Política de Privacidade

1. Responsável pelo tratamento

O responsável pelo tratamento dos seus dados pessoais é:

Kortilink
Website: kortilink.com
Email: privacidade@kortilink.com
Sede: Lisboa, Portugal

Ao utilizar os nossos serviços, aceita as práticas descritas nesta Política de Privacidade.

2. Dados que recolhemos

2.1 Dados que nos fornece diretamente

• Nome e endereço de email (ao criar conta ou contactar-nos)
• Informações de perfil (nome de utilizador, fotografia de perfil, bio)
• Informações de pagamento (processadas pelo Stripe — não armazenamos dados de cartão)
• Conteúdo que cria na plataforma (links, Bio Pages, UTM tags)

2.2 Dados recolhidos automaticamente

• Endereço IP e localização aproximada (país, cidade)
• Tipo de dispositivo, sistema operativo e navegador
• Páginas visitadas, links clicados e duração da sessão
• Dados de cliques nos links que encurta (incluindo referrer, país, dispositivo)
• Cookies e identificadores de sessão (ver secção 4)

2.3 Dados obtidos de terceiros

• Se iniciar sessão com Google OAuth: nome, email e fotografia de perfil da sua conta Google
• Se iniciar sessão com Facebook OAuth: nome, email e fotografia de perfil da sua conta Facebook

3. Finalidade e base legal

Tratamos os seus dados pessoais com as seguintes finalidades e bases legais ao abrigo do RGPD (Regulamento Geral sobre a Proteção de Dados — UE 2016/679):

• Prestação do serviço — necessário para a execução do contrato (Art. 6.º, n.º 1, b)
• Gestão de conta e autenticação — necessário para a execução do contrato (Art. 6.º, n.º 1, b)
• Faturação e pagamentos — necessário para a execução do contrato (Art. 6.º, n.º 1, b)
• Analytics e melhoria do serviço — interesse legítimo (Art. 6.º, n.º 1, f)
• Comunicações de marketing — com o seu consentimento (Art. 6.º, n.º 1, a)
• Cumprimento de obrigações legais — obrigação legal (Art. 6.º, n.º 1, c)

4. Cookies e tecnologias de rastreio

Utilizamos cookies e tecnologias semelhantes para garantir o funcionamento correto da plataforma, recordar as suas preferências e analisar o uso do serviço. Consulte a nossa Política de Cookies para informações detalhadas.

5. Terceiros e subcontratantes

Podemos partilhar os seus dados com os seguintes terceiros, que atuam como subcontratantes:

Google (OAuth e Analytics)

Utilizamos o Google OAuth para autenticação opcional. O Google pode processar dados de acordo com a sua própria política de privacidade. Saiba mais em policies.google.com/privacy.

Meta / Facebook (OAuth)

Oferecemos login com Facebook como alternativa de autenticação. A Meta processa dados conforme a sua política de privacidade em facebook.com/privacy/policy.

Stripe (Pagamentos)

Os pagamentos são processados pelo Stripe, Inc. Não armazenamos dados de cartão de crédito. O Stripe é certificado PCI-DSS nível 1. Consulte a política em stripe.com/privacy.

Outros fornecedores

Podemos utilizar fornecedores de infraestrutura cloud (como Supabase/Firebase), CDN e serviços de email transacional (como SendGrid). Todos os fornecedores estão contratualmente obrigados a proteger os seus dados e a tratar apenas os dados estritamente necessários.

Não vendemos os seus dados pessoais a terceiros para fins de marketing.

6. Retenção de dados

Conservamos os seus dados pessoais apenas pelo tempo necessário para as finalidades descritas:

• Dados de conta: enquanto a conta estiver ativa e por mais 30 dias após eliminação
• Dados de analytics de links: 24 meses a contar da data do clique
• Dados de faturação: 10 anos (obrigação legal fiscal)
• Logs de acesso: 90 dias

7. Os seus direitos ao abrigo do RGPD

Enquanto titular de dados residente na UE/EEE, tem os seguintes direitos:

• Direito de acesso — solicitar uma cópia dos seus dados pessoais
• Direito de retificação — corrigir dados inexatos ou incompletos
• Direito ao apagamento ("direito a ser esquecido") — solicitar a eliminação dos seus dados
• Direito à limitação do tratamento — restringir o modo como usamos os seus dados
• Direito à portabilidade — receber os seus dados num formato estruturado e legível por máquina
• Direito de oposição — opor-se ao tratamento baseado em interesse legítimo ou marketing direto
• Direito de retirar consentimento — a qualquer momento, sem afetar a licitude do tratamento anterior

Para exercer qualquer um destes direitos, contacte-nos em privacidade@kortilink.com. Responderemos no prazo de 30 dias.

Tem também o direito de apresentar uma reclamação à autoridade de controlo competente — em Portugal, a CNPD (Comissão Nacional de Proteção de Dados): www.cnpd.pt.

8. Segurança

Implementamos medidas técnicas e organizativas adequadas para proteger os seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição. Estas medidas incluem:

• Encriptação em trânsito (TLS 1.3) e em repouso (AES-256)
• Autenticação multi-fator disponível para todas as contas
• Acesso restrito aos dados por parte dos colaboradores, numa base de necessidade
• Auditorias de segurança periódicas
• Monitorização de atividade suspeita

Em caso de violação de dados que possa afetar os seus direitos, notificaremos as autoridades competentes no prazo de 72 horas e informar-lo-emos caso o risco seja elevado.

9. Alterações a esta política

Podemos atualizar esta Política de Privacidade periodicamente. Quando o fizermos, alteraremos a data de "última atualização" no topo da página. Em caso de alterações significativas, notificaremos os utilizadores por email ou através de aviso proeminente na plataforma.

Recomendamos que reveja esta política regularmente para se manter informado sobre como protegemos os seus dados.

10. Contacto e DPO

Para questões relacionadas com privacidade, proteção de dados ou para exercer os seus direitos: