcional). | Apenas se ativar OAuth/Calendar: nome, email Google, eventos de calendário criados pelo Vashist. | EUA (SCC) |
| Mem0 | Memória persistente do chat de IA (apenas utilizadores PRO que ativem a funcionalidade). | Resumos contextuais derivados das suas conversas (dosha, preferências, histórico de tópicos). | EUA (SCC) |
| Langfuse | Observabilidade e qualidade das respostas de IA (latência, custos, sinalização de erros). | Metadados de chamadas de IA e amostras de prompts/respostas. | UE (Alemanha) — auto-alojado quando aplicável |
Esta lista pode ser atualizada à medida que a infraestrutura evolui. Notificá-lo-emos sobre alterações materiais com 30 dias de antecedência.
8. Localização e Transferência de Dados
A base de dados principal e o cache de sessões estão alojados na União Europeia (Hostinger VPS). Algumas operações de IA, processamento de pagamentos e envio de emails envolvem transferências para os EUA, sempre cobertas por Cláusulas Contratuais Padrão (SCC) da Comissão Europeia. Não realizamos transferências para países sem nível de proteção adequado.
9. Os Seus Direitos (RGPD Art. 15.º a 22.º)
Ao abrigo do RGPD, tem os seguintes direitos. Pode exercê-los a qualquer momento contactando-nos pelo email indicado na secção 12 — responderemos no prazo máximo de 30 dias.
- Direito de acesso (Art. 15.º): obter uma cópia dos seus dados pessoais.
- Direito de retificação (Art. 16.º): corrigir dados imprecisos ou incompletos.
- Direito ao apagamento (Art. 17.º — "direito a ser esquecido"): solicitar a eliminação dos seus dados.
- Direito à limitação do tratamento (Art. 18.º): pedir a suspensão temporária do tratamento.
- Direito à portabilidade (Art. 20.º): receber os seus dados num formato estruturado e transferi-los para outro responsável.
- Direito de oposição (Art. 21.º): opor-se ao tratamento dos seus dados, incluindo personalização baseada em IA.
- Direitos relativos a decisões automatizadas (Art. 22.º): a Vashist não toma decisões legais baseadas exclusivamente em tratamento automatizado.
- Direito de reclamação à autoridade de controlo: pode apresentar queixa à Comissão Nacional de Proteção de Dados (CNPD) em Portugal.
10. Retenção de Dados
Mantemos os seus dados apenas pelo tempo necessário, conforme a tabela abaixo, salvo se um prazo legal mais longo for aplicável (p. ex., obrigações fiscais).
- Conta de utilizador: enquanto a conta estiver ativa. Após eliminação da conta, os dados pessoais são apagados em 30 dias.
- Dados de bem-estar (questionários, histórico de práticas): enquanto a conta estiver ativa. Apagados com a conta.
- Conversas de IA: 12 meses após a última interação, salvo se o utilizador as eliminar antes.
- Mem0 (memória persistente PRO): apagada imediatamente quando o utilizador desativa a memória ou elimina a conta.
- Registos técnicos e de segurança: 90 dias.
- Faturação e dados fiscais: 10 anos (obrigação legal portuguesa).
11. Alterações a Esta Política
Podemos atualizar esta Política de Privacidade periodicamente. Notificá-lo-emos sobre alterações materiais com 30 dias de antecedência através do email registado ou por aviso visível na plataforma. Recomendamos que reveja esta política regularmente.
12. Contacto e DPO
Para exercer os seus direitos, esclarecer dúvidas ou apresentar uma reclamação relativa à privacidade, contacte o nosso Encarregado de Proteção de Dados (DPO):
Email: vashist@centrodeayurveda.com
Morada: Rua Ernestino Elisiário Antunes, 108 Bicesse. 2645-361 Alcabideche. Portugal