Política de Privacidade — Eureki
Versão: 1.0 · Data de entrada em vigor: 2026-05-25
1. Entidade responsável pelo tratamento
A aplicação Eureki é disponibilizada por:
- Eureki Unipessoal Lda.
- Morada: Olhão, Portugal
- Contacto: apoio@eureki.app
Para exercer qualquer direito previsto nesta Política ou esclarecer dúvidas sobre o tratamento dos teus dados, contacta-nos pelo email acima.
2. Âmbito
Esta Política aplica-se à aplicação móvel Eureki (package Android
app.eureki), ao backend associado (eureki-ai-backend.fly.dev) e a
todos os conteúdos, funcionalidades e serviços prestados pela Eureki
Unipessoal Lda.
Não se aplica a sites de terceiros, dashboards externos (Google Play Store, RevenueCat, Firebase Console) nem a serviços de subprocessadores que tenham políticas próprias.
3. Dados pessoais que recolhemos
3.1 Dados fornecidos directamente por ti
- Nome (opcional) — usado para personalizar mensagens da mentora
- Objectivo de aprendizagem (obrigatório) — base para gerar o teu plano
- Nível de experiência (zero / iniciante / experiente) — calibra o conteúdo
- Mensagens que envias ao chat Ask Eureki — para responder e guardar contexto
- Notas que crias dentro da app — guardadas apenas localmente no dispositivo
3.2 Dados recolhidos automaticamente
- Identificador anónimo Firebase (UID) — autenticação sem email
- Interacções com a app — passos iniciados, concluídos, tempo em ecrãs, conclusão de rituais diários
- Diagnósticos de crash — stack trace técnico via Firebase Crashlytics, com sanitização prévia para remover qualquer informação pessoal
- Informação de compra de subscrição — produto, preço, moeda, país, datas, via RevenueCat + Google Play Billing
- Versão da app, build number, locale do sistema, endereço IP (registado temporariamente em logs do backend para diagnóstico e segurança)
3.3 Dados que NÃO recolhemos
- Não recolhemos dados de localização GPS nem acedemos a informação de rede móvel/Wi-Fi para geolocalização
- Não acedemos a contactos, fotografias, vídeos ou outros ficheiros do dispositivo
- Não utilizamos microfone, câmara nem sensores biométricos
- Não partilhamos dados com intermediários publicitários ou data brokers
4. Para que usamos os teus dados
4.1 Finalidades principais (execução de contrato)
- Prestar o serviço de mentoria personalizada por micro-passos
- Gerar planos e gotas diárias adaptadas ao teu objectivo, idioma e nível
- Processar as tuas perguntas no Ask Eureki com contexto
- Processar subscrições Pro e trials via Google Play / RevenueCat
4.2 Interesse legítimo
- Diagnosticar falhas e crashes para melhorar estabilidade
- Proteger o serviço contra abuso (rate limiting por utilizador)
- Análise agregada de uso para priorizar melhorias (sem decisões individualizadas)
4.3 Cumprimento de obrigações legais
- Conservar dados de compra pelo período exigido pela legislação fiscal portuguesa (7 anos)
- Responder a pedidos de autoridades competentes quando legalmente obrigados
5. Base legal (RGPD Art. 6.º)
- Art. 6.º, 1.º, b (execução de contrato) — para todas as funcionalidades core (mentoria, Ask, Pro)
- Art. 6.º, 1.º, f (interesse legítimo) — para Crashlytics, rate limiting, segurança e análise agregada
- Art. 6.º, 1.º, c (obrigação legal) — para conservação fiscal de compras
- Art. 6.º, 1.º, a (consentimento) — quando aplicável, por exemplo se vierem a existir notificações push opcionais
6. Decisões automatizadas e perfis (RGPD Art. 22.º)
A Eureki utiliza modelos de linguagem (LLM) dos sub-processadores OpenAI (Estados Unidos) e Mistral AI (França) para gerar:
- O mapa do teu plano de aprendizagem (estrutura em 3 fases)
- O conteúdo detalhado de cada gota diária (passo, dicas, exemplos)
- Respostas ao Ask Eureki
Este processamento não produz efeitos legais nem significativamente afecta os teus direitos. É pedagógico e sugestivo, nunca vinculativo.
Podes sempre: - Contactar-nos para pedir revisão humana de qualquer plano ou resposta - Mudar de objectivo, nível ou idioma para regenerar o conteúdo - Eliminar a tua conta e cessar todo o processamento (ver Secção 10)
7. Sub-processadores
Partilhamos o mínimo indispensável de dados com:
| Sub-processador | País | Função | Dados partilhados |
|---|---|---|---|
| Firebase / Google Cloud | Estados Unidos (multi-region) | Autenticação anónima, Firestore, Crashlytics | UID Firebase, crash reports sem PII |
| Fly.io | União Europeia (Amsterdam) | Hosting do backend | Todo o tráfego do backend, IP |
| OpenAI | Estados Unidos | Geração de planos, gotas e respostas Ask por IA | Objectivo, pergunta, nome (opcional), histórico curto |
| Mistral AI | União Europeia (França) | Geração por IA (tier Free, fallback) | Mesmos campos que OpenAI |
| RevenueCat | Estados Unidos | Gestão de subscrições | Identificador anónimo, dados de compra |
| Google Play Billing | Estados Unidos | Processamento de pagamento | Transação, moeda, país, método pagamento |
| SendGrid (ou SMTP genérico) | Estados Unidos | Envio de emails de suporte (só quando envias bug report) | Descrição do bug, metadados técnicos |
Cada sub-processador tem a sua própria política de privacidade, que é vinculativa na relação entre ti e eles.
8. Transferências internacionais de dados
Alguns sub-processadores (OpenAI, Firebase/Google, RevenueCat, Google Play Billing, SendGrid) tratam dados fora do Espaço Económico Europeu (EEE), nomeadamente nos Estados Unidos.
Essas transferências regem-se pelas Cláusulas Contratuais Padrão (Standard Contractual Clauses, SCCs) aprovadas pela Comissão Europeia, que garantem um nível de protecção adequado.
Tu podes contactar-nos para obter cópia das SCCs aplicáveis.
9. Retenção de dados
- Dados locais no teu dispositivo: conservados até desinstalação da app ou limpeza manual em Definições → Privacidade e dados.
- Dados remotos no backend Fly.io (objectivo, histórico conversacional curto, ficheiros de memória de longo prazo): eliminados imediatamente quando executas "Eliminar conta" na app. Inactividade superior a 12 meses é candidata a anonimização proactiva.
- Firestore (
users/{uid}e subcolecções): eliminado imediatamente via "Eliminar conta". - Firebase Crashlytics: retido por 90 dias (política padrão Firebase); não apagável per-utilizador sem pedido manual via Firebase Support.
- RevenueCat e Google Play Billing: retidos enquanto a subscrição estiver activa + 7 anos para cumprimento de obrigações fiscais portuguesas.
- Logs do backend: retidos por 30 dias para diagnóstico, com endereços IP anonimizados/agregados após 7 dias.
10. Os teus direitos (RGPD Arts. 15.º a 22.º)
Podes, a qualquer momento, exercer os seguintes direitos:
- Direito de acesso — obter cópia dos teus dados (email a
apoio@eureki.app) - Direito de rectificação — corrigir dados incorrectos ou incompletos
- Direito ao apagamento ("direito a ser esquecido") — via Definições → Privacidade e dados → Eliminar conta e dados, ou por email
- Direito à portabilidade — receber os teus dados em formato
estruturado (JSON) no prazo de 30 dias (email a
apoio@eureki.app) - Direito de oposição — opor-te a tratamento baseado em interesse legítimo
- Direito à limitação do tratamento — em circunstâncias específicas
- Direito a não ser sujeito a decisões automatizadas com efeitos legais (ver Secção 6 — actualmente não aplicável porque a Eureki não produz tais decisões)
Podes também apresentar reclamação à CNPD (Comissão Nacional de
Protecção de Dados, cnpd.pt), a autoridade de controlo portuguesa.
11. Menores de idade
A Eureki não é dirigida a menores de 16 anos. Não recolhemos deliberadamente
dados de crianças. Se és pai, mãe ou tutor e acreditas que o teu filho nos
forneceu dados, contacta-nos em apoio@eureki.app para eliminação imediata.
12. Segurança
- Comunicações: TLS 1.2 ou superior em todas as chamadas à rede. Backend rejeita cleartext em produção.
- Armazenamento remoto: encriptação em repouso aplicada pelo Firebase e pelo Fly.io.
- Armazenamento local no dispositivo: campos sensíveis (nome, objectivo) encriptados via Android KeyStore / iOS Keychain antes de serem escritos em disco.
- Logs do backend: não registamos conteúdo de perguntas nem respostas literalmente. Apenas comprimentos e metadados técnicos.
- Crashlytics: sanitização activa remove qualquer chave que pareça PII (email, nome, telefone, user-ID pessoal) antes do envio.
13. Cookies e identificadores
A app móvel Eureki não utiliza cookies web. Utiliza os seguintes identificadores técnicos essenciais:
- Firebase UID — identificador anónimo para manter a tua conta
- RevenueCat appUserID — identificador anónimo para associar compras
- Dispositivo Android ID — recolhido automaticamente pelo Google Play Billing para processamento de compra
Nenhum destes identificadores é partilhado com redes publicitárias.
14. Alterações a esta Política
Podemos actualizar esta Política para reflectir alterações ao serviço, novos sub-processadores ou requisitos legais. Notificamos-te de alterações materiais no próximo arranque da app, com data de entrada em vigor actualizada acima.
Se continuares a usar a Eureki após a notificação, consideramos que aceitas a nova versão. Se não concordares, podes eliminar a tua conta.
15. Contacto
Para qualquer questão, pedido ou reclamação relacionada com esta Política de Privacidade:
Eureki Unipessoal Lda. Email: apoio@eureki.app Morada: Olhão, Portugal
Respondemos a pedidos RGPD no prazo máximo de 30 dias, podendo esse prazo ser prorrogado por mais 2 meses em casos de elevada complexidade.
Última actualização: 2026-05-25.