🔒 Política de Privacidade e Compliance
Última atualização: 10 de Março de 2026
Entidade Responsável: PhishGuard by Mareginter
⚡ Resumo Rápido
Respeitamos a sua privacidade. Recolhemos apenas os dados necessários para fornecer o serviço de formação anti-phishing. Nunca vendemos os seus dados. Pode exportá-los ou eliminá-los a qualquer momento.
1. Responsável pelo Tratamento de Dados
PhishGuard / Mareginter
Email: suporte.mareginter@gmail.com
Encarregado de Proteção de Dados (DPO): suporte.mareginter@gmail.com
2. Dados Pessoais Recolhidos
2.1 Dados fornecidos pelo utilizador
- Nome: Identificação e personalização – Execução do contrato (Art. 6(1)(b) RGPD)
- Email: Autenticação e comunicação – Execução do contrato (Art. 6(1)(b) RGPD)
- Password (hash): Autenticação segura – Execução do contrato (Art. 6(1)(b) RGPD)
- Nome da Empresa: Gestão multi-tenancy – Execução do contrato (Art. 6(1)(b) RGPD)
2.2 Dados gerados durante a utilização
- Progresso de formação: módulos completados, pontuações, XP
- Certificados de conclusão
- Histórico de atividade: login, acesso a módulos, simulações de phishing
- Logs de segurança: ações monitorizadas para auditoria
2.3 Dados que NÃO recolhemos
- ❌ Cartões de crédito ou dados bancários
- ❌ Dados de saúde ou biométricos
- ❌ Localização GPS precisa
3. Finalidades do Tratamento
3.1 Principais
- Fornecer e gerir a plataforma de formação anti-phishing
- Acompanhar progresso e desempenho dos colaboradores
- Emitir certificados de conclusão
- Gestão administrativa e multi-tenant
- Suporte técnico
- Segurança e monitorização de fraude/abuso
3.2 Secundárias (consentimento explícito)
- Email marketing corporativo (opcional)
- Analytics agregados (nunca individuais)
4. Compartilhamento de Dados
4.1 Dentro da empresa
- Nome, email, progresso e certificados visíveis para admins autorizados
- Estatísticas agregadas para gestores
4.2 Subcontratantes (Art. 28 RGPD)
4.2.1 Google LLC (Firebase)
- Serviço: Firebase Authentication e Realtime Database
- Localização: União Europeia (europe-west1, Bélgica)
- Dados processados: autenticação, perfil, progresso, TOTP secrets, logs
✅ Conformidade RGPD:
- Data Processing Agreement Google Cloud
- Standard Contractual Clauses (SCC)
- Dados armazenados na União Europeia
- Certificações ISO/IEC 27001, 27017, 27018, SOC 2 Type II
- Encriptação AES-256 (repouso) + TLS 1.3 (trânsito)
- Backups diários automáticos
4.2.2 Netlify, Inc.
- Serviço: Hosting da aplicação web e funções serverless
- Localização: Estados Unidos (us-east-1)
- Dados processados: logs de acesso efémeros
- Retenção logs IP: 30 dias
✅ Conformidade RGPD:
- Data Processing Agreement Netlify
- EU-US Data Privacy Framework certificado
- Standard Contractual Clauses (SCC)
- Certificações ISO/IEC 27001, SOC 2 Type II
- Encriptação TLS 1.2+
- Dados pessoais armazenados apenas no Firebase (UE)
- Notificação breach: 48 horas
5. Segurança dos Dados
- Passwords: Hash PBKDF2 100.000 iterações
- Conexão segura: HTTPS/TLS obrigatório
- Firebase Rules: controlo de acesso e rate limiting
- Logs de auditoria monitorizados
- Backups automáticos (Firebase)
- Monitorização e alertas automáticos
6. Direitos do Utilizador (RGPD)
| Direito | Descrição | Artigo RGPD |
|---|
| Acesso | Obter cópia dos seus dados | Art. 15 |
| Retificação | Corrigir dados incorretos | Art. 16 |
| Eliminação | Apagar dados ("direito ao esquecimento") | Art. 17 |
| Portabilidade | Receber dados em formato estruturado e portável | Art. 20 |
| Oposição | Opor-se ao tratamento dos seus dados | Art. 21 |
| Restrição | Restringir tratamento em certas circunstâncias | Art. 18 |
Exercício via plataforma ou email: suporte.mareginter@gmail.com. Prazo de resposta: até 30 dias.
7. Retenção de Dados
| Tipo de Dado | Período | Base Legal |
|---|
| Conta (nome, email, empresa) | Enquanto ativa | Execução do contrato |
| Progresso formação | Enquanto conta ativa | Execução do contrato |
| Certificados | Conta ativa + 10 anos | Interesse legítimo - prova de formação |
| Logs segurança | 30 dias | Interesse legítimo |
| Logs IP Netlify | 30 dias | Interesse legítimo |
| Backups Firebase | 30 dias (rotação automática) | Interesse legítimo |
| Após eliminação | 0 dias (eliminação imediata) | Pedido titular |
8. Cookies e LocalStorage
- LocalStorage: sessão e cache de progresso
- Cookies essenciais Firebase Auth: autenticação
- ❌ Não usamos cookies de tracking ou publicidade
9. Transferências Internacionais
Firebase: todos os dados na UE. Netlify: processamento efémero nos EUA com SCC e EU-US DPF.
10. Menores de Idade
Destinado a maiores de 18 anos. Dados de menores eliminados imediatamente.
11. Alterações à Política
Atualizações notificadas com 30 dias de antecedência. Histórico de versões incluído.
12. Reclamações
Contactar suporte primeiro, depois CNPD se necessário:
13. Contactos
✅ Resumo Direitos RGPD
- ✅ Acesso, exportação, correção e eliminação dos dados
- ✅ Oposição ao tratamento
- ✅ Reclamação à CNPD
- ✅ Dados armazenados 100% na UE (Firebase)
- ✅ Processamento de phishing simulado seguro e controlado
PhishGuard by Mareginter
Política de Privacidade v1.2
Última atualização: 10 de Março de 2026
Conforme RGPD (Regulamento UE 2016/679)