Política de Privacidade

A Neobotic, Lda. (doravante "Neobotic", "nós" ou "nos"), empresa com sede em Portugal, é o Responsável pelo Tratamento dos dados pessoais recolhidos através da plataforma Neobotic Hub, nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD — Regulamento UE 2016/679).

Encarregado de Proteção de Dados (DPO): privacidade@neobotic.ao

Recolhemos apenas os dados necessários para prestar o serviço contratado e assegurar a segurança da plataforma:

• Dados de conta: nome completo, endereço de email, função (role) na organização e tenant associado. Necessários para autenticação e controlo de acesso baseado em papéis (RBAC).
• Dados de dispositivos IoT: identificadores, estados (ligado/desligado, temperatura, consumo), métricas de energia e logs de automações associados aos dispositivos registados pelo cliente. Estes dados pertencem ao cliente (ver secção 5).
• Dados de utilização: registo de ações executadas na plataforma (audit log), histórico de execução de regras de automação e comandos enviados a dispositivos.
• Dados técnicos: endereço IP, user-agent do browser, timestamps de acesso e tokens de sessão — utilizados exclusivamente para fins de segurança, deteção de fraude e diagnóstico.
• Dados de autenticação de dois fatores (2FA): segredo TOTP cifrado (AES-256-GCM), hashes dos códigos de recuperação. Nunca armazenados em claro.

Nota: Câmaras, streams de vídeo e gravações ficam nos servidores do próprio cliente (self-hosted via MediaMTX/RTSP). A Neobotic não acede nem armazena conteúdo de vídeo.

Os dados são tratados com as seguintes finalidades e respetivas bases legais ao abrigo do RGPD:

Aplicamos prazos de retenção mínimos e proporcionados à finalidade de cada categoria de dados:

A Neobotic não vende nem partilha dados pessoais com terceiros para fins comerciais ou de marketing.

Os dados podem ser partilhados apenas nas seguintes circunstâncias:

• Subcontratantes técnicos: fornecedores de infraestrutura (hosting, Redis, EMQX) vinculados por Contrato de Tratamento de Dados (DPA) nos termos do Art. 28 do RGPD, que os proíbe de utilizar os dados para fins próprios.
• Autoridades competentes: quando exigido por lei, decisão judicial ou para proteção de direitos legítimos da Neobotic.

Os dados de dispositivos IoT e configurações de automação são propriedade exclusiva do cliente (tenant) e podem ser exportados ou eliminados a qualquer momento.

Os dados pessoais são tratados e armazenados exclusivamente dentro da União Europeia. A Neobotic não efetua transferências de dados para países terceiros fora do Espaço Económico Europeu (EEE).

Os servidores de produção estão localizados em Portugal ou noutro Estado-membro da UE. Qualquer alteração a esta política de localização será comunicada com 30 dias de antecedência e sujeita às garantias previstas nos Arts. 44–49 do RGPD.

Ao abrigo do RGPD (Regulamento UE 2016/679), tem os seguintes direitos relativamente aos seus dados pessoais:

• →Art. 15 — Direito de acesso: Obter confirmação de que os seus dados são tratados e receber uma cópia dos mesmos.
• →Art. 16 — Direito de retificação: Corrigir dados inexatos ou completar dados incompletos.
• →Art. 17 — Direito ao apagamento: Solicitar a eliminação dos seus dados ("direito a ser esquecido"), sujeito a obrigações legais de conservação.
• →Art. 18 — Direito à limitação do tratamento: Restringir o tratamento dos seus dados em determinadas circunstâncias.
• →Art. 20 — Direito à portabilidade: Receber os seus dados num formato estruturado, de uso corrente e leitura automática.
• →Art. 21 — Direito de oposição: Opor-se ao tratamento baseado em interesse legítimo (Art. 6(1)(f)), incluindo criação de perfis.

Para exercer qualquer destes direitos, envie um email para privacidade@neobotic.ao com o assunto "Direitos RGPD" e identificação do pedido. Responderemos no prazo máximo de 30 dias corridos.

Tem também o direito de apresentar reclamação à autoridade de supervisão competente: CNPD — Comissão Nacional de Proteção de Dados.

A plataforma Neobotic Hub utiliza apenas cookies estritamente necessários para o funcionamento do serviço:

• Cookie de sessão NextAuth (HttpOnly, SameSite=Lax, Secure): contém o JWT de sessão cifrado. Duração: sessão do browser ou até 7 dias se "manter sessão" estiver ativo.
• CSRF token: proteção contra cross-site request forgery. Sessão do browser.

Não utilizamos cookies de rastreamento, publicidade, analytics de terceiros, nem pixels de tracking. Não há partilha de dados com redes de publicidade.

Adotamos medidas técnicas e organizacionais adequadas ao risco, incluindo:

• Cifra TLS 1.3 em todas as comunicações em trânsito
• Hashing de passwords com Argon2id (64 MiB memória, 3 iterações, paralelismo 1)
• Cifra AES-256-GCM para dados sensíveis em repouso (segredos TOTP, push tokens)
• Tokens JWT RS256 com expiração curta (15 min access token, 7 dias refresh token)
• Blocklist de tokens revogados em Redis com TTL automático
• Rate limiting por IP e por conta para prevenção de força bruta
• Audit logging completo de todas as ações administrativas
• Verificação de passwords comprometidas via HIBP (Have I Been Pwned) k-anonimato
• Row-Level Security (RLS) no PostgreSQL para isolamento de dados entre tenants
• Backups cifrados com chave GPG, retidos por 12 meses

Em caso de violação de segurança com impacto para os seus dados pessoais, notificaremos a CNPD no prazo de 72 horas (Art. 33 RGPD) e os titulares afetados sem demora injustificada (Art. 34 RGPD).

Podemos atualizar esta Política de Privacidade periodicamente. As alterações materiais serão comunicadas por email com um mínimo de 30 dias de antecedência relativamente à data de entrada em vigor. A versão mais recente estará sempre disponível em /privacy.

Para alterações não materiais (correções de texto, clarificações), a data de "última atualização" será revista sem notificação prévia.

Para qualquer questão relacionada com o tratamento dos seus dados pessoais: