Política de Privacidade
Artigo 1 — Responsável pelo tratamento
O responsável pelo tratamento dos dados pessoais é:
CES Venture SAS (nome comercial: Hello Mira)
Sede social: Euratechnologies, 165 avenue de Bretagne, 59000 Lille, França
SIREN: 991 370 115
Representante legal: Cédric Tumminello, Presidente
Encarregado da Proteção de Dados (EPD/DPO):
Cédric Tumminello
E-mail: [email protected]
Artigo 2 — Âmbito de aplicação
A presente Política de Privacidade aplica-se a todos os dados pessoais recolhidos e tratados no âmbito de:
- a utilização da Plataforma Hello Mira (aplicação móvel Mira Nomad, sítio web hello-mira.com, Mira Chat);
- a subscrição e a utilização do Mira Pass;
- a reserva e a execução dos Mira Trips;
- as interações com os Mira Agents e o Mira Brain;
- a participação nas Mira Tribes e na comunidade Mira;
- as trocas com o serviço de apoio ao cliente.
Artigo 3 — Dados recolhidos e finalidades
3.1 Dados de registo e de perfil
| Dado | Finalidade | Base jurídica |
|---|---|---|
| Nome, apelido | Identificação, personalização | Execução do contrato |
| Endereço de e-mail | Comunicação, autenticação | Execução do contrato |
| Palavra-passe (hash) | Autenticação | Execução do contrato |
| Data de nascimento | Verificação de idade (18 anos), elegibilidade de destinos | Execução do contrato |
| Nacionalidade | Elegibilidade de destinos (visto), personalização | Execução do contrato |
| Número de telemóvel | Comunicação, notificações, assistência de emergência | Execução do contrato |
| País de residência fiscal (solicitado no momento do pagamento) | Aplicação da taxa de IVA | Obrigação legal |
| Profissão / atividade profissional | Personalização, atribuição a Mira Tribes | Consentimento |
| Foto de perfil | Identificação comunitária | Consentimento |
| Preferências de viagem | Personalização, recomendações de IA | Consentimento |
3.2 Dados de reserva e de viagem
| Dado | Finalidade | Base jurídica |
|---|---|---|
| Digitalização do passaporte | Verificação de identidade (KYC) | Execução do contrato + obrigação legal |
| Dados MRZ extraídos do passaporte (nome, nacionalidade, data de nascimento, data de validade, número do documento) | KYC, elegibilidade de destinos | Execução do contrato |
| Cidade de partida | Cálculo do preço (suplemento de voo) | Execução do contrato |
| Histórico de reservas | Gestão de conta, descontos de fidelidade | Execução do contrato |
| Comprovativo de seguro de viagem | Verificação do requisito de reserva | Execução do contrato |
| Dados de pagamento | Processamento de transações (através do Stripe) | Execução do contrato |
3.3 Dados de utilização da Plataforma
| Dado | Finalidade | Base jurídica |
|---|---|---|
| Registos de ligação | Segurança, prevenção de fraude | Interesse legítimo |
| Conversas com os Mira Agents e Mira Brain | Funcionamento do serviço, melhoria de modelos de IA | Execução do contrato (funcionamento) / Interesse legítimo (melhoria) |
| Mensagens nas Mira Tribes | Funcionamento do serviço, moderação | Execução do contrato |
| Mensagens privadas (DM) | Funcionamento do serviço | Execução do contrato |
| Dados de navegação (analytics) | Melhoria da experiência do utilizador (UX) | Consentimento (Clarity) / Isento (Plausible) |
3.4 Dados de comunicação
| Dado | Finalidade | Base jurídica |
|---|---|---|
| Histórico de trocas com o suporte | Serviço ao cliente | Execução do contrato |
| Preferências de notificação | Comunicação dirigida | Consentimento |
| Endereço de e-mail (newsletters) | Prospeção comercial | Consentimento (opt-in) |
Artigo 4 — Base jurídica para a melhoria dos modelos de IA
As conversas do Utilizador com os Mira Agents e o Mira Brain podem ser utilizadas para melhorar a qualidade das respostas e enriquecer o Mira Knowledge (base de conhecimento proprietária).
Este tratamento baseia-se no interesse legítimo da Hello Mira (artigo 6.º, n.º 1, alínea f), do RGPD — Regulamento (UE) 2016/679), após uma ponderação com os direitos e liberdades dos Utilizadores:
- Interesse prosseguido: melhoria contínua da pertinência e da fiabilidade das informações fornecidas aos Nómadas, num domínio (viagens, vistos, saúde, fiscalidade) em que a qualidade da informação é crítica;
- Medidas de proteção: anonimização dos dados antes da sua utilização para treino, minimização dos dados, direito de oposição do Utilizador.
O Utilizador pode a qualquer momento opor-se à utilização das suas conversas para a melhoria dos modelos, a partir das definições da sua conta ou por e-mail para [email protected]. Esta oposição aplica-se às conversas futuras.
Artigo 5 — Destinatários dos dados
5.1 Internamente
Os dados são acessíveis às equipas operacionais da Hello Mira (apoio ao cliente, operações de viagem, técnico, marketing) na medida estritamente necessária ao exercício das suas funções.
5.2 Subcontratantes técnicos
A Hello Mira recorre aos seguintes subcontratantes para o tratamento de dados pessoais:
| Subcontratante | Serviço | Localização dos dados | Transferência fora da UE |
|---|---|---|---|
| OVHcloud | Alojamento, infraestrutura | França / UE | Não |
| Supabase (AWS Estocolmo) | Base de dados, autenticação | Suécia (UE) | Não |
| Stripe | Pagamentos, Stripe Connect (custódia) | UE (sede nos EUA) | Possível (CCT) |
| Brevo | E-mailing, newsletters | França | Não |
| Cloudflare | CDN, proteção DDoS | Caches UE (sede nos EUA) | Possível (CCT) |
| Duffel | API de voos | Reino Unido | Não (decisão de adequação) |
| Vonage | Comunicações (SMS, voz) | Sede nos EUA | Provável (CCT) |
| Firebase (Google) | Notificações push | Sede nos EUA | Provável (CCT) |
| Plausible | Analytics web | UE | Não |
| Microsoft Clarity | Análise comportamental (mapas de calor, repetições de sessão) | Sede nos EUA | Provável (CCT) |
| Google Gemini | IA generativa (Mira Brain) | Sede nos EUA | Provável (CCT) |
| Anthropic (Claude) | IA generativa (Mira Brain) | Sede nos EUA | Provável (CCT) |
| OpenAI (GPT) | IA generativa (investigação KYC, Mira Brain) | Sede nos EUA | Provável (CCT) |
| Mistral AI | IA generativa (Mira Brain) | França | Não |
Nota: A Hello Mira segue uma abordagem progressiva de soberania tecnológica, com o desenvolvimento de modelos de IA proprietários alojados na UE, visando reduzir a dependência de fornecedores extra-europeus.
Cada subcontratante está vinculado por um contrato de subcontratação conforme ao artigo 28.º do RGPD (Regulamento (UE) 2016/679).
5.3 Parceiros de viagem (na fase de venda efetiva)
No âmbito da execução de um Mira Trip, determinados dados podem ser transmitidos aos prestadores de serviços do viagem:
- Alojamentos (coliving, hotéis): dados estritamente necessários para a reserva (nome, datas, preferências);
- Companhias aéreas: dados de passageiros exigidos pela regulamentação aeronáutica;
- Mira Amigos: dados limitados (primeiro nome, interesses).
Transmissão do passaporte aos prestadores: com o consentimento explícito do Viajante, a Hello Mira pode transmitir os dados do passaporte aos operadores de viagem (companhias aéreas, alojamentos) que deles necessitem para as formalidades administrativas. Este consentimento é facultativo, separado e revogável a qualquer momento.
5.4 Autoridades
Os dados podem ser comunicados às autoridades competentes em resposta a uma obrigação legal (administração fiscal, autoridades judiciais, etc.).
5.5 Partilha para fins de marketing
A Hello Mira pode partilhar dados anonimizados e agregados (que não permitem a identificação dos Utilizadores) com parceiros de marketing para fins de análise estatística e melhoria das campanhas.
Nenhum dado pessoal identificável é partilhado com parceiros de marketing sem o consentimento expresso do Utilizador.
Artigo 6 — Transferências para fora da União Europeia
Alguns subcontratantes da Hello Mira estão estabelecidos fora da União Europeia, principalmente nos Estados Unidos (Stripe, Cloudflare, Vonage, Firebase, Google Gemini, Anthropic, OpenAI, Microsoft Clarity).
Estas transferências são regidas pelas seguintes garantias:
- Cláusulas Contratuais-Tipo (CCT) adotadas pela Comissão Europeia, incorporadas nos contratos com os subcontratantes em causa;
- Decisões de adequação da Comissão Europeia, quando aplicável (ex.: Reino Unido para a Duffel);
- Medidas suplementares: cifragem dos dados em trânsito e em repouso, minimização dos dados transmitidos.
A Hello Mira assegura a transmissão apenas dos dados estritamente necessários para a finalidade do tratamento. Em particular, os dados sensíveis (digitalização do passaporte) não são transmitidos a fornecedores de IA, exceto para o processo de KYC (investigação de nomes através do OpenAI GPT-4.1 Vision), para o qual os dados transmitidos se limitam ao estritamente necessário e estão sujeitos às CCT da OpenAI.
Artigo 7 — Prazos de conservação
| Tipo de dado | Prazo de conservação |
|---|---|
| Dados de conta ativa | Duração da relação contratual |
| Dados de conta após eliminação | 3 anos (prescrição, gestão de litígios) |
| Dados de conta após inatividade (sem eliminação) | Arquivamento após 24 meses de inatividade, eliminação após 36 meses |
| Dados de reserva | Duração do contrato + 5 anos (obrigações contabilísticas) |
| Faturas e dados de pagamento | 10 anos (obrigação contabilística, art. L123-22 Code de commerce [Código Comercial francês]) |
| Digitalização do passaporte — rejeitada/falhada | 24 horas após a rejeição |
Digitalização do passaporte — validada, retain_document = false | Imagem eliminada 30 dias após a validação; dados MRZ conservados enquanto o Mira Pass estiver ativo |
Digitalização do passaporte — validada, retain_document = true | Conservada enquanto o Mira Pass estiver ativo + 90 dias de carência após a expiração |
| Digitalização do passaporte — direito ao esquecimento | Soft delete imediato + eliminação física em 30 dias |
| Conversas IA (conta ativa) | Duração da relação contratual |
| Conversas IA (após eliminação da conta) | Anonimizadas em 30 dias (conteúdo conservado de forma anónima para melhoria do serviço) |
| Mensagens Mira Tribes / DM | Anonimizadas após eliminação da conta |
| Registos de ligação | 1 ano (recomendação da CNIL) |
| Dados de prospeção | 3 anos após o último contacto |
| Cookies e rastreadores | Máximo de 13 meses (recomendação da CNIL) |
| Créditos promocionais | 12 meses a contar da data de atribuição |
Artigo 8 — Segurança dos dados
8.1 Medidas técnicas
A Hello Mira implementa as seguintes medidas de segurança:
- cifragem dos dados em trânsito (TLS/SSL) e em repouso;
- controlo de acesso estrito baseado em funções (RBAC);
- registo de todos os acessos a ficheiros sensíveis (nomeadamente as digitalizações de passaportes), com total rastreabilidade;
- URLs pré-assinados com tempo de vida limitado (15 minutos) para acesso a ficheiros sensíveis;
- alojamento em servidores certificados (OVHcloud) situados em França e na UE;
- pseudonimização dos dados quando tecnicamente possível.
8.2 Medidas organizacionais
- política de segurança interna;
- sensibilização das equipas para as questões de proteção de dados;
- acesso aos dados limitado às pessoas autorizadas, respeitando o princípio da minimização.
8.3 Notificação de violações
Em caso de violação de dados pessoais suscetível de resultar num risco para os direitos e liberdades das pessoas:
- a CNIL (Commission Nationale de l'Informatique et des Libertés, autoridade francesa de proteção de dados) é notificada no prazo de 72 horas;
- as pessoas em causa são informadas o mais rapidamente possível se o risco for elevado.
Artigo 9 — Direitos dos Utilizadores
Nos termos dos artigos 15.º a 22.º do RGPD (Regulamento (UE) 2016/679), o Utilizador dispõe dos seguintes direitos:
| Direito | Descrição |
|---|---|
| Direito de acesso (art. 15.º) | Obter uma cópia de todos os seus dados pessoais |
| Direito de retificação (art. 16.º) | Corrigir dados inexatos ou incompletos |
| Direito ao apagamento (art. 17.º) | Solicitar a eliminação dos seus dados («direito a ser esquecido») |
| Direito à limitação (art. 18.º) | Limitar o tratamento em determinados casos (contestação, ilicitude) |
| Direito à portabilidade (art. 20.º) | Recuperar os seus dados num formato estruturado e legível por máquina |
| Direito de oposição (art. 21.º) | Opor-se ao tratamento por razões legítimas (nomeadamente à utilização de conversas para a melhoria da IA) |
| Direito de retirar o consentimento | A qualquer momento, sem afetar a licitude do tratamento anterior |
| Direito de não ser sujeito a decisões automatizadas (art. 22.º) | Não estar sujeito a uma decisão baseada exclusivamente num tratamento automatizado que produza efeitos jurídicos ou significativos semelhantes |
9.1 Decisões automatizadas
A Hello Mira utiliza um sistema automatizado para a verificação de identidade (KYC): a digitalização do passaporte é analisada por uma IA que compara os dados MRZ com as informações do perfil. Este sistema pode validar ou rejeitar automaticamente uma verificação de identidade.
O Utilizador tem o direito de contestar qualquer decisão automatizada e de solicitar uma intervenção humana contactando o serviço de apoio ao cliente em [[email protected]]. Está previsto um sistema de investigação manual para casos controversos.
9.2 Exercício dos direitos
O Utilizador pode exercer os seus direitos:
- por e-mail para [email protected];
- por correio postal para CES Venture SAS — Euratechnologies, 165 avenue de Bretagne, 59000 Lille, France.
A Hello Mira compromete-se a responder no prazo de um (1) mês a contar da receção do pedido. Este prazo pode ser prorrogado por dois meses em caso de pedido complexo, caso em que o Utilizador é informado do prazo adicional.
Poderá ser necessária a verificação da identidade do requerente para processar o pedido.
9.3 Eliminação do histórico de conversas com IA
O Utilizador pode solicitar a eliminação do seu histórico de conversas com os Mira Agents e o Mira Brain contactando [email protected].
Artigo 10 — Cookies e rastreadores
10.1 Cookies estritamente necessários
Estes cookies são indispensáveis para o funcionamento da Plataforma (autenticação, segurança, gestão de sessão). Não requerem o consentimento do Utilizador.
10.2 Cookies analíticos
Plausible: ferramenta de analytics respeitadora da privacidade, que não instala cookies e não recolhe dados pessoais. Não é necessário qualquer consentimento.
Microsoft Clarity: ferramenta de análise comportamental (mapas de calor, repetições de sessão). A Clarity instala cookies e trata dados pessoais. A sua ativação está sujeita ao consentimento prévio do Utilizador através do banner de cookies.
10.3 Gestão do consentimento
Na sua primeira visita, o Utilizador é convidado a expressar a sua escolha através de um banner de cookies. A recusa é tão fácil como a aceitação. Os rastreadores sujeitos a consentimento são ativados apenas após aceitação explícita.
O Utilizador pode modificar as suas preferências a qualquer momento nas definições da Plataforma.
Os cookies têm uma duração máxima de 13 meses de acordo com as recomendações da CNIL (Commission Nationale de l'Informatique et des Libertés, autoridade francesa de proteção de dados).
Artigo 11 — Dados de menores
A Plataforma não se destina a menores de 18 anos. A Hello Mira não recolhe intencionalmente dados pessoais de menores.
Se a Hello Mira tomar conhecimento da recolha de dados de um menor, esses dados serão eliminados o mais rapidamente possível.
Artigo 12 — Modificação da Política de Privacidade
A Hello Mira reserva-se o direito de modificar a presente Política de Privacidade. Em caso de modificação substancial, os Utilizadores serão informados por e-mail e/ou por notificação in-app pelo menos 30 dias antes da entrada em vigor.
Artigo 13 — Contacto e reclamação
Ponto de contacto de dados pessoais: [email protected]
Em caso de reclamação não resolvida, o Utilizador pode recorrer à autoridade de controlo competente:
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07
Sítio web: www.cnil.fr
Os Utilizadores residentes noutro Estado-Membro da UE podem igualmente recorrer à autoridade de proteção de dados do seu país de residência.