Conformidade com o RGPD

O Regulamento Geral sobre a Proteção de Dados (RGPD), ou GDPR em inglês (General Data Protection Regulation), é um regulamento da União Europeia (2016/679) que estabelece regras sobre como as organizações devem recolher, armazenar e processar dados pessoais de cidadãos europeus. Entrou em vigor a 25 de maio de 2018.

O Kortilink está comprometido com o pleno cumprimento do RGPD. Esta página explica, de forma clara e transparente, como tratamos os teus dados e quais são os teus direitos.

O responsável pelo tratamento dos teus dados pessoais é:

• Nome: Kortilink (plataforma operada por entidade registada em Portugal)
• Email de contacto: suporte@kortilink.com
• Website: https://kortilink.com

Enquanto titular de dados, tens os seguintes direitos, que podes exercer a qualquer momento contactando-nos:

Para exercer qualquer um destes direitos, envia um email para suporte@kortilink.com com o assunto "Exercício de Direitos RGPD". Respondemos no prazo máximo de 30 dias.

4.1 Dados de conta

• Nome e endereço de email (fornecidos no registo)
• Fotografia de perfil (se usares login social)
• Palavra-passe (armazenada em hash bcrypt — nunca em texto claro)

4.2 Dados de utilização do serviço

• Links criados, URLs de destino, títulos e metadados
• Dados de analytics: cliques, país de origem, dispositivo, browser
• Endereços IP dos visitantes dos teus links (para análise geográfica)

4.3 Dados técnicos

• Endereço IP do utilizador registado (para segurança e prevenção de fraude)
• Dados de sessão e cookies de autenticação
• Registos de acesso do servidor (logs)

4.4 Dados de pagamento

Os dados de cartão de crédito nunca são armazenados no Kortilink. Os pagamentos são processados pela Stripe, que é certificada PCI DSS Nível 1. Apenas guardamos o identificador de cliente Stripe e o estado da subscrição.

• Execução de contrato (Art. 6.º, n.º 1, b) — para prestar o serviço de encurtamento de links, analytics e Bio Page
• Consentimento (Art. 6.º, n.º 1, a) — para cookies não essenciais e comunicações de marketing
• Interesse legítimo (Art. 6.º, n.º 1, f) — para segurança, prevenção de fraude e melhoria do serviço
• Obrigação legal (Art. 6.º, n.º 1, c) — para cumprir obrigações fiscais e legais

• Dados de conta: conservados enquanto a conta estiver ativa + 30 dias após eliminação
• Dados de analytics (cliques): 24 meses para utilizadores Pro, 7 dias para utilizadores gratuitos
• Logs do servidor: máximo de 90 dias
• Dados de faturação: 10 anos (obrigação legal fiscal)
• Cookies de sessão: 7 dias (sessão autenticada)

O Kortilink pode utilizar subprocessadores localizados fora do Espaço Económico Europeu. Quando isso acontece, garantimos que existem salvaguardas adequadas, nomeadamente:

• Stripe (EUA) — certificado EU-U.S. Data Privacy Framework
• Servidores de alojamento — localizados na União Europeia (Alemanha)
• APIs de terceiros (ip-api.com para geolocalização) — apenas recebem o endereço IP público, sem dados pessoais identificáveis

Se considerares que o tratamento dos teus dados viola o RGPD, tens o direito de apresentar uma reclamação junto da autoridade de supervisão competente:

• Portugal: CNPD — Comissão Nacional de Proteção de Dados (cnpd.pt)
• Ou a autoridade de supervisão do país da UE onde resides ou trabalhas

Antes de recorrer à autoridade supervisora, encorajamo-te a contactar-nos primeiro, pois geralmente conseguimos resolver qualquer preocupação de forma mais rápida e direta.