Legal

Política de Privacidade

Última atualização: 13 de maio de 2026. Esta é a versão portuguesa vinculativa nos termos da secção 13. English version →

1. Quem somos

A Alpaca Docs é uma aplicação para computador operada por João Abrantes, pessoa singular, a operar como empresário em nome individual sob a denominação comercial Alpaca Law, com o número de identificação fiscal PT216046858, com sede em Portugal.

Endereço de correio eletrónico para contacto: privacy@alpacalaw.com.

A presente Política de Privacidade descreve a forma como tratamos dados pessoais em conexão com a Alpaca Docs: a aplicação para computador e a infraestrutura de apoio para autenticação, faturação e consulta à base de dados jurídica (coletivamente, o "Serviço"). Para o produto web alpacalaw.com, consulte a Política de Privacidade da Alpaca Law, separada.

2. O que vemos, e o que não vemos

A Alpaca Docs foi desenhada para que o seu trabalho não passe pelos nossos servidores.

O que nunca vemos

  • As suas conversas com o modelo de IA.
  • Os ficheiros existentes nas suas pastas de projeto.
  • As respostas do modelo de IA.
  • Qualquer conteúdo de prompts além das consultas à base de dados jurídica descritas abaixo.

Estes dados viajam diretamente do seu computador para o fornecedor de IA que escolher (Anthropic, OpenAI, Google ou outro fornecedor suportado) e para o seu disco local. A nossa infraestrutura não está nesse caminho.

O que vemos, para prestar o Serviço

  1. Dados de conta: endereço de email, identificador de utilizador e data do último login, recolhidos quando inicia sessão através de Google (OAuth 2.0), ChatGPT (OAuth) ou PIN por email. Não armazenamos palavras-passe.
  2. Dados de subscrição e faturação: estado da subscrição, plano, registos de faturas e número de identificação fiscal, quando aplicável.
  3. Consultas à base de dados jurídica: quando o utilizador ou o modelo de IA pesquisam ou lêem um documento através da nossa base de dados, vemos a consulta e o identificador do documento devolvido. Não retemos cópia do conteúdo do documento por utilizador.
  4. Dados técnicos: endereço IP, metadados dos pedidos HTTP e registos de servidor. Conservados durante 7 dias.

3. Bases jurídicas

Nos termos do artigo 6.º do RGPD, tratamos os dados pessoais referidos na Secção 2 com base nas seguintes bases jurídicas:

  1. Execução do contrato (art. 6.º, n.º 1, al. b)) — para prestar o Serviço: autenticação, acesso à base de dados jurídica, processamento de pagamentos e comunicações operacionais.
  2. Interesses legítimos (art. 6.º, n.º 1, al. f)) — para monitorização de segurança, prevenção de abusos e melhoria do Serviço. O nosso interesse legítimo é manter o Serviço disponível e seguro.
  3. Obrigação legal (art. 6.º, n.º 1, al. c)) — para conservação de registos de faturação para efeitos fiscais.

Não utilizamos dados pessoais para marketing direto, publicidade personalizada, definição automatizada de perfis com efeitos jurídicos, nem para treino de modelos de inteligência artificial.

4. Fornecedores de IA

O utilizador escolhe o modelo de IA a utilizar dentro da Alpaca Docs (atualmente Claude, ChatGPT ou Gemini, com mais a chegar). Os seus prompts, anexos e as respostas do modelo viajam diretamente do seu computador para o fornecedor escolhido.

O fornecedor não é subcontratante da Alpaca. O utilizador mantém uma relação direta com o fornecedor, regida pela política de privacidade e termos deste. Não vemos, armazenamos nem encaminhamos quaisquer desses dados.

Se utilizar a opção "Sign in with ChatGPT", a sua sessão OAuth com a OpenAI é armazenada cifrada no seu computador através do armazenamento seguro do sistema operativo (Electron safeStorage); apenas o conteúdo cifrado é gravado em disco. Não vemos os seus tokens de acesso ou de refresh.

Se trouxer a sua própria chave de API para a Anthropic, OpenAI ou Google, a chave é armazenada cifrada no seu computador da mesma forma. Não a vemos.

5. Subcontratantes

Os seguintes prestadores tratam dados pessoais em nosso nome, para as partes do Serviço que recorrem à nossa infraestrutura (autenticação, faturação, consulta à base de dados jurídica, envio de emails operacionais):

SubcontratanteFinalidadeLocalização
Google Cloud / FirebaseAutenticação e base de dados de contasBélgica (UE)
Render.comAlojamento do backend para a API da base de dados jurídicaAlemanha (UE)
StripeProcessamento de pagamentosIrlanda (UE) / EUA
AWS SESEnvio de emails operacionais (PIN de login, recibos de faturação)Irlanda (UE)

Não vendemos, alugamos nem partilhamos dados pessoais com terceiros para fins de marketing ou publicidade. Os dados são partilhados exclusivamente com os subcontratantes listados acima, na medida estritamente necessária à prestação do Serviço.

6. Transferências Internacionais de Dados

A nossa infraestrutura principal está localizada na União Europeia. A Stripe processa pagamentos através de entidades na Irlanda (UE) e nos Estados Unidos; essas transferências são realizadas ao abrigo de Cláusulas Contratuais-Tipo (SCCs) aprovadas pela Comissão Europeia e incluídas no nosso acordo com a Stripe.

Note-se que as interações com fornecedores de IA (Secção 4) ocorrem entre o seu computador e o fornecedor escolhido; a localização desse tratamento depende do fornecedor selecionado e não está sob o nosso controlo.

7. Conservação e Eliminação de Dados

Os dados de conta e de subscrição são conservados durante a vigência da sua conta. Os registos de consultas à base de dados jurídica são conservados durante 90 dias e depois agregados em contadores de utilização anonimizados.

Pode eliminar a sua conta a qualquer momento. A eliminação remove dados de conta, identificadores de faturação e histórico de consultas. Os registos de faturação exigidos pela lei fiscal são conservados pelo período legal (10 anos nos termos da legislação fiscal portuguesa) e depois eliminados.

Contas sem qualquer atividade de login durante 24 meses consecutivos são automaticamente marcadas para eliminação, com notificação prévia por email 30 dias antes.

Os logs do servidor são conservados durante 7 dias e automaticamente eliminados após esse período.

8. Os Seus Direitos

Nos termos do RGPD, tem os seguintes direitos sobre os seus dados pessoais:

  1. Acesso (art. 15.º) — pode solicitar uma cópia dos seus dados pessoais.
  2. Retificação (art. 16.º) — pode solicitar a correção de dados inexatos.
  3. Apagamento (art. 17.º) — pode eliminar a sua conta e dados associados, ou contactar-nos a solicitar o apagamento.
  4. Portabilidade (art. 20.º) — pode solicitar a exportação dos seus dados num formato estruturado e legível por máquina.
  5. Oposição (art. 21.º) — pode opor-se ao tratamento baseado em interesses legítimos.
  6. Limitação (art. 18.º) — pode solicitar a limitação do tratamento em determinadas circunstâncias.

Prazo de resposta: 30 dias, conforme o artigo 12.º do RGPD. Para exercer os seus direitos, contacte-nos através de privacy@alpacalaw.com.

Tem igualmente o direito de apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD), a autoridade de controlo em Portugal (www.cnpd.pt).

9. Segurança

Os dados em trânsito entre o seu computador e a nossa infraestrutura são cifrados com TLS 1.2 ou superior. Os dados em repouso na nossa infraestrutura são cifrados com AES-256. A autenticação é sem palavra-passe. O acesso administrativo à nossa infraestrutura requer autenticação multifator. Monitorizamos continuamente para anomalias e aplicamos correções de segurança com prontidão.

As credenciais armazenadas no seu computador (chaves de API, tokens OAuth do ChatGPT) são cifradas com o armazenamento seguro do sistema operativo (Electron safeStorage, suportado pelo Keychain no macOS e pelo DPAPI no Windows). Apenas o conteúdo cifrado é gravado em disco.

10. Cookies

A aplicação para computador Alpaca Docs não utiliza cookies. O website alpacadocs.com utiliza cookies estritamente necessários para preferências de sessão. Não utilizamos cookies de publicidade nem de rastreamento de terceiros.

11. Menores

O Serviço não se destina a menores de 18 anos. Não recolhemos intencionalmente dados pessoais de menores. Caso tome conhecimento de que um menor forneceu dados pessoais através do Serviço, contacte-nos para que possamos proceder à sua eliminação.

12. Alterações a Esta Política

Podemos atualizar esta Política de Privacidade periodicamente. A versão revista será publicada em alpacadocs.com e a data de última atualização no topo será alterada. Alterações materiais serão comunicadas dentro da aplicação e por email quando apropriado.

13. Versão Linguística

A versão portuguesa desta Política de Privacidade é a versão vinculativa. A versão em língua inglesa é disponibilizada por cortesia. Em caso de divergência entre as duas versões, prevalece a versão portuguesa.

14. Contacto

Para questões de privacidade, tratamento de dados ou para exercer os seus direitos: privacy@alpacalaw.com.

Prazo de resposta: 5 dias úteis para questões gerais; 30 dias para exercício de direitos RGPD.