Kelaro

Política de Privacidade

Última atualização: Maio 2026


1. Introdução

Bem-vindo à Kelaro ("nós", "nosso" ou "nos"). Respeitamos a sua privacidade e estamos empenhados em proteger os seus dados pessoais. Esta política de privacidade explica como tratamos os seus dados pessoais quando utiliza o website e os serviços da Kelaro e descreve os seus direitos ao abrigo do Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679, "RGPD") e da legislação portuguesa de proteção de dados.


2. Informações Importantes e Quem Somos

A Kelaro é a entidade responsável pelo tratamento dos seus dados pessoais. Se tiver dúvidas sobre esta política de privacidade ou pretender exercer os seus direitos, contacte-nos através de support@kelaro.io.


3. Dados Que Recolhemos Sobre Si

Podemos recolher, usar, armazenar e transferir as seguintes categorias de dados pessoais:

  • Dados de Identidade: primeiro nome, último nome, nome de utilizador ou identificador similar.
  • Dados de Contacto: endereço de email.
  • Dados de Conta e Faturação: plano de subscrição, saldo de créditos, histórico de faturas e metadados de pagamento (nunca armazenamos números de cartão completos — esses dados são tratados pela Stripe).
  • Dados Bancários (Open Banking): ao ligar uma conta bancária, recebemos — através do nosso prestador regulado PSD2 — o seu IBAN, nome do titular, saldos e histórico de transações das contas que autorizar. Atuamos como Utilizador de Serviços de Informação sobre Contas; não iniciamos pagamentos.
  • Tokens de Autorização para Armazenamento na Nuvem: ao ligar o Google Drive ou o Microsoft OneDrive como destino de exportação, armazenamos tokens OAuth de atualização (cifrados em repouso) para podermos escrever os ficheiros exportados na pasta/ficheiro que indicar. Não lemos outros ficheiros da sua drive.
  • Dados de Documentos (Extratos Bancários em PDF): o conteúdo de qualquer extrato em PDF que carregue para conversão. Ver Secção 4 sobre o tratamento.
  • Dados Técnicos: endereço IP, dados de início de sessão, tipo e versão do navegador, fuso horário, sistema operativo e plataforma utilizados para aceder ao serviço.
  • Dados de Utilização: informação sobre como utiliza o serviço, incluindo número de conversões realizadas, eventos de sincronização e interações com funcionalidades, usados para faturação e prevenção de abuso.

4. Como Usamos os Seus Dados Pessoais

Baseamo-nos nos seguintes fundamentos legais ao abrigo do Artigo 6.º do RGPD:

  • Execução de contrato — para fornecer as funcionalidades de conversão, sincronização e exportação que subscreveu.
  • Obrigação legal — para cumprir as obrigações fiscais e contabilísticas portuguesas e a legislação da UE relativa a consumidores.
  • Interesses legítimos — para garantir a segurança do serviço, prevenir fraude e abuso, depurar erros e melhorar a qualidade do produto (ponderados face aos seus direitos).
  • Consentimento — para cookies de análise não essenciais e para a ligação de contas de terceiros (bancos, armazenamento na nuvem). O consentimento pode ser retirado a qualquer momento.

Como Funciona a Conversão de Extratos PDF

Quando carrega um extrato em PDF, este é enviado por HTTPS para o nosso servidor e colocado em fila para extração. A extração é executada em infraestrutura operada por nós (um serviço de análise documental auto-alojado no nosso servidor localizado na UE). O conteúdo do PDF não é enviado para qualquer serviço de IA de terceiros.

O ficheiro PDF carregado permanece no servidor apenas de forma transitória: é eliminado do volume de staging imediatamente após o worker de extração o ler. Os dados estruturados resultantes (para que possa pré-visualizar e descarregar o seu ficheiro Excel) são guardados na nossa base de dados durante um máximo de 30 minutos, sendo depois automaticamente purgados. Pode também eliminá-los manualmente a qualquer momento.

Retemos apenas metadados de faturação sobre a conversão (número de páginas, carimbo temporal, sucesso/falha) para fins de faturação e prevenção de abuso — nunca o conteúdo do extrato.


5. Retenção de Dados

Retemos os seus dados pessoais apenas pelo tempo necessário:

  • Dados de Conta: retidos até eliminar a sua conta. Após eliminação, os dados pessoais são removidos no prazo de 30 dias, exceto quando a retenção é legalmente exigida (ver abaixo).
  • Faturas e Registos de Faturação: retidos por 10 anos conforme exigido pela legislação fiscal portuguesa (Código do IVA, Art. 52.º).
  • Dados de Transações Bancárias: retidos enquanto a ligação bancária correspondente estiver ativa. Ao desligar um banco ou eliminar a ligação, as transações associadas são removidas no prazo de 30 dias.
  • Tokens de Armazenamento na Nuvem: retidos enquanto a ligação estiver ativa; revogados imediatamente após desconexão ou eliminação da conta.
  • Resultados de Extração PDF: purgados automaticamente 30 minutos após a conclusão da extração.
  • Ficheiros PDF Carregados: eliminados do staging imediatamente após serem lidos pela extração — nunca arquivados.
  • Registos de Sincronização e Auditoria: retidos até 12 meses para fins de segurança e resolução de problemas.
  • Registos Técnicos do Servidor: retidos até 90 dias.

6. Cookies e Rastreamento

Usamos cookies e tecnologias similares:

  • Cookies Essenciais: necessários para autenticação e funcionalidade base. Não podem ser desativados.
  • Cookies de Preferência: armazenam a preferência de idioma e configurações de visualização.
  • Cookies de Análise: ajudam-nos a compreender a utilização agregada. Só são definidos com o seu consentimento e podem ser retirados através do banner de cookies ou das configurações do navegador.

7. Divulgação dos Seus Dados — Subcontratantes

Partilhamos dados pessoais com os seguintes terceiros que atuam como subcontratantes em nosso nome. Temos Acordos de Tratamento de Dados (DPAs) com cada um:

  • Alojamento e Base de Dados: um fornecedor europeu de VPS onde corremos os servidores da aplicação, a base de dados PostgreSQL e o serviço auto-alojado de análise documental. Todo o tratamento ocorre na UE.
  • Stripe Payments Europe, Ltd. (Irlanda) — processamento de pagamentos. Política de privacidade: stripe.com/privacy.
  • GoCardless Ltd. (Reino Unido, AISP regulado pela FCA) — acesso a Informação sobre Contas (Open Banking) ao abrigo da PSD2. Política de privacidade: gocardless.com/legal/privacy.
  • Tink AB (Suécia, AISP regulada pela FSA) — acesso Open Banking para jurisdições selecionadas. Política de privacidade: tink.com/privacy-policy.
  • Google Ireland Ltd. — autenticação OAuth e API do Google Drive para destinos de exportação. Política de privacidade: policies.google.com/privacy.
  • Microsoft Ireland Operations Ltd. — autenticação OAuth e API Microsoft Graph para destinos OneDrive/Excel. Política de privacidade: privacy.microsoft.com.
  • Sendinblue SAS (Brevo) (França) — envio de emails transacionais (confirmação de conta, notificações de sincronização). Política de privacidade: brevo.com/legal/privacypolicy.

Não vendemos os seus dados pessoais nem os partilhamos com redes publicitárias. Todos os subcontratantes estão obrigados a tratar os dados apenas segundo as nossas instruções documentadas e a aplicar medidas de segurança adequadas.


8. Open Banking (PSD2)

As ligações bancárias são estabelecidas através de um Prestador de Serviços de Informação sobre Contas (AISP) regulado — atualmente a GoCardless, com a Tink para jurisdições adicionais. A autorização é dada por si diretamente no website do seu banco, usando o respetivo fluxo de autenticação; nunca vemos nem armazenamos as suas credenciais bancárias.

Ao abrigo da PSD2, as ligações bancárias expiram após 90 dias. Para continuar a sincronizar transações, ser-lhe-á pedido para reautorizar a ligação. Pode revogar uma ligação bancária a qualquer momento a partir do seu dashboard ou diretamente junto do seu banco.


9. Segurança de Dados

Aplicamos medidas técnicas e organizacionais adequadas, incluindo encriptação HTTPS/TLS em trânsito, encriptação em repouso para credenciais e tokens OAuth, controlos de acesso baseados em funções, processos worker isolados, registo de auditoria e âmbito de subcontratantes em princípio do menor privilégio. O acesso aos sistemas de produção está limitado a pessoal com necessidade documentada.


10. Transferências Internacionais

Os dados pessoais são tratados principalmente no Espaço Económico Europeu (EEE). Quando um subcontratante transfere dados para fora do EEE (por exemplo, filiais norte-americanas da Stripe para prevenção de fraude), a transferência é protegida por Cláusulas Contratuais Tipo aprovadas pela Comissão Europeia e, quando aplicável, por salvaguardas técnicas suplementares.


11. Os Seus Direitos Legais

Ao abrigo do RGPD, tem os seguintes direitos:

  • Acesso — solicitar cópias dos seus dados pessoais.
  • Retificação — solicitar correção de dados incorretos.
  • Apagamento — solicitar eliminação ("direito a ser esquecido"), sujeito a requisitos legais de retenção.
  • Limitação — solicitar suspensão temporária do tratamento.
  • Portabilidade — solicitar transferência dos seus dados para outro prestador num formato legível por máquina.
  • Oposição — opor-se a tratamento baseado em interesses legítimos.
  • Retirar Consentimento — quando o tratamento se baseia em consentimento, pode retirá-lo a qualquer momento, sem afetar o tratamento lícito anterior.
  • Decisões Automatizadas — não realizamos decisões automatizadas com efeitos jurídicos ou significativamente similares para si.

Para exercer qualquer destes direitos, contacte-nos através de support@kelaro.io. Responderemos no prazo de um mês.


12. Direito de Apresentar Reclamação

Tem o direito de apresentar uma reclamação a qualquer momento à Autoridade Portuguesa de Proteção de Dados (CNPD - Comissão Nacional de Proteção de Dados) em cnpd.pt, ou à autoridade de controlo do Estado-Membro da UE da sua residência habitual. Agradecemos a oportunidade de resolver as suas preocupações antes de contactar a autoridade — por favor contacte-nos primeiro em support@kelaro.io.


13. Alterações a Esta Política

Podemos atualizar esta política de privacidade periodicamente. Alterações significativas serão notificadas por email e através de aviso nesta página com pelo menos 14 dias de antecedência. A data no topo desta página reflete a atualização mais recente.