Routify
← Legal

Privacy Policy

Last updated / Última atualização: 2026-06-15 · Version 2.0

This Privacy Policy explains how personal data is processed when you use Routify (the "Service"). It is written to comply with Regulation (EU) 2016/679 ("GDPR"), Portuguese Law 58/2019 and Law 41/2004 (privacy in electronic communications).

1. Data controller

The data controller is the entity identified on the Legal page. Contact for privacy matters: Routify.info@gmail.com. We have not appointed a Data Protection Officer (DPO) as we do not meet the criteria of Article 37 GDPR.

2. Categories of personal data

3. Purposes and legal bases

PurposeData usedLegal basis (GDPR Art. 6)
Generate itinerariesInputs, account IDContract (6(1)(b))
Manage your accountAccount dataContract (6(1)(b))
Process subscriptions & paymentsBilling dataContract (6(1)(b)) + legal obligation (6(1)(c))
Send service emails (welcome, receipts, account)EmailContract (6(1)(b))
Security, fraud and abuse preventionTechnical data, usageLegitimate interest (6(1)(f))
Audience measurement (Google Analytics)Technical dataConsent (6(1)(a))
Approximate geolocationGPS coordinatesConsent (6(1)(a))
Comply with tax/accounting lawBilling dataLegal obligation (6(1)(c))

4. Automated decisions and AI processing

Itineraries are generated by large language models operated by OpenAI. The inputs you submit (city, interests, free-text notes) are sent to the model to produce the response. We do not perform automated decision-making with legal or similarly significant effects on you within the meaning of Article 22 GDPR. Outputs are informational suggestions; you decide whether to follow them. We do not use your inputs to train AI models, and our processors are contractually bound not to use them to train their models when processed via our API integrations.

5. Recipients and processors (subprocessors)

Each processor is bound by a data processing agreement (Article 28 GDPR). We do not sell your personal data.

6. International transfers

Some processors are located outside the EEA (notably in the United States). Transfers rely on the EU-U.S. Data Privacy Framework where the recipient is certified, on the European Commission's Standard Contractual Clauses (Decision 2021/914), and, where appropriate, on additional technical and organisational safeguards (encryption in transit and at rest, access controls).

7. Retention

8. Security

We apply appropriate technical and organisational measures (encryption in transit via TLS, encryption at rest, role-based access, principle of least privilege, row-level security on the database, secure secret management, periodic backups). No system is 100% secure; we cannot guarantee absolute security but commit to notifying you and the CNPD of any personal data breach as required by Articles 33-34 GDPR.

9. Your rights

Under the GDPR you have the right to:

To exercise these rights, email Routify.info@gmail.com. We respond within 30 days (extendable up to 60 days for complex requests). We may ask for proof of identity to prevent unauthorised disclosure.

10. Right to lodge a complaint

You have the right to lodge a complaint with the Portuguese supervisory authority Comissão Nacional de Proteção de Dados (CNPD): cnpd.pt — Av. D. Carlos I, n.º 134, 1.º, 1200-651 Lisboa. You may also complain to the supervisory authority of your habitual residence.

11. Children

The Service is not directed at children under 16. We do not knowingly collect data from children under 16 without parental consent. If you believe a child has provided personal data to us, please contact us and we will delete it.

12. Cookies

For detailed information about cookies and local storage, see our Cookie Policy.

13. Changes to this Policy

We may update this Policy. The "Last updated" date above indicates the current version. Material changes will be notified by email or in-app.


Versão em Português

A presente Política de Privacidade descreve como são tratados os dados pessoais no âmbito do Serviço Routify, em cumprimento do RGPD, da Lei n.º 58/2019 e da Lei n.º 41/2004.

1. Responsável pelo tratamento

Identificado na página Legal. Contacto para questões de privacidade: Routify.info@gmail.com. Não há obrigação legal de designação de EPD/DPO (art. 37.º RGPD).

2. Dados tratados

Inputs do itinerário; localização aproximada (com consentimento); dados de conta (email, nome, identificador de autenticação); dados de subscrição e faturação; utilização (rotas geradas, contadores de quota); dados técnicos (IP, navegador, logs); comunicações.

3. Finalidades e fundamentos

Execução do contrato (geração de itinerários, conta, subscrição); obrigações legais (faturação e fiscalidade); interesse legítimo (segurança e prevenção de abuso); consentimento (geolocalização, Google Analytics).

4. IA e decisões automatizadas

Os itinerários são gerados por modelos de linguagem da OpenAI. Não há decisões automatizadas com efeitos jurídicos ou significativos na esfera do utilizador (art. 22.º RGPD). Os inputs não são utilizados para treinar modelos.

5. Subcontratantes

OpenAI, Google (Maps + Analytics), Supabase/Lovable Cloud, Cloudflare, Stripe e fornecedor de email transacional. Todos vinculados por acordo de tratamento (art. 28.º RGPD). Não vendemos dados pessoais.

6. Transferências internacionais

Alguns subcontratantes estão fora do EEE (sobretudo EUA). Transferências baseadas no EU-U.S. Data Privacy Framework, em Cláusulas Contratuais-Tipo (Decisão 2021/914) e em medidas técnicas adicionais (cifragem em trânsito e em repouso, controlos de acesso).

7. Conservação

8. Segurança

TLS, cifragem em repouso, controlo de acessos, princípio do mínimo privilégio, RLS na base de dados, gestão segura de segredos, backups. Compromisso de notificação de violações nos termos dos arts. 33.º e 34.º RGPD.

9. Direitos do titular

Acesso, retificação, apagamento, limitação, portabilidade, oposição, retirada de consentimento e direito de não ser sujeito a decisões automatizadas. Pedidos por email para Routify.info@gmail.com, com resposta em 30 dias (prorrogáveis até 60).

10. Reclamação

Pode reclamar junto da CNPD (cnpd.pt) — Av. D. Carlos I, n.º 134, 1.º, 1200-651 Lisboa, ou da autoridade de controlo da sua residência habitual.

11. Menores

Serviço não destinado a menores de 16 anos. Não recolhemos conscientemente dados de menores sem consentimento parental.

12. Cookies

Ver a Política de Cookies.

13. Alterações

Esta Política pode ser atualizada; a data acima reflete a versão em vigor. Alterações materiais serão notificadas.