Legal
Política de Privacidade & Cookies
Esta política descreve como a Habitta trata dados pessoais, em conformidade com o Regulamento (UE) 2016/679 (RGPD), a Lei n.º 58/2019 e a Lei n.º 41/2004 (privacidade nas comunicações eletrónicas).
Última atualização: 27 de maio de 2026
Resumo em três linhas
Tratamos apenas o que precisamos: identidade, contacto, medidas e — quando partilhares — fotos do espaço. Partilhamos só com quem executa o teu pedido (Stripe para pagamento, parceiro produtor, técnicos contratados). Nunca vendemos dados.
1. Responsável pelo tratamento
A Habitta é responsável pelo tratamento dos dados recolhidos através deste site, do configurador, do WhatsApp, do e-mail e do telefone.
Contacto: suporte@habitta.pt · +351 920 752 376.
A Habitta é responsável pelo tratamento dos dados pessoais recolhidos através deste site, do configurador, do WhatsApp, do e-mail e do telefone, no âmbito do canal de venda que opera. O produtor parceiro que confecciona e fatura o produto recebe os dados estritamente necessários (identificação, contacto, morada de instalação, medidas) para executar o contrato, atuando como responsável pelo tratamento dessa parte. Os técnicos que executam medição e instalação atuam como subcontratantes (art. 28.º RGPD), sob acordo escrito.
2. Dados que recolhemos
Identificação e contacto
- Nome, e-mail, telefone (WhatsApp), cidade.
- Morada completa de instalação — só após escolha de avançar com medição/instalação.
Dados de projeto
- Medidas das janelas (largura, altura), tipo de cortina, modelo de calha, motorização.
- Fotografias do espaço enviadas pelo cliente como referência (paredes, tetos, janelas). Tratadas como dados pessoais quando permitam identificar pessoas ou o imóvel.
- Notas, preferências, datas pretendidas.
Dados de pagamento
- Informações de pagamento processadas por Stripe, Inc. (PCI-DSS). A Habitta não armazena dados completos de cartão.
- Histórico de sinal pago, valor remanescente, recibos e estado do pagamento.
Dados fiscais
- NIF (quando o cliente o forneça para inclusão na fatura).
Dados técnicos do site
- Logs mínimos do servidor (data, hora, IP truncado, tipo de browser) para fins de segurança e prevenção de fraude.
3. Finalidades e bases legais
| Finalidade | Dados | Base legal |
|---|---|---|
| Preparar e enviar orçamento | Identificação, contacto, projeto | Diligências pré-contratuais — art. 6.º, n.º 1, al. b) RGPD |
| Executar o contrato (produção, medição, instalação) | Tudo o anterior + morada + medidas finais + fotos | Execução do contrato — art. 6.º, n.º 1, al. b) |
| Processar pagamento | Identificação, dados de pagamento via Stripe | Execução do contrato — art. 6.º, n.º 1, al. b) |
| Faturação e obrigações fiscais | Nome, morada, NIF, valor | Obrigação legal — art. 6.º, n.º 1, al. c) (CIVA, RGIT) |
| Comunicação operacional (WhatsApp/e-mail) sobre o pedido | Contacto, estado do pedido | Execução do contrato |
| Segurança e prevenção de fraude | Logs técnicos, IP, registos | Interesse legítimo — art. 6.º, n.º 1, al. f) |
| Newsletter / marketing | Consentimento — art. 6.º, n.º 1, al. a) (opt-in) | |
| Leads do configurador (cupão Primeira Casa) | E-mail, telefone (opcional), snapshot do orçamento | Diligências pré-contratuais — art. 6.º, n.º 1, al. b) (email cupão); consentimento — al. a) (WhatsApp/marketing) |
4. Com quem partilhamos (sub-processadores)
Partilhamos dados estritamente com prestadores e parceiros indispensáveis à execução do serviço, todos sob acordo escrito de confidencialidade e tratamento.
| Parceiro | Finalidade | Localização |
|---|---|---|
| Parceiro produtor | Confecção das cortinas sob medida | Portugal (UE) |
| Técnico contratado (medição/instalação) | Execução técnica em casa do cliente | Portugal (UE) |
| Stripe, Inc. | Processamento de pagamentos | EUA + Irlanda — Cláusulas Contratuais Tipo |
| MongoDB Atlas | Armazenamento de pedidos | UE (região Frankfurt) |
| Vercel, Inc. | Alojamento do site e API | UE — Cláusulas Contratuais Tipo |
| Hostinger (SMTP) | Envio de e-mails transacionais | UE |
| Z-API | Mensagens WhatsApp operacionais | Brasil — Cláusulas Contratuais Tipo |
| Meta Platforms, Inc. | Marketing — Pixel + Conversions API (apenas com consentimento). Identificadores hasheados SHA-256. | EUA — Cláusulas Contratuais Tipo |
| Google LLC | Análise de uso — Google Analytics 4 (apenas com consentimento). | EUA — Cláusulas Contratuais Tipo |
Nunca vendemos dados pessoais a terceiros. Podemos partilhar com autoridades quando legalmente exigido.
5. Transferências internacionais
Alguns sub-processadores (Stripe, Vercel, Z-API, Meta, Google) podem tratar dados fora da UE/EEE. Nestes casos, utilizamos as Cláusulas Contratuais Tipo aprovadas pela Comissão Europeia e/ou decisões de adequação aplicáveis, nos termos dos artigos 44.º a 49.º do RGPD.
6. Período de conservação
- Pedidos sem aprovação: 12 meses, após os quais são anonimizados.
- Pedidos aprovados / encomendas concluídas: 10 anos a contar da emissão da fatura, conforme exigido pelo CIVA, RGIT e Código Comercial.
- Fotografias do espaço: eliminadas em 90 dias após a aceitação da instalação, salvo pedido expresso do cliente para manter (ex.: assistência futura).
- Logs técnicos: 12 meses para fins de segurança.
- Comunicações WhatsApp/e-mail: 3 anos a contar da última interação, salvo dever legal de retenção superior.
- Leads do configurador (cupão): 24 meses sem conversão. Após esse período, o registo é apagado automaticamente. Se houver conversão (compra), o lead passa a estar associado a um pedido e segue a regra "encomenda concluída" acima.
7. Os teus direitos
- Acesso, retificação, apagamento, limitação e oposição ao tratamento.
- Portabilidade dos dados fornecidos por ti.
- Retirar consentimento (quando aplicável) sem afetar a licitude prévia.
- Não ser objeto de decisões individuais automatizadas com efeitos legais.
- Reclamar junto da Comissão Nacional de Proteção de Dados (CNPD) — Av. D. Carlos I, 134, 1.º · 1200-651 Lisboa · www.cnpd.pt.
Para exercer direitos, escreve para suporte@habitta.pt. Respondemos no prazo de 30 dias, prorrogável até 90 nos termos do art. 12.º, n.º 3, RGPD.
8. Segurança
- Cifragem em trânsito (TLS 1.2+) em todos os endpoints.
- Cifragem em repouso na base de dados.
- Acesso restrito por função, com autenticação forte (admin tokens + JWT).
- Registos de auditoria para acessos administrativos.
- Comunicações entre sistemas internos autenticadas por HMAC SHA-256 com segredo partilhado.
- Sub-processadores selecionados por critérios de segurança e contratualmente vinculados a deveres de proteção.
9. Cookies e tecnologias semelhantes
Usamos três categorias de cookies e armazenamento local. As categorias de análise e marketing só são activadas após o teu consentimento explícito, dado no banner que aparece na tua primeira visita.
| Categoria | Cookies / armazenamento | Finalidade | Duração | Base legal |
|---|---|---|---|---|
| Essenciais | habitta-cart-v4, habitta-cookie-consent-v1, habitta-attribution-* | Preferências do configurador, registo da decisão de cookies, atribuição da origem do tráfego. | Sessão a 12 meses | Art. 5.º n.º 3 Lei 41/2004 — isenção (essenciais) |
| Análise | _ga, _ga_*, _gid (Google Analytics 4) | Estatísticas anónimas de uso — saber o que funciona no site. | Até 14 meses | Consentimento — Art. 6.º n.º 1 al. a) RGPD |
| Marketing | _fbp, _fbc (Meta Pixel + Conversions API) | Mostrar anúncios relevantes no Instagram e Facebook, medir resultados de campanhas. Inclui envio server-side (Conversions API) de dados com identificadores hasheados (SHA-256). | 90 dias (cookies) · 180 dias (dados CAPI) | Consentimento — Art. 6.º n.º 1 al. a) RGPD |
Como revogar. Podes mudar a tua decisão a qualquer momento clicando no link "Cookies" no rodapé do site, ou apagando o cookie habitta-cookie-consent-v1 no teu navegador.
Sub-processador Meta. Os dados enviados ao Meta (Conversions API) podem ser tratados nos EUA, ao abrigo das Cláusulas Contratuais Tipo. Os identificadores pessoais (email, telefone, nome) são hasheados em SHA-256 antes de saírem do servidor Habitta — o Meta usa-os apenas para correspondência de utilizadores que já têm conta Facebook/Instagram, não recebe dados em claro.
10. Menores
Os nossos serviços destinam-se a maiores de 18 anos. Não recolhemos conscientemente dados de menores. Se tomares conhecimento de tratamento de dados de menor sem base legal, contacta-nos para apagamento imediato.
11. Violações de dados
Em caso de violação de dados pessoais que represente risco para os direitos e liberdades dos titulares, notificaremos a CNPD em 72 horas e, quando aplicável, os titulares afetados, nos termos dos artigos 33.º e 34.º do RGPD.
12. Alterações a esta política
Podemos atualizar esta política. A versão em vigor é sempre a publicada nesta página. Alterações materiais serão comunicadas por e-mail aos clientes com pedidos em curso.
Última atualização: 27 de maio de 2026