Política de Privacidade

RAXAR (doravante "RAXAR" ou "nós") é o responsável pelo tratamento dos dados pessoais coletados através deste site (raxar.es) e da plataforma RAXAR Empresas. — Denominação: RAXAR (entidade em processo de constituição como S.L.) — CIF: Pendente de atribuição. — Email de contato: privacidad@raxar.es — Site: https://raxar.es

Coletamos as seguintes categorias de dados pessoais: — **Dados de contato:** nome, email, telefone (formulário de contato, cadastro de cliente). — **Dados da empresa:** nome da empresa, setor, tamanho, CIF/NIF (ao contratar serviços). — **Dados de uso da plataforma:** interações, ações realizadas, preferências de configuração. — **Chat IA (ARIA):** conteúdo das conversas com nosso assistente virtual. Processadas por modelos de IA de terceiros. Não enviamos informação pessoal identificável além da mensagem da conversa. — **Dados analíticos:** páginas visitadas, duração de sessão, dispositivo, país. Coletadas de forma agregada e anonimizada via PostHog (servidores UE). Não identifica usuários individuais. — **Dados de pagamento:** processados exclusivamente via provedores de pagamento externos. RAXAR não armazena dados de cartão nem contas bancárias.

Tratamos seus dados para as seguintes finalidades: — **Prestação de serviços SaaS** — automações e dashboards contratados (Art. 6.1.b GDPR — execução de contrato). — **Gestão de contas** — autenticação, configuração e acesso à plataforma (Art. 6.1.b GDPR). — **Faturamento e comunicações de serviço** — envio de faturas e notificações operacionais (Art. 6.1.b GDPR). — **Melhoria do serviço** — análise agregada do uso da plataforma (Art. 6.1.f GDPR — interesse legítimo). — **Cumprimento legal** — obrigações fiscais, contábeis e mercantis (Art. 6.1.c GDPR). — **Comunicações comerciais** — newsletter e ofertas, só com seu consentimento prévio (Art. 6.1.a GDPR). Revogável a qualquer momento. — **Atendimento ao cliente** — resolução de consultas e suporte técnico (Art. 6.1.b / 6.1.f GDPR). — **Prevenção de fraude** — detecção de atividade anômala e proteção da plataforma (Art. 6.1.f GDPR). Não tratamos seus dados para fins distintos aos indicados sem seu consentimento prévio.

Seus dados não são vendidos nem cedidos a terceiros para fins comerciais. Compartilhamos dados com os seguintes provedores tecnológicos (encarregados do tratamento) que prestam serviços sob nossas instruções: — **Hostinger International Ltd.** — Hosting VPS. Servidores na UE. — **PostHog Inc.** — Analytics web. Servidores EU Cloud. Não identifica usuários individuais. — **Anthropic PBC** (EUA) — Processamento de linguagem natural para o assistente ARIA. Dados protegidos via Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia. — **Groq Inc.** (EUA) — Processamento de linguagem natural para o assistente ARIA e análises automatizadas. Dados protegidos via SCCs. — **Autoridades públicas** — Quando exista obrigação legal. As transferências para provedores fora do EEE (Anthropic, Groq) são realizadas com garantias adequadas conforme GDPR, incluindo SCCs vigentes pós-Schrems II.

RAXAR utiliza modelos de IA como parte dos seus serviços: — **ARIA (assistente virtual):** Gera respostas conversacionais a partir das mensagens. Mensagens enviadas a provedores de IA. Não armazena PII vinculada à sua identidade nos servidores desses provedores. — **Análises automatizadas:** Classificação de emails, scoring de leads, geração de relatórios. Geram recomendações, mas as decisões finais são sempre revisadas por pessoas. — **Modelos locais (privacy_mode):** Para clientes que requerem, dados sensíveis são processados exclusivamente em modelos IA locais na infraestrutura RAXAR (hardware próprio · sem transferência externa). Ativado por acordo contratual ou config do tenant. Conforme GDPR Art. 22, nenhum tratamento automatizado produz efeitos jurídicos ou afeta significativamente os interessados sem intervenção humana. Você tem direito a: — Obter informação sobre a lógica aplicada em qualquer análise automatizada. — Solicitar intervenção humana em qualquer decisão. — Expressar seu ponto de vista e contestar a decisão. **Compliance com Regulamento (UE) 2024/1689 (AI Act):** Nossos sistemas IA se classificam majoritariamente como **risco limitado** ou **risco mínimo**. Cumprimos as obrigações de transparência aplicáveis: — Usuários são informados ao interagir com sistema IA (ARIA claramente identificado). — Conteúdo gerado por IA identificado quando poderia confundir-se com humano. — Guardrails ativos previnem geração de conteúdo proibido. — Avaliações regulares de vieses, robustez e precisão dos modelos. Para exercer esses direitos, contato privacidad@raxar.es.

Conservamos seus dados pelos seguintes períodos: — **Dados de clientes ativos:** Duração do contrato + 6 anos (obrigações fiscais e mercantis). — **Dados de usuários da plataforma:** Duração do contrato + 3 meses. — **Consultas não convertidas:** Máximo 12 meses desde último contato. — **Comunicações comerciais:** 24 meses ou até revogação do consentimento. — **Logs de acesso e analytics:** 12 meses. — **Cookies:** Segundo configuração de cada tipo (ver Política de Cookies). Transcorridos esses prazos, os dados são eliminados ou anonimizados de forma irreversível.

Conforme GDPR (Arts. 15-22), você tem direito a: — **Acesso** (Art. 15): conhecer que dados pessoais temos sobre você. — **Retificação** (Art. 16): corrigir dados inexatos ou incompletos. — **Apagamento** (Art. 17): solicitar exclusão quando dados já não necessários. — **Limitação do tratamento** (Art. 18): limitar uso em determinadas circunstâncias. — **Portabilidade** (Art. 20): receber seus dados em formato estruturado, de uso comum e leitura mecânica. — **Oposição** (Art. 21): opor-se ao tratamento baseado em interesse legítimo. — **Não ser objeto de decisões automatizadas** (Art. 22): direito a não estar sujeito a decisões baseadas unicamente em tratamento automatizado com efeitos jurídicos. Para exercer qualquer destes direitos, escreva para privacidad@raxar.es indicando o direito. Responderemos em prazo máximo de 30 dias (ampliável a 60 em casos complexos, com notificação motivada). **Procedimento de verificação de identidade:** Para proteger seus dados contra solicitações fraudulentas, podemos requerer: (i) confirmação do email vinculado, (ii) cópia de documento identificativo (DNI/NIE/passaporte · fragmentos desnecessários podem ser ocultados), ou (iii) verificação in-app se já autenticado. Não solicitamos documentação excessiva. **Formato de portabilidade (Art. 20):** Dados entregues em formato estruturado JSON (default) ou CSV, com esquema documentado. Tamanhos grandes (>100MB) entregues via link seguro com expiração 72h. Se considera que seus direitos não foram atendidos corretamente, pode apresentar reclamação à Agência Espanhola de Proteção de Dados (AEPD) em www.aepd.es ou sede: Calle Príncipe de Vergara, 108 — 28002 Madrid.

Implementamos medidas técnicas e organizacionais adequadas para proteger seus dados (GDPR art. 32): **Técnicas:** — Criptografia em trânsito **TLS 1.3** (mínimo TLS 1.2) com HSTS em todos os domínios. — Criptografia em repouso **AES-256** para dados sensíveis no banco. — Isolamento multi-tenant via **Row Level Security (RLS)** em PostgreSQL, com políticas de acesso verificadas em auditoria independente. — **Guardrails de IA** ativos: filtragem PII, injeção de prompts e segredos em todas chamadas. — Rotação trimestral de credenciais e tokens (imediata em caso de incidente). — Sandboxing e allowlist estrito para execução de comandos IA. — **Security headers** completos: CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. **Autenticação de usuários:** — **MFA/2FA** obrigatório para papéis administrativos · opcional mas recomendado para usuários. — Senhas mínimo 12 caracteres, hash bcrypt fator 12. — Expiração de sessão após 24h inatividade. — Bloqueio de conta após 5 tentativas falhas consecutivas. **Organizacionais:** — Controle de acesso baseado em papéis (**RBAC**) · 4 papéis: superadmin, raxar_internal, raxar_team, cliente. — Princípio do mínimo privilégio. — Servidores hospedados na **União Europeia** (Hostinger · datacenter certificado ISO 27001). — **Backups** diários automáticos com offsite replication (torre separada geograficamente · cron 04:00 UTC). — Monitoramento 24/7 (Uptime Kuma · GlitchTip · Monitorización 24/7) com alertas Telegram. — Procedimento documentado de resposta a incidentes. — Treinamento GDPR e segurança para equipe interna.

Em caso de violação de segurança de dados pessoais que afete direitos e liberdades dos interessados, RAXAR se compromete a: — **Notificar a AEPD** em prazo máximo de **72 horas** desde conhecimento, conforme Art. 33 GDPR. — **Comunicar aos interessados afetados** sem atraso indevido quando brecha suponha alto risco (Art. 34 GDPR). — **Notificar cliente (controlador)** dentro de **48 horas** seguintes ao conhecimento quando brecha afete dados tratados em seu nome (prazo contratual mais estrito). Toda brecha é registrada internamente no registro de incidentes de segurança, disponível para revisão por autoridades de controle e clientes responsáveis.

Os serviços RAXAR são dirigidos exclusivamente a maiores de 18 anos (clientes B2B · profissionais e empresas). Não coletamos intencionalmente dados de menores. Se detectarmos coleta de dados de menor, procederemos à eliminação imediata.

Este site utiliza cookies técnicas e de análise. Para mais informação, consulte nossa Política de Cookies em raxar.es/cookies.

RAXAR não é obrigado a designar Delegado de Proteção de Dados (DPO) conforme Art. 37 GDPR. Não obstante: — Temos canal dedicado para questões de privacidade: **privacidad@raxar.es**. — Solicitações gerenciadas pela equipe de direção com responsabilidade direta em proteção de dados. — Se no futuro nosso volume de tratamento requerer, designaremos DPO formal e atualizaremos esta política.

Podemos atualizar esta política para refletir mudanças legais ou nos nossos serviços. A data da última atualização aparece no início desta página. Se as alterações forem significativas, comunicaremos via email se tiver relação ativa, e/ou via aviso proeminente na plataforma durante 30 dias.