ESGSimple
Criar conta
Privacidade

A sua informação fica no seu computador

O ESGSimple processa os seus documentos financeiros localmente no navegador. Os dados da sua conta e dos seus clientes (perfil, NIF, CAE, diagnósticos) são guardados de forma segura num servidor na União Europeia. Esta página descreve o que recolhemos, onde guardamos e os seus direitos.

Última atualização: 3 de junho de 2026 · Versão 1.0.

Que dados processamos

O ESGSimple processa três tipos de informação: (1) os ficheiros que carrega — SAF-T PT, balancete, balanço, DR, IES, políticas internas, mapas de pessoal e outros documentos; (2) as suas respostas ao questionário ESG; (3) o perfil da empresa que indicar no início — nome (opcional), NIF (opcional), setor, dimensão, país e CAE.

Fundamentos de licitude (artigo 6.º do RGPD)

FinalidadeFundamento
Criação de conta, faturação e prestação do serviçoExecução de contrato (art. 6.º/1/b)
Alertas por emailConsentimento (art. 6.º/1/a)
Estatísticas de tráfego (Plausible, agregadas)Interesse legítimo (art. 6.º/1/f)
Enriquecimento por NIF/CAE em fontes públicas e comerciaisExecução de contrato / interesse legítimo (art. 6.º/1/b e f)
Relatório IA (básico e análise profunda)Consentimento (art. 6.º/1/a) + instrução do responsável
Conservação de faturas (10 anos)Obrigação legal (art. 6.º/1/c)

Como os documentos são tratados (local-first)

Os ficheiros que carrega no passo «Documentos» são lidos diretamente pelo seu navegador. A leitura de XML (SAF-T PT), CSV, XLSX e PDF é feita por bibliotecas que correm na sua máquina — DOMParser, SheetJS e pdf.js. O conteúdo dos seus documentos nunca é enviado para servidores do ESGSimple nem para terceiros. Quando fecha a página, esses ficheiros desaparecem da memória do navegador.

O que é guardado no seu navegador

Para que possa retomar o diagnóstico mais tarde, o ESGSimple guarda no localStorage do seu navegador: o perfil da empresa, as respostas ao questionário e os snapshots de evolução, se decidir guardá-los. Pode apagar tudo a qualquer momento com o botão de reposição (⟳) no topo da aplicação, ou limpando os dados do site nas definições do seu navegador. Os ficheiros que carregou não são guardados — apenas as métricas que deles extraímos podem ficar dentro de um snapshot, se o criar.

CDN e hospedagem

O código da aplicação (HTML, CSS, JavaScript) é descarregado de uma CDN pública (cdnjs.cloudflare.com) e do servidor onde o ESGSimple está hospedado. Estes serviços podem registar o seu endereço IP no momento do pedido, como acontece com qualquer site na internet. Nenhum desses pedidos transporta o conteúdo dos seus documentos — apenas o código necessário para o seu navegador executar a aplicação.

Rastreio e fontes de dados públicas

O ESGSimple não utiliza cookies de rastreio, publicidade nem perfilamento: o localStorage do navegador guarda apenas a preferência de idioma (PT/EN) e a marca temporal do consentimento do «Relatório IA». Para medir tráfego usamos o Plausible Analytics, uma alternativa privacy-friendly, sem cookies, hospedada na UE, que regista apenas dados agregados de visita (URL da página, código de país, tipo de dispositivo e referenciador), sem cross-site tracking. Nas funcionalidades de enriquecimento por NIF, e apenas na medida estritamente necessária, o NIF da empresa é consultado em: (i) registos públicos oficiais — Conservatória do Registo Comercial, VIES, BASE.gov.pt, portal Citius e Diário da República, para o perfil e sinais regulatórios indicativos; e (ii) serviços comerciais de informação empresarial (eInforma), que não são registos públicos oficiais. Sempre que a informação possa ser obtida sem o NIF (por exemplo, por nome ou CAE), será essa a via privilegiada, em respeito pelo princípio da minimização (artigo 5.º, n.º 1, al. c) do RGPD). Na Comparação setorial, apenas o código CAE é consultado num conjunto de dados agregado pré-compilado a partir das estatísticas públicas do Banco de Portugal (Quadros do Setor). Em nenhum destes casos são enviados os documentos financeiros do cliente, que são processados localmente no navegador.

Os seus direitos RGPD

Tem o direito de: aceder aos seus dados e exportá-los (contacte-nos); rectificar o perfil e os clientes diretamente no dashboard; eliminar a conta no dashboard, o que apaga de imediato todos os dados associados — perfil, clientes e diagnósticos — por cascade delete; obter portabilidade num formato estruturado (JSON, a pedido); solicitar a limitação do tratamento (artigo 18.º); retirar o consentimento a qualquer momento, sem comprometer a licitude do tratamento anterior (artigo 7.º, n.º 3); opor-se ao tratamento baseado em interesse legítimo, incluindo as estatísticas de tráfego (artigo 21.º); e opor-se aos alertas por email desativando-os através do link presente em qualquer email. Respondemos a qualquer pedido em até 30 dias. Pode também apresentar reclamação à autoridade de controlo competente — em Portugal, a CNPD (cnpd.pt). Contacto: contacto@esgsimple.pt.

Responsável, armazenamento e subcontratantes

O responsável pelo tratamento dos dados pessoais recolhidos através do ESGSimple é a Dinastia Diligente Unipessoal, Lda., pessoa coletiva n.º 515 009 970, com sede na Rua António França Borges, n.º 16, 1.º esq., 2625-187 Póvoa de Santa Iria, contactável em contacto@esgsimple.pt. A faturação das subscrições é efetuada pela mesma entidade, na qualidade de merchant of record, através da Stripe. Relativamente aos dados dos clientes finais carregados pelos contabilistas utilizadores, a Dinastia Diligente Unipessoal, Lda. atua como subcontratante (processor), sendo o contabilista o responsável pelo tratamento; esse tratamento rege-se pelo Acordo de Tratamento de Dados (DPA) anexo aos Termos de Utilização. Os dados da sua conta (email, nome, número OCC), dos seus clientes (nome, NIF, CAE, dimensão, distrito) e os diagnósticos ESG são guardados na base de dados Supabase, alojada na União Europeia (Irlanda, eu-west-1). Recorremos aos seguintes subcontratantes, sob acordo de tratamento de dados (DPA): Supabase (base de dados e autenticação), Resend (envio de emails transacionais), Stripe (processamento de pagamentos — nunca temos acesso ao número do cartão), Netlify (alojamento do site, servidores na UE) e Plausible (analytics agregadas, alojado na Alemanha). Os documentos financeiros que carrega (SAF-T, IES, balancete, PDFs) continuam a ser processados localmente no navegador e não são enviados para os nossos servidores. Retenção: enquanto a conta estiver ativa; após o cancelamento, os dados são eliminados no prazo de 30 dias; os registos de envio de email são mantidos 12 meses para deduplicação; as faturas são conservadas 10 anos por obrigação legal portuguesa.

Candidatura Builder e importação em massa

Candidatura Builder (tratamento no servidor). Quando utiliza o Candidatura Builder, e mediante o seu consentimento explícito, os dados necessários do seu cliente (perfil e métricas das contas) são enviados aos nossos servidores e subprocessadores — incluindo a geração por inteligência artificial — para produzir o rascunho de candidatura. Ao contrário do diagnóstico ESG, que corre localmente no seu navegador, esta funcionalidade implica tratamento no servidor.

Importação em massa — dados em revisão. Os dados carregados para importação em massa permanecem em tabelas temporárias (staging) apenas para revisão. São eliminados na confirmação (commit) ou no cancelamento (rollback) e, em qualquer caso, os lotes não concluídos são eliminados automaticamente ao fim de 30 dias.

Modo IA opcional (opt-in) e análise profunda

Modo padrão. O ESGSimple disponibiliza um modo opcional «Relatório IA», desativado por defeito. Quando o utilizador o ativa expressamente, o ESGSimple envia para a API da Anthropic (operadora do modelo Claude) apenas o diagnóstico estruturado: as pontuações por dimensão, os pontos fortes e fracos identificados, e os campos do perfil de empresa que preencheu (nome, NIF, CAE, setor, dimensão, finalidade). Neste modo, os ficheiros originais — SAF-T, balancete, PDFs — não saem do seu equipamento. Modo de análise profunda. Está disponível um modo opcional adicional de «análise profunda» que, além do diagnóstico estruturado, envia para a mesma API o conteúdo textual já extraído pelos parsers locais dos ficheiros carregados (texto de PDFs, conteúdo de SAF-T, CSV, XLSX). Os ficheiros originais continuam a não ser carregados — apenas o texto que o navegador já leu durante o diagnóstico. Este modo exige uma dupla confirmação: ativação de uma opção dedicada no ecrã de consentimento e confirmação adicional num segundo aviso imediatamente antes do envio. Consentimento e auditoria local. O consentimento é explícito por sessão e fica registado localmente no navegador (inclui marca temporal, modo básico vs. profundo e estado da segunda confirmação). Pode revogar o consentimento a qualquer momento limpando os dados do navegador; nada é guardado nos nossos servidores sem o seu consentimento expresso. Retenção e transferência (Anthropic). O ESGSimple não armazena o relatório de IA nos seus servidores. Os dados enviados à Anthropic PBC (EUA) quando ativa o «Relatório IA» ou a «análise profunda» são tratados ao abrigo das Cláusulas Contratuais-Tipo da União Europeia (artigo 46.º do RGPD), incluídas no Acordo de Tratamento de Dados (DPA) da Anthropic. A Anthropic elimina por defeito os conteúdos enviados através da API no prazo máximo de 30 dias, podendo conservá-los por período superior apenas quando exigido por lei ou para prevenção de utilização indevida; pode ainda aplicar uma cache temporária de prompt (de alguns minutos) por motivos de eficiência. A API direta da Anthropic processa os dados em infraestrutura fora do EEE (EUA/global).