PicTuz Logo

Política de Privacidade - PicTuz

Última Atualização: 22 de Maio de 2025

Bem-vindo(a) à Política de Privacidade do PicTuz. A sua privacidade é extremamente importante para nós. Este documento explica como PicTuz Team ("nós", "nosso") recolhe, utiliza, armazena e protege as suas informações pessoais quando utiliza o nosso serviço PicTuz (o "Serviço"), acessível através de https://pictuz.com.

Ao utilizar o Serviço, concorda com a recolha e utilização de informações de acordo com esta política. Esta Política de Privacidade deve ser lida em conjunto com os nossos Termos de Serviço.

1. Informações que Recolhemos

Recolhemos diferentes tipos de informações para diversos fins, a fim de fornecer e melhorar o nosso Serviço para si:

  • Dados Pessoais (Via Autenticação Google): Quando cria uma conta utilizando o Google login através do Supabase Auth, recolhemos automaticamente o seu nome completo, endereço de email e URL da foto de perfil do Google. Esta informação é utilizada para criar e manter o seu perfil de utilizador.
  • Imagens Carregadas: Recolhemos e armazenamos as fotografias que carrega para transformação. Estas incluem:
    • Imagens Originais: Armazenadas no nosso sistema Supabase Storage para processamento
    • Imagens Transformadas: O resultado final após processamento por IA, armazenadas permanentemente para acesso no seu histórico
  • Dados de Pagamento: Utilizamos Stripe para processar pagamentos. Não armazenamos detalhes completos do cartão - apenas identificadores da transação e metadados necessários para gestão da conta e suporte.
  • Sistema de Transformações: Mantemos um registo da utilização das suas transformações diárias para gestão dos limites e histórico de utilização.
  • Dados da Comunidade (Opcionais): Se escolher publicar transformações na comunidade, recolhemos títulos e descrições públicas que fornece, bem como dados de interação (likes, comentários).
  • Dados de Utilização e Analytics: Utilizamos Google Analytics para recolher informações agregadas sobre como o Serviço é utilizado, incluindo páginas visitadas, tempo de permanência e interações básicas. Esta recolha é feita de forma anónima e agregada.
  • Analytics Comportamentais Avançados: Análise detalhada do comportamento de utilizadores através do PostHog para:
    • Identificar pontos de atrito no processo de transformação
    • Otimizar interfaces e fluxos de utilizador
    • Personalizar experiência baseada em padrões de uso
    • Prevenir abandono através de análise de funnels
    • Melhorar sistema de transformações baseado em padrões de utilização
    • Desenvolver funcionalidades baseadas em necessidades reais identificadas
  • Cookies Técnicos: Utilizamos cookies essenciais para autenticação (geridos pelo Supabase Auth), funcionamento básico da plataforma, e analytics comportamentais (PostHog).

2. Como Utilizamos as Suas Informações

Utilizamos as informações recolhidas para os seguintes fins específicos:

  • Fornecimento do Serviço: Criar e manter a sua conta, processar transformações de imagem usando OpenAI, e apresentar o histórico das suas criações.
  • Processamento de Pagamentos: Gestão de compras de produtos físicos através do Stripe.
  • Funcionalidades da Comunidade: Permitir partilha opcional das suas transformações, sistema de likes e comentários.
  • Suporte ao Cliente: Resolução de problemas técnicos, recuperação de transformações e assistência geral.
  • Melhoramento do Serviço: Análise agregada de padrões de utilização para otimizar performance e funcionalidades.
  • Comunicações de Serviço: Notificações sobre o estado das transformações e atualizações importantes do serviço.
  • Cumprimento Legal: Satisfazer obrigações legais e fiscais aplicáveis.

Importante sobre as Imagens: As suas imagens originais são processadas pela OpenAI API para gerar transformações. Não utilizamos as suas imagens para treinar modelos de IA próprios nem as partilhamos com terceiros para outros fins.

3. Base Legal para o Processamento (RGPD)

Se for residente do Espaço Económico Europeu (EEE), a nossa base legal para processar os seus dados pessoais é:

  • Execução de Contrato: Processamento necessário para fornecer o serviço conforme acordado nos Termos de Serviço.
  • Consentimento: Dado através da aceitação destes termos e uso voluntário do serviço.
  • Interesses Legítimos: Melhoramento do serviço, prevenção de fraudes e analytics agregados.
  • Obrigação Legal: Cumprimento de requisitos fiscais e legais.

4. Retenção e Armazenamento de Dados

Estabelecemos períodos de retenção claros para diferentes tipos de dados:

  • Dados da Conta: Mantidos enquanto a sua conta estiver ativa. Pode solicitar eliminação a qualquer momento.
  • Imagens Originais: Armazenadas indefinidamente no Supabase Storage para permitir re-processamento e suporte técnico. São automaticamente eliminadas se a conta for eliminada.
  • Imagens Transformadas: Armazenadas permanentemente no seu histórico pessoal enquanto a conta estiver ativa. Fazem parte do valor do serviço prestado.
  • Histórico de Compras: Mantido indefinidamente para fins contabilísticos e fiscais, conforme exigido por lei.
  • Dados de Pagamento: Identificadores Stripe retidos por pelo menos 7 anos para conformidade fiscal.
  • Dados da Comunidade: Publicações na comunidade permanecem disponíveis mesmo após eliminação da conta, mas são desassociadas do seu perfil.

Todos os dados são armazenados de forma segura utilizando a infraestrutura Supabase (PostgreSQL + Storage), que implementa encriptação em trânsito e em repouso. Os servidores estão localizados na União Europeia para utilizadores europeus.

🔒 Acesso Administrativo Limitado

Importante: Embora as suas imagens sejam armazenadas na nossa infraestrutura, implementamos controlos rigorosos de acesso. O acesso administrativo aos seus dados pessoais e imagens é:

  • Restrito por Necessidade: Apenas acessível para resolução de problemas técnicos específicos e reportados
  • Registado e Auditado: Todos os acessos são registados com timestamp, utilizador e justificação
  • Temporário: Acesso concedido apenas pelo tempo mínimo necessário para resolver o problema
  • Compartimentado: Diferentes níveis de acesso - suporte técnico não tem acesso aos mesmos dados que administradores financeiros

5. Partilha e Divulgação de Dados

Não vendemos os seus dados pessoais. Partilhamos informações apenas nas seguintes situações específicas:

  • Prestadores de Serviços Essenciais:
    • Supabase: Autenticação, base de dados e armazenamento de imagens (infraestrutura completa)
    • Stripe: Processamento de pagamentos e gestão de transações
    • OpenAI: Processamento de transformações de imagem via API (imagens enviadas temporariamente para processamento)
    • Vercel: Hospedagem e deployment da aplicação
    • Google Analytics: Análise de utilização (dados agregados e anónimos)
    • PostHog: Analytics comportamentais avançados, funnels, session recordings e cohort analysis (dados processados na UE)
    Todos estes prestadores têm acesso limitado aos dados, apenas para os fins específicos contratados.
  • Requisitos Legais: Podemos divulgar dados se legalmente obrigatório, para proteger direitos ou segurança, ou em investigações legais.
  • Comunidade PicTuz: Apenas dados que escolhe tornar públicos (transformações publicadas, comentários) são visíveis a outros utilizadores.

🛡️ Política de Não-Visualização

Compromisso de Privacidade: A equipa PicTuz compromete-se a não visualizar, descarregar ou usar as suas imagens pessoais para qualquer fim que não seja o suporte técnico direto e autorizado. Implementamos uma política rigorosa de "não-curiosidade" - o acesso às imagens é feito apenas por sistemas automatizados ou em casos de suporte técnico com a sua autorização prévia.

6. Segurança dos Dados

A segurança dos seus dados é uma prioridade máxima. Implementamos múltiplas camadas de proteção:

  • Encriptação: Todos os dados são encriptados em trânsito (HTTPS/TLS) e em repouso no Supabase
  • Autenticação Segura: Utilizamos OAuth do Google via Supabase Auth - não armazenamos palavras-passe
  • Armazenamento Seguro: Infraestrutura Supabase com conformidade SOC 2 Type II e certificação ISO 27001
  • Acesso Limitado: Apenas pessoal autorizado tem acesso aos sistemas, com logs de auditoria
  • Backups Seguros: Backups automáticos encriptados para recuperação de desastres
  • Segregação de Funções: Administradores técnicos não têm acesso às ferramentas financeiras e vice-versa
  • Políticas de Senha: Autenticação multifator obrigatória para todos os acessos administrativos

Contudo, nenhum método de transmissão ou armazenamento é 100% seguro. Comprometemo-nos a notificá-lo prontamente sobre qualquer violação de segurança que possa afetar os seus dados pessoais.

🔐 Controlos de Acesso Técnico

Transparência Total: Para sua tranquilidade, informamos que:

  • O acesso direto às suas imagens requer justificação documentada e aprovação prévia
  • Utilizamos chaves de API e credenciais rotativas para limitar exposição
  • Implementamos "breakglass" access - acessos de emergência são automaticamente reportados
  • Revisões de acesso trimestrais para garantir que apenas pessoal autorizado mantém permissões
  • Monitorização contínua de atividades suspeitas ou acessos não autorizados

7. Governança e Transparência de Dados

Para garantir máxima transparência e confiança na gestão dos seus dados, implementamos as seguintes práticas de governança:

📋 Registos de Acesso Obrigatórios

Qualquer acesso administrativo aos seus dados (incluindo imagens) é automaticamente registado com: data/hora exata, identificação do administrador, razão específica do acesso, duração da sessão e ações realizadas. Estes logs são imutáveis e auditados mensalmente.

👥 Princípio dos "Quatro Olhos"

Acessos sensíveis aos dados dos utilizadores requerem aprovação de duas pessoas diferentes. Isto significa que mesmo em situações de suporte técnico, não há acesso unilateral aos seus dados pessoais.

🔄 Rotação de Credenciais

Todas as chaves de acesso administrativo são rotacionadas automaticamente a cada 90 dias. As credenciais antigas são imediatamente invalidadas, garantindo que não existem "portas traseiras" permanentes.

🚨 Alertas Automáticos

O sistema gera alertas automáticos para qualquer acesso fora do horário normal (noites/fins de semana), múltiplos acessos em pouco tempo, ou tentativas de acesso a volumes grandes de dados. Estes alertas são revistos imediatamente pela equipa de segurança.

Compromisso de Transparência: Se alguma vez precisarmos de aceder aos seus dados para suporte técnico, será sempre comunicado previamente (quando possível) e documentado. Pode solicitar um relatório dos acessos à sua conta contactando-nos através de pictuzinfo@gmail.com.

8. Os Seus Direitos de Proteção de Dados (RGPD)

Se for residente do Espaço Económico Europeu (EEE), tem os seguintes direitos relativamente aos seus dados pessoais:

  • Direito de Acesso: Pode solicitar cópias dos seus dados pessoais que processamos
  • Direito de Retificação: Pode solicitar correção de dados incorretos ou incompletos
  • Direito de Eliminação ("Direito ao Esquecimento"): Pode solicitar eliminação dos seus dados pessoais em certas circunstâncias
  • Direito de Restrição: Pode solicitar limitação do processamento dos seus dados
  • Direito de Portabilidade: Pode solicitar transferência dos seus dados para outro serviço
  • Direito de Oposição: Pode opor-se ao processamento baseado em interesses legítimos
  • Direito de Retirar Consentimento: Pode retirar consentimento a qualquer momento

Para exercer estes direitos, contacte-nos através de pictuzinfo@gmail.com. Responderemos ao seu pedido no prazo de 30 dias. Poderemos solicitar verificação de identidade antes de processar pedidos sensíveis.

Tem também o direito de apresentar queixa junto da Comissão Nacional de Proteção de Dados (CNPD) ou da autoridade de proteção de dados do seu país se considerar que os seus direitos foram violados.

9. Transferências Internacionais de Dados

Os seus dados podem ser transferidos e processados fora do seu país de residência, incluindo:

  • Supabase: Servidores localizados preferencialmente na UE (região EU-West-1)
  • OpenAI: Processamento temporário de imagens nos EUA (dados eliminados após processamento)
  • Stripe: Processamento de pagamentos na UE e EUA com adequações apropriadas

Todas as transferências são protegidas por contratos de transferência de dados adequados e outras salvaguardas apropriadas em conformidade com o RGPD.

10. Cookies, Analytics e Session Recordings

Utilizamos cookies e tecnologias avançadas de analytics para melhorar significativamente o seu experiência na plataforma:

🍪 Cookies Essenciais

Obrigatórios para funcionamento: Cookies de autenticação Supabase, estado da sessão, preferências básicas. Estes não podem ser desativados sem afetar funcionalidades core.

📊 Analytics Comportamentais (PostHog)

O que gravamos:

  • Cliques, hovers, scroll depth e tempo em cada página
  • Jornada completa: landing → upload → seleção → transformação → resultado
  • Padrões de abandono e pontos de atrito
  • Comportamento de utilização (transformações, produtos)
  • Device info (resolução, browser, OS) para otimização responsiva

🎬 Session Recordings

Gravação de Sessões em Tempo Real:

  • O que grava: Movimentos do rato, cliques, scrolling, navegação entre páginas
  • Proteção automática: Passwords, emails, dados de cartão são censurados automaticamente
  • Finalidade: Identificar bugs, otimizar UX, resolver problemas reportados
  • Retenção: Máximo 30 dias, depois eliminadas automaticamente
  • Anonimização: Não associamos recordings com dados pessoais identificáveis

✅ Base Legal e Consentimento

RGPD Compliance: Session recordings constituem dados pessoais. Bases legais:

  • Consentimento: Ao aceitar cookies/termos, consente explicitamente aos recordings
  • Interesse Legítimo: Melhoramento contínuo da plataforma e resolução de bugs
  • Execução de Contrato: Otimização do serviço contratado

🔧 Como Controlar

Pode desativar a qualquer momento:

  • Browser: Configurações → Privacidade → Bloquear cookies de terceiros
  • PostHog Opt-out: Contacte-nos para opt-out permanente dos analytics avançados
  • Session Recordings: Pode solicitar desativação mantendo outras funcionalidades
  • Eliminação: Pode solicitar eliminação de todos os recordings existentes

Impacto: Desativar pode afetar a qualidade do suporte técnico e otimizações de UX personalizadas.

Transparência Total: Para consultar que dados específicos recolhemos sobre si ou solicitar opt-out seletivo, contacte-nos através de pictuzinfo@gmail.comcom o assunto "Analytics Data Request".

11. Eliminação de Conta e Dados

Pode solicitar a eliminação da sua conta a qualquer momento contactando-nos. O processo de eliminação inclui:

  • Dados Pessoais: Eliminados permanentemente no prazo de 30 dias
  • Imagens Originais e Transformadas: Eliminadas permanentemente do nosso storage
  • Histórico de Compras: Anonimizado mas mantido para conformidade fiscal (dados desassociados da sua identidade)
  • Publicações da Comunidade: Mantidas mas desassociadas do seu perfil (aparecem como "Utilizador Eliminado")

Nota: A eliminação é irreversível. Certifique-se de fazer download das suas imagens transformadas antes de solicitar a eliminação.

12. Privacidade de Menores

O nosso Serviço destina-se a utilizadores com 18 anos ou mais. Não recolhemos intencionalmente dados pessoais de menores de 18 anos. Se for pai/mãe ou tutor e tiver conhecimento de que o seu filho nos forneceu dados pessoais, contacte-nos imediatamente. Se descobrirmos que recolhemos dados de menores sem consentimento parental verificado, tomaremos medidas para eliminar essas informações dos nossos sistemas.

13. Alterações a Esta Política de Privacidade

Poderemos atualizar esta Política de Privacidade periodicamente para refletir mudanças no nosso Serviço ou requisitos legais. Alterações significativas serão comunicadas através de:

  • Notificação proeminente no nosso website
  • Email para utilizadores registados (para alterações materiais)
  • Atualização da data de "Última Atualização" no topo desta política

Recomendamos que revise esta política periodicamente. O uso continuado do Serviço após alterações constitui aceitação da política revista.

14. Contacto

Para questões sobre esta Política de Privacidade, exercício de direitos RGPD, ou questões de proteção de dados, contacte-nos:

  • Email: pictuzinfo@gmail.com
  • Assunto: "Proteção de Dados - [Descrição do pedido]"
  • Tempo de Resposta: Máximo 30 dias para pedidos RGPD, 5 dias úteis para questões gerais

Para emergências de segurança relacionadas com os seus dados, contacte-nos imediatamente com o assunto "URGENTE - Segurança de Dados".