Política de Privacidade

Última atualização: 2026-04-24. Versão 1.0.

Em síntese: o Synergenius Console corre na máquina do Cliente. As credenciais OAuth (Gmail, Google Drive, Google Calendar, Microsoft Outlook, Microsoft OneDrive ou SharePoint) ficam no dispositivo do Cliente. Não transitam pelos servidores da Synergenius. Os fluxos de trabalho leem, analisam e compõem localmente. O nosso servidor recebe apenas metadados mínimos de auditoria (timestamps, identificadores opacos, códigos de ação). Nunca recebe o conteúdo dos ficheiros nem o corpo dos e-mails.

1. Responsável pelo tratamento

Synergenius - Consultoria Informática, Lda., sociedade comercial sediada em Portugal, NIF 518038327 (a Synergenius). Este documento descreve como tratamos dados pessoais no contexto do Synergenius Console e da plataforma que o suporta.

Contacto para assuntos de proteção de dados: privacy@synergenius.pt.

2. A quem se aplica

• Profissionais certificados que usam a consola para gerir os seus Clientes.
• Clientes que instalam o Synergenius Console no seu dispositivo.
• Sub-clientes, ou seja, clientes dos nossos Clientes que usam o Portal dedicado para submeter ficheiros e formulários.
• Visitantes deste website (synergenius.pt).

3. Que dados tratamos

3.1 No website synergenius.pt

O website é estático. Não usa cookies de rastreamento, nem analytics de terceiros, nem formulários que recolham dados pessoais. Os pedidos HTTP geram registos padrão do servidor (IP, user-agent, URL pedido, timestamp). Esses registos são retidos até 30 dias e usados exclusivamente para deteção de abuso e cumprimento de obrigações legais.

3.2 Na aplicação no dispositivo do Cliente

A aplicação processa, no próprio dispositivo do Cliente, os dados a que o Cliente lhe concedeu acesso via OAuth. Por tipo de integração:

• Gmail (gmail.readonly, gmail.compose): leitura de e-mails do mês alvo para classificação e extração de anexos. Redação de rascunhos quando o fluxo de trabalho o exige. Nunca envia e-mails sem confirmação explícita do Cliente.
• Google Drive (drive.readonly, drive.file): listagem e leitura de ficheiros específicos que o Cliente identifique. Escrita apenas dos ficheiros que a aplicação criou (por exemplo, uma compilação PDF mensal).
• Google Calendar (calendar, calendar.events): leitura e gestão de eventos quando o fluxo envolve reconciliação de datas.
• Microsoft Outlook (Mail.Read, Mail.Send, offline_access): equivalente ao Gmail para caixas de correio Microsoft 365.
• Microsoft OneDrive ou SharePoint (Files.Read, Files.ReadWrite): equivalente ao Drive.

O conteúdo destas fontes (corpo de e-mails, texto de documentos, detalhes de eventos) nunca é transmitido para os servidores da Synergenius. Fica na máquina do Cliente, em memória durante a execução do fluxo, e em disco apenas quando o Cliente explicitamente pede que o resultado seja guardado.

3.3 Metadados operacionais

O servidor da Synergenius (cp.synergenius.pt) recebe metadados mínimos encadeados numa auditoria por hash SHA-256:

• Identificadores técnicos opacos (clientId, workflowRunId).
• Timestamps de eventos (início de execução, passos aprovados, passos concluídos).
• Códigos de ação (por exemplo, workflow.step.completed).
• Agregados numéricos anónimos quando aplicáveis (por exemplo, "classificou 14 e-mails"). Nunca o conteúdo em si.
• Certificados de instalação de extensões que o profissional certificado ativa no dispositivo do Cliente, sempre mediante consentimento explícito.

Esta auditoria é visível ao Cliente na sua própria aplicação, ao profissional que o acompanha, e à Synergenius no escalão administrativo. A cadeia de hashes permite detetar qualquer adulteração posterior.

3.4 Conta do profissional certificado

Para operadores certificados guardamos nome, e-mail, palavra-passe (apenas hash bcrypt), estado de certificação e licenças ativas. Estes dados residem no servidor e são necessários para autenticação e para o modelo de confiança assinado digitalmente (Ed25519).

4. Fundamentos legais (RGPD Art. 6.º)

• Execução de contrato (al. b): tratamento necessário para prestar o serviço ao profissional certificado e, indiretamente, ao Cliente.
• Consentimento (al. a): autorização OAuth explícita do Cliente a cada integração e confirmação de cada ação remota solicitada pelo profissional.
• Interesses legítimos (al. f): deteção de abuso e segurança do serviço (registos HTTP mínimos, limites de taxa).
• Cumprimento de obrigação legal (al. c): retenção mínima exigida por lei fiscal e contabilística aplicável à sociedade.

5. Partilha com terceiros

A Synergenius não vende, não aluga e não transfere dados pessoais para terceiros. Em particular:

• Não partilhamos conteúdo de e-mail, de documentos ou de calendário.
• Não operamos publicidade nem analytics baseados no comportamento do utilizador.
• Os únicos subprocessadores são fornecedores de infraestrutura estritamente necessários à operação do servidor: alojamento (Hetzner, Alemanha), DNS e certificados TLS. Nenhum acede ao conteúdo descrito na secção 3.2.
• Em resposta a pedido de autoridade competente fundamentado em base legal, cumpriremos a obrigação nos termos estritos da lei aplicável.

6. Transferências internacionais

Os dados do servidor são tratados em território da União Europeia (Alemanha). As autorizações OAuth a fornecedores terceiros (Google, Microsoft) regem-se pelas políticas de privacidade desses fornecedores e pelos mecanismos de transferência padrão aprovados pela Comissão Europeia.

7. Os teus direitos

Ao abrigo do RGPD e da Lei n.º 58/2019, tens direito a:

• Aceder aos teus dados pessoais tratados pela Synergenius.
• Retificar dados incorretos ou incompletos.
• Apagar os teus dados ("direito a ser esquecido"), nos limites da lei.
• Restringir ou opor-te a um tratamento específico.
• Receber os teus dados num formato estruturado (portabilidade).
• Retirar consentimento a qualquer momento, sem prejuízo da licitude do tratamento anterior.
• Apresentar reclamação à CNPD (Comissão Nacional de Proteção de Dados).

7.1 Como exercer estes direitos

• Para revogar uma autorização OAuth: acede à página de segurança da tua conta Google (myaccount.google.com/permissions) ou Microsoft (myaccount.microsoft.com/security) e revoga o acesso ao Synergenius Console. A revogação tem efeito imediato. A aplicação deixa de conseguir ler essa fonte.
• Para pausar o acesso remoto do profissional ao teu dispositivo: abre a aplicação, Definições, Acesso do profissional, Pausar. O servidor passa a rejeitar qualquer ação remota contra a tua máquina.
• Para pedir apagamento da tua conta ou dos metadados no servidor: envia e-mail para privacy@synergenius.pt com o identificador de instalação. Respondemos em 30 dias.

8. Conservação

• Registos HTTP do website: 30 dias.
• Auditoria encadeada por hash: 365 dias, ou até ao apagamento da conta pelo Cliente, consoante o que ocorrer primeiro.
• Conta do profissional certificado: até ao pedido de apagamento ou 2 anos após o último acesso, consoante o que ocorrer primeiro.
• Conteúdo tratado no dispositivo do Cliente: não é conservado pela Synergenius.

9. Segurança

• Palavras-passe sempre armazenadas como hash bcrypt.
• Canal entre a aplicação e o servidor sempre em TLS 1.2 ou superior. Certificado público emitido por autoridade reconhecida.
• Cada certificação assinada digitalmente com chave Ed25519 da Synergenius.
• Submissões sensíveis dos Sub-clientes no Portal são cifradas ponto a ponto por construção. O servidor guarda apenas ciphertext e metadados, não consegue decifrar.
• Segregação por tenant: cada Cliente está associado a exatamente um profissional certificado. Todas as ações cruzadas passam por consentimento explícito.

10. Menores

O serviço destina-se a profissionais e empresas. Não é dirigido a menores de 18 anos, nem recolhemos conscientemente dados de menores. Caso identifiquemos dados desta natureza, apagamo-los prontamente.

11. Cookies e armazenamento local

O website não utiliza cookies de rastreamento. O único armazenamento local usado é uma chave fw.theme em localStorage que memoriza a tua preferência de tema (claro, escuro, ou seguir o sistema). É lida e escrita apenas pelo navegador, nunca transmitida para nós.

12. Alterações a esta política

Publicaremos qualquer alteração material nesta página, com indicação da data de entrada em vigor. Comunicaremos por e-mail aos profissionais certificados com contas ativas.

13. Contacto

• Geral: contacto@synergenius.pt
• Proteção de dados: privacy@synergenius.pt
• Autoridade de controlo em Portugal: www.cnpd.pt (Comissão Nacional de Proteção de Dados).