Privacidade
Política de Privacidade
Esta Política de Privacidade explica como o Wavy Studio (o "Serviço") trata dados pessoais, nos termos do Regulamento (UE) 2016/679 (RGPD) e da Lei n.º 58/2019.
1. Responsável pelo tratamento
- Responsável pelo tratamento: a pessoa singular que opera o Wavy Studio (a "Wavy"), contactável através do email indicado abaixo.
- Contacto para questões de privacidade: .
2. Que dados tratamos
2.1. Dados de conta e contacto
Nome, email, credenciais (de forma segura), data de nascimento/idade e dados de verificação de idade.
2.2. Dados de subscrição e pagamento
Plano, estado da subscrição, histórico de faturação. Os dados de cartão são tratados pelo processador de pagamentos (Stripe); a Wavy não armazena o número completo do cartão.
2.3. Imagens carregadas e Conteúdo Gerado
Imagens que o utilizador carrega e imagens geradas/editadas pelas Ferramentas de IA, incluindo metadados associados.
2.4. Dados biométricos (categoria especial — art. 9.º RGPD)
Quando as imagens carregadas contêm rostos e estes são tratados por técnicas que permitem identificar ou autenticar de forma única uma pessoa singular, os dados de rosto resultantes constituem dados biométricos, que são categoria especial de dados ao abrigo do art. 9.º do RGPD.
2.5. Dados de utilização e técnicos
Registos de acesso, endereço IP, identificadores de sessão, dados de desempenho e cookies (ver Cláusula 9).
2.6. Declarações e atestações
Registo das declarações de consentimento/identidade e de maioridade prestadas no carregamento, bem como da aceitação dos Termos e da data/versão.
3. Finalidades e bases legais
| Finalidade | Categorias de dados | Base legal (RGPD) |
|---|---|---|
| Criação e gestão de conta | Conta, contacto | Execução do contrato — art. 6.º/1/b |
| Fornecimento do Conteúdo PHOTO CORE e do Serviço | Conta, subscrição | Execução do contrato — art. 6.º/1/b |
| Processamento de pagamentos e faturação | Subscrição, pagamento | Execução do contrato e obrigação legal — art. 6.º/1/b e 6.º/1/c |
| Geração/edição de imagem (sem rosto/biométrico) | Imagens, Conteúdo Gerado | Execução do contrato — art. 6.º/1/b |
| Tratamento de imagens de rosto / dados biométricos | Dados biométricos | Consentimento explícito — art. 9.º/2/a (e art. 6.º/1/a) |
| Verificação de idade (18+) | Idade, verificação | Obrigação legal / interesse legítimo — art. 6.º/1/c ou f |
| Segurança, prevenção de abuso e cumprimento da AUP | Utilização, técnicos | Interesse legítimo / obrigação legal — art. 6.º/1/f e c |
| Cumprimento de obrigações legais e cooperação com autoridades | Conforme exigido | Obrigação legal — art. 6.º/1/c |
3.1. Consentimento explícito para dados biométricos
O tratamento de dados de rosto enquadrável no art. 9.º assenta no consentimento explícito do titular (art. 9.º/2/a), prestado de forma livre, específica, informada e inequívoca, e revogável a qualquer momento sem afetar a licitude do tratamento anterior. A revogação implica a cessação do tratamento biométrico e, quando aplicável, a eliminação dos dados associados.
4. Retenção (prazos de conservação)
| Dados | Período de conservação |
|---|---|
| Dados de conta | Enquanto a conta estiver ativa + período legal após o encerramento |
| Imagens carregadas e dados biométricos | Pelo tempo estritamente necessário ao processamento solicitado; eliminação/anonimização após conclusão ou após revogação do consentimento |
| Conteúdo Gerado | Conforme escolha do utilizador / prazo definido no produto |
| Dados de faturação | Prazo legal de conservação contabilística/fiscal (p. ex. arquivo fiscal) |
| Registos de segurança e denúncias | Pelo prazo necessário à segurança, defesa de direitos e cumprimento legal |
Findos os prazos, os dados são eliminados ou anonimizados de forma segura.
5. Subprocessadores e destinatários
A Wavy recorre a subprocessadores, sujeitos a contratos de subcontratação (art. 28.º RGPD):
| Subprocessador | Finalidade | Observações |
|---|---|---|
| Supabase | Base de dados, autenticação e armazenamento | Armazenamento e transferências ao abrigo de contrato de subcontratação (art. 28.º) |
| Stripe | Processamento de pagamentos | Atua também como responsável próprio para certas finalidades |
| Geração e edição de imagem por IA | Tratamento de imagens, incluindo rostos, durante a geração |
6. Transferências internacionais
Alguns subprocessadores podem tratar dados fora do Espaço Económico Europeu. Nesses casos, as transferências assentam em mecanismos válidos do Capítulo V do RGPD, designadamente decisões de adequação, Cláusulas Contratuais-Tipo (CCT/SCC) e medidas suplementares adequadas. Os detalhes aplicáveis a cada transferência podem ser solicitados através do contacto de privacidade.
7. Direitos dos titulares
Nos termos dos arts. 15.º a 22.º do RGPD, o titular tem direito a: acesso, retificação, apagamento ("direito a ser esquecido"), limitação do tratamento, portabilidade, oposição, e a não ser sujeito a decisões exclusivamente automatizadas com efeitos significativos. Tem ainda o direito de retirar o consentimento a qualquer momento (incluindo o consentimento para dados biométricos).
Para exercer estes direitos, contacte . O titular pode também apresentar reclamação junto da autoridade de controlo competente — em Portugal, a CNPD (Comissão Nacional de Proteção de Dados), https://www.cnpd.pt.
8. Decisões automatizadas e IA
O Serviço utiliza processamento automatizado para gerar/editar imagem. Este tratamento não produz decisões com efeitos jurídicos ou significativos sobre o titular na aceção do art. 22.º. A Wavy aplica medidas de transparência relativas a conteúdo gerado por IA, em articulação com o Regulamento (UE) 2024/1689 (AI Act) (ver Termos de Serviço, Cláusula de transparência).
9. Cookies
O Serviço utiliza cookies essenciais ao funcionamento e, mediante consentimento, cookies de análise. A gestão de consentimento é feita através do banner de cookies disponível no site.
10. Avaliação de Impacto sobre a Proteção de Dados (DPIA — art. 35.º)
Atendendo ao tratamento de dados biométricos (categoria especial), ao uso de novas tecnologias (IA generativa) e ao tratamento potencialmente em larga escala, é provavelmente exigível a realização de uma Avaliação de Impacto sobre a Proteção de Dados (DPIA), nos termos do art. 35.º do RGPD, antes do início do tratamento. A DPIA deve avaliar a necessidade e proporcionalidade, os riscos para os direitos e liberdades dos titulares e as medidas de mitigação, e ponderar consulta prévia à CNPD (art. 36.º) caso o risco residual seja elevado.
11. Segurança
A Wavy aplica medidas técnicas e organizativas adequadas (art. 32.º RGPD), incluindo controlo de acessos, cifragem em trânsito, segregação de dados por utilizador (RLS) e minimização de dados. Em caso de violação de dados pessoais, a Wavy cumpre as obrigações de notificação à CNPD e, quando exigível, aos titulares (arts. 33.º e 34.º).
12. Menores
O Serviço destina-se a maiores de 18 anos. A Wavy não trata intencionalmente dados de menores. Caso se verifique a recolha de dados de menores, estes serão eliminados.
13. Alterações
Esta Política pode ser atualizada. Alterações relevantes serão comunicadas e, quando exijam novo consentimento, serão solicitadas em conformidade.
Documentos relacionados: Termos de Serviço · Política de Uso Aceitável (AUP)