Política de Privacidade

O responsável pelo tratamento de dados do Swept é:

Gil Faria (empresário em nome individual) Email: privacy@swe.pt Morada: [A atualizar]

Pode contactar-nos a qualquer momento sobre questões de privacidade em privacy@swe.pt.

O Swept foi concebido para recolher o mínimo de dados possível. Eis exatamente o que tratamos:

- Relatórios de spam: Quando reporta um número de telefone, guardamos o número e a categoria (spam, burla ou telemarketing). Os relatórios são totalmente anonimizados — não guardamos a sua identidade, ID do dispositivo ou qualquer informação pessoal associada.
- Analytics da app: Usamos o TelemetryDeck, um fornecedor de analytics focado em privacidade sediado na Alemanha. O TelemetryDeck recolhe nomes de eventos anónimos e padrões de utilização agregados. Não recolhe dados pessoais, identificadores de dispositivo ou endereços IP.
- Downloads da blocklist: Quando a app obtém atualizações da base de dados, o pedido é processado pela Cloudflare. Nenhuma informação identificativa do utilizador é registada.
- Lista de espera: Se se inscrever na nossa lista de espera de lançamento, guardamos o seu endereço de email e localidade preferida.

NÃO recolhemos:
- Os seus contactos ou livro de endereços
- O seu histórico ou metadados de chamadas
- O seu número de telefone
- A sua localização
- Identificadores do seu dispositivo (IDFA, IDFV)
- Cookies ou impressões digitais do navegador

O Swept usa a extensão CallKit Call Directory da Apple para bloquear e identificar números de telefone. Eis como funciona:

- A app descarrega uma base de dados de números de spam conhecidos e números de instituições para o seu dispositivo.
- Toda a correspondência de chamadas acontece localmente no seu iPhone. A extensão CallKit lê a base de dados e envia as listas de números para o iOS.
- Quando recebe uma chamada, o iOS verifica o número contra a lista no dispositivo. O Swept nunca vê a chamada, o número do chamador ou quaisquer metadados da chamada.
- Isto é privacidade por design conforme o Artigo 25 do RGPD — a própria arquitetura impede o tratamento de dados pessoais.

Usamos os dados que recolhemos para os seguintes fins:

- Relatórios de spam: Para construir e manter a blocklist comunitária de spam. Os relatórios são agregados — relatórios individuais servem apenas para calcular a pontuação de spam de um número.
- Emails da lista de espera: Para notificá-lo quando o Swept for lançado e para enviar atualizações do produto. Pode cancelar a subscrição a qualquer momento.
- Analytics TelemetryDeck: Para compreender padrões de utilização anonimizados (ex.: quantos utilizadores ativam o bloqueio de chamadas, com que frequência as atualizações são descarregadas). Isto ajuda-nos a melhorar o produto.

Não usamos os seus dados para criação de perfis, publicidade ou tomada de decisões automatizadas individuais.

Tratamos dados pessoais com base nas seguintes bases legais:

- Proteção contra spam e entrega da blocklist: Interesse legítimo (Artigo 6(1)(f)) — proteger utilizadores de chamadas indesejadas e fraudulentas. Realizámos um teste de ponderação e concluímos que o tratamento mínimo de dados (relatórios anonimizados de números de telefone) não prevalece sobre os seus direitos.
- Lista de espera: Consentimento (Artigo 6(1)(a)) — fornece o seu email voluntariamente e pode retirar o consentimento a qualquer momento.
- Relatórios de spam: Interesse legítimo (Artigo 6(1)(f)) — melhorar a base de dados de spam em benefício de todos os utilizadores.
- Analytics TelemetryDeck: Interesse legítimo (Artigo 6(1)(f)) — compreender a utilização do produto para melhorar o serviço. O TelemetryDeck não trata dados pessoais.

Não usamos cookies no nosso website ou na nossa app.

Não usamos pixéis de rastreio, impressão digital do navegador ou qualquer outra tecnologia de rastreio do lado do cliente. Os analytics do nosso website são fornecidos pelo Cloudflare Web Analytics, que funciona sem cookies, sem recolher dados pessoais e sem scripts de rastreio JavaScript que o seguem pela web.

Como não usamos cookies ou tecnologias de rastreio similares, não é necessário um banner de consentimento de cookies.

Quando submete um relatório de spam, o nosso Worker backend recebe o seu endereço IP como parte do pedido HTTP. Tratamo-lo da seguinte forma:

- O endereço IP é imediatamente convertido em hash usando SHA-256 com um salt rotativo. O IP original nunca é armazenado.
- O hash é usado exclusivamente para deteção de relatórios duplicados (prevenir que a mesma fonte inunde relatórios para um único número).
- O hash é retido durante um máximo de 24 horas, após o que é descartado.

Para o endpoint de inscrição na lista de espera, os endereços IP são usados para limitação de taxa apenas em memória e nunca são escritos em armazenamento persistente.

Utilizamos os seguintes subcontratantes, todos em conformidade com os requisitos do RGPD:

- Cloudflare, Inc. — Infraestrutura (Workers, armazenamento R2, base de dados D1). Usamos as opções de residência de dados na UE da Cloudflare. A Cloudflare atua como subcontratante ao abrigo de um Acordo de Tratamento de Dados (DPA). Política de privacidade da Cloudflare
- TelemetryDeck GmbH (Berlim, Alemanha) — Analytics de app focado em privacidade. O TelemetryDeck não trata dados pessoais — recolhe apenas sinais anónimos e agregados. FAQ de privacidade do TelemetryDeck
- Apple Inc. — Distribuição na App Store. Política de privacidade da Apple

Temos o cuidado de manter os seus dados dentro da UE sempre que possível:

- Cloudflare: Usamos configurações de residência de dados na UE. Os dados são processados e armazenados na União Europeia.
- TelemetryDeck: Sediado em Berlim, Alemanha. Todos os dados permanecem na UE.
- Apple: A distribuição na App Store pode envolver transferência de dados para os Estados Unidos. A Apple baseia-se em Cláusulas Contratuais-Tipo (CCT) e no Quadro de Privacidade de Dados UE-EUA (DPF) para transferências legais.

Implementamos medidas técnicas e organizativas adequadas para proteger os seus dados:

- Toda a infraestrutura backend está alojada na Cloudflare UE.
- Todos os dados em trânsito são protegidos por TLS 1.2 ou superior.
- Os dados em repouso são encriptados usando a encriptação da Cloudflare.
- Os endereços IP são convertidos em hash na receção — os originais nunca são armazenados.
- A limitação de taxa é aplicada a todos os endpoints públicos para prevenir abuso.
- O acesso à infraestrutura de produção é restrito a pessoal autorizado.

Retemos dados apenas pelo tempo necessário para a finalidade declarada:

- Emails da lista de espera: Retidos até cancelar a subscrição ou a lista de espera fechar, depois eliminados no prazo de 30 dias.
- Relatórios de spam: Relatórios individuais são eliminados após 12 meses. Contagens agregadas de spam (número + contagem total de relatórios) são retidas enquanto o número permanecer na blocklist ativa.
- Dados no dispositivo: A base de dados da blocklist armazenada no seu dispositivo é eliminada quando desinstala a app.
- Dados TelemetryDeck: Retidos conforme a política de retenção do TelemetryDeck (dados anónimos e agregados).
- Hashes de IP: Eliminados no prazo de 24 horas.

Ao abrigo do RGPD, tem os seguintes direitos relativamente aos seus dados pessoais:

- Direito de acesso (Artigo 15): Solicitar uma cópia de quaisquer dados pessoais que tenhamos sobre si.
- Direito de retificação (Artigo 16): Solicitar a correção de dados pessoais imprecisos.
- Direito ao apagamento (Artigo 17): Solicitar a eliminação dos seus dados pessoais ("direito ao esquecimento").
- Direito à limitação (Artigo 18): Solicitar que limitemos a forma como tratamos os seus dados.
- Direito à portabilidade (Artigo 20): Receber os seus dados num formato estruturado, de uso corrente e leitura automática.
- Direito de oposição (Artigo 21): Opor-se ao tratamento baseado em interesse legítimo. Cessaremos o tratamento salvo se demonstrarmos razões legítimas imperiosas.
- Direito de retirar o consentimento (Artigo 7(3)): Quando o tratamento se baseia no consentimento (ex.: lista de espera), pode retirá-lo a qualquer momento sem afetar a legalidade do tratamento anterior.

Para exercer qualquer um destes direitos, envie email para privacy@swe.pt. Responderemos no prazo de 30 dias. Se o seu pedido for complexo, podemos prolongar este prazo por mais 60 dias e informá-lo-emos do motivo.

O Swept não toma decisões automatizadas que produzam efeitos legais ou igualmente significativos sobre indivíduos (Artigo 22 do RGPD).

O nosso bloqueio de spam é uma consulta à base de dados — os números são sinalizados com base em relatórios da comunidade e fontes de dados curadas, não em criação de perfis individuais. Se o seu número foi incorretamente sinalizado, pode contestá-lo (ver Secção 16).

O Swept não se destina a ser utilizado por menores de 16 anos. Não recolhemos conscientemente dados pessoais de crianças.

Se tivermos conhecimento de que recolhemos dados pessoais de um menor de 16 anos, tomaremos medidas para os eliminar prontamente. Se acredita que um menor nos forneceu dados pessoais, contacte-nos em privacy@swe.pt.

O Swept permite que os utilizadores submetam dados de identificação de instituições para ajudar a melhorar a sua base de dados de identificação de chamadas. Quando submete uma instituição, recolhemos o seguinte:

- Número de telefone da instituição
- Nome da instituição
- Categoria (ex.: saúde, banca, governo)
- Departamento (se fornecido)

Nenhum dado pessoal sobre si enquanto remetente é armazenado. As submissões são totalmente anónimas — não registamos quem submeteu uma entrada, nem associamos submissões a qualquer identidade de utilizador, dispositivo ou conta.

Os dados submetidos são revistos e, se verificados, adicionados à base de dados partilhada de identificação de instituições que beneficia todos os utilizadores do Swept.

Se acredita que um número foi incorretamente categorizado, contacte disputes@swe.pt. Analisaremos as contestações no prazo de 14 dias úteis e corrigiremos quaisquer erros verificados.

Se o seu número de telefone foi incorretamente sinalizado como spam na nossa base de dados, pode solicitar a sua remoção:

- Envie email para disputes@swe.pt com o número de telefone em questão e prova de titularidade (ex.: uma fatura telefónica recente com o número, ou documentação do seu operador de telecomunicações).
- Investigaremos e responderemos no prazo de 14 dias úteis.
- Se a contestação for procedente, o número será removido da blocklist e marcado como contestado para prevenir re-adição por fontes automatizadas.

Em caso de violação de dados pessoais:

- Notificaremos a Comissão Nacional de Proteção de Dados (CNPD) no prazo de 72 horas após tomar conhecimento da violação, conforme exigido pelo Artigo 33 do RGPD.
- Se a violação for suscetível de resultar num elevado risco para os seus direitos e liberdades, notificaremos os titulares dos dados afetados sem demora injustificada (Artigo 34 do RGPD).
- A notificação incluirá a natureza da violação, as consequências prováveis e as medidas tomadas ou propostas para a resolver.

Tem o direito de apresentar uma reclamação junto de uma autoridade de controlo. Para Portugal, esta é:

Comissão Nacional de Proteção de Dados (CNPD) Rua de São Bento, 148, 3.° 1200-821 Lisboa, Portugal Website: www.cnpd.pt

Podemos atualizar esta Política de Privacidade periodicamente. As alterações serão publicadas nesta página com uma data atualizada. Alterações materiais serão comunicadas através da app e, quando aplicável, por email.

Para quaisquer questões sobre esta Política de Privacidade, contacte-nos em privacy@swe.pt.