Política de Privacidade

Última atualização: 8 de abril de 2026  ·  Em vigor desde: 8 de abril de 2026

CaseStories ("nós", "nosso") é operado por Vento Digitale di Marco Forlani (NIF IT03694090139), Itália. Esta política explica como recolhemos, utilizamos e protegemos os seus dados pessoais em plena conformidade com o RGPD (UE 2016/679), o Código de Privacidade italiano, o UK GDPR e as leis de privacidade aplicáveis, incluindo a LGPD brasileira.

1. Responsável pelo Tratamento e Contactos

O responsável pelo tratamento dos seus dados pessoais é:

  • Vento Digitale di Marco Forlani
  • NIF IT03694090139 — Itália
  • Morada registada: Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy
  • Plataforma: CaseStorieswww.casestories.com
  • E-mail: support@casestories.com

Encarregado de Proteção de Dados (EPD)

Nos termos do Art. 37 RGPD, um EPD é obrigatório para autoridades públicas, organizações que realizam monitorização sistemática em grande escala ou que tratam categorias especiais de dados em grande escala. A Vento Digitale di Marco Forlani é um pequeno operador privado que não realiza monitorização sistemática em grande escala. Por conseguinte, não é legalmente obrigatório designar um EPD. Todos os assuntos de privacidade são tratados diretamente pelo responsável.

2. Dados que Recolhemos

2.1 Dados de Conta

Quando se regista, recolhemos:

  • Endereço de e-mail (obrigatório — identificador de conta)
  • Nome e apelido (obrigatórios)
  • Palavra-passe — hash Argon2id (não reversível)
  • Nome da empresa, descrição, website, cidade, país, setor, telefone (opcionais)
  • Logótipo da empresa (opcional)
  • Idioma preferido

2.2 Dados de Conteúdo

Todos os casos de estudo, descrições, ficheiros de média e mensagens diretas são armazenados e associados à sua conta.

2.3 Análise

2.3.1 Análise baseada em cookies — Matomo (consentimento necessário)

Utilizamos o Matomo, uma plataforma de análise web de código aberto operada exclusivamente nos nossos próprios servidores dentro da União Europeia. Nenhum dado analítico é enviado a serviços de análise de terceiros. O Matomo é carregado apenas após aceitar os cookies através do nosso banner. Quando ativo, o Matomo recolhe:

  • IP anonimizado — os dois últimos octetos são mascarados antes do armazenamento (ex. 203.0.113.0.0); o IP completo nunca é armazenado.
  • Páginas visitadas e carimbos de data/hora
  • Browser e SO
  • URL de referência
  • País aproximado (derivado do IP mascarado)

Se recusar os cookies, o Matomo não é carregado e não ocorre qualquer rastreamento baseado em cookies.

2.3.2 Análise first-party no servidor (sem consentimento necessário)

Independentemente do consentimento de cookies, a plataforma regista no servidor eventos de interação — nomeadamente visualizações de página, cliques em CTA, partilhas, pesquisas e cliques em links de contacto de casos de estudo publicados. Estes dados são processados exclusivamente para fornecer aos proprietários de casos de estudo estatísticas de desempenho agregadas. A base jurídica é o interesse legítimo (Art. 6(1)(f) RGPD).

Por cada evento são registados no servidor os seguintes dados:

  • Tipo de evento (visualização, clique, partilha, pesquisa ou clique de contacto)
  • Hash SHA-256 do endereço IP — o IP bruto nunca é armazenado; apenas o seu hash unidirecional, irreversível.
  • Código de país (ISO 3166-1 de 2 letras, ex. IT, PT) — derivado do IP antes do hash.
  • URL de referência — o cabeçalho HTTP Referer, se presente.
  • Cadeia User-Agent — o identificador completo de browser e sistema operativo enviado pelo seu browser em cada pedido HTTP (ex. Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)…). Esta cadeia é armazenada tal qual e utilizada para classificar as visitas por tipo de dispositivo e browser nas estatísticas agregadas. Embora a cadeia User-Agent não identifique por si só de forma unívoca, combinada com o hash IP e o referente constitui um dado pseudonimizado nos termos do RGPD. É conservada durante 24 meses e depois eliminada.

Este tratamento não utiliza cookies nem mecanismos de armazenamento do lado do cliente, ficando portanto fora do âmbito da Diretiva ePrivacy. Pode opor-se a este tratamento a qualquer momento ao abrigo do Art. 21 RGPD contactando-nos em support@casestories.works.

Não utilizamos Google Analytics, Meta Pixel nem scripts de rastreamento de terceiros na plataforma ou nos nossos e-mails.

2.4 Dados de Pagamento

O Paddle atua como Merchant of Record e responsável autónomo pelo tratamento dos dados de pagamento. Não armazenamos números de cartão nem CVV. Apenas conservamos o ID de cliente, subscrição, transação e estado de pagamento do Paddle.

2.5 Conteúdo Gerado por IA

O texto do projeto é transmitido à API da Anthropic. Sem identificadores pessoais. Tratamento transitório; não utilizado para treinar modelos ao abrigo do nosso DPA.

2.6 Dados de Início de Sessão OAuth

Via Google, LinkedIn ou Facebook: apenas recebemos e-mail e nome de exibição. Armazenamos nome do fornecedor e ID de utilizador. Sem tokens OAuth nem palavras-passe.

2.7 Metadados de E-mails Transacionais

Para e-mails transacionais tratamos o seu endereço e estado de entrega. Não incorporamos pixels de rastreamento nem links rastreados nos nossos e-mails.

3. Como Utilizamos os Seus Dados

  • Prestação do serviço: Gestão de conta, publicação de casos, pagamentos, IA de escrita e tradução.
  • Melhoria do serviço: Análise de padrões de utilização agregados e anonimizados.
  • Comunicação: E-mails transacionais (verificação, redefinição, recibos, alertas). Sem e-mails de marketing sem consentimento explícito prévio.
  • Segurança: Deteção e prevenção de acessos fraudulentos, limitação de taxa, prevenção de abusos.
  • Cumprimento legal e contabilidade: Conservação de registos de faturação conforme exigido pela legislação fiscal da UE e italiana.
  • Divulgação a autoridades públicas: Quando exigido por lei, ordem judicial ou pedido vinculativo de autoridade competente, podemos divulgar dados pessoais. Notificaremos o titular salvo proibição legal.
  • Suporte: Resposta a pedidos e resolução de disputas.
  • Administração e manutenção da plataforma: Como operador da plataforma, podemos aceder aos dados de conta e conteúdos dos utilizadores estritamente quando necessário para manutenção técnica, diagnóstico do sistema, resposta a incidentes de segurança e investigação de abusos. Tal acesso é limitado ao estritamente necessário, é registado e nunca é utilizado para fins comerciais.

Nunca vendemos, arrendamos, cedemos nem comercializamos os seus dados pessoais a terceiros. Não os utilizamos para publicidade dirigida nem os partilhamos com corretores de dados.

4. Bases Jurídicas do Tratamento (Art. 6 RGPD)

  • Execução contratual (Art. 6(1)(b)): Tratamento necessário para prestar o serviço — gestão de conta, publicação de casos, pagamentos, escrita IA.
  • Interesses legítimos (Art. 6(1)(f)): Monitorização de segurança, prevenção de fraudes e análise própria. Foi realizada uma Avaliação de Interesses Legítimos (LIA): os nossos interesses são equilibrados com técnicas de proteção da privacidade (hash de IP, anonimização). Pode opor-se a qualquer momento (§8).
  • Obrigação legal (Art. 6(1)(c)): Conservação de registos de faturação conforme legislação fiscal (10 anos).
  • Consentimento (Art. 6(1)(a)): Atualmente apenas para o registo (verificação de e-mail). Funcionalidades opcionais futuras serão opt-in, com direito a retirar o consentimento a qualquer momento sem penalização.

5. Subcontratantes e Prestadores de Serviços

5.1 Paddle (Pagamentos — Responsável Autónomo)

Paddle.com Market Ltd (Reino Unido / Irlanda). Atua como Merchant of Record — o Paddle é responsável autónomo pelos dados de pagamento, não subcontratante nosso. Conformidade PCI-DSS segundo a sua própria política: paddle.com/legal/privacy. Apenas recebemos os metadados do §2.4.

5.2 Anthropic (Escrita IA & Tradução — Subcontratante)

Anthropic, PBC (EUA). Ao abrigo de DPA assinado. Apenas texto do projeto é transmitido. Transferência para os EUA coberta por SCCs (RGPD Art. 46(2)(c)) e medidas suplementares. TIA realizada. Política: anthropic.com/privacy.

5.3 Fornecedores OAuth — Google, LinkedIn (Identidade — Responsáveis Autónomos)

Google LLC e LinkedIn Corporation — apenas se optar por iniciar sessão através dos seus serviços. Cada fornecedor é responsável autónomo pela autenticação OAuth. Apenas recebemos nome e e-mail (§2.6); não recebemos tokens OAuth, palavras-passe nem outros dados de perfil. O início de sessão via Facebook também está disponível como opção alternativa. As transferências para os EUA são cobertas pela decisão de adequação EU-EUA (10 de julho de 2023) ou, quando aplicável, por SCCs.

5.4 Infraestrutura de Alojamento — Amazon Web Services UE (Subcontratante)

Todos os servidores de aplicações e bases de dados estão alojados na Amazon Web Services (AWS), região União Europeia (eu-west-1 — Irlanda ou eu-central-1 — Frankfurt). Nenhum dado primário é armazenado fora da União Europeia. A AWS assinou um DPA connosco e está vinculada pelo RGPD Art. 28. As regiões UE da AWS são certificadas ISO 27001, SOC 2 e oferecem garantias contratuais de residência de dados na UE.

5.5 Entrega de E-mails Transacionais (Subcontratante)

E-mails transmitidos via SMTP com encriptação TLS. Infraestrutura na UE, vinculada por DPA e RGPD Art. 28. O seu endereço é utilizado exclusivamente para a entrega da notificação do sistema.

5.6 Análise — Matomo (Operado por Nós, Infraestrutura UE)

Alojamos autonomamente o Matomo, uma plataforma de análise web de código aberto, na nossa própria infraestrutura dentro da União Europeia. O Matomo não é um serviço de terceiros — funciona inteiramente em servidores que controlamos e nenhum dado analítico é transmitido a partes externas. O Matomo processa apenas os dados anonimizados descritos em §2.3. Como ferramenta interna, o Matomo está integralmente sujeito a esta política de privacidade.

6. Cookies e Tecnologias Similares

CaseStories utiliza cookies em duas categorias:

Cookies Estritamente Necessários (sem consentimento necessário)

Estes cookies são essenciais para o funcionamento da plataforma e não podem ser desativados.

  • Cookie de sessão (PHPSESSID): Mantém a autenticação. Expira ao fechar o browser ou após 30 min de inatividade. Atributos: HttpOnly, Secure, SameSite=Strict.
  • Cookie CSRF: Proteção CSRF. Sem identificação. Atributos: HttpOnly, Secure, SameSite=Strict.
  • Cookie de idioma: Armazena o idioma preferido. Sem dados pessoais. Expira após 1 ano.
  • Cookie de preferência de consentimento: Regista a sua escolha de aceitar ou recusar cookies analíticos. Expira após 1 ano.

Cookies Analíticos (consentimento necessário)

Estes cookies só são definidos após o seu consentimento através do nosso banner de cookies. São utilizados exclusivamente para as análises agregadas e anonimizadas descritas em §2.3 (Matomo, alojado na nossa infraestrutura UE).

  • _pk_id.*: Identifica uma sessão de browser para o Matomo. Expira após 13 meses. Não são armazenadas informações de identificação pessoal.
  • _pk_ses.*: Cookie de sessão de curta duração para o Matomo. Expira após 30 minutos.

Pode retirar o seu consentimento a cookies analíticos a qualquer momento clicando na ligação de definições de cookies no rodapé da página. O Matomo é operado por nós nos nossos servidores UE — nenhum dado analítico é partilhado com terceiros.

Não utilizamos cookies publicitários, pixels de rastreamento, fingerprinting nem cookies de terceiros.

7. Conservação de Dados

  • Dados de conta: Enquanto ativa. Eliminados em 30 dias após pedido de apagamento verificado (§8), ressalvadas as obrigações de conservação legal.
  • Casos de estudo: Até eliminação ou encerramento. Removidos imediatamente da visualização pública; apagados das cópias de segurança em 90 dias.
  • Dados analíticos (IP hash + estatísticas): 24 meses. O hash de IP é tecnicamente irreversível.
  • Registos de faturação: 10 anos — Diretiva IVA da UE e lei fiscal italiana. Não podem ser eliminados antes.
  • Mensagens de suporte: 3 anos após o último contacto.
  • Registos de entrega de e-mails: 30 dias, apenas para resolução de problemas.
  • Dados eliminados nas cópias de segurança: Substituídos em 90 dias.

8. Os Seus Direitos ao abrigo do RGPD e da Legislação Aplicável

No EEE, no Reino Unido ou na Suíça, tem os seguintes direitos:

  • Acesso (Art. 15): Cópia de todos os seus dados pessoais e informações sobre o seu tratamento.
  • Retificação (Art. 16): Corrigir dados inexatos. A maioria dos campos é editável nas definições de conta.
  • Apagamento — "direito a ser esquecido" (Art. 17): Eliminação em 30 dias. Exceção: dados legalmente obrigatórios (§7).
  • Portabilidade (Art. 20): Dados em formato JSON. Solicite por e-mail.
  • Limitação (Art. 18): Tratamento limitado durante resolução de disputas.
  • Oposição (Art. 21): Opor-se ao tratamento baseado em interesses legítimos. Cessamos salvo motivos legítimos imperiosos.
  • Retirar consentimento (Art. 7(3)): A qualquer momento, sem efeito retroativo.
  • Não ser sujeito a decisões automatizadas (Art. 22): Não tomamos decisões baseadas exclusivamente em tratamento automatizado. Ver §15.

Fornecimento de dados — obrigatório e voluntário (Art. 13(2)(e)): O endereço de e-mail e o nome são obrigatórios para criar uma conta. Todos os outros campos do perfil são opcionais.

Exercício de direitos: E-mail para support@casestories.com, assunto "GDPR Request", ou por carta para: Vento Digitale di Marco Forlani, Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy. Resposta em 30 dias (extensível a 60 para pedidos complexos). Sem encargos.

Direito de apresentar queixa: Pode apresentar queixa junto de qualquer autoridade de controlo competente do EEE no Estado-membro da sua residência habitual ou local de trabalho. A autoridade líder é:
Garante per la protezione dei dati personaliwww.garanteprivacy.it
Os residentes no Reino Unido podem também contactar a ICO: ico.org.uk.
Os titulares de dados brasileiros podem contactar a ANPD: gov.br/anpd.

9. Segurança dos Dados

Implementamos medidas técnicas e organizacionais (MTO) adequadas nos termos do RGPD Art. 32 e privacidade desde a conceção (Art. 25):

  • HTTPS com TLS 1.2+; redireccionamentos HTTP para HTTPS
  • Hash Argon2id para palavras-passe (não reversível, com salt)
  • Anonimização IP SHA-256 + salt (IP bruto nunca armazenado)
  • Tokens CSRF em todos os pedidos que alteram estado
  • Limitação de taxa em endpoints de autenticação e API
  • HttpOnly, Secure, SameSite=Strict nos cookies de sessão
  • Prevenção de injeção SQL via declarações preparadas
  • Validação MIME e armazenamento fora da raiz web
  • Controlo de acesso baseado em funções com princípio do mínimo privilégio
  • Revisões de segurança regulares e auditorias de dependências
  • Cópias de segurança encriptadas na UE

Nenhum sistema é 100% seguro. Em caso de violação: notificação ao Garante em 72 horas (RGPD Art. 33) e aos utilizadores afetados sem demora em caso de risco elevado (Art. 34).

10. Transferências Internacionais de Dados

Todos os dados primários — contas, conteúdos, análises — são armazenados e processados exclusivamente na Amazon Web Services (AWS), região União Europeia. Não transferimos os seus dados para fora da UE para qualquer finalidade de armazenamento ou processamento principal.

As únicas transferências fora da UE/EEE estão estritamente limitadas ao seguinte:

  • Anthropic (EUA) — apenas geração de texto IA: Coberto por SCCs (RGPD Art. 46(2)(c)) em DPA assinado, complementado por TIA. Apenas texto do projeto é transmitido; nenhum identificador pessoal é incluído.
  • Fornecedores OAuth (EUA) — Google, LinkedIn: Decisão de adequação EU-EUA (10 de julho de 2023) ou SCCs. Aplica-se apenas quando opta ativamente por iniciar sessão através destes fornecedores.

Não vendemos, partilhamos nem transferimos dados pessoais a qualquer outra parte fora da UE para fins de marketing, comerciais ou técnicos.

UK GDPR: Os utilizadores do Reino Unido estão cobertos pelo UK GDPR. As transferências para o RU beneficiam da decisão de adequação da UE. Os direitos do §8 aplicam-se igualmente. Contacte-nos para detalhes sobre as salvaguardas específicas em support@casestories.com.

11. Privacidade de Menores

CaseStories é uma plataforma B2B profissional não destinada a pessoas com menos de 16 anos (idade de consentimento digital RGPD). Não recolhemos conscientemente dados de menores de 16 anos. Se acredita que uma criança nos forneceu dados, contacte-nos imediatamente em support@casestories.com.

12. Notificação de Violação de Dados

Em caso de violação de dados:

  • Notificação ao Garante em 72 horas (RGPD Art. 33), salvo risco improvável
  • Notificação aos afetados sem demora (RGPD Art. 34) em caso de risco elevado, salvo dados ininteligíveis
  • Conteúdo: natureza e âmbito, categorias e número de afetados, prováveis consequências, medidas tomadas
  • Manutenção de um registo interno de violações (RGPD Art. 33(5))

13. Alterações a esta Política

Podemos atualizar esta política para refletir mudanças nas nossas práticas, tecnologia ou requisitos legais.

As alterações substanciais (finalidades, tipos de dados, novos subcontratantes ou alterações aos direitos) serão notificadas aos titulares de contas por e-mail com pelo menos 30 dias de antecedência e com aviso proeminente na plataforma. A utilização continuada implica apenas aceitação de atualizações não substanciais.

As alterações não substanciais (esclarecimentos, formatação, contactos) podem entrar em vigor imediatamente.

Versões anteriores disponíveis mediante pedido.

14. Contacto

Para qualquer consulta, pedido ou reclamação relacionada com privacidade:

  • E-mail: support@casestories.com — assunto "Privacy / GDPR"
  • Morada postal: Vento Digitale di Marco Forlani, Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy, Itália
  • Tempo de resposta: 30 dias (extensível a 60 para pedidos complexos, RGPD Art. 12(3)). Confirmação de receção em 5 dias úteis.

Verificação de identidade antes de processar qualquer pedido. Sem encargos para pedidos padrão; pode ser cobrada uma taxa razoável para pedidos manifestamente infundados ou excessivos (RGPD Art. 12(5)).

15. Decisões Automatizadas e Elaboração de Perfis

Em conformidade com os Art. 13(2)(f) e 22 do RGPD:

  • Não realizamos qualquer tomada de decisão automatizada individual que produza efeitos jurídicos ou igualmente significativos.
  • Não realizamos elaboração de perfis nos termos do Art. 4(4) RGPD — nenhum tratamento automatizado para avaliar aspetos pessoais, analisar ou prever comportamentos, preferências ou interesses.
  • A análise própria (§2.3) produz apenas estatísticas agregadas e anonimizadas.
  • As funcionalidades de IA (§2.5) geram texto editorial com base em descrições de projetos. Sem avaliação, pontuação ou decisão individual.
  • A limitação de taxa e deteção de fraudes envolvem verificações automatizadas, mas qualquer restrição de conta está sujeita a revisão humana antes de ser aplicada.

Em caso de alteração, atualizaremos esta secção e notificaremos os utilizadores com antecedência.

16. Sem Venda ou Comercialização de Dados Pessoais

Confirmamos explicitamente que:

  • Nunca vendemos, arrendamos, cedemos nem trocamos os seus dados pessoais por qualquer contrapartida monetária ou não monetária.
  • Não partilhamos dados com corretores de dados, anunciantes ou redes publicitárias.
  • Não utilizamos os seus dados para publicidade comportamental, segmentação baseada em interesses ou rastreamento comportamental entre contextos.
  • Não utilizamos o conteúdo dos seus casos publicados para treinar modelos de IA nem para outros fins que não a prestação do serviço.

Este compromisso aplica-se independentemente da sua jurisdição. Titulares de dados brasileiros: esta política está em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei n.º 13.709/2018). Os direitos dos titulares ao abrigo da LGPD (acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento, revogação de consentimento) podem ser exercidos através dos contactos indicados no §8 e §14.

17. Jurisdições Adicionais

17.1 UK GDPR

Os residentes no Reino Unido estão protegidos pelo UK GDPR e pelo Data Protection Act 2018. Os direitos do §8 aplicam-se integralmente. Autoridade: ICO — ico.org.uk.

17.2 Brasil — LGPD

Os titulares de dados brasileiros estão protegidos pela LGPD (Lei 13.709/2018). Direitos exercíveis através do §14. Autoridade: ANPDgov.br/anpd.

17.3 Suíça

Os residentes suíços estão protegidos pela LPD revista (em vigor desde 1 de setembro de 2023). Autoridade: PFPDTedoeb.admin.ch.

17.4 Califórnia — CCPA/CPRA

Os residentes da Califórnia têm direitos ao abrigo do CCPA/CPRA. Como indicado no §16, não vendemos nem partilhamos dados. Direitos exercíveis através do §14.