Política de Privacidade

1. Quem somos

Responsável: Stephen Bellotto (Sliema, Malta). Contacto para proteção de dados: designer@stephenbellotto.com.

Autoridade de controlo: Information and Data Protection Commissioner (IDPC) Malta — idpc.org.mt.

2. Que dados tratamos

Formulários (briefing, contacto, newsletter): nome, email, empresa, telefone, mensagem, anexos, idioma.

Acesso admin/equipa: email + palavra-passe cifrada + tokens de sessão.

Logs técnicos/segurança: IP, navegador, páginas visitadas, datas.

Interações com IA: prompts que envias + conteúdo gerado pela IA (texto, imagem, tradução, análise).

Integrações Meta (se ligadas): Page ID, IG User ID, tokens (cifrados), mensagens de inbox, metadados das publicações.

3. Finalidades e base legal (RGPD Art. 6)

A. Responder aos teus contactos — diligências pré-contratuais (Art. 6(1)(b)).

B. Prestar os serviços contratados — execução de contrato (Art. 6(1)(b)).

C. Newsletter — consentimento explícito opt-in (Art. 6(1)(a)).

D. Obrigações fiscais/contabilísticas — obrigação legal (Art. 6(1)(c)).

E. Operar o dashboard — interesse legítimo (Art. 6(1)(f)).

F. Gerar conteúdo IA por tua ordem — execução de contrato.

G. Publicar redes sociais via Meta — autorização explícita.

H. Detetar fraude/proteger infraestrutura — interesse legítimo.

NÃO tratamos categorias especiais (Art. 9) sem consentimento explícito e específico.

4. Com quem partilhamos (subprocessadores)

Vercel Inc. (EUA) — alojamento, Blob, Edge Functions.

OpenAI Ireland Ltd. / Anthropic PBC (EUA) — geração IA (texto/imagem). Modo API: fornecedores NÃO treinam com os teus dados.

Google LLC (Gmail API + Calendar API) — envio de email transacional e leitura da disponibilidade do calendário em teu nome.

Translated S.r.l. (Itália, MyMemory) — tradução fallback.

Meta Platforms Ireland Ltd. — só quando ligas uma conta Meta.

A utilização por Stephen Bellotto de informação recebida das Google APIs respeita a Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), incluindo os requisitos de Limited Use. Os dados Google servem apenas para enviar email e consultar a disponibilidade do calendário em teu nome, nunca para publicidade, e ninguém os lê salvo com o teu consentimento explícito ou por razões de segurança ou lei.

5. Transferências internacionais

Alguns prestadores processam dados nos EUA ao abrigo das Cláusulas Contratuais Tipo (Decisão 2021/914) e, quando aplicável, do EU-US Data Privacy Framework.

Pede uma cópia das salvaguardas a designer@stephenbellotto.com.

6. Retenção

Pedidos de contacto sem seguimento: 6 meses. Dados de cliente após contrato: 10 anos (obrigação fiscal, Malta). Newsletter: até cancelamento. Logs técnicos: 12 meses. Prompts/output IA: até 90 dias. Backups encriptados: 30 dias após apagamento principal.

7. Os teus direitos (RGPD Art. 15–22)

Acesso, retificação, apagamento, limitação, portabilidade, oposição, retirar consentimento a qualquer momento, e não ser sujeito a decisões automatizadas exclusivas.

Como exercer: email para designer@stephenbellotto.com com identificação. Respondemos em 30 dias (prorrogável por 60 em casos complexos).

Reclamação: IDPC Malta ou autoridade do teu país (edpb.europa.eu).

8. Cookies

Usamos o mínimo de cookies essenciais e pedimos consentimento opt-in para cookies analíticos/marketing num banner. Vê a tabela completa em /cookies e reabre o gestor de consentimento quando quiseres.

9. Integrações Meta (Instagram, Facebook, WhatsApp)

Dados recolhidos apenas se ligares a tua conta Meta: identificadores, tokens cifrados, publicações que envias, mensagens de inbox (se ativares).

Finalidade: apenas as ações que autorizares. Nunca para perfilamento, venda ou análise a terceiros.

Apagamento: desliga a app nas Definições da Meta, ou envia email a designer@stephenbellotto.com (assunto: « User Data Deletion — Meta »). Agimos em até 30 dias. Implementamos também o Data Deletion Callback em /api/meta-deletion-callback (a Meta envia-nos pedidos automaticamente).

10. Decisões automatizadas e IA (RGPD Art. 22 + AI Act UE)

Conteúdo gerado por IA é identificado como tal (selo na UI).

Modelos: OpenAI gpt-4o-mini (texto), gpt-image-1 (imagem); ou Anthropic Claude. Fornecedores NÃO usam os teus dados para treinar modelos.

Não tomamos decisões com efeito jurídico ou significativo sem revisão humana. Tens direito a intervenção humana e a contestar qualquer resultado automatizado.

11. App de automação por IA para clientes (B2B)

Quando usas a nossa app de automação por IA no teu negócio, somos Subprocessador (Art. 28). Tu és o Responsável pelo Tratamento. Assinamos um Data Processing Agreement (DPA) antes do início. Os dados de cada cliente ficam isolados (multi-tenant); outros clientes não os veem.

12. Segurança

TLS 1.3, cifragem em repouso para dados sensíveis, princípio do menor privilégio, acessos monitorizados. Notificação de violação em 72h à autoridade (Art. 33) e ao titular se houver risco elevado (Art. 34).

13. Crianças

Serviço não dirigido a menores de 16 anos (idade de consentimento para serviços da sociedade da informação em Malta). Contacta-nos para apagamento imediato em caso de recolha inadvertida.

14. Alterações

Alterações significativas são comunicadas a subscritores/clientes com 30 dias de antecedência. Versão atual de 2026-06-03.

15. Contacto

designer@stephenbellotto.com · Stephen Bellotto, Sliema, Malta. Lei aplicável: maltesa e da UE. Foro: tribunais de Malta, sem prejuízo dos direitos de consumidor no teu país de residência na UE.