Política de Privacidade

O Trânsito Agora ("o Serviço") é um painel de operações em tempo real para as estradas portuguesas, operado por Maurício Amaro a título individual. Para efeitos do Regulamento Geral de Protecção de Dados (RGPD, Regulamento UE 2016/679), o responsável pelo tratamento é o operador do Serviço.

Contacto: [email protected]. Para pedidos específicos sobre privacidade: [email protected].

Recolhemos o mínimo de dados necessário para o Serviço funcionar. Em concreto:

• Subscrição de notificações push — quando aderes ao botão "Alertas para a minha zona", o teu navegador gera automaticamente um endpoint anónimo (URL única para o teu browser específico) e duas chaves criptográficas (p256dh, auth). Guardamos estes três elementos, juntamente com os distritos que escolheres receber. Não conseguimos identificar a pessoa a partir do endpoint — só o serviço de push do teu browser (Mozilla, Apple, Google ou Microsoft) sabe a que dispositivo corresponde.
• Armazenamento local (localStorage) — algumas preferências são guardadas só no teu dispositivo, nunca no nosso servidor: o tema (claro / escuro), o teu endpoint de push (para sabermos que já subscreveste), e a lista de distritos escolhida. Podes apagá-las a qualquer momento limpando os dados do site no teu browser.
• Logs do servidor — registamos o IP da chamada, a página pedida, o user-agent e a data/hora. Estes logs são guardados pelo nosso fornecedor de alojamento (Railway, Inc.) durante um período típico de 30 dias, e são usados apenas para segurança e diagnóstico técnico (detectar abuso, depurar problemas).
• Não usamos cookies de rastreio e não usamos ferramentas de analytics como Google Analytics ou Facebook Pixel. Se viermos a implementar analytics no futuro, será uma solução sem cookies de identificação (do tipo Plausible ou Umami) e estará devidamente divulgada nesta política.

Usamos os dados estritamente para os fins seguintes, sem nunca os vender, alugar ou partilhar com terceiros para marketing:

• Entregar-te notificações de incidentes nos distritos seleccionados.
• Operar o Serviço (carregar páginas, servir o mapa, mostrar dados em tempo real).
• Detectar e prevenir abuso (rate-limiting, bloqueio de bots maliciosos).
• Produzir estatísticas agregadas anónimas sobre incidentes (por exemplo, "X acidentes em Lisboa esta semana").

Tratamos os dados ao abrigo das seguintes bases legais previstas no Art.º 6.º do RGPD:

• Consentimento (Art.º 6.º, n.º 1, al. a) — para a subscrição de notificações push e para o armazenamento da lista de distritos.
• Interesse legítimo (Art.º 6.º, n.º 1, al. f) — para logs de segurança e estatísticas agregadas.

Para operar o Serviço usamos os seguintes subcontratantes ("data processors"):

• Railway, Inc. (EUA) — alojamento da aplicação e da base de dados. Railway opera nos termos das Cláusulas Contratuais Tipo da Comissão Europeia.
• MapTiler (Suíça) — fornecimento dos tiles do mapa. O carregamento das tiles a partir do teu browser implica que o teu IP é visível pela MapTiler durante o carregamento.
• Serviços de push do teu browser — Mozilla autopush (Firefox), Apple Push (Safari/iOS), Google FCM (Chrome/Android), Microsoft WNS (Edge). Estes serviços recebem o conteúdo das notificações no momento da entrega. A relação contratual neste caso é entre ti e o fornecedor do teu navegador.
• Fontes de dados upstream — TomTom, ProCiv / ANEPC, ICNF, IPMA, Carris Metropolitana, Metro do Porto, CP. As chamadas a estas APIs são feitas a partir do nosso servidor, não do teu browser — o teu IP não chega a estas entidades.

• Subscrições de push — guardadas enquanto a subscrição estiver activa. Apagadas imediatamente quando cancelas em /alertas/definicoes ou nas definições do browser.
• Histórico de incidentes — guardado durante 90 dias para fins de produção de relatórios. Não está associado a utilizadores.
• Logs do servidor — retidos por ~30 dias (política do fornecedor de alojamento).
• Notificações enviadas — registamos o par (incidente, endpoint) para evitar enviar a mesma notificação duas vezes. Apagado quando o incidente sai do histórico.

Sob o RGPD tens, em relação aos dados que armazenamos sobre ti, os seguintes direitos:

• Acesso (Art.º 15.º) — saberes que dados guardamos sobre ti.
• Rectificação (Art.º 16.º) — corrigir dados inexactos.
• Apagamento (Art.º 17.º, "direito ao esquecimento") — pedir a remoção. Em prática, para o nosso caso, cancelar a subscrição de push em /alertas/definicoes ou limpar os dados do site no browser apaga tudo o que temos imediatamente.
• Portabilidade (Art.º 20.º) — receber os dados em formato estruturado.
• Oposição (Art.º 21.º) — opor-te a tratamentos baseados em interesse legítimo.
• Reclamação à autoridade de controlo — em Portugal, a Comissão Nacional de Protecção de Dados (CNPD, cnpd.pt).

Aplicamos boas práticas técnicas: ligações HTTPS em toda a parte, chaves de push armazenadas em base de dados com acesso restrito, backups encriptados pelo nosso fornecedor de alojamento, e princípio do mínimo privilégio nas credenciais.

O Serviço destina-se a maiores de 16 anos (limite de idade estabelecido pela Lei 58/2019, art.º 16.º para o consentimento digital em Portugal). Não recolhemos intencionalmente dados de menores. Se descobrires que recolhemos dados de um menor sem autorização parental, contacta-nos para os apagarmos.

Podemos actualizar esta política para reflectir mudanças no Serviço ou na lei aplicável. As alterações são publicadas nesta página e a data "Actualizado" é actualizada. Alterações substanciais serão comunicadas por notificação push aos subscritores activos.