Política de Privacidade
Última actualização: 3 de Junho de 2026 · Versão 2.1
Esta Política de Privacidade descreve como a Klovani recolhe, utiliza, armazena e protege os dados pessoais dos seus utilizadores no âmbito da plataforma B2B Klovani Pro (pro.klovani.com) e da extensão Chrome associada, em conformidade com o Regulamento Geral sobre a Protecção de Dados (Regulamento (UE) 2016/679 — "RGPD") e com a Lei n.º 58/2019, de 8 de Agosto.
1. Responsável pelo tratamento
O responsável pelo tratamento dos dados pessoais é:
- Diogo Loureiro (a operar como Klovani)
- NIPC: [a definir]
- Morada: Rua do Rio, 15, 4470 Maia, Portugal
- Email geral: geral@klovani.com
- Email para assuntos de protecção de dados: privacidade@klovani.com
Não temos a obrigação legal de designar Encarregado de Protecção de Dados (DPO) nos termos do artigo 37.º do RGPD, mas qualquer questão relativa ao tratamento dos seus dados pode ser dirigida ao email acima.
2. Dados pessoais que recolhemos
2.1. Dados fornecidos directamente
- Conta: nome, email, número de telefone (opcional), nome da empresa, NIF, palavra-passe encriptada (apenas hash bcrypt — nunca em texto claro).
- Stand / empresa: denominação social, NIPC, morada, contactos comerciais, logótipos.
- Inventário e operações: viaturas (marca, modelo, matrícula parcial, fotografias, histórico, preço), leads (clientes finais ou intermediários, contactos), propostas, documentos comerciais.
- Credenciais de terceiros (encriptadas AES-256-GCM): tokens OAuth de portais (OLX/StandVirtual), de provedores de email (Gmail, Outlook), do Google Calendar e credenciais SMTP/IMAP de domínios próprios — apenas quando o utilizador opta por ligar essas integrações.
2.2. Dados recolhidos automaticamente
- Logs técnicos: endereço IP, tipo de browser e SO, identificador de dispositivo, timestamps, URLs visitadas dentro da plataforma.
- Dados de utilização: funcionalidades acedidas, pesquisas efectuadas, viaturas guardadas, métricas agregadas de performance.
- Extensão Chrome: URLs de pesquisas e identificadores de lots públicos em portais de leilões B2B (BCA, Autorola, Auto1, Ecarstrade, eventualmente outros) que o utilizador visita ou marca como interessantes. Não capturamos dados privados, credenciais de terceiros nem informação fora dos portais autorizados.
2.3. Dados de pagamento
Os pagamentos são processados directamente pela Stripe Payments Europe Ltd. (Dublin, Irlanda). A Klovani não armazena dados de cartões bancários. Apenas recebemos um identificador opaco da subscrição e o estado de pagamento (activo, em atraso, cancelado).
3. Finalidades e bases legais do tratamento
| Finalidade | Base legal (art. 6.º RGPD) |
|---|---|
| Prestação do serviço (gestão de conta, stock, leads, integrações) | Execução do contrato (al. b) |
| Facturação e cumprimento de obrigações fiscais | Obrigação legal (al. c) |
| Segurança, prevenção de fraude e diagnóstico técnico | Interesse legítimo (al. f) |
| Melhoria do produto (estatísticas agregadas, anónimas) | Interesse legítimo (al. f) |
| Comunicações comerciais e novidades por email | Consentimento (al. a) — sempre opt-in, com possibilidade de revogar |
4. Subprocessadores
Para prestar o serviço, recorremos a fornecedores tecnológicos (subprocessadores) que processam dados em nosso nome. Todos têm acordos de tratamento de dados conformes ao art. 28.º do RGPD:
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Railway Corporation | Alojamento da plataforma e infraestrutura | UE com fallback EUA — SCC |
| Neon Inc. (PostgreSQL) | Base de dados | UE |
| Stripe Payments Europe Ltd. | Processamento de pagamentos | Irlanda (UE) |
| Google LLC (OAuth, Gmail API, Google Calendar API) | Autenticação SSO e integrações Gmail e Google Calendar (opt-in) | UE/EUA — SCC + DPF |
| Microsoft Corp. (Outlook OAuth) | Integração Outlook (opt-in) | UE/EUA — SCC + DPF |
| Vincario | Histórico de VIN (quando solicitado) | UE |
| Resend / SendGrid | Envio de emails transaccionais | UE |
| OLX Group (Naspers Classifieds) | Publicação de anúncios (opt-in) | UE |
A lista actualizada de subprocessadores pode ser solicitada para privacidade@klovani.com.
Dados do Google e Política de Utilização Limitada (Google API Services User Data Policy)
Quando o utilizador liga a sua conta Google (início de sessão, Gmail ou Google Calendar), a Klovani acede apenas aos dados estritamente necessários para a funcionalidade que o utilizador escolheu activar:
- Início de sessão com o Google: nome, endereço de email e identificador da conta (scopes
openid,email,profile). - Google Calendar: criação, actualização e eliminação dos eventos de agenda que correspondem a tarefas e compromissos criados pelo próprio utilizador dentro da Klovani Pro (scope
https://www.googleapis.com/auth/calendar.events). A Klovani não lê nem armazena o conteúdo geral da agenda do utilizador — apenas gere os eventos que a própria Klovani cria a partir das suas tarefas.
A utilização e a transferência, pela Klovani, das informações recebidas das APIs do Google obedecem à Google API Services User Data Policy, incluindo os respectivos requisitos de Utilização Limitada (Limited Use). Em concreto, os dados obtidos do Google são usados exclusivamente para prestar e melhorar as funcionalidades visíveis ao utilizador; não são vendidos; não são usados para publicidade; e não são transferidos para terceiros excepto quando necessário para prestar o serviço, por motivos de segurança, ou por imposição legal. Nenhuma pessoa lê estes dados, salvo com o consentimento explícito do utilizador, para fins de segurança, para cumprir a lei, ou de forma agregada e anonimizada para operação interna.
O utilizador pode revogar este acesso a qualquer momento — dentro da Klovani Pro (Definições → Calendário → desligar) ou na página de permissões da conta Google. Após a revogação, os tokens de acesso são eliminados dos nossos sistemas.
5. Transferências internacionais
Quando dados são transferidos para fora do Espaço Económico Europeu (e.g. processamento por Google ou Stripe nos EUA), garantimos uma das seguintes salvaguardas previstas no Capítulo V do RGPD:
- Cláusulas Contratuais-Tipo (SCC) aprovadas pela Comissão Europeia (Decisão 2021/914);
- EU-U.S. Data Privacy Framework (DPF) — para fornecedores certificados (Google, Microsoft, etc.).
6. Conservação dos dados
- Conta activa: dados conservados enquanto a conta existir.
- Após cancelamento: dados eliminados ou anonimizados em 90 dias, salvo obrigação legal de conservação.
- Facturação / contabilidade: 10 anos (art. 123.º do CIRC + Código Comercial).
- Logs de segurança: 12 meses, ou mais se exigido em processo legal.
7. Os seus direitos
Nos termos dos artigos 15.º a 22.º do RGPD, tem direito a:
- Acesso — saber que dados temos sobre si;
- Rectificação — corrigir dados incorrectos;
- Apagamento (direito ao esquecimento);
- Limitação do tratamento;
- Portabilidade — receber os seus dados em formato estruturado (JSON ou CSV);
- Oposição ao tratamento baseado em interesse legítimo;
- Não ser sujeito a decisões automatizadas que produzam efeitos jurídicos relevantes (não usamos profiling automatizado para decisões com efeitos jurídicos);
- Retirar consentimento em qualquer momento, sem afectar a licitude do tratamento prévio.
Para exercer qualquer destes direitos, escreva para privacidade@klovani.com. Respondemos no prazo máximo de 30 dias (prorrogável até 60 dias em casos complexos, com aviso prévio).
8. Cookies e armazenamento local
Usamos cookies em três categorias. Apenas as essenciais são definidas sem consentimento — as restantes só são activadas se autorizadas no banner de consentimento (RGPD art. 6.º al. a) e art. 7.º).
8.1. Inventário de cookies
| Nome | Categoria | Finalidade | Retenção |
|---|---|---|---|
next-auth.session-token | Essencial | Sessão autenticada (httpOnly, SameSite=Lax). Sem este cookie a plataforma não funciona. | 30 dias |
csrf-token | Essencial | Anti-CSRF (double-submit token). | Sessão |
__Host-next-auth.csrf-token | Essencial | Anti-CSRF do NextAuth (login, OAuth callback). | Sessão |
cookie-consent | Essencial | Guarda a sua escolha de consentimento (JSON com versão). Necessário para não voltar a perguntar. | 12 meses |
klovani.prefs (localStorage) | Essencial | Tema, idioma e filtros guardados. | Até apagar o browser |
| Web Vitals (sem cookie) | Analíticos | Métricas anónimas de performance (LCP, CLS, INP). Enviadas via sendBeacon — sem cookie, sem ID de utilizador. | Não persistido no cliente |
| — | Marketing | Nenhum cookie de marketing está activo neste momento. Categoria reservada para campanhas futuras. | — |
A extensão Chrome guarda dados localmente no seu browser (chrome.storage.local): token de autenticação, identificador de dispositivo e fila de eventos pendentes. Estes dados não são partilhados com terceiros.
8.2. Como gerir o consentimento
Pode alterar ou revogar a sua escolha em qualquer momento usando o botão “Gerir consentimento” no painel acima. A revogação tem efeito imediato — métricas analíticas deixam de ser enviadas a partir do clique. Quando uma nova categoria de cookies for adicionada (ou a finalidade de uma existente mudar materialmente), actualizamos a versão da política e voltamos a apresentar o banner.
9. Permissões da extensão Chrome
storage— guardar token de login e fila de eventos localmente.activeTab,scripting— ler conteúdo público APENAS dos portais B2B suportados (BCA, Autorola, Auto1, Ecarstrade, Manheim, Adesa).alarms— sincronização periódica e validação de subscrição.sidePanel,tabs— mostrar painel lateral com análise no portal activo.host_permissions— comunicar com os portais autorizados e com as APIs Klovani.
10. Segurança
- Comunicações cifradas em trânsito (TLS 1.2+).
- Passwords armazenadas com bcrypt (cost factor ≥ 10).
- Tokens OAuth e credenciais de terceiros cifrados em repouso com AES-256-GCM.
- Tenant isolation: cada stand acede apenas aos seus dados.
- Backups encriptados, retidos 30 dias.
- Logs de acesso e auditoria mantidos por 12 meses.
Em caso de violação de dados pessoais que represente risco para os direitos e liberdades dos titulares, notificaremos a CNPD em 72 horas e os titulares afectados sem demora, nos termos do art. 33.º e 34.º do RGPD.
11. Menores
A Klovani Pro é uma plataforma B2B dirigida a profissionais. Não se destina a menores de 18 anos e não recolhemos conscientemente dados de menores. Se identificar dados de menores, contacte-nos para remoção imediata.
12. Reclamações
Sem prejuízo de outras vias administrativas ou judiciais, tem o direito de apresentar reclamação à autoridade de controlo:
- Comissão Nacional de Protecção de Dados (CNPD)
- Av. D. Carlos I, 134, 1.º — 1200-651 Lisboa
- Tel.: +351 213 928 400
- Web: www.cnpd.pt
13. Alterações a esta política
Podemos actualizar esta política para reflectir alterações legais, técnicas ou operacionais. Alterações materiais serão comunicadas por email com pelo menos 30 dias de antecedência. A data e versão no topo desta página indicam sempre a versão em vigor.
14. Contacto
Para qualquer questão relacionada com esta política: privacidade@klovani.com.
Este documento foi elaborado para cumprir o Regulamento (UE) 2016/679 (RGPD), a Lei n.º 58/2019 e o Decreto-Lei 7/2004. Não substitui aconselhamento jurídico para casos específicos.