Política de Privacidade

Esta é uma tradução de cortesia. A versão alemã é a juridicamente vinculativa.

1. Responsável pelo tratamento

cilku.io DOOEL
Bratstvo Edinstvo Br. 70, 1250 Debar, Macedónia do Norte
E-mail:

2. Princípio fundamental do redact.al

O redact.al foi desenvolvido segundo o princípio Privacy by Design. A anonimização dos seus textos ocorre exclusivamente de forma local no seu navegador. Nem os textos introduzidos, nem as entidades detetadas, nem a tabela de correspondência (Vault) são transmitidos aos nossos servidores.

O modelo NER (Named Entity Recognition) é descarregado para o seu navegador no primeiro carregamento da aplicação e funciona depois inteiramente offline. Pode verificá-lo a qualquer momento através da consola de rede do seu navegador.

3. Que dados tratamos

3.1 Dados de conta

No registo e durante a utilização guardamos:

• Nome e endereço de e-mail
• Palavra-passe em formato hash (não em texto simples)
• Momento do registo e atividade de autenticação / de segurança na sua conta (ver §3.6)
• Licença atribuída e função (utilizador, gestor de equipa, administrador)

Fundamento jurídico: art. 6.º, n.º 1, alínea b RGPD (execução do contrato).

3.2 Gestão de licenças

Guardamos informações sobre a validade da licença (domínio, tipo, data de termo, número de lugares) para gerir o acesso à aplicação. Diariamente é efetuada uma verificação de licença do lado do servidor.

Fundamento jurídico: art. 6.º, n.º 1, alínea b RGPD (execução do contrato).

3.3 Ficheiros de registo do servidor

Quando os nossos servidores são acedidos, são tratados dados técnicos de acesso num ficheiro de registo do servidor:

• Endereço IP
• Data e hora do acesso
• URL acedido e código de estado HTTP
• Tipo de navegador e sistema operativo (User-Agent)

Estes dados são necessários para garantir o funcionamento técnico e para detetar tentativas de ataque. Os ficheiros de registo do servidor são automática e irrevogavelmente eliminados no prazo máximo de 24 horas. Não há armazenamento prolongado nem análise dos ficheiros de registo completos. Não há qualquer associação entre endereços IP e contas de utilizador.

Fundamento jurídico: art. 6.º, n.º 1, alínea f RGPD (interesse legítimo na segurança técnica e na integridade do serviço).

3.4 Bloqueio de IP para proteção contra acessos abusivos

Para proteger os nossos servidores de tentativas de ataque automatizadas (por exemplo, o acesso não autorizado a caminhos como /.env, /admin ou outros alvos típicos de ataque), utilizamos a ferramenta fail2ban. O fail2ban analisa os ficheiros de registo do servidor dentro da janela de 24 horas. Se for detetado um comportamento abusivo, o endereço IP em causa é inscrito na lista de bloqueio da firewall.

Na lista de bloqueio da firewall são guardados exclusivamente o endereço IP e o momento do desbloqueio. Não são associados quaisquer dados de registo, nem caminhos de pedido, nem User-Agents, nem contas de utilizador a endereços IP bloqueados. Findo o prazo de bloqueio, a entrada é automaticamente removida.

Duração do bloqueio: até 365 dias, em função da gravidade e da frequência da infração detetada.

Fundamento jurídico: art. 6.º, n.º 1, alínea f RGPD (interesse legítimo na proteção do serviço contra acessos abusivos).

3.5 Formulário de contacto

Quando nos envia uma mensagem através do formulário de contacto, guardamos o seu nome, o seu endereço de e-mail e o conteúdo da sua mensagem para tratamento do seu pedido. Estes dados são eliminados após a conclusão do tratamento, salvo se existirem obrigações legais de conservação.

Fundamento jurídico: art. 6.º, n.º 1, alínea b RGPD (diligências pré-contratuais) ou art. 6.º, n.º 1, alínea f RGPD (interesse legítimo na resposta a pedidos).

3.6 Registo de auditoria de autenticação e segurança

Para garantir a rastreabilidade das ações relevantes para a segurança da sua conta, registamos os seguintes eventos com indicação de data e hora:

• autenticações bem-sucedidas e falhadas
• alterações, reposições e definição inicial de palavra-passe
• ativação, desativação e regeneração de códigos de recuperação da autenticação de dois fatores
• registo e remoção de passkeys (WebAuthn)
• exercício de direitos do titular dos dados (por exemplo, exportação de dados ao abrigo do art. 15.º RGPD)
• ações administrativas realizadas na sua conta pela nossa equipa (por exemplo, desativação da conta, alteração de licença)

O conteúdo dos seus tratamentos — textos introduzidos, entidades detetadas, correspondências de pseudónimos — nunca é registado, pois não chega aos nossos servidores (ver §2 e §4). A exportação de dados ao abrigo do art. 15.º RGPD disponível na área «Definições» contém exclusivamente as entradas de auditoria que lhe dizem pessoalmente respeito; as ações operacionais executadas por um administrador noutras contas não fazem parte da sua exportação.

Fundamento jurídico: art. 6.º, n.º 1, alínea f RGPD em conjugação com o §32 BDSG (interesse legítimo na segurança informática, na deteção de abusos e nas obrigações de prestação de contas perante as autoridades de controlo).

4. O que NÃO tratamos expressamente

• Os textos ou documentos por si introduzidos
• Entidades detetadas (nomes, moradas, IBAN, etc.)
• A tabela de correspondência (Vault) entre dados originais e pseudónimos
• Conteúdos de sessão ou resultados de anonimização

Estes dados permanecem exclusivamente na IndexedDB do seu navegador e em momento algum são transmitidos aos nossos servidores. É tecnicamente impossível acedermos a estes dados.

5. Cookies

O redact.al utiliza cookies funcionais: um cookie de autenticação para manter a sessão ativa após o início de sessão (base jurídica: §25, n.º 2, n.º 2, TDDDG, sem necessidade de consentimento) e, caso aceda ao nosso sítio através do link de recomendação de um parceiro comercial (formato /r/<id>), um cookie de recomendação redactal_referrer válido durante 90 dias. Este cookie é definido apenas quando um link de recomendação deste tipo é aberto, nunca numa visita direta. Armazena exclusivamente o identificador anónimo do parceiro comercial que faz a recomendação e serve para atribuir a recomendação ao contacto comercial responsável para efeitos de apuramento de comissões em caso de celebração posterior do contrato. Não é utilizado para fins de rastreamento, análise, marketing ou de terceiros. A base jurídica é o art. 6.º, n.º 1, alínea f) RGPD (interesse legítimo no apuramento de comissões com os nossos parceiros comerciais). Pode eliminar o cookie de recomendação a qualquer momento através das definições de cookies do seu navegador; a eliminação põe fim à atribuição. Não são utilizados cookies de rastreamento, de análise, de marketing ou de terceiros.

6. Localização do servidor, administração e subcontratação

Os servidores do redact.al são operados pela Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Alemanha. Os dados pessoais encontram-se exclusivamente em servidores no interior da União Europeia. Todos os componentes da infraestrutura, incluindo cópias de segurança, monitorização e demais serviços operacionais, são alojados exclusivamente na Hetzner Online GmbH, na Alemanha. Não é utilizada qualquer Content Delivery Network nem serviços externos de análise, rastreamento, marketing ou monitorização.

A administração dos servidores é efetuada pelo responsável exclusivamente a partir de uma estação de trabalho situada na Alemanha. Todo o acesso administrativo aos servidores ocorre a partir desta estação alemã. Assim se assegura que os dados pessoais nunca são tratados em equipamentos ou redes fora da União Europeia.

Para o envio de e-mails transacionais (confirmação de registo, reposição de palavra-passe, notificações de licença e contrato) utilizamos a IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Alemanha.

Com ambos os subcontratantes existe um contrato de subcontratação ao abrigo do art. 28.º RGPD. Não há qualquer transmissão de dados pessoais a outros destinatários.

7. Prazo de conservação

Conservamos os dados pessoais apenas pelo tempo necessário às respetivas finalidades.

• Dados de conta (e-mail, hash da palavra-passe, pertença a equipa, vínculo a licença): até ao termo da relação contratual, acrescidos de um período de carência de 14 dias. Após esse prazo, todo o conjunto de dados da conta é irrevogavelmente eliminado.
• Registos de acesso ao servidor: no máximo 24 horas, seguidos de eliminação automática e irrevogável.
• Lista de bloqueio da firewall (após abuso detetado automaticamente): até 365 dias, exclusivamente endereço IP e momento de desbloqueio.
• Registo de auditoria da atividade de autenticação e segurança (§3.6): 365 dias; após esse prazo, as entradas são automaticamente e irrevogavelmente eliminadas por um processo diário em segundo plano.
• E-mails transacionais no fornecedor de e-mail IONOS: nos termos das políticas de conservação do subcontratante; o próprio redact.al não armazena os e-mails enviados.

8. Necessidade do fornecimento dos dados

O fornecimento do seu endereço de e-mail é contratualmente necessário para a celebração do contrato e para a utilização do redact.al. Sem um endereço de e-mail válido não podemos criar-lhe uma conta nem conceder acesso ao serviço. Não existe obrigação legal de fornecimento. Consequência da não disponibilização: não é celebrado qualquer contrato com a cilku.io DOOEL relativo à utilização do redact.al.

9. Decisões automatizadas

No redact.al não são tomadas decisões automatizadas, incluindo a definição de perfis na aceção do art. 22.º RGPD. Não são feitas avaliações automatizadas, classificações de risco ou decisões com efeitos jurídicos sobre si.

10. Consentimentos e direito de retirada

Tratamos os seus dados pessoais exclusivamente com base no art. 6.º, n.º 1, alínea b RGPD (execução do contrato) e no art. 6.º, n.º 1, alínea f RGPD (interesse legítimo na segurança técnica dos nossos servidores). Não existe tratamento com base em consentimento na aceção do art. 6.º, n.º 1, alínea a RGPD. Por essa razão, um direito de retirada de consentimento é desprovido de objeto.

11. Segurança dos dados

A ligação ao redact.al está integralmente cifrada por TLS (HTTPS). As palavras-passe são guardadas exclusivamente como hash Bcrypt. O acesso à aplicação requer uma licença válida e uma conta de utilizador ativa.

12. Os seus direitos

Tem em qualquer momento direito a:

• Acesso aos seus dados conservados (art. 15.º RGPD)
• Retificação de dados inexatos (art. 16.º RGPD)
• Apagamento dos seus dados (art. 17.º RGPD)
• Limitação do tratamento (art. 18.º RGPD)
• Portabilidade dos dados (art. 20.º RGPD)
• Oposição ao tratamento (art. 21.º RGPD)

Para exercer os seus direitos utilize o nosso formulário de contacto ou escreva para a morada indicada na secção 1

13. Direito de reclamação

Tem o direito de apresentar reclamação junto de uma autoridade de controlo de proteção de dados. A autoridade de controlo competente para nós é a Agência para a Proteção dos Dados Pessoais da República da Macedónia do Norte (azlp.mk). Os utilizadores na UE podem também contactar a autoridade de controlo do respetivo Estado-Membro.

14. Alterações

Reservamo-nos o direito de adaptar a presente política de privacidade para a alinhar com alterações de requisitos legais ou alterações de funcionalidade. A versão atual encontra-se sempre nesta página.