Política de Privacidade

Última atualização: 4 de abril de 2026  ·  Em vigor desde: 4 de abril de 2026

CaseStories ("nós", "nosso") é operado por Vento Digitale di Marco Forlani (NIF IT03694090139), Itália. Esta política explica como recolhemos, utilizamos e protegemos os seus dados pessoais em plena conformidade com o RGPD (UE 2016/679), o Código de Privacidade italiano, o UK GDPR e as leis de privacidade aplicáveis, incluindo a LGPD brasileira.

1. Responsável pelo Tratamento e Contactos

O responsável pelo tratamento dos seus dados pessoais é:

Encarregado de Proteção de Dados (EPD)

Nos termos do Art. 37 RGPD, um EPD é obrigatório para autoridades públicas, organizações que realizam monitorização sistemática em grande escala ou que tratam categorias especiais de dados em grande escala. A Vento Digitale di Marco Forlani é um pequeno operador privado que não realiza monitorização sistemática em grande escala. Por conseguinte, não é legalmente obrigatório designar um EPD. Todos os assuntos de privacidade são tratados diretamente pelo responsável.

2. Dados que Recolhemos

2.1 Dados de Conta

Quando se regista, recolhemos:

  • Endereço de e-mail (obrigatório — identificador de conta)
  • Nome e apelido (obrigatórios)
  • Palavra-passe — hash Argon2id (não reversível)
  • Nome da empresa, descrição, website, cidade, país, setor, telefone (opcionais)
  • Logótipo da empresa (opcional)
  • Idioma preferido

2.2 Dados de Conteúdo

Todos os casos de estudo, descrições, ficheiros de média e mensagens diretas são armazenados e associados à sua conta.

2.3 Análise Própria

Recolhemos:

  • IP em hash — convertido imediatamente em hash (SHA-256 + salt); IP bruto nunca armazenado. Hash máximo 24 meses, tecnicamente irreversível.
  • Páginas visitadas e carimbos de data/hora
  • Browser e SO
  • URL de referência
  • País (derivado do IP; IP descartado imediatamente)

Não utilizamos Google Analytics, Meta Pixel nem scripts de rastreamento de terceiros na plataforma ou nos nossos e-mails.

2.4 Dados de Pagamento

O Paddle atua como Merchant of Record e responsável autónomo pelo tratamento dos dados de pagamento. Não armazenamos números de cartão nem CVV. Apenas conservamos o ID de cliente, subscrição, transação e estado de pagamento do Paddle.

2.5 Conteúdo Gerado por IA

O texto do projeto é transmitido à API da Anthropic. Sem identificadores pessoais. Tratamento transitório; não utilizado para treinar modelos ao abrigo do nosso DPA.

2.6 Dados de Início de Sessão OAuth

Via Google, LinkedIn ou Facebook: apenas recebemos e-mail e nome de exibição. Armazenamos nome do fornecedor e ID de utilizador. Sem tokens OAuth nem palavras-passe.

2.7 Metadados de E-mails Transacionais

Para e-mails transacionais tratamos o seu endereço e estado de entrega. Não incorporamos pixels de rastreamento nem links rastreados nos nossos e-mails.

3. Como Utilizamos os Seus Dados

  • Prestação do serviço: Gestão de conta, publicação de casos, pagamentos, IA de escrita e tradução.
  • Melhoria do serviço: Análise de padrões de utilização agregados e anonimizados.
  • Comunicação: E-mails transacionais (verificação, redefinição, recibos, alertas). Sem e-mails de marketing sem consentimento explícito prévio.
  • Segurança: Deteção e prevenção de acessos fraudulentos, limitação de taxa, prevenção de abusos.
  • Cumprimento legal e contabilidade: Conservação de registos de faturação conforme exigido pela legislação fiscal da UE e italiana.
  • Divulgação a autoridades públicas: Quando exigido por lei, ordem judicial ou pedido vinculativo de autoridade competente, podemos divulgar dados pessoais. Notificaremos o titular salvo proibição legal.
  • Suporte: Resposta a pedidos e resolução de disputas.

Nunca vendemos, arrendamos, cedemos nem comercializamos os seus dados pessoais a terceiros. Não os utilizamos para publicidade dirigida nem os partilhamos com corretores de dados.

4. Bases Jurídicas do Tratamento (Art. 6 RGPD)

  • Execução contratual (Art. 6(1)(b)): Tratamento necessário para prestar o serviço — gestão de conta, publicação de casos, pagamentos, escrita IA.
  • Interesses legítimos (Art. 6(1)(f)): Monitorização de segurança, prevenção de fraudes e análise própria. Foi realizada uma Avaliação de Interesses Legítimos (LIA): os nossos interesses são equilibrados com técnicas de proteção da privacidade (hash de IP, anonimização). Pode opor-se a qualquer momento (§8).
  • Obrigação legal (Art. 6(1)(c)): Conservação de registos de faturação conforme legislação fiscal (10 anos).
  • Consentimento (Art. 6(1)(a)): Atualmente apenas para o registo (verificação de e-mail). Funcionalidades opcionais futuras serão opt-in, com direito a retirar o consentimento a qualquer momento sem penalização.

5. Subcontratantes e Prestadores de Serviços

5.1 Paddle (Pagamentos — Responsável Autónomo)

Paddle.com Market Ltd (Reino Unido / Irlanda). Atua como Merchant of Record — o Paddle é responsável autónomo pelos dados de pagamento, não subcontratante nosso. Conformidade PCI-DSS segundo a sua própria política: paddle.com/legal/privacy. Apenas recebemos os metadados do §2.4.

5.2 Anthropic (Escrita IA & Tradução — Subcontratante)

Anthropic, PBC (EUA). Ao abrigo de DPA assinado. Apenas texto do projeto é transmitido. Transferência para os EUA coberta por SCCs (RGPD Art. 46(2)(c)) e medidas suplementares. TIA realizada. Política: anthropic.com/privacy.

5.3 Fornecedores OAuth (Identidade — Responsáveis Autónomos)

Google LLC, LinkedIn Corporation, Meta Platforms Inc. — apenas se optar por iniciar sessão através dos seus serviços. Cada fornecedor é responsável autónomo pela autenticação OAuth. Apenas recebemos nome e e-mail (§2.6). Transferências para os EUA cobertas pela decisão de adequação EU-EUA ou SCCs.

5.4 Infraestrutura de Alojamento (Subcontratante)

Todos os servidores na União Europeia. Sem fornecedores de cloud dos EUA para armazenamento primário. Todos os fornecedores assinaram DPAs nos termos do RGPD Art. 28.

5.5 Entrega de E-mails Transacionais (Subcontratante)

E-mails transmitidos via SMTP com encriptação TLS. Infraestrutura na UE. Qualquer relay SMTP externo está na UE, vinculado por DPA e RGPD Art. 28. O seu endereço é utilizado exclusivamente para a entrega da notificação do sistema.

6. Cookies e Tecnologias Similares

CaseStories utiliza apenas cookies estritamente necessários. Não é necessário banner de consentimento ao abrigo da Diretiva ePrivacy (2002/58/CE).

  • Cookie de sessão (PHPSESSID): Mantém a autenticação. Expira ao fechar o browser ou após 30 min de inatividade. Atributos: HttpOnly, Secure, SameSite=Strict.
  • Cookie CSRF: Proteção CSRF. Sem identificação. Atributos: HttpOnly, Secure, SameSite=Strict.
  • Cookie de idioma: Armazena o idioma preferido. Sem dados pessoais. Expira após 1 ano.

Não utilizamos cookies de análise, publicidade, pixels de rastreamento, fingerprinting nem cookies de terceiros. Nenhum dado de cookies é partilhado com terceiros.

7. Conservação de Dados

  • Dados de conta: Enquanto ativa. Eliminados em 30 dias após pedido de apagamento verificado (§8), ressalvadas as obrigações de conservação legal.
  • Casos de estudo: Até eliminação ou encerramento. Removidos imediatamente da visualização pública; apagados das cópias de segurança em 90 dias.
  • Dados analíticos (IP hash + estatísticas): 24 meses. O hash de IP é tecnicamente irreversível.
  • Registos de faturação: 10 anos — Diretiva IVA da UE e lei fiscal italiana. Não podem ser eliminados antes.
  • Mensagens de suporte: 3 anos após o último contacto.
  • Registos de entrega de e-mails: 30 dias, apenas para resolução de problemas.
  • Dados eliminados nas cópias de segurança: Substituídos em 90 dias.

8. Os Seus Direitos ao abrigo do RGPD e da Legislação Aplicável

No EEE, no Reino Unido ou na Suíça, tem os seguintes direitos:

  • Acesso (Art. 15): Cópia de todos os seus dados pessoais e informações sobre o seu tratamento.
  • Retificação (Art. 16): Corrigir dados inexatos. A maioria dos campos é editável nas definições de conta.
  • Apagamento — "direito a ser esquecido" (Art. 17): Eliminação em 30 dias. Exceção: dados legalmente obrigatórios (§7).
  • Portabilidade (Art. 20): Dados em formato JSON. Solicite por e-mail.
  • Limitação (Art. 18): Tratamento limitado durante resolução de disputas.
  • Oposição (Art. 21): Opor-se ao tratamento baseado em interesses legítimos. Cessamos salvo motivos legítimos imperiosos.
  • Retirar consentimento (Art. 7(3)): A qualquer momento, sem efeito retroativo.
  • Não ser sujeito a decisões automatizadas (Art. 22): Não tomamos decisões baseadas exclusivamente em tratamento automatizado. Ver §15.

Fornecimento de dados — obrigatório e voluntário (Art. 13(2)(e)): O endereço de e-mail e o nome são obrigatórios para criar uma conta. Todos os outros campos do perfil são opcionais.

Exercício de direitos: E-mail para support@casestories.com, assunto "GDPR Request", ou por carta para: Vento Digitale di Marco Forlani, [ADDRESS]. Resposta em 30 dias (extensível a 60 para pedidos complexos). Sem encargos.

Direito de apresentar queixa: Pode apresentar queixa junto de qualquer autoridade de controlo competente do EEE no Estado-membro da sua residência habitual ou local de trabalho. A autoridade líder é:
Garante per la protezione dei dati personaliwww.garanteprivacy.it
Os residentes no Reino Unido podem também contactar a ICO: ico.org.uk.
Os titulares de dados brasileiros podem contactar a ANPD: gov.br/anpd.

9. Segurança dos Dados

Implementamos medidas técnicas e organizacionais (MTO) adequadas nos termos do RGPD Art. 32 e privacidade desde a conceção (Art. 25):

  • HTTPS com TLS 1.2+; redireccionamentos HTTP para HTTPS
  • Hash Argon2id para palavras-passe (não reversível, com salt)
  • Anonimização IP SHA-256 + salt (IP bruto nunca armazenado)
  • Tokens CSRF em todos os pedidos que alteram estado
  • Limitação de taxa em endpoints de autenticação e API
  • HttpOnly, Secure, SameSite=Strict nos cookies de sessão
  • Prevenção de injeção SQL via declarações preparadas
  • Validação MIME e armazenamento fora da raiz web
  • Controlo de acesso baseado em funções com princípio do mínimo privilégio
  • Revisões de segurança regulares e auditorias de dependências
  • Cópias de segurança encriptadas na UE

Nenhum sistema é 100% seguro. Em caso de violação: notificação ao Garante em 72 horas (RGPD Art. 33) e aos utilizadores afetados sem demora em caso de risco elevado (Art. 34).

10. Transferências Internacionais de Dados

Dados principais em servidores da UE. Determinados subcontratantes fora da UE/EEE:

  • Anthropic (EUA): Coberto por SCCs (RGPD Art. 46(2)(c)) em DPA assinado, complementado por TIA. Apenas geração de texto IA; sem identificadores pessoais.
  • Fornecedores OAuth (EUA) — Google, LinkedIn, Meta: Decisão de adequação EU-EUA (10 de julho de 2023) ou SCCs.

UK GDPR: Os utilizadores do Reino Unido estão cobertos pelo UK GDPR. As transferências para o RU beneficiam da decisão de adequação da UE. Os direitos do §8 aplicam-se igualmente aos titulares de dados britânicos.

Contacte-nos para detalhes sobre as salvaguardas específicas em support@casestories.com.

11. Privacidade de Menores

CaseStories é uma plataforma B2B profissional não destinada a pessoas com menos de 16 anos (idade de consentimento digital RGPD). Não recolhemos conscientemente dados de menores de 16 anos. Se acredita que uma criança nos forneceu dados, contacte-nos imediatamente em support@casestories.com.

12. Notificação de Violação de Dados

Em caso de violação de dados:

  • Notificação ao Garante em 72 horas (RGPD Art. 33), salvo risco improvável
  • Notificação aos afetados sem demora (RGPD Art. 34) em caso de risco elevado, salvo dados ininteligíveis
  • Conteúdo: natureza e âmbito, categorias e número de afetados, prováveis consequências, medidas tomadas
  • Manutenção de um registo interno de violações (RGPD Art. 33(5))

13. Alterações a esta Política

Podemos atualizar esta política para refletir mudanças nas nossas práticas, tecnologia ou requisitos legais.

As alterações substanciais (finalidades, tipos de dados, novos subcontratantes ou alterações aos direitos) serão notificadas aos titulares de contas por e-mail com pelo menos 30 dias de antecedência e com aviso proeminente na plataforma. A utilização continuada implica apenas aceitação de atualizações não substanciais.

As alterações não substanciais (esclarecimentos, formatação, contactos) podem entrar em vigor imediatamente.

Versões anteriores disponíveis mediante pedido.

14. Contacto

Para qualquer consulta, pedido ou reclamação relacionada com privacidade:

  • E-mail: support@casestories.com — assunto "Privacy / GDPR"
  • Morada postal: Vento Digitale di Marco Forlani, [ADDRESS], Itália
  • Tempo de resposta: 30 dias (extensível a 60 para pedidos complexos, RGPD Art. 12(3)). Confirmação de receção em 5 dias úteis.

Verificação de identidade antes de processar qualquer pedido. Sem encargos para pedidos padrão; pode ser cobrada uma taxa razoável para pedidos manifestamente infundados ou excessivos (RGPD Art. 12(5)).

15. Decisões Automatizadas e Elaboração de Perfis

Em conformidade com os Art. 13(2)(f) e 22 do RGPD:

  • Não realizamos qualquer tomada de decisão automatizada individual que produza efeitos jurídicos ou igualmente significativos.
  • Não realizamos elaboração de perfis nos termos do Art. 4(4) RGPD — nenhum tratamento automatizado para avaliar aspetos pessoais, analisar ou prever comportamentos, preferências ou interesses.
  • A análise própria (§2.3) produz apenas estatísticas agregadas e anonimizadas.
  • As funcionalidades de IA (§2.5) geram texto editorial com base em descrições de projetos. Sem avaliação, pontuação ou decisão individual.
  • A limitação de taxa e deteção de fraudes envolvem verificações automatizadas, mas qualquer restrição de conta está sujeita a revisão humana antes de ser aplicada.

Em caso de alteração, atualizaremos esta secção e notificaremos os utilizadores com antecedência.

16. Sem Venda ou Comercialização de Dados Pessoais

Confirmamos explicitamente que:

  • Nunca vendemos, arrendamos, cedemos nem trocamos os seus dados pessoais por qualquer contrapartida monetária ou não monetária.
  • Não partilhamos dados com corretores de dados, anunciantes ou redes publicitárias.
  • Não utilizamos os seus dados para publicidade comportamental, segmentação baseada em interesses ou rastreamento comportamental entre contextos.
  • Não utilizamos o conteúdo dos seus casos publicados para treinar modelos de IA nem para outros fins que não a prestação do serviço.

Este compromisso aplica-se independentemente da sua jurisdição. Titulares de dados brasileiros: esta política está em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei n.º 13.709/2018). Os direitos dos titulares ao abrigo da LGPD (acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento, revogação de consentimento) podem ser exercidos através dos contactos indicados no §8 e §14.

17. Jurisdições Adicionais

17.1 UK GDPR

Os residentes no Reino Unido estão protegidos pelo UK GDPR e pelo Data Protection Act 2018. Os direitos do §8 aplicam-se integralmente. Autoridade: ICO — ico.org.uk.

17.2 Brasil — LGPD

Os titulares de dados brasileiros estão protegidos pela LGPD (Lei 13.709/2018). Direitos exercíveis através do §14. Autoridade: ANPDgov.br/anpd.

17.3 Suíça

Os residentes suíços estão protegidos pela LPD revista (em vigor desde 1 de setembro de 2023). Autoridade: PFPDTedoeb.admin.ch.

17.4 Califórnia — CCPA/CPRA

Os residentes da Califórnia têm direitos ao abrigo do CCPA/CPRA. Como indicado no §16, não vendemos nem partilhamos dados. Direitos exercíveis através do §14.