Política de Privacidade
Última atualização: 23 de maio de 2026
1. Quem somos
O imorise é um serviço de software como serviço (SaaS) desenvolvido e operado por Hugo Marques, com sede em Portugal, acessível em https://imorise.com.
Para efeitos do Regulamento Geral sobre a Proteção de Dados (RGPD — Regulamento (UE) 2016/679), somos o responsável pelo tratamento dos dados pessoais descritos nesta política.
Contacto do responsável pelo tratamento: hello@imorise.com
2. Que dados recolhemos
Recolhemos as seguintes categorias de dados pessoais:
- Dados de conta: nome, endereço de e-mail e palavra-passe (armazenada com hash seguro via Supabase Auth).
- Dados de perfil profissional: nome da agência, logótipo, cores de marca e preferências de template.
- Dados de redes sociais: identificadores de conta do Instagram Business e da Página do Facebook, tokens de acesso OAuth (cifrados com AES-256-GCM antes de serem armazenados), nome de utilizador e nome da página.
- Conteúdo gerado: textos de publicações, hashtags, imagens de imóveis e campanhas, legendas geradas por IA.
- Dados de desempenho: métricas de alcance e impressões das publicações, obtidas da Meta Graph API após publicação.
- Dados de faturação: geridos pelo Lemon Squeezy na qualidade de Merchant of Record. Não armazenamos dados de cartão de crédito.
- Dados de utilização: registos de acesso, endereços IP truncados (último octeto removido), tipo de browser e dados de sessão necessários para a segurança e funcionamento do serviço.
- Dados de analytics (com consentimento): páginas visitadas, funcionalidades utilizadas e eventos de interação, recolhidos de forma anónima pelo PostHog apenas se aceitares os cookies de analytics.
3. Para que utilizamos os teus dados
| Finalidade | Base legal (RGPD) |
|---|---|
| Criar e gerir a tua conta de utilizador | Execução de contrato (Art. 6.º, n.º 1, al. b) |
| Publicar conteúdos no Instagram e Facebook em teu nome | Execução de contrato (Art. 6.º, n.º 1, al. b) |
| Gerar legendas e hashtags com IA (OpenAI) | Execução de contrato (Art. 6.º, n.º 1, al. b) |
| Recolher métricas de desempenho via Meta Insights API | Execução de contrato (Art. 6.º, n.º 1, al. b) |
| Enviar notificações transacionais por e-mail (ex.: confirmação de conta) | Execução de contrato (Art. 6.º, n.º 1, al. b) |
| Cumprir obrigações legais (ex.: faturação, RGPD) | Obrigação legal (Art. 6.º, n.º 1, al. c) |
| Detetar e prevenir fraude e abusos | Interesse legítimo (Art. 6.º, n.º 1, al. f) |
| Melhorar o desempenho e a fiabilidade do serviço | Interesse legítimo (Art. 6.º, n.º 1, al. f) |
| Analytics de utilização do produto (PostHog) | Consentimento (Art. 6.º, n.º 1, al. a) — só se aceitares cookies de analytics |
4. Permissões Meta (Facebook & Instagram)
Para publicar conteúdos e obter métricas em teu nome, o imorise solicita as seguintes permissões à Meta Platform. Utilizamos apenas as permissões listadas abaixo, para os fins indicados:
| Permissão | Para que serve |
|---|---|
| instagram_content_publish | Publicar fotos e carrosseis no teu Instagram Business |
| pages_manage_posts | Criar e publicar posts na tua Página do Facebook |
| instagram_manage_insights | Obter métricas de alcance e impressões dos posts do Instagram |
| pages_read_engagement | Ler dados de engagement dos posts da Página do Facebook |
| pages_show_list | Listar as Páginas do Facebook associadas à tua conta para escolheres a página correta |
| instagram_basic | Identificar a conta Instagram Business ligada à Página do Facebook |
| public_profile | Ler o nome e identificador da tua conta Meta para associar à tua conta imorise |
Os tokens de acesso obtidos através do OAuth da Meta são armazenados cifrados (AES-256-GCM) na nossa base de dados. Nunca partilhamos estes tokens com terceiros. Podes revogar o acesso a qualquer momento nas definições da tua conta Meta ou dentro do imorise, em Definições > Contas Sociais.
5. Com quem partilhamos os teus dados
Não vendemos nem alugamos os teus dados pessoais. Partilhamos dados apenas com os subprocessadores necessários para prestar o serviço:
- Supabase (base de dados e autenticação) — EUA, cláusulas contratuais-tipo da UE
- Vercel (hospedagem e funções serverless) — EUA, cláusulas contratuais-tipo da UE
- OpenAI (geração de texto por IA) — EUA, cláusulas contratuais-tipo da UE. Os prompts enviados à OpenAI contêm apenas detalhes do imóvel, nunca dados pessoais identificáveis.
- Meta Platforms, Inc. (publicação em Instagram/Facebook) — EUA
- Lemon Squeezy (processamento de pagamentos e subscrições, Merchant of Record) — EUA, cláusulas contratuais-tipo da UE
- Resend (envio de e-mails transacionais) — EUA, cláusulas contratuais-tipo da UE
- PostHog (analytics de produto — só com consentimento) — UE (servidores europeus em eu.i.posthog.com), DPA disponível em posthog.com/dpa
Para transferências para países fora do Espaço Económico Europeu (EEE), baseamo-nos nas cláusulas contratuais-tipo aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914).
6. Quanto tempo guardamos os teus dados
- Dados de conta: enquanto a conta estiver ativa. Se eliminares a conta, apagamos os dados pessoais no prazo de 30 dias, salvo obrigação legal de retenção.
- Tokens OAuth Meta: até revogares o acesso ou eliminares a conta.
- Conteúdo e posts: enquanto a conta estiver ativa. As imagens geradas são eliminadas automaticamente 30 dias após a publicação.
- Dados de faturação: 10 anos, conforme exigido pela legislação fiscal portuguesa.
- Registos de acesso: máximo de 90 dias.
- Dados de analytics (PostHog): 12 meses, após os quais são automaticamente eliminados dos servidores do PostHog.
7. Os teus direitos (RGPD)
Enquanto titular dos dados, tens os seguintes direitos:
- Acesso — solicitar uma cópia dos dados que guardamos sobre ti
- Retificação — corrigir dados incorretos ou incompletos
- Eliminação — pedir a eliminação dos teus dados («direito ao esquecimento»)
- Portabilidade — receber os teus dados num formato estruturado e legível por máquina
- Oposição — opor-te ao tratamento baseado em interesse legítimo
- Limitação — solicitar a limitação do tratamento em determinadas circunstâncias
- Retirada do consentimento — quando o tratamento se baseia em consentimento, podes retirá-lo a qualquer momento sem prejudicar a licitude do tratamento anterior
Para exercer qualquer um destes direitos, envia um e-mail para hello@imorise.com. Respondemos no prazo de 30 dias.
Tens ainda o direito de apresentar reclamação junto da autoridade de controlo competente — em Portugal, a CNPD (Comissão Nacional de Proteção de Dados).
9. Transparência sobre conteúdo gerado por IA
Em conformidade com o Artigo 50.º do Regulamento (UE) 2024/1689 (EU AI Act), o imorise indica claramente quando o conteúdo (legendas, hashtags) foi gerado por inteligência artificial. Esta indicação aparece na interface antes de publicares qualquer conteúdo gerado.
10. Segurança
Aplicamos medidas técnicas e organizativas adequadas para proteger os teus dados, incluindo:
- Cifra em trânsito (HTTPS/TLS 1.3) em todas as comunicações
- Cifra em repouso para tokens OAuth (AES-256-GCM)
- Controlo de acesso baseado em roles (Row Level Security no Supabase)
- Palavras-passe armazenadas com bcrypt (Supabase Auth)
- Endereços IP truncados antes de qualquer registo (último octeto removido)
- Acesso a dados de produção limitado ao pessoal estritamente necessário
11. Alterações a esta política
Podemos atualizar esta Política de Privacidade periodicamente. Em caso de alterações materiais, notificamo-te por e-mail ou mediante aviso proeminente no serviço, com pelo menos 30 dias de antecedência. A data da «última atualização» no topo desta página reflete sempre a versão mais recente.
12. Contacto
Para questões relacionadas com privacidade ou para exercer os teus direitos, contacta-nos por e-mail em hello@imorise.com.