🔒 Política de Privacidade, Retenção e Compliance – PhishGuard
Última atualização: 26 de Março de 2026
Entidade Responsável: PhishGuard by Mareginter
⚡ Resumo Rápido
Respeitamos a sua privacidade e garantimos que todos os dados pessoais de usuários e colaboradores sejam tratados de forma segura. Coletamos apenas os dados necessários, não vendemos informações e você pode exportá-las ou solicitá-las para eliminação a qualquer momento.
1. Responsável pelo Tratamento de Dados
PhishGuard / Mareginter
Email: suporte.mareginter@gmail.com
Encarregado de Proteção de Dados (DPO): suporte.mareginter@gmail.com
2. Dados Pessoais Recolhidos
2.1 Dados fornecidos pelo utilizador
- Nome: Identificação e personalização – Execução do contrato (Art. 6(1)(b) RGPD)
- Email: Autenticação e comunicação – Execução do contrato (Art. 6(1)(b) RGPD)
- Password (hash): Autenticação segura – Execução do contrato (Art. 6(1)(b) RGPD)
- Nome da Empresa: Gestão multi-tenancy – Execução do contrato (Art. 6(1)(b) RGPD)
2.2 Dados gerados durante a utilização
- Progresso de formação: módulos completados, pontuações, XP
- Certificados de conclusão
- Histórico de atividade: login, acesso a módulos, simulações de phishing
- Logs de segurança: ações monitorizadas para auditoria
2.3 Dados importados de colaboradores (B2B)
- Dados pessoais de colaboradores fornecidos pelos clientes, conforme contrato/DPA
2.4 Dados que NÃO recolhemos
- ❌ Cartões de crédito ou dados bancários
- ❌ Dados de saúde ou biométricos
- ❌ Localização GPS precisa
3. Finalidades do Tratamento
3.1 Principais
- Fornecer e gerir a plataforma de formação anti-phishing
- Acompanhar progresso e desempenho dos colaboradores
- Emitir certificados de conclusão
- Gestão administrativa e multi-tenant
- Suporte técnico
- Segurança e monitorização de fraude/abuso
3.2 Secundárias (consentimento explícito)
- Email marketing corporativo (opcional)
- Analytics agregados (nunca individuais)
4. Compartilhamento de Dados
4.1 Dentro da empresa
- Nome, email, progresso e certificados visíveis para admins autorizados
- Estatísticas agregadas para gestores
4.2 Subcontratantes (Art. 28 RGPD)
4.2.1 Google LLC (Firebase)
- Serviço: Firebase Authentication e Realtime Database
- Localização: UE (europe-west1, Bélgica)
- Dados processados: autenticação, perfil, progresso, TOTP secrets, logs
✅ Conformidade RGPD:
- Data Processing Agreement Google Cloud
- Standard Contractual Clauses (SCC)
- Dados armazenados na UE
- Certificações ISO/IEC 27001, 27017, 27018, SOC 2 Type II
- Encriptação AES-256 (repouso) + TLS 1.3 (trânsito)
- Backups diários automáticos
4.2.2 Netlify, Inc.
- Serviço: Hosting da aplicação web e funções serverless
- Localização: EUA (us-east-1)
- Dados processados: logs de acesso efémeros
- Retenção logs IP: 30 dias
✅ Conformidade RGPD:
- Data Processing Agreement Netlify
- EU-US Data Privacy Framework certificado
- Standard Contractual Clauses (SCC)
- Certificações ISO/IEC 27001, SOC 2 Type II
- Encriptação TLS 1.2+
- Dados pessoais armazenados apenas no Firebase (UE)
- Notificação breach: 48 horas
5. Segurança dos Dados
- Passwords: Hash PBKDF2 100.000 iterações
- Conexão segura: HTTPS/TLS obrigatório
- Firebase Rules: controlo de acesso e rate limiting
- Logs de auditoria monitorizados
- Backups automáticos (Firebase)
- Monitorização e alertas automáticos
6. Direitos do Utilizador (RGPD)
| Direito | Descrição | Artigo RGPD |
|---|
| Acesso | Obter cópia dos seus dados | Art. 15 |
| Retificação | Corrigir dados incorretos | Art. 16 |
| Eliminação | Apagar dados ("direito ao esquecimento") | Art. 17 |
| Portabilidade | Receber dados em formato estruturado e portável | Art. 20 |
| Oposição | Opor-se ao tratamento dos seus dados | Art. 21 |
| Restrição | Restringir tratamento em certas circunstâncias | Art. 18 |
Exercício via plataforma ou email: suporte.mareginter@gmail.com. Prazo de resposta: até 30 dias.
7. Retenção de Dados
| Tipo de Dado | Prazo | Base Legal / Justificativa |
|---|
| Conta de usuário (nome, email, empresa) | Enquanto ativa | Execução do contrato |
| Progresso formação | Enquanto conta ativa | Execução do contrato |
| Certificados | Conta ativa + 10 anos | Interesse legítimo - prova de formação |
| Logs de segurança e auditoria | 30 dias | Interesse legítimo |
| Dados importados colaboradores (B2B) | Conforme contrato/DPA | Obrigações contratuais |
| Logs de consentimento (ToS, Privacy Policy, DPA) | Atividade do cliente + 3 anos | Auditoria e compliance |
| Backups | 30 dias (rotação automática) | Interesse legítimo |
| Após eliminação solicitada | 0 dias | Pedido do titular |
8. Procedimentos de Auditoria e Logs de Consentimento
- Registro de consentimentos ToS, Privacy Policy, DPA com data, hora, versão e aceitação digital.
- Logs revisados semestralmente; auditorias internas podem ser solicitadas a qualquer momento.
- Criptografia em repouso e em trânsito; acesso restrito à equipe de compliance.
9. Cookies e LocalStorage
- LocalStorage: sessão e cache de progresso
- Cookies essenciais Firebase Auth: autenticação
- ❌ Não usamos cookies de tracking ou publicidade
10. Transferências Internacionais
Firebase: dados na UE. Netlify: processamento efémero nos EUA com SCC e EU-US DPF.
11. Menores de Idade
Destinado a maiores de 18 anos. Dados de menores eliminados imediatamente.
12. Alterações à Política
Atualizações notificadas com 30 dias de antecedência. Histórico de versões incluído.
13. Reclamações
Contactar suporte primeiro, depois CNPD se necessário:
🌐 www.cnpd.pt
📧 geral@cnpd.pt
📞 +351 21 392 84 00
📍 Av. D. Carlos I, 134, 1º, 1200-651 Lisboa
14. Contactos
✅ Resumo Direitos e Compliance
- ✅ Acesso, exportação, correção e eliminação dos dados
- ✅ Oposição ao tratamento
- ✅ Reclamação à CNPD
- ✅ Logs de consentimento auditáveis
- ✅ Dados armazenados 100% na UE (Firebase)
- ✅ Processamento de phishing simulado seguro e controlado
PhishGuard by Mareginter
Política de Privacidade e Compliance v1.3
Última atualização: 26 de Março de 2026
Conforme RGPD (Regulamento UE 2016/679) e DPA B2B