A Code Ahead Lda (que opera a VULK em vulk.dev) é a entidade responsável pelo tratamento dos dados pessoais recolhidos através do Serviço. Esta página resume como cumprimos o Regulamento Geral sobre a Proteção de Dados da UE (Regulamento (UE) 2016/679, "RGPD").
1. Quem é o responsável pelo tratamento?
Code Ahead Lda, sociedade por quotas registada em Portugal sob NIPC 519071948, com sede social em Vila do Conde. Para toda a correspondência relacionada com privacidade:
- Usa o formulário de contacto com tópico "Privacy / DPO"
- Correio: Code Ahead Lda, Vila do Conde, Portugal
2. Bases legais para o tratamento
Apoiamo-nos nas seguintes bases legais ao abrigo do Artigo 6.º:
- Contrato (Art. 6.º, n.º 1, al. b)) — para fornecer o Serviço para o qual te inscreveste (conta, geração, faturação, deploy).
- Consentimento (Art. 6.º, n.º 1, al. a)) — para emails de marketing, cookies não essenciais e tracking de analytics.
- Obrigação legal (Art. 6.º, n.º 1, al. c)) — para faturação fiscal (retenção de 7 anos ao abrigo da lei portuguesa) e para responder a pedidos legítimos.
- Interesses legítimos (Art. 6.º, n.º 1, al. f)) — prevenção de fraude, segurança do serviço e analytics de produto que não identificam pessoas.
3. O que recolhemos
- Dados de conta — email, nome, hash da palavra-passe (Argon2id), identificadores OAuth.
- Dados de faturação — nome, país, método de pagamento (tokenizado pela Stripe — nunca vemos números de cartão).
- Dados de projeto — prompts, ficheiros de código gerados, deployments, créditos de uso.
- Dados técnicos — IP, user agent, fingerprint do dispositivo (limitado), timestamps de sessão.
4. Os teus direitos ao abrigo do RGPD
Tens os seguintes direitos, exercidos sem custos:
- Artigo 15.º — Direito de acesso: descarregar uma cópia de todos os dados pessoais que detemos.
- Artigo 16.º — Direito de retificação: corrigir dados imprecisos.
- Artigo 17.º — Direito ao apagamento ("direito a ser esquecido"): apagar a tua conta e dados associados, sujeito a obrigações de retenção.
- Artigo 18.º — Direito à limitação: pausar o tratamento enquanto um litígio está pendente.
- Artigo 20.º — Direito à portabilidade: exportar os teus dados num formato legível por máquina (JSON).
- Artigo 21.º — Direito de oposição: opt-out de marketing ou tratamento tipo profiling.
- Artigo 22.º — Decisões automatizadas: não te sujeitamos a decisões baseadas exclusivamente em tratamento automatizado que produzam efeitos jurídicos ou de impacto similar.
- Artigo 77.º — Apresentar queixa: junto da tua autoridade de controlo. Em Portugal: CNPD.
Respondemos a pedidos de direitos verificados em 30 dias. A maior parte dos dados também é self-service nas tuas definições de conta.
5. Sub-processadores
Recorremos aos seguintes sub-processadores. Cada um assinou um Acordo de Tratamento de Dados (DPA) connosco:
| Provider | Finalidade | Região |
|---|---|---|
| AWS RDS | Base de dados primária (Postgres 16) | UE (Frankfurt) |
| Cloudflare | CDN, proteção DDoS, Workers | Edge global |
| Stripe | Faturação de subscrições + 3DS | EUA / UE |
| OpenRouter | Gateway de modelos de IA | EUA |
| Vertex AI (Google) | Inferência da família Gemini | Regiões UE quando disponível |
| Anthropic | Inferência Claude | EUA |
| OpenAI | Inferência da família GPT-5 | EUA |
| Hetzner | Servidores de aplicação + preview | UE (Falkenstein, Helsínquia) |
| Resend | Email transacional | EUA |
| Sentry | Tracking de erros (PII removida) | EUA |
Para transferências fora da UE, apoiamo-nos em Cláusulas Contratuais Tipo (SCC) aprovadas pela Comissão Europeia. A lista de sub-processadores é atualizada pelo menos anualmente; adições materiais são anunciadas por email.
6. Transferências internacionais
A infraestrutura primária é hospedada na UE. Quando ocorrem transferências para países fora da UE (por exemplo, inferência de IA em endpoints OpenAI/Anthropic nos EUA), são protegidas por SCC e, quando aplicável, certificações ao abrigo do EU-US Data Privacy Framework.
7. Acordo de Tratamento de Dados (DPA)
Clientes Business e Enterprise podem assinar um DPA que reflete o Artigo 28.º, n.º 3 do RGPD. Pede-o através do formulário de contacto com tópico "Sales / Enterprise".
8. Notificação de violações
Em caso de violação de dados pessoais suscetível de resultar em risco para os teus direitos, notificamos a autoridade de controlo no prazo de 72 horas e os utilizadores afetados sem demora indevida (Artigos 33.º e 34.º do RGPD).
9. Crianças
A VULK não é dirigida a pessoas com menos de 16 anos. Não tratamos conscientemente dados de crianças. Se tens motivos para crer que uma criança se registou, contacta-nos imediatamente e iremos eliminar a conta.
10. Alterações
Alterações materiais a esta declaração RGPD são anunciadas por email com pelo menos 14 dias de antecedência. A versão mais recente está sempre disponível em /gdpr.