Voltar

Política de Privacidade

Última atualização: 17 de Maio de 2026

yearview.app é um planeador anual visual operado por SelfCare, Lda. (Portugal). Esta política descreve, em linguagem simples, que dados recolhemos, para quê, onde os guardamos, e como os podes apagar.

Responsável pelo tratamento

SelfCare, Lda., sociedade comercial portuguesa com sede na Av. Duque D'Ávila, Nº 46, 3º A, 1050-086 Lisboa, Portugal, NIPC 510 803 890.

Contacto para assuntos de privacidade: rui.alves@rupeal.com.

Não temos um Encarregado de Proteção de Dados (DPO) formal — o contacto acima é o canal direto para qualquer pedido relacionado com os teus dados.

Dados que recolhemos

Quando inicias sessão com Google, recebemos da Google:

  • O teu ID de conta Google, nome, endereço de email e URL da foto de perfil.
  • Um access token e refresh token que nos permitem chamar a Google Calendar API em teu nome, com os scopes que aprovaste.

Quando usas a aplicação, guardamos no nosso servidor:

  • Os blocos que crias (eventos, locais, contextos): título, datas, horas (se aplicável), cor, flag de disponibilidade.
  • As categorias que defines (palavra-chave, cor, descrição).
  • As tuas preferências (tema, vista, etc.).
  • O ID do calendário Google que escolheste como destino do sync.
  • Para cada bloco sincronizado, o ID dos eventos correspondentes no teu Google Calendar (para conseguirmos atualizar/apagar mais tarde).

Não usamos analytics, não usamos cookies de tracking, e não há trackers de terceiros nesta aplicação. O único cookie é o cookie de sessão do NextAuth.js (HttpOnly, Secure, SameSite=Lax) usado para te manter autenticado.

Para que usamos os teus dados

  • Autenticar-te (saber quem és quando voltas).
  • Mostrar-te o teu calendário entre sessões e dispositivos.
  • Sincronizar (push one-way) os blocos para o teu Google Calendar, se ativares essa funcionalidade.

Não vendemos nem partilhamos os teus dados com terceiros para marketing. Os subprocessadores listados em baixo são apenas a infraestrutura técnica.

Onde guardamos

  • Base de dados (todos os blocos, categorias, tokens, sessões): Neon, Inc. — Postgres alojado na região eu-central-1 (Frankfurt, Alemanha).
  • Servidor da aplicação: Hetzner Online GmbH — datacenter em Falkenstein, Alemanha.
  • DNS: Cloudflare, Inc. (apenas resolução de DNS, sem proxy/cache ativo).
  • Certificados TLS: Let's Encrypt (ISRG).

Os teus dados aplicacionais nunca saem da União Europeia exceto quando explicitamente os enviamos para a Google Calendar API (Google, EUA) ao sincronizar — o que só acontece se ligares essa funcionalidade.

Subprocessadores

  • Google LLC — Identity (OAuth) + Google Calendar API. Política: https://policies.google.com/privacy
  • Neon, Inc. — alojamento Postgres. Política: https://neon.com/privacy-policy
  • Hetzner Online GmbH — compute. Política: https://www.hetzner.com/legal/privacy-policy
  • Cloudflare, Inc. — DNS. Política: https://www.cloudflare.com/privacypolicy/

Retenção

Mantemos os teus dados aplicacionais enquanto a tua conta estiver ativa. Sessões NextAuth caducam ao fim de 30 dias de inatividade. Logs do contentor (Coolify) são mantidos por cerca de 7 dias para diagnóstico.

Quando apagas a tua conta (pedido por email para rui.alves@rupeal.com), todos os teus dados aplicacionais e tokens OAuth são removidos do nosso servidor dentro de 30 dias. Eventos previamente enviados para o teu Google Calendar não são apagados automaticamente — podes removê-los manualmente do GCal.

Os teus direitos (GDPR)

Como residente da UE, tens direito a:

  • Acesso — pedir uma cópia dos teus dados.
  • Retificação — corrigir dados incorretos.
  • Apagamento — pedir a eliminação da tua conta e dados.
  • Portabilidade — receber os teus dados em formato JSON.
  • Oposição — opor-te a qualquer tratamento.
  • Retirar consentimento — para Google Calendar sync, podes revogar acesso em https://myaccount.google.com/permissions a qualquer momento.

Para exercer qualquer destes direitos, escreve para rui.alves@rupeal.com. Respondemos dentro de 30 dias.

Tens também o direito de apresentar queixa à Comissão Nacional de Proteção de Dados (CNPD): https://www.cnpd.pt/

Segurança

Todo o tráfego é cifrado em trânsito (TLS 1.3, HTTPS obrigatório). Os tokens OAuth são guardados na base de dados sob acesso restrito. As palavras-passe da tua conta Google nunca passam por nós — toda a autenticação é delegada à Google via OAuth 2.0 com PKCE.

Apesar dos cuidados, nenhum sistema é 100% seguro. Em caso de incidente de segurança que afete os teus dados, comprometer-nos-emos a notificar-te por email no prazo de 72 horas.

Alterações a esta política

Se mudarmos esta política de forma material, atualizamos a data no topo e (se tiveres conta ativa) avisamos por email antes de a mudança entrar em vigor.