Pular para o conteúdo principal
QR-Verse

Política de privacidade

Em vigor desde: 29 de abril de 2026 - Versão 2026-04-29-v1

Esta política explica como o QR-Verse trata os seus dados pessoais, as bases legais em que nos apoiamos, os subcontratantes que utilizamos, os prazos de conservação aplicados e os direitos que lhe assistem ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD). Alojamos na UE, guardamos apenas o estritamente necessário e nunca vendemos as suas informações.

Gerir a sua privacidade agora

Descarregar os meus dadosEliminar a minha contaPreferências de cookies

Resumo

  • Somos o responsável pelo tratamento. Estabelecidos na UE, sem casa-mãe norte-americana. Contacto: support@qr-verse.com.
  • Tratamos o e-mail da conta, dados de subscrição, os QR codes que cria, estatísticas de leitura anonimizadas e o histórico de AI Art.
  • Utilizamos Supabase (Frankfurt), Stripe, Resend, Cloudflare, Hetzner e Sentry. A lista completa com localizações está na secção 5.
  • Os cookies de marketing e analíticos estão desativados por predefinição. Os cookies de afiliação só são carregados se aceitar.
  • Pode descarregar ou eliminar os seus dados a qualquer momento em Definições -> Privacidade. A eliminação tem um período de tolerância de 30 dias.

1. Responsável pelo tratamento e contacto

O responsável pelo tratamento descrito nesta política é:

  • QR-Verse
  • Operado a partir da União Europeia
  • support@qr-verse.com
  • Encarregado da Proteção de Dados (EPD/DPO): support@qr-verse.com - escreva "DPO" no assunto para o encaminhamento correto.
  • Representante na UE: Não designado em separado - o responsável está estabelecido na União Europeia, pelo que não é necessário um representante ao abrigo do artigo 27.º.
  • Autoridade de controlo principal: Autoriteit Persoonsgegevens (AP), a autoridade neerlandesa de proteção de dados - https://autoriteitpersoonsgegevens.nl. Em Portugal, pode também recorrer à CNPD: https://www.cnpd.pt.

2. Categorias de dados pessoais que tratamos

Recolhemos apenas o necessário para prestar o serviço. Cada categoria abaixo descreve o que guardamos e porquê.

  • Dados de conta

    Endereço de e-mail, nome a apresentar, preferência de idioma, hash da palavra-passe (sem OAuth) e identificadores OAuth do Google ou Apple, se entrar com eles.

  • Dados de subscrição e faturação

    ID de cliente Stripe, plano, estado da subscrição, histórico de faturas, país para efeitos de IVA e os 4 últimos dígitos do cartão. Nunca vemos nem guardamos números completos - é o Stripe que trata disso.

  • Metadados dos QR codes

    Os QR codes que cria, os respetivos URL de destino (códigos dinâmicos), os nomes que atribui, o tipo (URL, vCard, Wi-Fi, etc.) e os parâmetros de estilo escolhidos.

  • Estatísticas de leitura

    Carimbo temporal de cada leitura, país inferido a partir do IP do leitor (o IP nunca é guardado), classe de dispositivo (móvel/computador/tablet) e família aproximada do SO. Todas as linhas são pseudonimizadas - não podem ser ligadas a uma pessoa identificável.

  • Gerações AI Art

    O prompt que envia, os parâmetros usados (estilo, intensidade ControlNet, seed) e a imagem produzida. Guardados para que possa voltar a descarregar ou regenerar. Não utilizados para treinar modelos de terceiros.

  • Registos de e-mail

    Eventos de entrega, devolução, abertura e clique de e-mails transacionais e de marketing, devolvidos pelo nosso fornecedor Resend. Usados para monitorização da entregabilidade e supressão de endereços que devolvem mensagens.

  • Registo de consentimento de cookies

    Quando aceita, recusa ou altera as preferências, registamos as categorias escolhidas, a consent_version ativa e a hora. É o trilho de auditoria exigido pelo artigo 7.º, n.º 1, do RGPD.

4. Destinatários e subcontratantes

Trabalhamos com um conjunto reduzido de subcontratantes cuidadosamente selecionados. Tratam dados apenas com base nas nossas instruções escritas, ao abrigo de um Contrato de Tratamento de Dados (DPA).

FornecedorFinalidadeLocalizaçãoDPA
SupabaseBase de dados, autenticação, armazenamento de ficheirosUE - Frankfurt (eu-central-1)DPA
StripeProcessamento de pagamentos, faturação de subscriçõesIrlanda (UE) com fallback EUA ao abrigo de CCTDPA
ResendEnvio de e-mails transacionais e de marketingUE + EUA ao abrigo de CCTDPA
CloudflareCDN, proteção DDoS, cache na edgeRede edge globalDPA
Hetzner OnlineAlojamento da aplicação, infraestrutura de contentoresApenas UE - AlemanhaDPA
SentryMonitorização de erros e desempenhoRegião UE (de.sentry.io)DPA
Impact (pxf.io)Cookies de tracking de afiliação - só são carregados se aceitar cookies de AfiliaçãoEUA ao abrigo de CCTDPA
Afiliação NordVPNAtribuição a parceiro - só é carregada se aceitar cookies de AfiliaçãoPanamá com CCT UEDPA

Lista completa de subcontratantes: /legal/subprocessors

5. Transferências internacionais de dados

A maior parte dos seus dados permanece na UE. Alguns subcontratantes operam a partir dos Estados Unidos. Para cada transferência para os EUA apoiamo-nos nas Cláusulas Contratuais Tipo (CCT, 2021/914) da Comissão Europeia, assinadas no respetivo DPA.

  • Stripe (subconjunto de dados de pagamento) - CCT + medidas suplementares da Stripe.
  • Resend (metadados de e-mail) - CCT + Quadro UE-EUA de Privacidade de Dados (quando aplicável).
  • Sentry (stack traces de erro, expurgados de PII) - CCT + região UE por predefinição.
  • Impact / pxf.io (cookies de afiliação, só após consentimento) - CCT.
  • Cloudflare (trânsito edge) - CCT.

Não transferimos dados pessoais para subcontratantes situados em países sem decisão de adequação, exceto quando cobertos por CCT e medidas técnicas suplementares (cifragem em trânsito e em repouso).

6. Prazos de conservação

Conservamos dados pessoais apenas pelo tempo necessário. Prazos específicos:

  • Conta ativa

    Indeterminado enquanto a sua subscrição ou conta gratuita estiver ativa.

  • Conta eliminada

    Período de tolerância de 30 dias após o pedido. Durante esse período a conta está suspensa e recuperável. Decorridos 30 dias, é executada a eliminação definitiva e os identificadores são removidos.

  • Dados de subscrição e faturas

    7 anos a contar da data da fatura. Imposto pela legislação fiscal (Belastingdienst neerlandês, RGCT português e normas equivalentes dos Estados-Membros).

  • Estatísticas de leitura

    Linhas brutas: 90 dias. Depois agregadas em contadores dia/país e os registos detalhados são eliminados.

  • Registo de consentimento de cookies

    12 meses a partir da data da decisão. Conforme as orientações da CNIL e do EDPB.

  • Registos de e-mail

    24 meses. Usados para monitorização da entregabilidade e supressão de devoluções.

  • Cópias de segurança

    Cópias cifradas com retenção rotativa de 35 dias. Em caso de pedido de eliminação, não restauraremos os seus dados a partir de cópias salvo obrigação legal.

7. Os seus direitos ao abrigo do RGPD

Tem os seguintes direitos sobre os seus dados pessoais. A maioria pode ser exercida diretamente da conta; para os restantes, escreva para support@qr-verse.com - respondemos no prazo de 30 dias.

  • Direito de acesso (artigo 15.º)

    Descarregue uma cópia completa dos seus dados num arquivo ZIP.

    Exportar os meus dados->

  • Direito de retificação (artigo 16.º)

    Corrigir dados pessoais incorretos.

    Editar perfil->

  • Direito ao apagamento (artigo 17.º)

    Eliminar permanentemente a sua conta e dados pessoais. A eliminação tem 30 dias de tolerância para cancelamento.

    Eliminar a minha conta->

  • Direito de limitação (artigo 18.º)

    Solicite-nos que limitemos o tratamento enquanto uma reclamação ou correção está pendente.

    Escrever para support@qr-verse.com->

  • Direito de portabilidade (artigo 20.º)

    Receba os seus dados em formato estruturado e legível por máquina (JSON em ZIP) e transmita-os a outro responsável.

    Exportar os meus dados->

  • Direito de oposição (artigo 21.º)

    Oponha-se ao tratamento para fins de marketing ou baseado em interesse legítimo. Pode cancelar e-mails de marketing diretamente.

    Preferências de e-mail->

  • Direito de retirar o consentimento (artigo 7.º, n.º 3)

    Retire o consentimento de cookies ou marketing a qualquer momento. Tão fácil como concedê-lo.

    Preferências de cookies->

  • Direito de apresentar reclamação (artigo 77.º)

    Apresente reclamação à autoridade de controlo do seu Estado-Membro. A nossa autoridade principal é a AP neerlandesa. Em Portugal, contacte a CNPD.

    Encontrar a sua autoridade->

8. Cookies e tecnologias semelhantes

Utilizamos quatro categorias de cookies. Apenas os Necessários estão ativos por predefinição; tudo o resto é estritamente opt-in.

Necessários

Sempre ativos

Sessão, autenticação, proteção CSRF, preferência de idioma e o cookie geo_country que indica ao banner qual o regime jurídico aplicável. Não desativáveis - o site não funciona sem eles.

Analítica

Desativados por predefinição

Atualmente desativados - não usamos analítica de terceiros. Se vier a ativar (p. ex. Vercel Analytics ou PostHog), incrementaremos consent_version e o banner voltará a pedir o consentimento.

Marketing

Desativados por predefinição

Píxeis de medição de campanhas de e-mail e personalização do onboarding. Não usamos redes publicitárias de terceiros.

Afiliação

Desativados por predefinição

Impact (pxf.io) e o cookie de afiliação NordVPN. Carregados apenas quando clica num link de afiliação E aceitou esta categoria.

Se acrescentarmos um fornecedor ou alterarmos a descrição de uma categoria, incrementamos CONSENT_VERSION (ver registo de auditoria em /api/account/cookie-consent) e o banner volta a pedir consentimento a todos os visitantes.

9. Medidas de segurança

Seguimos as práticas padrão de segurança para SaaS europeu:

  • TLS 1.2+ para todo o tráfego entre si e a nossa edge (Cloudflare).
  • Cifragem em repouso para a base Postgres da Supabase e os baldes de armazenamento.
  • Row-Level Security (RLS) em cada tabela orientada ao utilizador - cada um lê apenas os seus dados.
  • Segredos guardados em variáveis de ambiente, nunca no controlo de versões.
  • Alertas Sentry para erros em runtime, com remoção automática de PII.
  • Revisão de pentest em releases principais; programa de bug bounty disponível - escreva para support@qr-verse.com.
  • Cópias de segurança cifradas com AES-256, retenção rotativa de 35 dias, exclusivamente UE.
  • Autenticação de dois fatores obrigatória para contas fundadoras e disponível para todos os utilizadores.

10. Crianças

O QR-Verse não se destina a menores de 16 anos. Não recolhemos conscientemente dados pessoais de menores de 16. Se for pai, mãe ou tutor e suspeitar que a sua criança criou uma conta, escreva para support@qr-verse.com - eliminamos a conta no prazo de 5 dias úteis. Onde a lei local fixar uma idade superior (p. ex. 16 em NL/DE, 13 em PT segundo a Lei n.º 58/2019), prevalece a idade superior.

11. Alterações a esta política

Em caso de alterações substanciais:

  • Atualizamos a versão e data de entrada em vigor no topo desta página.
  • Notificamos todos os utilizadores por e-mail com pelo menos 30 dias de antecedência.
  • Se a alteração afetar categorias de cookies, incrementamos CONSENT_VERSION para que o banner volte a pedir consentimento.
  • Mantemos um arquivo das versões anteriores ligado no topo desta página.

12. Contacto

Para questões de privacidade, pedidos de titulares ou matérias do EPD:

support@qr-verse.com

Procuramos confirmar pedidos no prazo de 72 horas e resolvê-los em 30 dias, conforme exigido pelo artigo 12.º, n.º 3, do RGPD.

Em vigor desde: 29 de abril de 2026 - Versão 2026-04-29-v1

Cookie banner consent_version: 2026-04-29-v1