Política de Privacidade
Última atualização: Abril de 2026
1. Quem Somos
TheChatApp é uma plataforma de comunicação empresarial concebida para organizações que levam a privacidade a sério. Disponibiliza mensagens com encriptação ponta-a-ponta, chamadas de voz e vídeo, partilha de ficheiros e canais estruturados — tudo dentro de infraestrutura controlada por si ou pela sua organização.
Estado da entidade — sociedade em constituição. A sociedade operadora por trás do TheChatApp está a ser constituída em Portugal e o nome registado final ainda não foi depositado. Até à conclusão da constituição, o responsável pelo tratamento (pessoa singular) de quaisquer dados pessoais recolhidos através deste website (incluindo a lista de lançamento e quaisquer formulários de contacto) é Guilherme Duarte De Carvalho, contactável em support@thechatapp.chat. Aquando da constituição, a qualidade de responsável pelo tratamento será transferida para a entidade recém-registada por novação; os titulares dos dados afetados serão notificados nessa altura e podem retirar o consentimento ou solicitar a eliminação previamente.
TheChatApp é operado a partir de Portugal. Para qualquer questão ou pedido relacionado com privacidade, contacte-nos em support@thechatapp.chat. A nossa autoridade de controlo competente é a Comissão Nacional de Proteção de Dados (CNPD), Portugal.
2. O Nosso Papel — Subcontratante vs. Responsável pelo Tratamento
Subcontratante (a grande maioria dos dados). Quando uma organização implementa o TheChatApp para os seus colaboradores ou membros, essa organização é o responsável pelo tratamento dos dados. O TheChatApp atua exclusivamente como subcontratante, tratando os dados apenas conforme as instruções recebidas ao abrigo de um Acordo de Tratamento de Dados (DPA). Não determinamos de forma independente as finalidades ou os meios de tratamento dos dados de comunicação.
Responsável pelo tratamento (âmbito limitado). O TheChatApp é o responsável pelo tratamento das informações recolhidas através deste website, contas do portal, dados de faturação e feedback de cancelamento opcional. Esta é a categoria mais restrita de dados em que determinamos nós próprios a finalidade do tratamento.
Por que razão isto é relevante para os seus direitos: Se utiliza o TheChatApp no trabalho, os direitos que detém sobre os seus dados de comunicação (mensagens, registos de chamadas, ficheiros) devem ser exercidos junto da sua organização — o seu empregador ou administrador de TI é o primeiro ponto de contacto adequado. Encaminharemos sempre os pedidos individuais para o responsável pelo tratamento relevante quando atuamos como subcontratante.
3. Que Dados Tratamos
Dados a Que Temos Acesso (como Subcontratante)
Os seguintes dados de conta e de infraestrutura são acessíveis aos sistemas do TheChatApp para fins operacionais. São armazenados em bases de dados encriptadas dentro do contentor isolado da sua organização e nunca são utilizados para qualquer finalidade além da prestação do serviço.
| Dados | Finalidade | Retenção |
|---|---|---|
| Nome de utilizador / email / nome de apresentação | Identificação da conta | Vida útil da conta |
| Hash da palavra-passe | Autenticação (Argon2id — não podemos ver a sua palavra-passe) | Vida útil da conta |
| Chaves de encriptação públicas | Entrega segura de mensagens | Vida útil da conta |
| Endereço IP | Registo de auditoria de segurança | Configurável pelo administrador |
| Identificadores de dispositivo | Gestão de múltiplos dispositivos e notificações push | Vida útil da sessão |
| Tokens de sessão | Manter a sessão iniciada | 7 dias, limpeza automática |
| Função na organização e membros de canais | Controlo de acesso | Vida útil da conta |
Permissões da aplicação móvel
A aplicação Android TheChatApp pode pedir permissões de câmara e microfone quando utiliza chamadas de voz, chamadas de vídeo, reuniões ou funcionalidades de comunicação relacionadas dentro da aplicação. O acesso à câmara é usado para captar o vídeo que decide partilhar durante uma chamada ou reunião ativa. O acesso ao microfone é usado para captar áudio em comunicações de voz e vídeo.
Não usamos o acesso à câmara ou ao microfone para publicidade, análises, definição de perfis ou monitorização em segundo plano. O áudio e o vídeo são usados apenas para fornecer a funcionalidade de comunicação que inicia ou em que participa, e os media das chamadas são protegidos em trânsito. Pode negar ou revogar estas permissões nas definições do seu dispositivo Android; as funcionalidades que dependem da câmara ou do microfone podem não funcionar sem elas.
Dados a Que Não Temos Acesso (Encriptados Ponta-a-Ponta)
As seguintes categorias de dados são encriptadas ponta-a-ponta dentro do contentor da sua organização. O TheChatApp não tem qualquer capacidade técnica para ler estes dados em nenhuma circunstância.
| Dados | Por que razão não temos acesso |
|---|---|
| Conteúdo das mensagens | Encriptado com AES-256-GCM; não detemos as chaves |
| Ficheiros e anexos | Encriptados em repouso com AES-256-GCM (formato CHEF) |
| Conteúdo de reuniões | Encriptado dentro do seu contentor isolado |
| Índice de pesquisa | Armazenado dentro da base de dados encriptada |
| Votos em sondagens e reações | Parte dos registos de mensagens encriptados |
A sua organização controla as chaves de encriptação. Na nossa implementação cloud predefinida (Modo 2 — TenantControlled), o cofre de encriptação permanece selado até que um membro autorizado da sua organização o desbloqueie. Os colaboradores do TheChatApp não têm tecnicamente acesso às suas comunicações — por conceção, não por política.
Dados Que Controlamos Diretamente (Portal e Faturação)
Quando cria uma conta no portal, adquire uma subscrição ou submete feedback, recolhemos e controlamos os seguintes dados na nossa qualidade de responsável pelo tratamento:
| Dados | Finalidade | Base Jurídica | Retenção |
|---|---|---|---|
| Email da conta do portal | Gestão de conta e comunicações | Art. 6.º, n.º 1, al. b) — contrato | Vida útil da conta |
| Nome da empresa | Faturação e identificação | Art. 6.º, n.º 1, al. b) — contrato | Vida útil da conta |
| Método de pagamento (cartão mascarado/token) | Faturação através do processador de pagamentos | Art. 6.º, n.º 1, al. b) — contrato | Vida útil da conta |
| Registos do servidor do website | Segurança e prevenção de abusos | Art. 6.º, n.º 1, al. f) — interesse legítimo | Curto prazo |
| Feedback de cancelamento | Melhoria do produto (opcional) | Art. 6.º, n.º 1, al. a) — consentimento | Indefinido (ou até retirada do consentimento) |
4. Bases Jurídicas do Tratamento
Dados de Comunicação Empresarial
Quando o TheChatApp trata dados de comunicação de colaboradores na qualidade de subcontratante, a base jurídica é determinada pela sua organização (o responsável pelo tratamento). Na maioria das implementações empresariais, a base aplicável é o Artigo 6.º, n.º 1, alínea b) do RGPD — tratamento necessário para a execução de um contrato (a relação laboral ou a prestação de infraestrutura de comunicação interna). O consentimento individual dos colaboradores não é geralmente uma base adequada para ferramentas de comunicação no local de trabalho e não é invocado para esta categoria de tratamento.
Dados do Portal e de Faturação
Quando atuamos como responsável pelo tratamento, baseamo-nos em:
- Artigo 6.º, n.º 1, al. b) — contrato: para criar e gerir a sua conta no portal e processar pagamentos.
- Artigo 6.º, n.º 1, al. f) — interesse legítimo: para o registo de segurança do website, prevenção de fraude e integridade do serviço.
- Artigo 6.º, n.º 1, al. a) — consentimento: para o feedback de cancelamento opcional, que pode retirar a qualquer momento.
5. Como Protegemos os Seus Dados
- Encriptação em trânsito e em repouso. Todo o tráfego entre clientes e o servidor utiliza ChaCha20-Poly1305 com troca de chaves ECDH P-256. Os dados em repouso são encriptados com AES-256-GCM. No Modo 2 (TenantControlled), as chaves de encriptação existem apenas em memória e nunca são escritas em disco pela infraestrutura do TheChatApp.
- Isolamento de inquilinos. Cada organização funciona num contentor Docker dedicado com a sua própria base de dados LiteDB encriptada, rede isolada e material de chaves separado. O acesso a dados entre inquilinos é arquiteturalmente impedido.
- Privacidade operacional. Os registos de auditoria são pseudonimizados com HMAC-SHA256, de modo a que a correlação de registos entre inquilinos não seja possível. Os payloads de notificação push são sanitizados — o conteúdo das mensagens nunca é incluído nos payloads enviados para a Apple ou Google. O registo de auditoria é resistente a adulteração através de uma cadeia de hash criptográfico.
- O que não fazemos. Não recolhemos quaisquer análises sobre utilizadores individuais, nenhum rastreio comportamental, nenhum perfil. Não instalamos rastreadores nas nossas aplicações. Não vendemos os seus dados. Não os partilhamos com terceiros para qualquer finalidade que não as listadas nesta política. Não utilizamos os seus dados de comunicação para treinar modelos de IA — nossos ou de terceiros.
6. Retenção de Dados
| Categoria | Predefinição | Configurável pelo Administrador? |
|---|---|---|
| Mensagens | 30 dias | Sim |
| Registos de auditoria | Indefinido | Sim |
| Tokens de sessão | 7 dias | Não |
| Ficheiros e anexos | Indefinido | Previsto |
| Dados da conta | Vida útil da conta | N/A |
| Dados de faturação | Vida útil da conta | N/A |
Quando uma conta ou inquilino é eliminado, os dados pessoais são removidos por apagamento criptográfico — as chaves de encriptação são destruídas, tornando os blobs encriptados remanescentes permanentemente ilegíveis. Aplica-se um curto período de carência antes de a eliminação irreversível ser executada, dando aos administradores a oportunidade de reverter eliminações acidentais.
7. Os Seus Direitos
Se a sua organização utiliza o TheChatApp (dados do Subcontratante)
Ao abrigo dos Artigos 15.º a 21.º do RGPD, tem o direito de aceder, retificar, apagar, restringir, opor-se e portar os seus dados pessoais. Para dados tratados em nome da sua organização, contacte em primeiro lugar o seu administrador de TI ou encarregado de proteção de dados. Eles são o responsável pelo tratamento e estão em melhor posição para responder ao seu pedido. Cooperaremos com qualquer pedido válido que nos seja encaminhado pela sua organização.
Se tem uma conta no portal (dados do Responsável pelo tratamento)
Para dados que controlamos diretamente (conta do portal, informações de faturação), pode exercer os seus direitos contactando-nos em privacy@thechatapp.chat. Responderemos no prazo de 30 dias. Se não ficar satisfeito com a nossa resposta, tem o direito de apresentar uma reclamação junto da CNPD:
Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 - 1.º
1200-651 Lisboa, Portugal
www.cnpd.pt
8. Subcontratantes Ulteriores
Utilizamos um conjunto mínimo de subcontratantes ulteriores. Uma lista completa e atualizada está disponível em /subprocessors. Os principais subcontratantes ulteriores estão listados abaixo.
| Nome | Localização | Finalidade | Dados Pessoais? |
|---|---|---|---|
| Hetzner Online GmbH | Alemanha (UE) | Alojamento de infraestrutura primária | Sim (encriptados) |
| Apple Inc. | EUA | Notificações push iOS (APNs) | Apenas payloads sanitizados |
| Google LLC | EUA | Notificações push Android (FCM) | Apenas payloads sanitizados |
| Google LLC | EUA | Sincronização de calendário (opcional) | Metadados de calendário |
| Microsoft Corp. | EUA | Sincronização de calendário (opcional) | Metadados de calendário |
| Brevo SAS | França (UE) | Toda a entrega de email — email transacional do portal (verificação, reposições de palavra-passe, recibos, notificações) e gestão de listas de marketing (lista de espera de lançamento, candidaturas de parceiros fundadores) | Endereços de email e o conteúdo dos emails que enviamos |
Os payloads de notificação push enviados para a Apple e Google são sanitizados antes da transmissão: o conteúdo das mensagens nunca é incluído. Apenas um token de dispositivo, um título de notificação e uma contagem mínima de alertas são transmitidos.
Nota de âmbito da Brevo. A Brevo é o nosso único fornecedor de email. Entrega email transacional para o portal Enterprise alojado em nuvem (verificação de conta, reposições de palavra-passe, recibos, notificações administrativas) e gere as listas de marketing do website público (lista de espera de lançamento, candidaturas de parceiros fundadores). A Brevo não é usada para qualquer conteúdo de conversas de clientes, streams de voz ou vídeo, ficheiros, nem corpos de eventos de calendário. A Brevo SAS é um subcontratante francês, portanto os dados de email permanecem dentro do Espaço Económico Europeu.
9. Transferências Internacionais de Dados
A nossa infraestrutura primária é alojada pela Hetzner na Alemanha — uma transferência intra-UE que não requer salvaguardas adicionais ao abrigo do RGPD.
As notificações push envolvem transferências para a Apple e Google nos Estados Unidos. Estas transferências baseiam-se no Quadro de Privacidade de Dados UE–EUA (DPF), quando aplicável, e nas Cláusulas Contratuais Tipo (CCT) como salvaguarda suplementar. Conforme referido, os payloads push são sanitizados para não conterem qualquer conteúdo de mensagem.
A entrega de email para o portal Enterprise alojado em nuvem e para o website público de marketing é assegurada pela Brevo SAS, um subcontratante francês baseado no Espaço Económico Europeu. Não é necessário mecanismo de transferência internacional para este fluxo.
A integração opcional de calendário com o Google Calendar ou o Microsoft 365 envolve transferências para os Estados Unidos iniciadas diretamente pelo utilizador. Estas integrações são voluntárias, iniciadas pelo utilizador, e regidas pelas políticas de privacidade dos respetivos fornecedores.
A encriptação ponta-a-ponta serve como salvaguarda técnica adicional para todo o conteúdo de comunicação transferido através de qualquer jurisdição, em conformidade com as Recomendações 01/2020 do CEPD sobre medidas suplementares para transferências internacionais.
10. Dados de Menores
O TheChatApp é um produto business-to-business destinado exclusivamente a utilização profissional dentro de organizações. Não se destina a, não foi concebido para, nem se pretende que seja utilizado por menores de 13 anos. Em Portugal, a Lei 58/2019 estabelece os 13 anos como idade mínima para o consentimento relativamente a serviços da sociedade da informação. Se tomarmos conhecimento de que um menor de 13 anos acedeu à plataforma, trabalharemos com a organização relevante para remover a conta.
11. Cookies e Rastreio
Website. O website thechatapp.chat utiliza apenas cookies essenciais — os estritamente necessários para o funcionamento do site (por exemplo, o estado de sessão do portal). Não utilizamos cookies de análise, cookies de publicidade, nem qualquer forma de rastreio entre sites ou fingerprinting. Não são carregados scripts de análise de terceiros.
Aplicações de ambiente de trabalho e móveis. Os clientes de ambiente de trabalho e móveis do TheChatApp não contêm cookies, SDKs de análise, beacons de telemetria, nem serviços de relatório de falhas que transmitam dados a terceiros. As informações de diagnóstico, se recolhidas, permanecem no servidor da sua organização e nunca são enviadas para o TheChatApp.
12. Alterações a Esta Política
Notificaremos os responsáveis pelo tratamento (ou seja, a sua organização) de quaisquer alterações materiais a esta política de privacidade com aviso prévio razoável antes de as alterações entrarem em vigor. Clarificações não materiais podem ser efetuadas sem aviso prévio. A data de “última atualização” no topo desta página reflete quando esta versão foi publicada.
13. Contacte-nos
Para qualquer questão relacionada com privacidade, pedido de titular dos dados ou preocupação, contacte-nos em: privacy@thechatapp.chat
Se não ficar satisfeito com a nossa resposta, pode apresentar uma reclamação junto da autoridade de controlo portuguesa:
Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 - 1.º
1200-651 Lisboa, Portugal
www.cnpd.pt