Política de Privacidade

A operação comercial conhecida pela designação Str8Global é conduzida em coautoria por duas pessoas singulares residentes em Portugal — identificadas neste website pelos contactos profissionais publicados (Igor: +351 966 128 922; Marta: +351 933 029 438). Ambos partilham os meios e as decisões relativas ao tratamento dos teus dados pessoais. Para efeitos do artigo 26.º do RGPD, atuam como responsáveis pelo tratamento conjuntos, sendo solidariamente responsáveis pelo cumprimento das obrigações decorrentes do regulamento.

A identificação civil e fiscal completa dos titulares (nome completo e NIF) é comunicada no momento da contratação, no respetivo documento contratual ou fatura, em coerência com o princípio da minimização de dados (artigo 5.º (1)(c) do RGPD), e pode ser solicitada por escrito a str8global.co@gmail.com a qualquer momento, ao abrigo do artigo 13.º n.º 1 al. a) do RGPD.

Endereço operacional: Estrada das Ligeiras, Lote 2, 2735-337 Agualva-Cacém, Portugal. Canal eletrónico geral: str8global.co@gmail.com.

À data, não foi constituída sociedade comercial sob a designação Str8Global e, por essa razão, esta operação não dispõe de NIPC, capital social ou sede social registada. Caso, no futuro, venha a ser constituída uma sociedade, esta política será atualizada para identificar essa pessoa coletiva como responsável pelo tratamento singular, sucedendo nos direitos e obrigações decorrentes destes tratamentos sem solução de continuidade quanto à proteção dos teus dados.

Esta política aplica-se a todos os tratamentos efetuados no contexto do website, dos serviços de marketing, estúdio fotográfico, produção de vídeo, podcast, aluguer de equipamento e estúdios e cowork criativo. Quando atuamos enquanto subcontratante (artigo 28.º do RGPD) — por exemplo, ao tratar dados em nome de uma marca cliente para uma campanha de marketing —, o cliente é o responsável pelo tratamento e os termos específicos constam de contrato escrito.

Tratamos as categorias mínimas de dados estritamente necessárias a cada interação. As categorias variam consoante o contexto:

2.1. Visitante anónimo do website

Não recolhemos dados pessoais identificáveis. O serviço Vercel Analytics regista, em modo cookieless e de forma agregada, eventos técnicos como página visitada, dispositivo, browser, país (derivado do IP, sem armazenamento do IP em claro) e referrer. Estes dados são agregados, anonimizados e não permitem reidentificar a pessoa.

2.2. Pedidos de orçamento e contactos comerciais

Quando contactas por email (str8global.co@gmail.com), telefone ou WhatsApp tratamos: nome, email, número de telefone, nome da empresa e conteúdo da mensagem (que pode incluir descrições do projeto, preferências, datas pretendidas e outros elementos por ti voluntariamente partilhados).

2.3. Reservas de equipamento, estúdios e cowork

Para o aluguer de equipamento ou estúdios e para a contratação de planos de cowork tratamos: nome do cliente, contacto (telefone ou email), datas e horários reservados, número de lugares (cowork), preço acordado e notas operacionais (requisitos especiais, faturação).

2.4. Faturação e contabilidade

Quando emitimos fatura recolhemos os dados estritamente exigidos pela legislação fiscal portuguesa: nome ou denominação social, NIF/NIPC, morada de faturação, e o detalhe da prestação de serviços.

2.5. Conteúdo audiovisual

No exercício da nossa atividade produzimos fotografia e vídeo nos quais podem aparecer pessoas identificáveis. A captação e utilização de imagem está sempre subordinada a autorização prévia, livre, específica e informada do(s) titular(es) e ao artigo 79.º do Código Civil (direito à imagem). Para projetos comerciais a autorização é formalizada em model release escrito; para conteúdo institucional ou de equipa, por declaração de consentimento individualizada.

2.6. Acesso à área restrita

O subdomínio interno /restricted é exclusivo para administradores autenticados (Igor e Marta). Para gerir o acesso utilizamos cookies de sessão do Supabase Auth, estritamente necessárias para a autenticação. Esta política não regula o acesso público — apenas o tratamento dos dados de cliente armazenados no sistema interno.

2.7. Categorias especiais

Não recolhemos categorias especiais de dados (artigo 9.º do RGPD: dados que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos ou biométricos, dados de saúde, vida sexual ou orientação sexual). Se um projeto exigir, excecionalmente, o tratamento de tais dados, será celebrado contrato específico, recolhido consentimento explícito e adotadas medidas reforçadas.

Cada tratamento serve uma finalidade determinada e dispõe de uma base legal do artigo 6.º (1) do RGPD:

Quando a base legal é o interesse legítimo, realizamos um teste de balanceamento documentado em três passos: (i) identificação do interesse; (ii) avaliação da necessidade; (iii) ponderação dos direitos e liberdades dos titulares. O resultado encontra-se disponível sob pedido.

Quando a base legal é o consentimento, cumprimos os requisitos do artigo 4.º (11) e artigo 7.º do RGPD: consentimento livre, específico, informado, manifestado por declaração ou ato positivo inequívoco e tão fácil de retirar como de dar.

Aplicamos o princípio da limitação de conservação (art. 5.º (1)(e) do RGPD): os dados são conservados pelo tempo mínimo necessário a cada finalidade. Os prazos abaixo são os prazos máximos por defeito e podem ser encurtados a pedido, salvo se uma obrigação legal impuser período superior.

• Pedidos de orçamento sem conversão (leads não convertidos): até 24 meses após o último contacto, para permitir retoma da conversa.
• Clientes ativos: durante toda a vigência da relação contratual e nos 10 anos seguintes ao termo do contrato (artigo 123.º do CIRC; artigo 52.º do Código do IVA).
• Faturação e documentos contabilísticos: 10 anos a contar do final do exercício a que respeitam.
• Reservas de equipamento, estúdios e cowork: 24 meses após a data da reserva, para gestão operacional, sucessivas e estatística agregada — depois disso são anonimizadas.
• Imagens em que aparecem terceiros (com autorização): durante a vigência da autorização e até à sua revogação. Quando a autorização é revogada, removemos o conteúdo em prazo razoável e cessa a difusão futura, sem prejuízo dos direitos consolidados sobre cópias já disseminadas em exemplares físicos.
• Logs de servidor e segurança: até 12 meses, de acordo com as boas práticas da ENISA e do EDPB, salvo necessidade de prolongamento por incidente de segurança em apuramento.
• Sessões autenticadas (área restrita): até 30 dias ou até logout explícito, o que ocorrer primeiro.

Findos os prazos, os dados são apagados ou anonimizados (transformação irreversível que impede a reidentificação) por procedimento documentado.

Não vendemos dados pessoais. Os teus dados são acessíveis apenas pelas pessoas autorizadas a executar os serviços. Para sustentar a operação, recorremos a um conjunto restrito de prestadores tecnológicos — subcontratantes na aceção do artigo 28.º do RGPD — vinculados a obrigações contratuais e técnicas equivalentes às nossas.

Pode ser necessário comunicar dados pessoais a autoridades públicas quando exigido por lei (designadamente Autoridade Tributária, Autoridade de Segurança Alimentar e Económica, autoridades judiciais e CNPD). Tais comunicações ocorrem apenas no estrito cumprimento da norma aplicável.

A lista de subprocessadores pode ser atualizada. Atualizações materiais são comunicadas por aviso visível no website ou, quando se justifique, por comunicação direta aos titulares afetados.

Alguns subprocessadores acima listados estão sediados fora do Espaço Económico Europeu (EEE), em particular nos Estados Unidos da América. Cumprimos os artigos 44.º a 50.º do RGPD ao recorrer a um dos seguintes mecanismos:

• EU-US Data Privacy Framework (DPF) — Decisão de Adequação (UE) 2023/1795, de 10 de julho de 2023, atualmente válida e aplicável às transferências para entidades certificadas. Tomamos nota de que esta decisão se encontra sob revisão jurisdicional após o acórdão Latombe (Tribunal Geral, T-553/23, de 3 de setembro de 2025) e monitorizamos eventuais alterações para reagir tempestivamente.
• Cláusulas Contratuais-Tipo (SCC) — Decisão de Execução (UE) 2021/914, de 4 de junho de 2021, para destinos sem decisão de adequação ou para reforço contratual.
• Quando aplicável, medidas suplementares recomendadas pelo EDPB (cifragem ponto a ponto, pseudonimização, controlos de acesso) na sequência do acórdão Schrems II (TJUE, C-311/18, de 16 de julho de 2020).

Podes solicitar cópia dos mecanismos de transferência aplicáveis a cada subprocessador através do canal indicado na secção 13.

O RGPD reconhece um conjunto de direitos que podes exercer a qualquer momento, sem custo, salvo pedidos manifestamente infundados ou excessivos. Para exercer qualquer um destes direitos, contacta-nos pelos meios indicados na secção 13.

• Direito de acesso (art. 15.º): obter confirmação sobre o tratamento e cópia dos dados.
• Direito de retificação (art. 16.º): corrigir dados inexatos ou incompletos.
• Direito ao apagamento ("direito a ser esquecido", art. 17.º): nas situações previstas, em particular quando os dados deixaram de ser necessários ou retiras o consentimento.
• Direito à limitação do tratamento (art. 18.º): suspender o tratamento durante a apreciação de uma reclamação.
• Direito de portabilidade (art. 20.º): receber os dados num formato estruturado, comum e de leitura automática, ou pedir transmissão direta a outro responsável.
• Direito de oposição (art. 21.º): opor-te a tratamentos baseados em interesse legítimo, com particular ênfase para marketing direto, caso em que a oposição é absoluta.
• Decisões individuais automatizadas (art. 22.º): não te submetemos a decisões automatizadas com efeitos jurídicos significativos. Se isso vier a mudar, comunicaremos previamente.
• Direito de retirar o consentimento (art. 7.º (3)): a qualquer momento, com efeito ex nunc (sem efeito retroativo sobre tratamentos passados).

Respondemos no prazo de um mês (art. 12.º (3)), prorrogável por mais dois meses em casos complexos, com comunicação prévia. Para confirmar a tua identidade podemos solicitar elementos adicionais estritamente necessários, evitando recolhas excessivas.

Sem prejuízo de outras vias administrativas ou judiciais, tens o direito de apresentar reclamação à autoridade de controlo competente. Em Portugal essa autoridade é a Comissão Nacional de Proteção de Dados (CNPD) — Av. D. Carlos I, 134, 1.º, 1200-651 Lisboa, geral@cnpd.pt, www.cnpd.pt (art. 77.º do RGPD).

Aplicamos medidas adequadas ao risco (art. 32.º do RGPD), alinhadas com o Relatório de Atividades 2024 da CNPD (publicado em março de 2025), com as recomendações da ENISA e com o disposto na Lei n.º 58/2019. Especificamente:

• Cifragem em trânsito — todo o tráfego do website ocorre sobre HTTPS/TLS 1.3; cabeçalhos de segurança aplicados pelo fornecedor de hospedagem.
• Cifragem em repouso — bases de dados e armazenamento persistente cifrados ao nível do disco pelos fornecedores (Vercel/Supabase).
• Autenticação multifator (MFA) nas contas de administração críticas (Vercel, Supabase, Gmail, gestão de domínio).
• Política de palavras-passe robusta: comprimento mínimo, entropia, rotação periódica e uso de gestor de palavras-passe.
• Princípio do menor privilégio: cada operacional recebe apenas os acessos estritamente necessários à sua função.
• Backup testado: cópias periódicas com teste de restauro documentado pelo menos anualmente.
• Registo (logging) de eventos de autenticação e ações sensíveis, com revisão periódica.
• Atualizações de segurança — dependências do projeto mantidas atualizadas; revisão de vulnerabilidades à medida que são divulgadas.
• Sensibilização e formação contínua da equipa em proteção de dados e segurança da informação.

Estas medidas são revistas pelo menos uma vez por ano e sempre que ocorrem alterações materiais na infraestrutura ou nos riscos identificados.

Em caso de violação de dados pessoais (data breach) seguimos os artigos 33.º e 34.º do RGPD:

• Notificação à CNPD em 72 horas a partir do momento em que tomamos conhecimento da violação, salvo quando esta não for suscetível de implicar risco para os direitos e liberdades das pessoas.
• Comunicação aos titulares afetados em prazo razoável, sempre que a violação for suscetível de implicar risco elevado, em linguagem clara e simples, com indicação das medidas adotadas e das que o titular pode tomar para se proteger.
• Registo interno de todas as violações — incluindo as não notificadas —, com factos, efeitos e medidas corretivas (art. 33.º (5)), disponível para auditoria pela CNPD.
• Análise de causa raiz e implementação de medidas corretivas que previnam recorrência.

Atualmente operamos em modo cookieless para visitantes públicos não autenticados. Os únicos cookies escritos pelo nosso domínio ocorrem após autenticação na área restrita, sendo estritamente necessários à gestão de sessão (Supabase Auth) e dispensados de consentimento prévio nos termos do artigo 5.º (3) da Diretiva 2002/58/CE e do artigo 4.º (3) e (4) da Lei n.º 41/2004.

O tratamento detalhado, a árvore de decisão técnica e as instruções de desativação encontram-se na Política de Cookies.

O website e os serviços Str8Global não se dirigem a menores de 18 anos para efeitos de contratação. Não tratamos conscientemente dados de menores neste contexto.

Para tratamentos baseados em consentimento de menores que utilizem serviços da sociedade da informação, aplica-se o artigo 8.º do RGPD conjugado com o artigo 16.º da Lei n.º 58/2019: em Portugal, o consentimento próprio é válido a partir dos 13 anos; abaixo dessa idade é exigida autorização ou validação dos titulares das responsabilidades parentais.

Se constatares que um menor nos forneceu dados pessoais sem a devida autorização, contacta-nos para que possamos proceder ao apagamento.

Esta política pode ser atualizada para refletir alterações legais, jurisprudenciais, técnicas ou organizacionais. A data da última atualização consta no cabeçalho. Alterações materiais — designadamente novas finalidades, novos subprocessadores em territórios sem decisão de adequação, ou alteração dos prazos de conservação — são comunicadas com antecedência razoável através do website ou, quando proporcional, por comunicação direta.

Manteremos arquivo das versões anteriores e respetivas datas de vigência. Se quiseres consultar uma versão histórica, podes solicitá-la pelos canais da secção 13.

A Str8Global não está, à data, obrigada a designar Encarregado de Proteção de Dados (DPO) nos termos do artigo 37.º do RGPD — não realiza tratamento sistemático em larga escala nem de categorias especiais. Foi, contudo, criado um ponto de contacto interno dedicado a questões de proteção de dados: