O ESGSimple processa os seus documentos financeiros localmente no navegador. Os dados da sua conta e dos seus clientes (perfil, NIF, CAE, diagnósticos) são guardados de forma segura num servidor na União Europeia. Esta página descreve o que recolhemos, onde guardamos e os seus direitos.
O ESGSimple processa três tipos de informação: (1) os ficheiros que carrega — SAF-T PT, balancete, balanço, DR, IES, políticas internas, mapas de pessoal e outros documentos; (2) as suas respostas ao questionário ESG; (3) o perfil da empresa que indicar no início — nome (opcional), NIF (opcional), setor, dimensão, país e CAE.
| Finalidade | Fundamento |
|---|---|
| Criação de conta, faturação e prestação do serviço | Execução de contrato (art. 6.º/1/b) |
| Alertas por email | Consentimento (art. 6.º/1/a) |
| Estatísticas de tráfego (Plausible, agregadas) | Interesse legítimo (art. 6.º/1/f) |
| Enriquecimento por NIF/CAE em fontes públicas e comerciais | Execução de contrato / interesse legítimo (art. 6.º/1/b e f) |
| Relatório IA (básico e análise profunda) | Consentimento (art. 6.º/1/a) + instrução do responsável |
| Conservação de faturas (10 anos) | Obrigação legal (art. 6.º/1/c) |
Os ficheiros que carrega no passo «Documentos» são lidos diretamente pelo seu navegador. A leitura de XML (SAF-T PT), CSV, XLSX e PDF é feita por bibliotecas que correm na sua máquina — DOMParser, SheetJS e pdf.js. O conteúdo dos seus documentos nunca é enviado para servidores do ESGSimple nem para terceiros. Quando fecha a página, esses ficheiros desaparecem da memória do navegador.
Para que possa retomar o diagnóstico mais tarde, o ESGSimple guarda no localStorage do seu navegador: o perfil da empresa, as respostas ao questionário e os snapshots de evolução, se decidir guardá-los. Pode apagar tudo a qualquer momento com o botão de reposição (⟳) no topo da aplicação, ou limpando os dados do site nas definições do seu navegador. Os ficheiros que carregou não são guardados — apenas as métricas que deles extraímos podem ficar dentro de um snapshot, se o criar.
O código da aplicação (HTML, CSS, JavaScript) é descarregado de uma CDN pública (cdnjs.cloudflare.com) e do servidor onde o ESGSimple está hospedado. Estes serviços podem registar o seu endereço IP no momento do pedido, como acontece com qualquer site na internet. Nenhum desses pedidos transporta o conteúdo dos seus documentos — apenas o código necessário para o seu navegador executar a aplicação.
O ESGSimple não utiliza cookies de rastreio, publicidade nem perfilamento: o localStorage do navegador guarda apenas a preferência de idioma (PT/EN) e a marca temporal do consentimento do «Relatório IA». Para medir tráfego usamos o Plausible Analytics, uma alternativa privacy-friendly, sem cookies, hospedada na UE, que regista apenas dados agregados de visita (URL da página, código de país, tipo de dispositivo e referenciador), sem cross-site tracking. Nas funcionalidades de enriquecimento por NIF, e apenas na medida estritamente necessária, o NIF da empresa é consultado em: (i) registos públicos oficiais — Conservatória do Registo Comercial, VIES, BASE.gov.pt, portal Citius e Diário da República, para o perfil e sinais regulatórios indicativos; e (ii) serviços comerciais de informação empresarial (eInforma), que não são registos públicos oficiais. Sempre que a informação possa ser obtida sem o NIF (por exemplo, por nome ou CAE), será essa a via privilegiada, em respeito pelo princípio da minimização (artigo 5.º, n.º 1, al. c) do RGPD). Na Comparação setorial, apenas o código CAE é consultado num conjunto de dados agregado pré-compilado a partir das estatísticas públicas do Banco de Portugal (Quadros do Setor). Em nenhum destes casos são enviados os documentos financeiros do cliente, que são processados localmente no navegador.
Tem o direito de: aceder aos seus dados e exportá-los (contacte-nos); rectificar o perfil e os clientes diretamente no dashboard; eliminar a conta no dashboard, o que apaga de imediato todos os dados associados — perfil, clientes e diagnósticos — por cascade delete; obter portabilidade num formato estruturado (JSON, a pedido); solicitar a limitação do tratamento (artigo 18.º); retirar o consentimento a qualquer momento, sem comprometer a licitude do tratamento anterior (artigo 7.º, n.º 3); opor-se ao tratamento baseado em interesse legítimo, incluindo as estatísticas de tráfego (artigo 21.º); e opor-se aos alertas por email desativando-os através do link presente em qualquer email. Respondemos a qualquer pedido em até 30 dias. Pode também apresentar reclamação à autoridade de controlo competente — em Portugal, a CNPD (cnpd.pt). Contacto: contacto@esgsimple.pt.
O responsável pelo tratamento dos dados pessoais recolhidos através do ESGSimple é a Dinastia Diligente Unipessoal, Lda., pessoa coletiva n.º 515 009 970, com sede na Rua António França Borges, n.º 16, 1.º esq., 2625-187 Póvoa de Santa Iria, contactável em contacto@esgsimple.pt. A faturação das subscrições é efetuada pela mesma entidade, na qualidade de merchant of record, através da Stripe. Relativamente aos dados dos clientes finais carregados pelos contabilistas utilizadores, a Dinastia Diligente Unipessoal, Lda. atua como subcontratante (processor), sendo o contabilista o responsável pelo tratamento; esse tratamento rege-se pelo Acordo de Tratamento de Dados (DPA) anexo aos Termos de Utilização. Os dados da sua conta (email, nome, número OCC), dos seus clientes (nome, NIF, CAE, dimensão, distrito) e os diagnósticos ESG são guardados na base de dados Supabase, alojada na União Europeia (Irlanda, eu-west-1). Recorremos aos seguintes subcontratantes, sob acordo de tratamento de dados (DPA): Supabase (base de dados e autenticação), Resend (envio de emails transacionais), Stripe (processamento de pagamentos — nunca temos acesso ao número do cartão), Netlify (alojamento do site, servidores na UE) e Plausible (analytics agregadas, alojado na Alemanha). Os documentos financeiros que carrega (SAF-T, IES, balancete, PDFs) continuam a ser processados localmente no navegador e não são enviados para os nossos servidores. Retenção: enquanto a conta estiver ativa; após o cancelamento, os dados são eliminados no prazo de 30 dias; os registos de envio de email são mantidos 12 meses para deduplicação; as faturas são conservadas 10 anos por obrigação legal portuguesa.
Candidatura Builder (tratamento no servidor). Quando utiliza o Candidatura Builder, e mediante o seu consentimento explícito, os dados necessários do seu cliente (perfil e métricas das contas) são enviados aos nossos servidores e subprocessadores — incluindo a geração por inteligência artificial — para produzir o rascunho de candidatura. Ao contrário do diagnóstico ESG, que corre localmente no seu navegador, esta funcionalidade implica tratamento no servidor.
Importação em massa — dados em revisão. Os dados carregados para importação em massa permanecem em tabelas temporárias (staging) apenas para revisão. São eliminados na confirmação (commit) ou no cancelamento (rollback) e, em qualquer caso, os lotes não concluídos são eliminados automaticamente ao fim de 30 dias.
Modo padrão. O ESGSimple disponibiliza um modo opcional «Relatório IA», desativado por defeito. Quando o utilizador o ativa expressamente, o ESGSimple envia para a API da Anthropic (operadora do modelo Claude) apenas o diagnóstico estruturado: as pontuações por dimensão, os pontos fortes e fracos identificados, e os campos do perfil de empresa que preencheu (nome, NIF, CAE, setor, dimensão, finalidade). Neste modo, os ficheiros originais — SAF-T, balancete, PDFs — não saem do seu equipamento. Modo de análise profunda. Está disponível um modo opcional adicional de «análise profunda» que, além do diagnóstico estruturado, envia para a mesma API o conteúdo textual já extraído pelos parsers locais dos ficheiros carregados (texto de PDFs, conteúdo de SAF-T, CSV, XLSX). Os ficheiros originais continuam a não ser carregados — apenas o texto que o navegador já leu durante o diagnóstico. Este modo exige uma dupla confirmação: ativação de uma opção dedicada no ecrã de consentimento e confirmação adicional num segundo aviso imediatamente antes do envio. Consentimento e auditoria local. O consentimento é explícito por sessão e fica registado localmente no navegador (inclui marca temporal, modo básico vs. profundo e estado da segunda confirmação). Pode revogar o consentimento a qualquer momento limpando os dados do navegador; nada é guardado nos nossos servidores sem o seu consentimento expresso. Retenção e transferência (Anthropic). O ESGSimple não armazena o relatório de IA nos seus servidores. Os dados enviados à Anthropic PBC (EUA) quando ativa o «Relatório IA» ou a «análise profunda» são tratados ao abrigo das Cláusulas Contratuais-Tipo da União Europeia (artigo 46.º do RGPD), incluídas no Acordo de Tratamento de Dados (DPA) da Anthropic. A Anthropic elimina por defeito os conteúdos enviados através da API no prazo máximo de 30 dias, podendo conservá-los por período superior apenas quando exigido por lei ou para prevenção de utilização indevida; pode ainda aplicar uma cache temporária de prompt (de alguns minutos) por motivos de eficiência. A API direta da Anthropic processa os dados em infraestrutura fora do EEE (EUA/global).