Legal
Política de Privacidade — Babilu App
Versão 1.0 · Em vigor desde 16 de junho de 2026
Versão em português de Portugal. Esta Política observa o RGPD (Regulamento (UE) 2016/679).
Esta Política descreve como Rafael Fernandes Gomes (cidadão português e brasileiro, trabalhador independente, prestador de serviços estabelecido em Portugal, NIF 308041488) — adiante "Babilu App", "nós" — trata dados pessoais no âmbito do serviço Babilu App. Aplica-se em conjunto com os Termos e Condições.
1. As duas relações de dados (importante)
O Serviço envolve duas categorias de pessoas, com papéis distintos no RGPD:
| Pessoa | Quem é | O nosso papel |
|---|---|---|
| Cliente | A empresa/pessoa que subscreve o Babilu App e os seus utilizadores da plataforma | Somos responsáveis pelo tratamento dos dados de conta, faturação e uso |
| Utilizador Final | Quem envia DMs à conta Instagram do Cliente e conversa com o bot | Somos subcontratante ("processor"); o Cliente é o responsável por esses dados (ver Secção 9 — Anexo de Tratamento de Dados) |
Se você é um Utilizador Final e quer exercer direitos sobre as suas mensagens, o responsável é a empresa cujo Instagram contactou; pode também contactar-nos e encaminharemos o pedido.
2. Dados que tratamos
2.1. Dados do Cliente (somos responsáveis):
- Conta e identificação: nome, email, palavra-passe (em hash), idioma, dados da empresa.
- Faturação: plano, histórico de subscrição e pagamentos. Os dados do cartão são tratados diretamente pela Stripe — não armazenamos números de cartão.
- Integração Meta: identificador da conta Instagram Business, nome de utilizador, tokens de acesso (cifrados), associação página/conta.
- Conteúdo de configuração: textos, preços, horários, instruções e demais conteúdo que o Cliente carrega para o bot.
- Dados técnicos e de uso: logs, endereço IP, tipo de dispositivo/navegador, métricas de uso, para segurança e melhoria do Serviço.
2.2. Dados de Utilizadores Finais (somos subcontratante do Cliente):
- Mensagens (DMs) trocadas com o bot e respetivos metadados (data/hora, identificador Instagram).
- Perfil público Instagram disponibilizado pela API (nome de utilizador, foto, quando aplicável).
- Dados de lead extraídos da conversa (ex.: nome, contacto, interesse) e disponibilizados ao Cliente.
3. Finalidades e fundamentos de licitude
| Finalidade | Dados | Fundamento (RGPD art. 6.º) |
|---|---|---|
| Prestar e operar o Serviço (gerar respostas, captar leads) | Conta, configuração, mensagens, leads | Execução de contrato / instruções do Cliente |
| Faturação e cobrança | Faturação | Execução de contrato / obrigação legal |
| Segurança, prevenção de abuso e fraude | Técnicos, uso | Interesse legítimo |
| Suporte ao Cliente | Conta, uso | Execução de contrato / interesse legítimo |
| Melhoria do Serviço (dados agregados/anonimizados) | Uso agregado | Interesse legítimo |
| Cumprimento de obrigações legais | Conforme exigido | Obrigação legal |
| Comunicações de marketing (se aplicável) | Consentimento / interesse legítimo, com opção de oposição |
4. Inteligência artificial e a Meta
4.1. Processamento por LLM. Para gerar respostas, o conteúdo relevante das mensagens e do conteúdo de configuração é enviado a fornecedores de modelos de linguagem (atualmente OpenAI), que os tratam como nossos subcontratantes para devolver a resposta.
4.2. APIs da Meta/Instagram. O Serviço acede a mensagens e perfis através das APIs da Meta, no respeito pelas suas políticas, incluindo a janela de 24 horas para resposta a mensagens. Os dados obtidos via Meta são usados exclusivamente para prestar o Serviço ao Cliente e não são vendidos nem cedidos para fins publicitários de terceiros.
4.3. Decisões automatizadas. O bot gera respostas automáticas, mas estas não produzem efeitos jurídicos significativos sobre o Utilizador Final; o Cliente pode assumir o controlo manual da conversa a qualquer momento.
5. Partilha de dados (subcontratantes e terceiros)
Partilhamos dados apenas com:
- Plataformas de Terceiros necessárias ao Serviço: Meta/Instagram (mensagens), OpenAI (geração de respostas), Stripe (pagamentos), fornecedor de email transacional (Resend), fornecedor de alojamento (Heroku, região UE).
- Autoridades, quando legalmente exigido.
- Adquirentes, em caso de reorganização, fusão ou transmissão do negócio, com salvaguarda da presente Política.
Não vendemos dados pessoais.
6. Transferências internacionais
6.1. O alojamento principal situa-se na União Europeia (região UE). Alguns subcontratantes (designadamente OpenAI e Stripe) podem tratar dados fora do EEE (p. ex. EUA). Nesses casos, asseguramos garantias adequadas, designadamente Cláusulas Contratuais-Tipo (SCC) da Comissão Europeia.
7. Prazos de conservação
| Dados | Conservação |
|---|---|
| Conta e configuração | Enquanto a conta estiver ativa |
| Mensagens e leads | Enquanto a conta estiver ativa, salvo eliminação solicitada pelo Cliente |
| Faturação | Pelo prazo legal de conservação de documentos fiscais (em regra, 10 anos) |
| Logs técnicos | Conservados por 90 dias, para fins de segurança e diagnóstico |
| Após cessação da conta | Os dados são eliminados ou anonimizados no prazo de 30 dias após o encerramento, salvo obrigação legal de conservação (p. ex. faturação) |
8. Direitos dos titulares
8.1. Nos termos do RGPD, o titular tem direito de acesso, retificação, apagamento, limitação, portabilidade e oposição, bem como de retirar o consentimento e de não ficar sujeito a decisões exclusivamente automatizadas com efeitos significativos.
8.2. Para dados de Cliente, exerça os direitos junto de nós, em [email protected]. Para dados de Utilizador Final, o responsável é o Cliente (a empresa contactada); nós assistimos o Cliente no cumprimento desses pedidos.
8.3. O titular pode reclamar junto da autoridade de controlo competente — em Portugal, a CNPD (www.cnpd.pt). Para titulares no Brasil, a autoridade competente é a ANPD.
8.4 Como solicitar a eliminação dos seus dados (pedido de eliminação)
Pode solicitar a eliminação dos seus dados pessoais a qualquer momento:
- Por email: envie um pedido para [email protected] com o assunto «Eliminação de dados», indicando a conta ou o identificador Instagram em causa.
- Cliente (titular da conta Babilu App): pode ainda eliminar a sua conta e o conteúdo associado a partir das definições do Serviço. A eliminação da conta remove os dados de conta e de configuração, sob reserva dos prazos legais de conservação (Secção 7).
- Utilizador Final (quem contactou um Instagram através do bot): os seus dados de conversa pertencem à empresa que contactou, que é a responsável pelo tratamento. Encaminharemos o seu pedido a essa empresa e prestaremos a assistência necessária à sua execução.
Prazo: damos seguimento aos pedidos de eliminação no prazo máximo de 30 dias, salvo obrigação legal de conservação (p. ex. dados de faturação — Secção 7). Confirmaremos a conclusão por email.
Dados obtidos através da Meta/Instagram: os dados recebidos via APIs da Meta associados ao pedido são eliminados no âmbito deste processo.
9. Anexo de Tratamento de Dados (DPA) — dados de Utilizadores Finais
Esta Secção formaliza o tratamento que efetuamos por conta do Cliente (responsável) enquanto subcontratante, nos termos do art. 28.º do RGPD.
- Objeto e duração: prestação do Serviço, durante a vigência do contrato.
- Natureza e finalidade: receção, processamento e geração de respostas a DMs, e extração de leads, segundo as instruções documentadas do Cliente (o conteúdo de configuração e as definições do Serviço).
- Tipo de dados: dados de identificação e contacto, conteúdo de mensagens, dados de perfil público Instagram.
- Categorias de titulares: Utilizadores Finais que contactam a conta do Cliente.
- Obrigações do subcontratante: tratar apenas segundo instruções; garantir confidencialidade; adotar medidas de segurança adequadas (Secção 10); recorrer a subprocessadores apenas com autorização (Secção 5) e impondo-lhes obrigações equivalentes; assistir o Cliente no exercício de direitos e na resposta a violações; eliminar ou devolver os dados no termo do contrato.
- Violações de dados: notificaremos o Cliente sem demora injustificada após termos conhecimento de uma violação que afete dados tratados por sua conta.
- Auditoria: disponibilizaremos a informação razoavelmente necessária para demonstrar o cumprimento.
10. Segurança
Adotamos medidas técnicas e organizativas adequadas, incluindo cifragem de tokens e dados sensíveis em repouso, isolamento de dados entre clientes (multi-tenancy com Row-Level Security), controlo de acessos, transporte cifrado (HTTPS) e registos de auditoria. Nenhum sistema é totalmente imune; não podemos garantir segurança absoluta.
11. Cookies e tecnologias semelhantes
A aplicação utiliza armazenamento local estritamente necessário para autenticação e funcionamento (p. ex. token de sessão).
12. Menores
O Serviço destina-se a empresas e não a menores. Não recolhemos conscientemente dados de menores enquanto Clientes.
13. Alterações a esta Política
Podemos atualizar esta Política, comunicando alterações materiais por email ou através do Serviço. A data e versão em vigor constam no topo.
14. Contacto
Rafael Fernandes Gomes · NIF 308041488
Contacto para proteção de dados: [email protected]
Não está designado um Encarregado de Proteção de Dados (DPO) por tal não ser obrigatório, à luz do RGPD, para a dimensão e a natureza desta operação. O contacto acima responde por todos os pedidos em matéria de proteção de dados.