Política de Privacidade

a) Dados do Cliente (a organização)

• Dados da conta — endereço de email da pessoa designada, nome da organização.
• Chave pública de encriptação — gerada e armazenada para encriptação E2E das denúncias.
• Comunicações — conteúdo dos emails enviados para nós, pedidos de suporte.

b) Dados do Denunciante

c) Dados recolhidos automaticamente (apenas no dashboard)

• Dados técnicos — endereço IP, tipo de navegador (apenas para utilizadores autenticados no dashboard).
• Cookies de sessão — em conformidade com a Política de Cookies.

• Prestação de Serviços — criação e gestão da conta, operação do canal de denúncia, encriptação e armazenamento das denúncias.
• Comunicações de serviço — notificações sobre novas denúncias, expiração de prazos legais, atualizações da Plataforma.
• Segurança — proteção da infraestrutura, deteção de utilização abusiva, prevenção de acessos não autorizados.
• Conformidade legal — cumprimento das obrigações legais (Diretiva (UE) 2019/1937, GDPR, legislação fiscal).

Não vendemos, alugamos nem partilhamos dados pessoais dos utilizadores com terceiros para fins de marketing.

Tratamos dados pessoais com base nos seguintes fundamentos legais (art. 6.º GDPR):

• Dados da conta — durante a existência da conta e até 30 dias após pedido de eliminação.
• Denúncias encriptadas — em conformidade com a política de retenção do Cliente e as obrigações da Diretiva (UE) 2019/1937 (mínimo 5 anos a partir da data da denúncia).
• Dados técnicos (dashboard) — até 12 meses a partir da recolha.
• Comunicações e pedidos de suporte — até 3 anos a partir da última comunicação.
• Dados de faturação — 10 anos em conformidade com a legislação fiscal romena (Lei n.º 82/1991).

Os dados pessoais podem ser acedidos ou tratados pelos seguintes subcontratantes:

Para transferências de dados para fora do EEE, baseamo-nos nas Cláusulas Contratuais-Tipo (SCCs) aprovadas pela Comissão Europeia.

Importante: O conteúdo das denúncias é encriptado E2E e não é acessível a qualquer subcontratante.

Nos termos do GDPR, tem os seguintes direitos:

• Direito de acesso (art. 15.º) — obter uma cópia dos dados pessoais tratados.
• Direito de retificação (art. 16.º) — corrigir dados inexatos ou incompletos.
• Direito ao apagamento (art. 17.º) — apagamento dos dados nos termos da lei.
• Direito à limitação do tratamento (art. 18.º) — limitar o tratamento em determinadas situações.
• Direito à portabilidade dos dados (art. 20.º) — receber os dados num formato estruturado (JSON/CSV).
• Direito de oposição (art. 21.º) — opor-se ao tratamento baseado em interesse legítimo.
• Direito de retirar o consentimento (art. 7.º) — retirar o consentimento a qualquer momento.
• Direito de não ficar sujeito a decisões automatizadas (art. 22.º) — incluindo definição de perfis.

Para exercer os seus direitos, envie um email para contact@whistle-box.eu com o assunto "Pedido GDPR WhistleBox".

Implementamos medidas técnicas e organizativas adequadas para proteger os dados pessoais:

• Encriptação end-to-end (E2E) do conteúdo das denúncias.
• Encriptação em trânsito (TLS 1.2+) para todas as comunicações com o servidor.
• As palavras-passe são armazenadas utilizando algoritmos de hashing seguros (bcrypt com salt).
• Acesso restrito a bases de dados e infraestrutura, com base no princípio do privilégio mínimo.
• Servidores na União Europeia (Hetzner Online GmbH, Alemanha).
• Cópias de segurança regulares e encriptadas.
• Monitorização contínua de acessos e anomalias.
• Autenticação via token JWT com duração limitada.
• As páginas de denúncia (/r/) não definem cookies e não recolhem dados de identificação.

O Operador pode atualizar esta política periodicamente. Os Utilizadores serão notificados por email e/ou através de um anúncio na Plataforma com um mínimo de 15 dias de antecedência relativamente à entrada em vigor de alterações significativas.