Política de Privacidade

1. Quem somos e contactos

• Designação Clawver
• Email para questões de privacidade/DPO: [email protected]

2. Papéis no tratamento

A Clawver presta um serviço SaaS dirigido a advogados e escritórios. Dependendo do contexto:

• Clawver atua como Subcontratante (Processador) relativamente aos dados pessoais inseridos pelos nossos clientes (escritórios/advogados) na plataforma — ou seja, processamos esses dados por conta dos nossos clientes, que são os Responsáveis pelo Tratamento.
• Clawver atua como Responsável pelo Tratamento relativamente aos dados dos utilizadores registados do portal (ex.: dados de conta, dados técnicos, cookies) e para fins operacionais e suporte.

3. Categorias de titulares

• Utilizadores da plataforma (advogados e colaboradores).
• Representantes e contactos comerciais dos clientes.
• Visitantes do website/portal.
• Pessoas singulares cujos dados constam nos processos geridos pelos nossos clientes (dados tratados por conta destes).

4. Dados que tratamos

4.1 Dados dos utilizadores da Clawver (quando somos Controlador)

• Identificação e contacto: nome, email.
• Dados profissionais: nome do escritório/organização (se fornecido).
• Dados técnicos e de utilização: endereço IP, identificadores de sessão, carimbos de data/hora, logs de aplicação, eventos de produto e, quando ativado com consentimento, gravações de sessão (session replay).

4.2 Dados inseridos pelos clientes na plataforma (quando somos Subcontratante)

Os dados abaixo são processados pela Clawver por instrução do cliente (Responsável pelo Tratamento):

• Dados de identificação de terceiros: nome, número de identificação fiscal, morada, contactos.
• Dados do processo: documentos, contratos, peças processuais, evidências, comunicações relevantes, prazos.
• Possíveis categorias especiais (art. 9.º RGPD) ou dados relativos a infrações (art. 10.º) — Os clientes da Clawver são os responsáveis por assegurar que apenas recolhem dados estritamente necessários e que possuem uma base legal adequada para o respetivo tratamento.

4.3 Fontes de recolha

• Formulários e interfaces da plataforma.
• Uploads de ficheiros/documentos pelo utilizador/cliente.
• Cookies, SDKs e ferramentas de analytics quando autorizadas por consentimento.

5. Finalidades e bases legais

As finalidades principais do tratamento e as respetivas bases legais:

• Prestação do serviço SaaS e gestão de contas: execução de contrato (art. 6.º/1-b RGPD).
• Suporte e comunicações operacionais: interesse legítimo (art. 6.º/1-f) e/ou execução de contrato.
• Segurança, prevenção de abuso e auditoria: interesse legítimo (art. 6.º/1-f) e, quando aplicável, obrigação legal.
• Analytics e session replay: recolha baseada em consentimento válido (art. 6.º/1-a e Lei 41/2004) — só ativados com consentimento prévio do titular.
• Tratamento de dados dos processos: por instrução do cliente; a base legal é definida pelo Responsável pelo Tratamento (cliente).

6. Direitos dos titulares

Nos termos do RGPD e da legislação nacional aplicável, os titulares têm direito a:

• Acesso aos seus dados;
• Retificação;
• Apagamento (direito ao esquecimento), quando aplicável;
• Limitação do tratamento;
• Portabilidade dos dados;
• Oposição ao tratamento, quando aplicável;
• Retirada do consentimento, quando o tratamento se baseie no mesmo.

Exercício dos direitos: por email para [email protected]. Respondemos, regra geral, no prazo legal aplicável (1 mês salvo exceções). Quando atuamos como subcontratante, encaminhamos o pedido ao Responsável pelo Tratamento e cooperamos na resposta.

O titular pode igualmente apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD): www.cnpd.pt.

7. Conservação de dados

• Dados de conta: guardados enquanto a conta existir ou até pedido contrário pelo titular.
• Logs técnicos: retenção de 14 dias.
• Dados de suporte: os dados de suporte são processados pelo fornecedor; os prazos aplicáveis estão descritos na política do fornecedor: https://crisp.chat/en/privacy/ .
• Analytics: os dados de analytics são conservados pelos fornecedores (ex.: Google Analytics, PostHog) nos prazos por estes definidos — ver políticas dos fornecedores abaixo.
• Backups: backups diários com retenção de 15 dias; após esse período os backups são eliminados.
• Dados inseridos pelos clientes (processos): são conservados conforme instruções do Responsável pelo Tratamento. A Clawver apenas procede à eliminação ou anonimização desses dados mediante pedido expresso do cliente.

8. Cookies, SDKs e CMP

A Clawver utiliza cookies estritamente necessários para o funcionamento do portal e, mediante consentimento, cookies/SDKs estatísticos e funcionais.

Implementamos um Consent Management Platform (CMP) compatível com TCF 2.2 para recolha e gestão do consentimento de cookies/SDKs, em conformidade com a Lei 41/2004 e o RGPD.

8.1 Exemplo de cookies (lista representativa)

Estritamente necessários (exemplos):

• Domínio: portal.clawver.com — clawver_session
• Domínio: portal.clawver.com — remember_web_*
• Domínio: portal.clawver.com — XSRF-TOKEN
• Domínio: .cloudflare.com — cookies relacionados com segurança e desempenho (conjunto de cookies; lista varia).

Estatísticos (representativos):

• Domínio: .clawver.com — __cf_bm, _cfuvid, _ga, _ga_*, ph_phc_*_posthog
• Domínio: .posthog.com — ph_current_instance, ph_current_project_name, ph_current_project_token

Funcionais / Suporte (representativos):

• Domain: .clawver.com — crisp-client%2Fsession%2F*
• Domain: .crisp.chat — cookies de métricas e campanha (ex.: _ga, _gcl_* , utm_*), entre outros listados pelo fornecedor.

Cookies estatísticos e funcionais só são carregados após o titular dar consentimento através do CMP; o consentimento pode ser retirado a qualquer momento nas configurações de cookies.

9. Subcontratantes e partilhas

A Clawver recorre a fornecedores que processam dados em nosso nome. Cada subprocessador define as suas próprias políticas de privacidade, que podem ser consultadas nos links abaixo.

Lista de fornecedores (representativa)

• Laravel Cloud — Alojamento da infraestrutura (AWS).
  • Política: https://cloud.laravel.com/legal/privacy-policy.
  • Infraestrutura: AWS (UE — Frankfurt).
• Brevo — envio de emails transacionais e inbound email parsing.
  • Política: https://www.brevo.com/legal/privacypolicy/.
• Google Analytics — métricas web (apenas com consentimento).
  • Política: https://policies.google.com/technologies/partner-sites.
• PostHog — analytics de produto e session replay.
  • Política: https://posthog.com/privacy.
• Crisp.chat — suporte ao cliente (chat/inbox).
  • Política: https://crisp.chat/en/privacy/.

10. Segurança

• Comunicações seguras via HTTPS/TLS.
• Backups diários com retenção de 15 dias.
• Acesso à base de dados restrito através da infraestrutura (sem acesso público direto).
• Princípio do mínimo privilégio na gestão de acessos e credenciais.
• Registos de auditoria e monitorização de eventos.
• Testes e correções de vulnerabilidades regulares.

11. Crianças

A Clawver não se destina a menores. Quando o serviço exija consentimento para menores ao abrigo da legislação aplicável, em Portugal o consentimento é válido a partir dos 13 anos; para menores abaixo dessa idade exige-se o consentimento do representante legal.

12. Decisões automatizadas

Não efetuamos decisões exclusivamente automatizadas que produzam efeitos jurídicos ou afetem significativamente os titulares. As ferramentas de analytics e session replay servem exclusivamente para melhoria de produto e suporte, com medidas de anonimização/mascaramento.

13. Notificação de incidentes

Em caso de violação de dados pessoais, notificaremos os clientes/responsáveis sem demora injustificada e prestaremos toda a cooperação necessária para a investigação, mitigação e, quando aplicável, notificação às autoridades (CNPD) e aos titulares.

14. Alterações a esta política

Poderemos atualizar esta política para refletir alterações legais, técnicas ou operacionais. As mudanças materiais serão comunicadas por email.

15. Contactos

Para questões sobre privacidade ou exercer direitos: [email protected]

---