Política de Privacidade

INTEK CENTER SASU, registrada em 369Q Avenue de Verdun, 33700 Mérignac, França (RCS Bordeaux 844 849 174, IVA intracomunitário FR02844849174), atua como Controladora de Dados no sentido do Regulamento (UE) 2016/679 ("GDPR") e da Lei Francesa nº 78-17 de 6 de janeiro de 1978 ("Loi Informatique et Libertés").

Contato de proteção de dados: o formulário de suporte no aplicativo.

Embora a Empresa não seja legalmente obrigada a nomear um Encarregado de Proteção de Dados (Artigo 37 do GDPR), o contato acima serve como ponto de contato designado para todos os assuntos de proteção de dados e tratará todas as solicitações com o mesmo cuidado de um DPO formal.

2.1. Dados do Serviço

2.2. Dados da Conta (opcional)

A criação de conta é opcional. O serviço gratuito de remoção de senha do proprietário não requer conta ou e-mail.

2.3. Dados de Pagamento

A Empresa não armazena números de cartão de crédito. Todos os dados de pagamento são processados exclusivamente pelo Stripe em ambiente compatível com PCI-DSS.

2.4. Dados Técnicos

2.5. Dados de Analytics (consentimento necessário)

Os dados de analytics são coletados via Google Analytics 4 (GA4) somente após consentimento explícito via banner de consentimento de cookies.

Decisões automatizadas e perfil (Art. 22 do GDPR): O Serviço não realiza nenhuma tomada de decisão automatizada ou criação de perfis que produza efeitos legais ou afete você de forma significativamente semelhante.

Usamos seus dados exclusivamente para:

• Fornecer, operar e melhorar o Serviço (recuperação de senha, desbloqueio de PDF).
• Extrair apenas o hash de criptografia dos PDFs enviados — nunca lemos, indexamos ou armazenamos o conteúdo real dos seus documentos.
• Processar pagamentos, gerar faturas e tratar reembolsos via Stripe.
• Comunicar-nos com você (notificações de conclusão de trabalho, confirmações de compra, respostas de suporte).
• Detectar e prevenir fraudes, abusos e acessos não autorizados (limitação de taxa, verificação de webhook).
• Cumprir obrigações legais (contabilidade, impostos, solicitações de autoridades).
• Analisar padrões de uso com dados anonimizados (somente com consentimento).

Nunca vendemos, alugamos ou negociamos seus dados pessoais.

Seus dados podem ser compartilhados com os seguintes prestadores de serviço, estritamente para as finalidades descritas acima:

Trabalhamos apenas com subprocessadores que fornecem salvaguardas adequadas sob o GDPR. Seus dados nunca são compartilhados com anunciantes, corretores de dados ou qualquer outro terceiro.

O armazenamento primário de dados está dentro da União Europeia (Google Cloud, Bélgica, europe-west1). Alguns subprocessadores estão sediados nos Estados Unidos. Essas transferências são garantidas por:

• A decisão de adequação do EU-U.S. Data Privacy Framework (DPF) pela Comissão Europeia (10 de julho de 2023), à qual nossos subprocessadores americanos aderem e estão certificados.
• Quando o DPF não se aplica, Cláusulas Contratuais Padrão (SCCs) adotadas pela Comissão Europeia (Decisão 2021/914), complementadas por medidas técnicas e organizacionais adequadas (criptografia em trânsito e em repouso, controles de acesso, pseudonimização).

Sob o GDPR e a lei francesa, você tem os seguintes direitos:

• Acesso (Art. 15 do GDPR): Obter uma cópia de todos os dados que mantemos sobre você.
• Retificação (Art. 16): Corrigir dados imprecisos ou incompletos.
• Apagamento (Art. 17): Solicitar a exclusão (sujeito a obrigações legais de retenção).
• Restrição (Art. 18): Solicitar limitação do processamento.
• Portabilidade (Art. 20): Receber seus dados em formato estruturado e legível por máquina.
• Objeção (Art. 21): Opor-se ao processamento baseado em interesse legítimo.
• Retirar consentimento (Art. 7): Retirar o consentimento de analytics/marketing a qualquer momento via "Gerenciar cookies" no rodapé.
• Diretivas pós-morte (lei francesa): Definir diretivas sobre o destino dos seus dados após a morte.

Para exercer seus direitos, entre em contato pelo formulário de suporte no aplicativo. Responderemos em 30 dias (prorrogável para 60 dias em casos complexos, com notificação).

Você tem o direito de apresentar reclamação a uma autoridade supervisora. Na França: Commission Nationale de l'Informatique et des Libertés (CNIL) — cnil.fr.

Implementamos medidas técnicas e organizacionais conforme os padrões da indústria:

• Todas as comunicações criptografadas via TLS 1.2+ (HTTPS imposto pelo Firebase Hosting).
• Senhas de usuário com hash — nunca armazenamos senhas de autenticação em texto simples.
• Acesso ao banco de dados controlado por regras de segurança estritas do Firestore (princípio do menor privilégio).
• Arquivos PDF armazenados no Firebase Storage com TTL de exclusão automática (24 horas).
• Assinaturas de webhook (Stripe) verificadas criptograficamente para evitar adulterações.
• Limitação de taxa em todos os endpoints de API para prevenir força bruta e abuso (5 uploads/hora por IP, máximo 3 trabalhos simultâneos).
• Senhas de PDF recuperadas armazenadas criptografadas, excluídas automaticamente após 7 dias.
• Revisões de segurança e atualizações de dependências regulares.

Em caso de violação de dados com risco aos seus direitos e liberdades, notificaremos a CNIL em 72 horas (Art. 33 do GDPR) e informaremos os usuários afetados sem demora indevida (Art. 34 do GDPR).

9.1. Estritamente Necessários (sem necessidade de consentimento)

• Sessão de autenticação — Mantém o estado de login (localStorage).
• Preferências de UI — Tema (claro/escuro) e idioma (chaves localStorage: pdfunlock-theme, pdfunlock-locale).
• Escolha de consentimento — Registra sua decisão de consentimento de cookies.

9.2. Analytics (consentimento necessário)

• Google Analytics 4 — Cookies: _ga, _ga_*. Duração: até 14 meses. Finalidade: entender os padrões de uso do site. Ativado somente após consentimento explícito.

9.3. Marketing (consentimento necessário)

• Google Ads — Cookies: _gcl_*. Finalidade: medir a eficácia de campanhas publicitárias via ligação GA4.
• Microsoft Advertising (Bing UET) — Cookies: _uetmsclkid, _uetvid. Finalidade: rastreamento de conversões.

Implementamos o Google Consent Mode v2. Todos os rastreadores de analytics e marketing são bloqueados por padrão (analytics_storage: denied, ad_storage: denied, ad_user_data: denied, ad_personalization: denied) e só são ativados após seu consentimento explícito e afirmativo via banner de cookies.

Você pode modificar suas escolhas a qualquer momento clicando em "Gerenciar cookies" no rodapé do site.

Eventos do lado do servidor (purchase, refund) são enviados via GA4 Measurement Protocol pelo nosso backend (webhook do Stripe) e não estão sujeitos ao consentimento de cookies, pois não envolvem rastreamento do lado do cliente nem coleta de dados pessoais além da transação em si.

O Serviço não é direcionado a crianças menores de 16 anos. Não coletamos intencionalmente dados pessoais de crianças. Se tomarmos conhecimento de que coletamos dados de uma criança menor de 16 anos sem consentimento parental, os excluiremos prontamente. Se você acredita que isso ocorreu, entre em contato pelo formulário de suporte no aplicativo.

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, tecnologia, requisitos legais ou outros fatores. As alterações serão publicadas nesta página com uma data de "Última atualização" atualizada.

Para alterações materiais que afetem seus direitos, notificaremos os usuários registrados por e-mail com pelo menos 15 dias de antecedência antes que as alterações entrem em vigor.