Bonro
Privacidade

Política de privacidade

Última actualização: 7 de Maio de 2026

Construímos o Bonro para profissionais independentes europeus. Isso significa que o RGPD não é uma casinha de verificar. É a arquitectura. Esta página explica o que recolhemos, porquê, e como recuperar ou apagar.

Em resumo

  • Os recibos são lidos no seu telemóvel. Recebemos o texto analisado, não as suas fotos em bruto na analítica.
  • Nunca vendemos os seus dados. Nunca os partilhamos para publicidade. Não corremos rastreadores de terceiros dentro da app.
  • Os seus dados ficam em servidores na UE (Frankfurt). Pode exportar tudo ou apagar a conta a partir da app.
  • Os relatórios de falhas vão para o Sentry com os dados pessoais limpos. O estado da subscrição passa pelo RevenueCat e as notificações push pelo OneSignal.

1. Quem é responsável

O Bonro é operado pela Exenrun UG (haftungsbeschränkt), uma sociedade alemã de responsabilidade limitada em Berlim. Para qualquer questão de privacidade, escreva para [email protected]. Somos o responsável pelo tratamento ao abrigo do Artigo 4(7) do RGPD.

2. O que recolhemos

Tentamos recolher o mínimo possível.

  • Conta: endereço de e-mail (para iniciar sessão), um ID de utilizador anónimo e o estado da sua subscrição.
  • Recibos: a foto que digitaliza, o texto OCR extraído no seu dispositivo e os campos estruturados (comerciante, montante, IVA, categoria, data). Armazenados encriptados em repouso no Supabase Storage e Postgres, região Frankfurt.
  • Empresas: nome legal, morada, NIFs e números de IVA que introduz para exportações fiscais.
  • Telemetria de uso: eventos anónimos e sem conteúdo, como "recibo capturado", nunca o conteúdo do recibo. Usados para saber se as funções funcionam, não quem é o utilizador.
  • Dados de falhas: diagnósticos técnicos do Sentry. Os campos pessoais, nomes de comerciantes e montantes são limpos antes de saírem do seu dispositivo.

3. Porque o recolhemos

Usamos os dados acima para: (a) iniciar a sua sessão e lembrar em que dispositivo está; (b) analisar, armazenar e mostrar os seus recibos; (c) gerar as exportações fiscais que pede; (d) cobrar correctamente através da App Store, Google Play ou do nosso checkout web (via RevenueCat para a facturação das lojas); (e) manter a app a funcionar e corrigir falhas; (f) responder ao seu e-mail de apoio. Bases legais: execução do contrato (Art. 6(1)(b) do RGPD) para o serviço principal, interesse legítimo (Art. 6(1)(f)) para diagnósticos e prevenção de abuso, consentimento (Art. 6(1)(a)) para qualquer analítica opcional, quando aplicável.

4. Quem mais vê os dados

Apenas os processadores que precisamos para correr o serviço. Cada um está sujeito a um acordo de tratamento de dados em conformidade com a UE.

  • Supabase (Frankfurt, UE): base de dados, autenticação, armazenamento de ficheiros, edge functions.
  • Google Gemini API: recebe o *texto* OCR extraído do seu recibo para o estruturar em campos. Não enviamos imagens. O texto é processado em trânsito e não é usado para treinar modelos.
  • RevenueCat: gere os recibos de compra na App Store e Google Play. Recebe um ID de utilizador Bonro e os seus eventos de compra.
  • Sentry: monitorização de falhas e erros. Recebe diagnósticos anonimizados, com os campos pessoais limpos.
  • OneSignal: envia notificações push quando um recibo termina a análise em segundo plano ou a sua quota gratuita está prestes a ser reposta. Recebe um ID de utilizador Bonro anónimo e o token push do seu dispositivo. Pode derivar uma aproximação do país a partir do endereço IP para envio regional.
  • Resend: envia e-mails de código de início de sessão. Recebe o seu e-mail e o código de uso único.
  • Apple / Google: tratam da entrega na App Store e da facturação da subscrição ao abrigo das suas próprias políticas de privacidade.
  • Firebase Analytics (Google): usado apenas no site de marketing bonro.app, nunca dentro da app iOS ou Android, e só depois de o visitante aceitar o banner de cookies. Recebe sinais anónimos de visualizações e cliques nas páginas de marketing. Não recebe conteúdo de recibos, dados de conta nem nada da app móvel.

5. Quanto tempo mantemos

Enquanto a sua conta estiver activa, guardamos os seus recibos e exportações para a app funcionar. Quando elimina a conta, apagamos o perfil, recibos e exportações em 30 dias. As cópias de segurança rodam em 60 dias. Podemos manter registos fiscais e de facturação durante o período exigido pela lei alemã (tipicamente até 10 anos), com dados pessoais não essenciais ocultados.

6. Os seus direitos

Ao abrigo do RGPD pode: aceder aos seus dados (Art. 15), corrigi-los (Art. 16), apagá-los (Art. 17), restringir ou opor-se ao tratamento (Art. 18 / 21), recebê-los em formato portátil (Art. 20) e apresentar queixa a uma autoridade de supervisão (Art. 77). Os caminhos mais rápidos estão dentro da app: Definições → Exportar dados, Definições → Eliminar conta. Também pode escrever para [email protected] e tratamos manualmente.

7. Transferências internacionais

Os seus dados vivem na UE. Alguns processadores (Google Gemini, Sentry, RevenueCat, OneSignal, Resend) podem processar dados nos Estados Unidos. Quando isso acontece, baseamo-nos no Quadro de Privacidade de Dados UE–EUA ou em Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia.

8. Segurança

Os dados são encriptados em trânsito (TLS 1.2+) e em repouso. O acesso à produção é limitado aos fundadores. As chaves de service-role nunca ficam nos dispositivos. Os registos de falhas são limpos de nomes de comerciantes e montantes antes de saírem do telemóvel.

9. Crianças

O Bonro é feito para adultos a trabalhar: independentes e donos de pequenas empresas. Não é dirigido a crianças com menos de 16 anos. Se acredita que uma criança se inscreveu, escreva-nos e removeremos a conta.

10. Alterações

Actualizaremos esta página quando alterarmos algo importante e actualizaremos a data "última actualização" acima. Para alterações materiais avisamos dentro da app ou por e-mail antes de entrarem em vigor.

11. Contacto

Questões de privacidade: [email protected] · Morada postal: Exenrun UG (haftungsbeschränkt), Berlim, Alemanha.