Proteção de dados
Política de Privacidade
Última atualização / Data de entrada em vigor: 13 de julho de 2026
Esta Política de Privacidade explica como são tratados os dados pessoais dos utilizadores do Lexbase (https://lexbase.pt), uma ferramenta de pesquisa sobre legislação nacional portuguesa consolidada e em vigor. O documento cumpre o Regulamento (UE) 2016/679 (RGPD) e a Lei n.º 58/2019, de 8 de agosto.
O Lexbase é uma ferramenta informativa. Não é fonte oficial do direito — a fonte oficial é o Diário da República, para o qual cada resultado remete através de uma ligação para o registo oficial. O Lexbase não constitui aconselhamento jurídico nem cria qualquer relação advogado-cliente. As condições de utilização do serviço constam dos respetivos Termos e Condições.
1. Responsável pelo tratamento
O responsável pelo tratamento dos dados pessoais é:
- Entidade: TEEX, LDA
- NIPC: 518027864
- Sede: Loures, Portugal
- Contacto geral: geral@lexbase.pt
- Contacto para assuntos de privacidade / proteção de dados: privacidade@lexbase.pt
Encarregado de Proteção de Dados (DPO): dpo@teex.pt. Caso tenha sido designado um Encarregado de Proteção de Dados, poderá contactá-lo através do endereço indicado acima para assuntos de privacidade. Se não for aplicável a designação de DPO, todas as questões devem ser dirigidas ao contacto de privacidade.
2. Que dados tratamos, para que fins e com que base de licitude
Tratamos apenas os dados estritamente necessários ao funcionamento do serviço. Descrevemos abaixo cada categoria de dados, a finalidade e a base de licitude aplicável nos termos do artigo 6.º do RGPD.
Caráter obrigatório ou facultativo do fornecimento dos dados: o fornecimento dos dados de conta (nome e endereço de correio eletrónico) é necessário para a criação da conta e para a utilização das funcionalidades reservadas a utilizadores registados. Sem esses dados não é possível criar conta nem aceder a essas funcionalidades, embora seja possível efetuar um número limitado de pesquisas de demonstração sem registo (ver ponto 2.6). O tratamento dos restantes dados descritos nesta secção resulta da própria utilização do serviço.
2.1. Dados de conta
- Dados: endereço de correio eletrónico e nome, bem como a data/hora de verificação do endereço de correio eletrónico (*emailVerified*). O endereço de correio eletrónico é o endereço usado no início de sessão por ligação mágica (*magic link*).
- Finalidade: criação e gestão da conta, autenticação e prestação do serviço.
- Base de licitude: execução do contrato (art. 6.º, n.º 1, al. b) do RGPD).
O início de sessão é feito por ligação mágica enviada por correio eletrónico. Os dados de autenticação são geridos através das tabelas técnicas do sistema de autenticação (utilizadores, contas, sessões e *token* de verificação).
2.2. Sessões
- Dados: identificador de sessão associado à conta.
- Finalidade: manter o utilizador autenticado durante a utilização do serviço.
- Base de licitude: execução do contrato (art. 6.º, n.º 1, al. b) do RGPD).
2.3. Chaves de API (API keys)
- Dados: a chave de API não é armazenada em bruto. Guardamos apenas (i) uma impressão criptográfica da chave (HMAC-SHA256 com *pepper*), (ii) um prefixo não secreto de 11 caracteres e (iii) uma etiqueta escolhida pelo utilizador. A chave é apresentada uma única vez, no momento da criação, e nunca é conservada em texto legível.
- Finalidade: permitir a autenticação por API e a sua identificação/gestão pelo utilizador.
- Base de licitude: execução do contrato (art. 6.º, n.º 1, al. b)) e interesse legítimo na segurança do serviço (art. 6.º, n.º 1, al. f)).
2.4. Registo de pesquisas (query log)
Para que seja plenamente transparente: as pesquisas que efetua são registadas e associadas à sua conta.
- Dados: por cada pedido, registamos a data/hora, o sujeito do pedido (identificador do utilizador ou da chave de API), a superfície utilizada (Web, MCP ou REST), o texto da pesquisa efetuada, o modo de recuperação (*retrieval mode*), o número de resultados devolvidos e a latência do pedido.
- Finalidade: aplicação de limites e quotas, faturação, prevenção e deteção de abuso, e depuração/diagnóstico técnico do serviço.
- Base de licitude: interesse legítimo (art. 6.º, n.º 1, al. f) do RGPD), designadamente o controlo de utilização, a faturação, a segurança e a prevenção de abuso, bem como a manutenção e melhoria do serviço.
Pode opor-se a este tratamento nos termos descritos na secção 8, sem prejuízo de o registo mínimo necessário à faturação, à aplicação de limites e à segurança poder ter de ser mantido.
2.5. Medição de utilização
- Dados: contadores de utilização por utilizador.
- Finalidade: aplicação de limites e quotas e faturação do serviço.
- Base de licitude: execução do contrato (art. 6.º, n.º 1, al. b)) e interesse legítimo (art. 6.º, n.º 1, al. f)); quanto à conservação de documentos de suporte à faturação, cumprimento de obrigação jurídica (art. 6.º, n.º 1, al. c)).
2.6. Pesquisas anónimas de demonstração (teaser)
Antes do registo, é possível efetuar um número limitado de pesquisas gratuitas. Para limitar essa utilização gratuita por rede, sem identificar o visitante:
- Dados: uma impressão criptográfica HMAC de rotação diária de uma forma truncada da rede do visitante (o bloco IPv6 /64), acompanhada de um contador diário. O endereço IP em bruto não é armazenado. É ainda utilizado um *cookie* assinado e *httpOnly* (`__Host-lx_anon` / `lx_anon`) para acompanhar a contagem de pesquisas de demonstração no navegador.
- Finalidade: limitar o número de pesquisas gratuitas por rede e prevenir o abuso do serviço.
- Base de licitude: interesse legítimo (art. 6.º, n.º 1, al. f) do RGPD).
2.7. OAuth / integração MCP
- Dados: quando o utilizador liga um assistente de IA ao Lexbase, guardamos a autorização concedida (utilizador, cliente e âmbitos/*scopes*) e *tokens* de renovação rotativos, conservados sob forma de impressão criptográfica (*hashed*).
- Finalidade: permitir e gerir a ligação autorizada entre a conta do utilizador e o assistente de IA por si escolhido.
- Base de licitude: execução do contrato (art. 6.º, n.º 1, al. b) do RGPD).
3. Cookies
O Lexbase utiliza apenas os seguintes *cookies*:
- Cookie funcional (teaser): `__Host-lx_anon` / `lx_anon` — assinado e *httpOnly*, serve exclusivamente para aplicar o limite de pesquisas gratuitas antes do registo. Não efetua rastreio.
- Cookie essencial (sessão): mantém o utilizador autenticado durante a utilização do serviço.
**Não utilizamos *cookies* de publicidade, de analítica nem de rastreio.** Uma vez que os *cookies* utilizados são estritamente funcionais e essenciais, entendemos que não é legalmente exigível um pedido de consentimento prévio (banner de *cookies*), sendo apenas devido o presente dever de transparência.
4. Prazos de conservação
Conservamos os dados apenas durante o período necessário às finalidades para que foram recolhidos. Os prazos indicados são propostas razoáveis e carecem de confirmação:
- Dados de conta e sessões: durante a vigência da conta; eliminados ou anonimizados até 90 dias após o encerramento da conta. [A CONFIRMAR]
- Chaves de API (impressão criptográfica, prefixo e etiqueta): enquanto a chave estiver ativa; eliminadas após a sua revogação. [A CONFIRMAR]
- Registo de pesquisas (query log), incluindo o texto da pesquisa: conservado por um período limitado para efeitos de segurança, depuração e prevenção de abuso — proposta de 12 meses; os dados estritamente necessários à faturação podem ser conservados pelos prazos legais aplicáveis. [A CONFIRMAR]
- Medição de utilização / contadores: enquanto necessário à faturação e à aplicação de limites; proposta de 12 meses [A CONFIRMAR], sem prejuízo dos prazos legais de conservação de documentos de suporte à faturação.
- Teaser anónimo (impressão HMAC diária do /64 e contador): rotação diária — o dado é substituído a cada dia; proposta de conservação máxima de até 30 dias. [A CONFIRMAR]
- **OAuth / MCP (autorizações e *tokens* de renovação):** enquanto a autorização se mantiver ativa; eliminados após a revogação da ligação. [A CONFIRMAR]
Findo o prazo aplicável, os dados são eliminados ou irreversivelmente anonimizados.
5. Destinatários e subcontratantes
Não vendemos nem cedemos os seus dados pessoais. Recorremos aos seguintes subcontratantes/prestadores, estritamente para as finalidades descritas:
- Alojamento: Hetzner Online GmbH (Alemanha) — infraestrutura de alojamento onde os dados são processados e armazenados.
- Fornecedor de correio eletrónico: [NOME DO FORNECEDOR DE EMAIL] — envio das mensagens de ligação mágica (*magic link*).
Os subcontratantes tratam os dados de acordo com as nossas instruções e ao abrigo de contratos de subcontratação nos termos do artigo 28.º do RGPD.
6. Transferências internacionais
O tratamento realizado pelo Lexbase não implica transferências de dados pessoais para fora da União Europeia. Todos os dados sob o controlo do Lexbase são alojados num único servidor localizado na Alemanha (Hetzner, UE). Trata-se de uma opção deliberada de soberania de dados: os dados permanecem no território da UE e não ficam sujeitos ao *CLOUD Act* dos Estados Unidos.
Do mesmo modo, se o utilizador ligar o Lexbase ao seu próprio assistente de IA (ver secção 7), as pesquisas que decida efetuar através desse assistente poderão ser tratadas fora da União Europeia pelo fornecedor de IA que escolher, ao abrigo do acordo e das garantias que mantém diretamente com esse fornecedor.
7. Integração com o assistente de IA do utilizador (MCP)
O Lexbase disponibiliza um servidor MCP que permite ao utilizador ligar o seu próprio assistente de IA (por exemplo, Claude, ChatGPT, Mistral Le Chat ou Google Gemini) para pesquisar a legislação.
Quando o utilizador liga o Lexbase ao seu assistente de IA, as pesquisas que decide efetuar através desse assistente fluem para o respetivo fornecedor de IA, ao abrigo do acordo que o utilizador mantém diretamente com esse fornecedor. Consoante o fornecedor de IA escolhido, esse tratamento pode ocorrer fora da União Europeia. O Lexbase não controla o fornecedor de IA escolhido pelo utilizador nem o tratamento de dados que aí ocorra. O Lexbase limita-se a devolver ao assistente o texto legal e as respetivas citações.
Recomendamos a consulta da política de privacidade do fornecedor de IA que escolher utilizar.
8. Direitos do titular dos dados
Nos termos dos artigos 15.º a 22.º do RGPD, assistem-lhe os seguintes direitos:
- Acesso aos seus dados pessoais (art. 15.º);
- Retificação de dados inexatos ou incompletos (art. 16.º);
- Apagamento ("direito a ser esquecido") (art. 17.º);
- Limitação do tratamento (art. 18.º);
- Portabilidade dos dados (art. 20.º);
- Oposição ao tratamento baseado em interesse legítimo, incluindo o registo de pesquisas (art. 21.º);
- Direito de não ficar sujeito a decisões automatizadas individuais (art. 22.º) — ver secção 10.
Uma vez que nenhum dos tratamentos descritos assenta no seu consentimento, não há lugar ao exercício do direito de retirada do consentimento; caso venhamos a introduzir qualquer tratamento baseado em consentimento, poderá retirá-lo a qualquer momento, sem afetar a licitude do tratamento anteriormente realizado.
Pode exercer estes direitos através do contacto de privacidade indicado na secção 1 (privacidade@lexbase.pt). Podemos solicitar informação adicional para confirmar a sua identidade antes de dar seguimento ao pedido.
Reclamação à autoridade de controlo: sem prejuízo de outra via, tem o direito de apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD) — https://www.cnpd.pt.
Para os utilizadores consumidores, encontra-se ainda disponível o Livro de Reclamações eletrónico (https://www.livroreclamacoes.pt) e, em matéria de resolução alternativa de litígios de consumo, os mecanismos de Resolução Alternativa de Litígios (RAL) e a plataforma de Resolução de Litígios em Linha (ODR) da Comissão Europeia (https://ec.europa.eu/consumers/odr), quando aplicáveis.
9. Segurança
Adotamos medidas técnicas e organizativas adequadas à proteção dos dados pessoais, designadamente: armazenamento das chaves de API apenas sob forma de impressão criptográfica com *pepper* (HMAC-SHA256), não conservação do endereço IP em bruto (substituído por impressão HMAC de rotação diária), utilização de *cookies* assinados e *httpOnly*, conservação dos *tokens* de renovação sob forma de impressão criptográfica, e concentração dos dados em infraestrutura localizada na União Europeia. Nenhum sistema é totalmente inviolável, mas procuramos aplicar as salvaguardas proporcionais aos riscos.
10. Decisões automatizadas e definição de perfis
Não realizamos definição de perfis (*profiling*) nem tomamos decisões exclusivamente automatizadas que produzam efeitos jurídicos na sua esfera ou que o afetem significativamente de modo similar, na aceção do artigo 22.º do RGPD. Não efetuamos publicidade nem vendemos dados pessoais.
11. Menores
O serviço destina-se a profissionais e ao público adulto interessado na consulta de legislação. Não se dirige a menores nem recolhemos, com conhecimento, dados de menores. Caso se verifique que foram recolhidos dados de um menor sem o adequado enquadramento, procederemos à sua eliminação.
12. Alterações a esta política
Esta Política de Privacidade pode ser atualizada sempre que necessário, designadamente por alteração do serviço ou do enquadramento legal. A versão em vigor é a publicada em https://lexbase.pt, com indicação da respetiva data de entrada em vigor. Alterações substanciais serão comunicadas pelos meios adequados.
13. Contactos e entrada em vigor
- Responsável pelo tratamento: TEEX, LDA, NIPC 518027864, Loures, Portugal
- Contacto geral: geral@lexbase.pt
- Contacto de privacidade / proteção de dados: privacidade@lexbase.pt
- Encarregado de Proteção de Dados: dpo@teex.pt
- Autoridade de controlo: Comissão Nacional de Proteção de Dados (CNPD) — https://www.cnpd.pt
Lei aplicável: Portugal. O tratamento de dados pessoais rege-se pelo RGPD (Regulamento (UE) 2016/679) e pela Lei n.º 58/2019, de 8 de agosto.
Data de entrada em vigor: 13 de julho de 2026