Vimoz — Nota de privacidade
Responsável pelo tratamento e contactos
O responsável pelo tratamento dos dados pessoais relativos ao sítio web e serviço em linha «Vimoz» é: [indique a denominação social completa], [indique o número de registo comercial, se aplicável], com sede registada em [indique a morada postal completa].
Para questões sobre esta nota de privacidade e para o exercício dos seus direitos de proteção de dados, contacte-nos em: [indique o e-mail de contacto para privacidade]. Se a lei aplicável exigir a nomeação de um Encarregado de Proteção de Dados (EPD), pode contactá-lo em: [indique os contactos do EPD ou escreva «Não aplicável»].
Finalidades e fundamentos jurídicos do tratamento
Tratamos dados pessoais apenas para finalidades determinadas, explícitas e legítimas. As principais finalidades e fundamentos jurídicos ao abrigo do artigo 6.º do RGPD são:
Prestação e operação da sua conta de utilizador e das funcionalidades do Vimoz que solicita, incluindo autenticação, sincronização da sua biblioteca, lista de desejos, estado «a ver», funcionalidades de amigos quando as utiliza, e notificações (execução de um contrato ou medidas pré-contratuais a pedido do titular, artigo 6.º, n.º 1, alínea b), do RGPD).
Manutenção da segurança e integridade do serviço, prevenção de fraude e abuso, limitação de taxa de pedidos, registo de eventos de segurança, resolução de problemas e melhoria da fiabilidade e desempenho (interesses legítimos, artigo 6.º, n.º 1, alínea f), do RGPD; quando exigido, ponderamos esses interesses face aos seus direitos e pode existir direito de oposição).
Cumprimento de obrigações legais a que estamos sujeitos, por exemplo resposta a pedidos legítimos de tribunais ou autoridades (artigo 6.º, n.º 1, alínea c), do RGPD).
Sempre que introduzamos tratamentos que exijam consentimento ao abrigo do direito da UE (por exemplo determinadas comunicações de marketing ou cookies ou tecnologias semelhantes não essenciais), recorreremos ao consentimento (artigo 6.º, n.º 1, alínea a), do RGPD), que será recolhido de forma destacada, e poderá retirá-lo a qualquer momento sem prejuízo da licitude do tratamento baseado no consentimento antes da sua retirada.
Categorias de dados pessoais
Conforme a sua utilização do Vimoz, podemos tratar: dados de conta e identidade (endereço de e-mail, nome de utilizador, nome próprio e apelido indicados no registo); dados de segurança e autenticação (resumos criptográficos de palavra-passe, dados de códigos de recuperação que configure, tokens de sessão, tokens anti-CSRF, registos datados de inícios de sessão e eventos de segurança); dados de utilização e conteúdos que gera (classificações, títulos vistos, entradas na lista de desejos, entradas em «a ver agora», sugestões em texto livre que submeta, relações de amizade e campos de consentimento ou estado quando aplicável, notificações na aplicação); e dados técnicos da ligação (endereço IP, agente de utilizador, caminhos de pedido, identificadores de erro e metadados semelhantes em registos de servidor e da aplicação).
Não pretendemos recolher categorias especiais de dados pessoais no sentido do artigo 9.º do RGPD (por exemplo dados que revelem origem racial ou étnica, opiniões políticas, dados sobre a saúde, etc.). Não nos envie tais informações salvo se uma funcionalidade o exigir claramente e lhe tivermos indicado uma base jurídica específica.
Cookies e tecnologias semelhantes
Utilizamos apenas cookies de primeira parte e armazenamento semelhante tecnicamente necessário para disponibilizar o sítio web ou, quando aplicável, para memorizar uma escolha sua:
auth_tok — cookie de sessão HttpOnly e Secure utilizado para o manter autenticado após o início de sessão.
csrf_tok — cookie utilizado em conjunto com tokens anti-CSRF em formulários para reduzir falsificação de pedidos entre sítios.
vimoz_lang — cookie utilizado para memorizar o idioma da interface que selecionou.
Os cookies de sessão expiram após um período limitado ou quando termina sessão. Se adicionarmos ferramentas de análise de tráfego, pixels de publicidade ou outras tecnologias não essenciais, atualizaremos esta nota e, quando exigido ao abrigo da Diretiva 2002/58/CE tal como transposta nos Estados-Membros («ePrivacy») e normas conexas, obteremos o seu consentimento prévio antes de utilizar tais ferramentas.
Destinatários e subcontratados
Os dados pessoais são acedidos pelo nosso pessoal autorizado e, com base na necessidade estrita de conhecimento, por prestadores de serviços de TI que alojam ou operam partes da infraestrutura enquanto subcontratados (por exemplo fornecedores de cloud como a Amazon Web Services na configuração que utilizamos). Esses prestadores só podem tratar dados segundo instruções documentadas nossas e devem implementar medidas de segurança adequadas. Não vendemos os seus dados pessoais. Uma lista atualizada dos principais subcontratados, ou ligação para a mesma, está disponível mediante pedido para [indique o e-mail de contacto para privacidade].
Transferências para fora do EEE
Se dados pessoais forem transferidos do Espaço Económico Europeu para países que não tenham sido alvo de decisão de adequação da Comissão Europeia, implementamos garantias adequadas ao abrigo do Capítulo V do RGPD — tipicamente as cláusulas contratuais-tipo da Comissão Europeia para transferências para responsáveis pelo tratamento ou subcontratados — juntamente com medidas técnicas ou organizacionais complementares quando adequado. Pode solicitar informações adicionais ou cópia das garantias relevantes contactando [indique o e-mail de contacto para privacidade].
Prazos de conservação
Conservamos dados pessoais apenas durante o tempo necessário às finalidades acima descritas. Os dados de conta são, em regra, conservados durante a vida da conta e por um período de tolerância limitado posteriormente para cópias de segurança, litígios e prazos de prescrição legais, salvo se a lei exigir um período mais longo. Os registos técnicos são normalmente conservados por um período móvel de [indique o número] meses, salvo se for necessária uma conservação mais longa para investigações de segurança ou obrigações legais. Findo o prazo, eliminamos ou anonimizamos de forma irreversível os dados segundo as nossas políticas internas.
Segurança do tratamento
Implementamos medidas técnicas e organizacionais adequadas ao abrigo do artigo 32.º do RGPD, incluindo encriptação TLS em trânsito, armazenamento seguro de credenciais (por exemplo com funções de resumo criptográfico), controlos de acesso, separação de funções quando exequível e monitorização. Nenhuma transmissão ou armazenamento na Internet é totalmente seguro; deve utilizar uma palavra-passe forte, guardar os códigos de recuperação em segurança e informar-nos prontamente se suspeitar de acesso não autorizado à conta.
Os seus direitos
Quando o RGPD se aplica, tem direito a: obter confirmação de que tratamos os seus dados pessoais e receber uma cópia (direito de acesso, artigo 15.º); obter a retificação de dados inexatos (artigo 16.º); obter o apagamento em determinados casos (artigo 17.º); obter a limitação do tratamento em determinados casos (artigo 18.º); receber os seus dados num formato estruturado, de uso corrente e leitura automática e transmiti-los a outro responsável, quando tecnicamente possível (portabilidade, artigo 20.º); opor-se ao tratamento baseado em interesses legítimos ou a tratamentos para fins de marketing direto (artigo 21.º); e, quando o tratamento se baseia em consentimento, retirar o consentimento a qualquer momento (sem prejuízo da licitude do tratamento anterior à retirada).
Tem ainda o direito de apresentar reclamação junto de uma autoridade de controlo, em especial no Estado-Membro da sua residência habitual, local de trabalho ou local da infração alegada. As autoridades europeias de proteção de dados estão, por exemplo, referidas no sítio do Comité Europeu para a Proteção de Dados.
Para exercer os seus direitos, contacte [indique o e-mail de contacto para privacidade]. Responderemos sem demora injustificada e, quando legalmente exigido, no prazo de um mês a contar da receção (podendo aplicar-se prorrogações em casos complexos). Podemos necessitar de verificar a sua identidade antes de satisfazer determinados pedidos.
Decisões automatizadas, incluindo definição de perfis
Não tomamos decisões baseadas unicamente em tratamento automatizado, incluindo definição de perfis, que produzam efeitos jurídicos que o digam respeito ou o afetem significativamente de modo semelhante, no sentido do artigo 22.º do RGPD. Recomendações ou destaques dentro do Vimoz destinam-se a ajudar a descobrir conteúdos e não substituem apreciação humana em matérias com efeitos jurídicos ou equivalentes.
Menores
O serviço não se dirige a menores abaixo da idade em que possam, no seu Estado-Membro, consentir por si próprios na utilização de serviços da sociedade de informação (em muitos casos 16 anos, ou idade inferior não inferior a 13 anos quando a lei nacional o permitir). Se for mais novo, não crie conta. Se acreditar que tratamos dados de um menor sem base jurídica adequada, contacte-nos em [indique o e-mail de contacto para privacidade] e analisaremos a situação e adotaremos as medidas adequadas.
Contacto para titulares dos dados
Para qualquer pedido relativo a esta nota de privacidade ou ao tratamento dos seus dados pessoais, incluindo pedidos para exercer direitos ao abrigo do RGPD, utilize: [indique o e-mail de contacto para privacidade] e, se relevante, [indique a morada postal]. [Opcional: indique URL de formulário web dedicado.]
Alterações a esta nota
Podemos atualizar esta nota de privacidade para refletir alterações nas operações de tratamento, funcionalidades ou requisitos legais. A versão vigente será sempre publicada nesta página. Consulte a nota periodicamente. Quando uma alteração o afete materialmente e normas mais exigentes se apliquem, prestaremos informação adicional ou obteremos consentimento, conforme exigido pela lei.