Esta Política de Privacidade explica que informação a darkmes ("nós", "nos", "nosso") recolhe quando utiliza o darkmes.com ("o Serviço"), os fundamentos jurídicos em que nos baseamos, durante quanto tempo a conservamos, com quem a partilhamos, e os direitos que tem ao abrigo da legislação de proteção de dados — incluindo o Regulamento Geral sobre a Proteção de Dados da UE (GDPR), o UK GDPR, e a California Consumer Privacy Act (CCPA).
Ao utilizar o Serviço, confirma que leu esta Política. Quando a lei exige consentimento (por exemplo, para cookies de análises ou de marketing), pedimo-lo através do banner de cookies, podendo mudar de ideias a qualquer momento.
Índice
- Quem somos (dados do responsável pelo tratamento)
- Informação que recolhemos
- Como utilizamos a informação e fundamentos jurídicos (GDPR Art. 6)
- Partilha de informação
- Transferências internacionais de dados
- Cookies e tecnologias semelhantes
- Conservação de dados
- Os seus direitos (GDPR Art. 15–22, equivalentes CCPA)
- Dados de menores
- Medidas de segurança
- Marketing e comunicações
- Direito de apresentar reclamação junto de uma autoridade de controlo
- Alterações a esta Política
- Contacto
1. Quem somos (dados do responsável pelo tratamento)
| Item | Detalhe |
|---|---|
| Nome do Serviço | darkmes ("o Serviço") |
| Website | darkmes.com |
| Responsável pelo tratamento | Operado por um empresário em nome individual; à data desta Política, não foi constituída qualquer pessoa coletiva. Um nome de responsável será acrescentado assim que uma pessoa coletiva seja registada. (Marcador de posição — a atualizar.) |
| Contacto geral | night@darkmes.com |
| Contacto de privacidade (pedidos de titulares de dados, reclamações) | night@darkmes.com |
| Representante na UE (GDPR Art. 27) | Não nomeado. O Serviço não tem qualquer estabelecimento na European Union. Ainda assim, damos as boas-vindas a utilizadores da EU/EEA e permitimos que exerça os direitos previstos na Secção 8 escrevendo para o contacto de privacidade acima. Reconhecemos que a designação formal ao abrigo do Art. 27 é um requisito que atualmente não cumprimos, e voltaremos a considerar esta questão assim que constituirmos uma pessoa coletiva. |
| Encarregado da Proteção de Dados | Não designado. As nossas atividades de tratamento não atingem o limiar obrigatório previsto no GDPR Art. 37 (não somos uma autoridade pública, a nossa atividade principal não consiste em monitorização sistemática em larga escala, e não tratamos categorias especiais de dados em larga escala). As questões de privacidade são tratadas diretamente pelo operador, através do email acima. |
2. Informação que recolhemos
2.1. Informação que fornece
- Informação da conta: endereço de email, palavra-passe (guardada com hash através de argon2id), nome de utilizador, avatar opcional, biografia opcional.
- Dados do perfil: personas de utilizador que cria (nome, descrição); etiquetas/interesses preferidos selecionados durante o onboarding; definições de conteúdo NSFW.
- Conteúdo que submete: personagens que cria (nome, persona, cenário, saudação, exemplos, etiquetas, avatar), mensagens em conversas, entradas de lorebook, denúncias de outro conteúdo.
- Confirmação de idade: a marca temporal e o IP nos quais confirmou ser maior de 18 anos.
- Registos de consentimento: as categorias de cookies/tratamento que aceita ou recusa, com marca temporal, IP com hash e user-agent com hash — mantidos na nossa tabela
consent_logpara demonstrar conformidade com o GDPR Art. 7(1). - Contexto de pagamento (aplicável assim que os pagamentos forem ativados; não incluído no MVP): metadados da transação quando compra créditos (marca temporal, montante em USD, criptomoeda e rede utilizadas, hash da transação). Não recolhemos nem guardamos chaves privadas de criptomoedas, credenciais de carteira, ou informação bancária — os pagamentos são processados através de um processador de criptomoedas de terceiros, que gere a interação com a carteira.
2.2. Informação recolhida automaticamente
- Dados do dispositivo e da ligação: endereço IP (truncado quando exigido por lei), tipo e versão do navegador, sistema operativo, resolução de ecrã, idioma, fuso horário.
- Impressão digital do navegador: gerada pelo FingerprintJS Open Source (alojado por nós) para dissuadir o abuso de múltiplas contas. A impressão digital é um hash, não sendo diretamente informação pessoal.
- Localização aproximada: com o seu consentimento para análises, derivamos uma localização aproximada (país, região e cidade) a partir do seu endereço IP, para percebermos onde está a nossa audiência. Esta pesquisa é efetuada localmente, no nosso próprio servidor, utilizando uma base de dados offline — o seu endereço IP não é enviado a qualquer terceiro para este efeito, e armazenamos apenas o país/região/cidade derivados, nunca o IP em bruto (o próprio IP é sempre mantido apenas como um hash salgado). A precisão ao nível da cidade é aproximada e pode ser incorreta.
- Dados de utilização: páginas visitadas, personagens visualizadas, conversas criadas, mensagens enviadas, modelos utilizados, créditos gastos, funcionalidades clicadas, duração da sessão.
- Origem do tráfego: com o seu consentimento para análises, o website a partir do qual chegou (referenciador HTTP) e quaisquer etiquetas de campanha na ligação em que clicou (
utm_source,utm_medium,utm_campaign), para percebermos que canais trazem visitantes. - Cookies: ver a Secção 6.
2.3. Informação de terceiros
- Fornecedores OAuth (Google, Discord — Fase 6): se iniciar sessão através de OAuth, recebemos um identificador único e o seu email verificado a partir do fornecedor. Não recebemos a sua palavra-passe.
- Processador de pagamentos (assim que ativado; não incluído no MVP): confirmação da transação, estado do pagamento, hash da transação na blockchain.
2.4. Conteúdo de conversas de IA
O texto das suas conversas com personagens de IA é guardado na nossa base de dados para:
- Prestar o Serviço (histórico de conversas, memória, resumo)
- Lhe permitir ver e continuar conversas anteriores
- Lhe permitir eliminar conteúdo que já não pretenda manter guardado
Não utilizamos o conteúdo das suas conversas para treinar modelos de IA. Enviamos as mensagens ao modelo a montante (através do OpenRouter) apenas de forma efémera, com o propósito de gerar a resposta seguinte; o OpenRouter e os fornecedores subjacentes têm as suas próprias políticas de conservação e atuam como nossos subcontratantes ao abrigo de termos escritos.
3. Como utilizamos a informação e fundamentos jurídicos (GDPR Art. 6)
Para cada categoria de tratamento, baseamo-nos num fundamento jurídico específico. Quando o fundamento é o consentimento, pode retirá-lo a qualquer momento, sem que isso afete a licitude do tratamento efetuado antes dessa retirada.
| Atividade de tratamento | Finalidade | Fundamento jurídico (GDPR Art. 6) |
|---|---|---|
| Criação de conta, início de sessão, reposição de palavra-passe, tokens de atualização | Prestar o Serviço para o qual se registou | Contrato — Art. 6(1)(b) |
| Apresentação do catálogo, geração de respostas de IA, armazenamento de conversas, aplicação de créditos | Execução do Serviço | Contrato — Art. 6(1)(b) |
| Emails transacionais (verificação, reposição de palavra-passe, recibos, confirmação de eliminação) | Necessário para gerir a conta | Contrato — Art. 6(1)(b) |
| Emails opcionais do produto (aviso de saldo baixo, notificação de recarga gratuita mensal) | O utilizador optou por recebê-los em Definições → Notificações | Consentimento — Art. 6(1)(a) |
| Emails de marketing ou promocionais (nenhum enviado atualmente; será pedido opt-in antes de qualquer envio) | Marketing | Consentimento — Art. 6(1)(a) |
| Eventos analíticos (visualizações de página, utilização de funcionalidades, localização aproximada derivada localmente a partir do IP, dispositivo/SO/navegador, origem do tráfego e etiquetas UTM), alojados na nossa própria base de dados | Melhorar o Serviço e compreender a nossa audiência | Consentimento — Art. 6(1)(a) — recolhidos apenas depois de aceitar os cookies analíticos |
| Limitação de taxa, impressão digital do navegador, deteção de múltiplas contas, prevenção de fraude | Proteger o Serviço e os demais utilizadores | Interesse legítimo — Art. 6(1)(f). Ponderámos o nosso interesse em combater o abuso face ao seu interesse de privacidade, e consideramos proporcionais os dados mínimos com hash que conservamos. Pode opor-se — ver a Secção 8. |
| Moderação manual de avatares e personagens públicos | Manter o conteúdo público lícito | Interesse legítimo — Art. 6(1)(f) |
| Confirmação de idade (verificação 18+) e conservação do registo de confirmação | Cumprir os requisitos de idade para conteúdo adulto em várias jurisdições | Obrigação legal — Art. 6(1)(c) |
| Registos de auditoria, registos de eventos de segurança, registo de consentimento | Demonstrar conformidade com o GDPR Art. 5(2) e responder a incidentes | Obrigação legal — Art. 6(1)(c) / Interesse legítimo — Art. 6(1)(f) |
| Resposta a pedidos lícitos de autoridades | Cumprir a lei | Obrigação legal — Art. 6(1)(c) |
Não vendemos informação pessoal e não praticamos publicidade comportamental entre contextos (cross-context behavioural advertising, CCPA).
4. Partilha de informação
Partilhamos informação apenas com:
- Prestadores de serviços que utilizamos diretamente, agindo como nossos subcontratantes:
- Unisender Go — email transacional (sediado na Russian Federation; subcontratante; ver a Secção 5 quanto ao mecanismo de transferência internacional aplicável a este fornecedor).
- OpenRouter — inferência de IA para o chat (sediado nos US; mensagens enviadas de forma efémera; vinculado pelos seus termos).
- FingerprintJS Open Source — alojado por nós; nenhum dado sai dos nossos servidores.
- Processador de pagamentos em criptomoeda — adicionado assim que os pagamentos forem ativados; será identificado pelo nome numa atualização a esta Política.
- Todos os recursos estáticos e o conteúdo multimédia carregado pelos utilizadores são servidos diretamente a partir do nosso VPS adult-friendly, sem CDN externa, no MVP. Cada subcontratante está vinculado a obrigações de confidencialidade e segurança, tratando os seus dados apenas conforme as nossas instruções.
- Por razões legais: para cumprir intimações, ordens judiciais, pedidos lícitos de entidades governamentais, ou para fazer cumprir os nossos Termos.
- Em caso de emergência: para prevenir dano iminente a uma pessoa.
- Numa transferência de negócio: se a darkmes for adquirida ou fundida com outra entidade, a sua informação poderá ser transferida para o novo proprietário, em termos equivalentes aos desta Política.
Não vendemos, alugamos, nem trocamos dados pessoais com terceiros para o marketing próprio destes.
5. Transferências internacionais de dados
O Serviço está alojado num VPS localizado na Poland (Varsóvia, operado pela Datacamp Ltd) — um Estado-membro da EU e parte do European Economic Area (EEA). Para utilizadores que acedem a partir da EU/EEA ou do UK, os seus dados permanecem dentro do EEA, nos nossos servidores, não sendo necessário qualquer mecanismo de transferência internacional nessa fase do tratamento.
Salvaguardas de transferência em que nos baseamos:
- Poland (alojamento principal) — tratamento intra-EEA, não sendo exigidas salvaguardas adicionais ao abrigo do GDPR Chapter V.
- Se algum dia relocalizarmos o alojamento para fora do EEA (uma possibilidade que mantemos em aberto por razões de resiliência), basear-nos-emos nas Cláusulas Contratuais-Tipo da Comissão Europeia (SCCs) (Módulo 1 — responsável-para-responsável, ou Módulo 2 — responsável-para-subcontratante, consoante aplicável) e, quando estritamente necessário, na derrogação prevista no GDPR Art. 49(1)(b) ("transferência necessária para a execução de um contrato com o titular dos dados"), e atualizaremos esta secção antes de qualquer alteração deste tipo.
- OpenRouter (United States) — as transferências estão abrangidas pelas SCCs EU–US incorporadas nos respetivos termos.
- Unisender Go (Russian Federation) — a Russia não é objeto de uma decisão de adequação da Comissão Europeia ao abrigo do GDPR Art. 45. Baseamo-nos no GDPR Art. 49(1)(b) ("transferência necessária para a execução de um contrato com o titular dos dados" — concretamente, os emails transacionais necessários para gerir a sua conta: verificação de email, reposição de palavra-passe, notificações de segurança da conta, e entrega de pedidos de titulares de dados). O conteúdo do email é limitado a: endereço do destinatário, assunto, e corpo da mensagem transacional (sem conteúdo de conversas, sem dados de personagens, sem dados de pagamento). Se residir na EU/EEA ou no UK e preferir que não transfiramos o seu endereço de email para um subcontratante na Russian Federation, contacte-nos através do endereço indicado na Secção 1 — a pedido, mudaremos a sua conta para um relay de email no EEA ou, se este ainda não estiver disponível, suspenderemos o envio de emails não essenciais para o seu endereço.
Uma cópia das SCCs e de quaisquer medidas suplementares em que nos baseamos está disponível mediante pedido, através do contacto de privacidade indicado na Secção 1.
6. Cookies e tecnologias semelhantes
Os pormenores completos encontram-se na nossa Política de Cookies. Resumo:
Classificamos os cookies e tecnologias semelhantes em três categorias:
| Categoria | Exemplos | Consentimento necessário? |
|---|---|---|
| Essenciais | refresh_token (autenticação), cookie_consent (regista a sua escolha), nsfw_acknowledged (verificação 18+), tokens CSRF | Não — estritamente necessários para o funcionamento do Serviço |
| Análises | Eventos próprios, alojados por nós, de visualizações de página e utilização de funcionalidades, guardados na nossa própria base de dados | Sim — opt-in |
| Marketing | Nenhum atualmente. Reservado para futuros cookies próprios de retargeting. | Sim — opt-in; só serão alguma vez definidos após opt-in explícito |
Como gerir as suas escolhas:
- Um banner de cookies aparece na primeira visita, com três opções: Aceitar tudo, Rejeitar não essenciais, ou Gerir preferências.
- Um link "Gerir cookies" está disponível no rodapé e em Definições → Privacidade, em todas as páginas — ao clicar, reabre o gestor de consentimento.
- Também pode retirar o consentimento a qualquer momento, eliminando o cookie
cookie_consentno seu navegador.
Não utilizamos cookies de publicidade de terceiros, rastreadores entre sites, ou pixels de definição de perfil comportamental.
7. Conservação de dados
Conservamos os dados pessoais apenas durante o tempo necessário para a finalidade para a qual foram recolhidos. Resumo da conservação:
| Categoria de dados | Período de conservação |
|---|---|
| Dados da conta (email, nome de utilizador, hash da palavra-passe, perfil) | Até à eliminação da conta + 30 dias de carência (janela de eliminação reversível durante a qual o utilizador pode anular a eliminação) → depois, eliminação definitiva |
| Histórico e mensagens de conversas | Até eliminar a conversa, ou até à eliminação da conta + 30 dias de carência |
| Personagens criadas pelo utilizador | Até eliminar, ou até à eliminação da conta + 30 dias de carência |
| Entradas de lorebook, personas | Igual aos dados da conta |
| Registo de envio de emails (devoluções, entrega, aberturas/cliques do Unisender Go para mensagens opt-in) | 90 dias |
Registos de auditoria (consent_log, tentativas de início de sessão, ações administrativas, eventos de segurança) | 1 ano |
| Cópias de segurança (Postgres + multimédia) | Rotação contínua de 30 dias — restauradas a partir de uma cópia de segurança apenas em caso de catástrofe |
| Relatórios de moderação (denúncias de utilizadores, decisões de moderação) | 2 anos — prova de conformidade legal |
| Eventos analíticos | Eventos em bruto durante 90 dias, depois anonimizados; as métricas agregadas são mantidas indefinidamente (por exemplo, utilizadores ativos mensais — sem identificador individual) |
| Registo de confirmação de idade | Duração da conta + 2 anos após a eliminação (prova de conformidade com a legislação sobre conteúdo adulto) |
| Registos de transações de pagamento (assim que os pagamentos forem ativados) | 7 anos (fiscal / antifraude) |
| Hashes da impressão digital do navegador | Enquanto a conta estiver ativa + 90 dias após a eliminação |
Após o período de conservação, os dados são eliminados definitivamente do armazenamento principal e da rotação de cópias de segurança seguinte, ou anonimizados de forma a deixarem de poder ser associados a si.
8. Os seus direitos (GDPR Art. 15–22, equivalentes CCPA)
Sujeito à lei aplicável, tem os seguintes direitos. Caso se encontre na EU/EEA ou no UK, estes decorrem dos GDPR Articles 15–22; caso se encontre na California, decorrem da CCPA/CPRA; direitos equivalentes aplicam-se em muitas outras jurisdições.
| Direito | O que significa | Como o exercer |
|---|---|---|
| Direito de acesso (Art. 15) | Obter uma cópia dos dados pessoais que detemos sobre si. | Clique em Exportar os meus dados, em Definições → Conta. É gerado um ficheiro JSON e enviado por email em poucos minutos. Enquanto a exportação dentro da aplicação está a ser construída (marco W2), envie um email para night@darkmes.com e faremos a exportação manualmente no prazo de 30 dias. |
| Direito de retificação (Art. 16) | Corrigir dados inexatos ou incompletos. | Atualize o seu perfil em Definições, ou envie-nos um email relativamente a campos que não consiga editar por si próprio. |
| Direito ao apagamento / "direito a ser esquecido" (Art. 17) | Ter os seus dados eliminados. | Clique em Eliminar conta, em Definições → Conta. A eliminação reversível (soft-delete) começa de imediato (a sua conta é encerrada e deixa de conseguir iniciar sessão). A eliminação definitiva propriamente dita do registo da sua conta e dos dados associados é executada por uma tarefa automatizada que corre diariamente às 04:30 UTC e remove todas as contas cuja marca temporal de eliminação reversível tenha mais de 30 dias — pelo que o tempo máximo durante o qual os seus dados podem permanecer no armazenamento principal após a eliminação é de 30 dias mais até 24 horas. Dentro dessa janela, pode enviar-nos um email para cancelar a eliminação, caso mude de ideias. Depois de a tarefa ser executada, o registo da sua conta desaparece; o seu registo de envio de emails é anonimizado (modelo + estado preservados, endereço do destinatário removido); o seu registo de transações de crédito é anonimizado (montante + saldo preservados para efeitos fiscais/de litígio, sendo removida a ligação à sua identidade); os seus eventos analíticos são anonimizados (tipo de evento + conteúdo preservados, sendo removida a ligação à sua identidade); e tudo o resto (conversas, personagens, comentários, avaliações, sessões, ligações OAuth) é eliminado definitivamente. Alguns dados (registos legais/fiscais, registos de moderação) são conservados nos termos da Secção 7. As cópias de segurança não são editadas individualmente, mas são substituídas por rotação no prazo de 30 dias, pelo que os seus dados desaparecem por completo de todo o armazenamento no prazo máximo de 60 dias após o seu pedido de eliminação. |
| Direito à limitação do tratamento (Art. 18) | Pedir-nos que suspendamos temporariamente o tratamento dos seus dados em casos de litígio. | Envie um email para o contacto de privacidade. Bloquearemos a utilização da sua conta enquanto investigamos. |
| Direito à portabilidade dos dados (Art. 20) | Receber os seus dados num formato estruturado e legível por máquina (JSON), e tê-los transmitidos a outro responsável pelo tratamento, quando tecnicamente viável. | A mesma exportação JSON referida no direito de acesso acima. |
| Direito de oposição (Art. 21) | Opor-se ao tratamento baseado em interesse legítimo (por exemplo, análises, impressão digital do navegador). | Utilize o gestor de cookies para retirar o consentimento para análises, e envie um email para o contacto de privacidade quanto a outro tratamento baseado em interesse legítimo. |
| Direitos relativos a decisões automatizadas (Art. 22) | Não tomamos decisões exclusivamente automatizadas que produzam efeitos jurídicos ou similarmente significativos. As respostas de IA são geração de conteúdo, não decisões sobre si. | Não é necessária qualquer ação. |
| Direito de retirar o consentimento (Art. 7(3)) | Retirar qualquer consentimento que tenha dado (análises, emails de marketing, notificações opcionais). | Utilize o gestor de cookies e Definições → Notificações. A retirada não afeta a licitude do tratamento passado. |
| CCPA: direito a saber / eliminar / recusar a venda (opt-out of sale) | Equivalente ao acesso/apagamento acima. | Os mesmos canais. Não vendemos informação pessoal, pelo que não existe qualquer "venda" da qual se possa excluir. |
| CCPA: direito à não discriminação | Não o penalizaremos por exercer os seus direitos. | — |
Como exercer qualquer direito: envie um email para night@darkmes.com a partir do endereço associado à sua conta (podemos colocar questões adicionais de verificação caso o pedido seja invulgar).
Prazo de resposta: no prazo de 30 dias após um pedido verificado, prorrogável por até mais 2 meses em pedidos complexos, caso em que o informaremos dentro dos primeiros 30 dias e explicaremos o motivo.
Custo: gratuito, salvo se os pedidos forem manifestamente infundados ou excessivos (caso em que poderemos cobrar uma taxa razoável ou recusar, nos termos do GDPR Art. 12(5)).
9. Dados de menores
O Serviço destina-se estritamente a utilizadores com 18 ou mais anos. Não recolhemos, com conhecimento, dados pessoais de ninguém com menos de 18 anos.
- É apresentado um modal de verificação de idade na primeira visita, que deve ser confirmado antes de o Serviço poder ser utilizado.
- A criação de conta exige uma caixa de verificação separada, "Confirmo que tenho 18 ou mais anos".
- Se tomarmos conhecimento de que recolhemos dados de alguém com menos de 18 anos, iremos eliminá-los prontamente, encerrar a conta, e comunicar o incidente às autoridades competentes, quando exigido.
- Esta Política está alinhada com o GDPR Art. 8 (consentimento de menores — não aplicável, porque não disponibilizamos o Serviço a menores) e com o COPPA (US — pelo mesmo motivo).
Se acredita que uma criança nos forneceu dados pessoais, contacte-nos de imediato através de night@darkmes.com.
10. Medidas de segurança
Implementamos medidas técnicas e organizativas adequadas ao risco:
- Encriptação em trânsito: TLS 1.3 para todo o tráfego cliente-servidor e servidor-prestador de serviços.
- Encriptação em repouso: os ficheiros de dados do Postgres e os snapshots do Redis residem em volumes com encriptação total de disco, no VPS.
- Hash de palavras-passe: argon2id, com parâmetros ajustados para ≥250 ms de processamento de CPU.
- Verificação de robustez:
zxcvbné utilizado no registo para rejeitar palavras-passe fracas. - Antiabuso: limitação de taxa na periferia (edge), FingerprintJS Open Source para deteção de múltiplas contas, CAPTCHA Altcha em endpoints sensíveis.
- Ciclo de vida da conta: eliminação reversível com janela de 30 dias, seguida de eliminação definitiva em todo o armazenamento principal (tarefa diária às 04:30 UTC) e na rotação de cópias de segurança seguinte. Dentro da janela de 30 dias, uma conta pode ser restaurada a pedido. Após a execução da tarefa, o registo do utilizador é removido, os registos do livro-razão financeiro e dos eventos analíticos são anonimizados (a ligação à identidade é cortada, os valores de auditoria são preservados), e os endereços de destinatário são apagados do registo de envio de emails. Ver docs/tech/05_database.md "Right to be forgotten — purge cron schedule" para a implementação.
- Controlo de acesso: o acesso à base de dados de produção é restrito ao operador, através de chave SSH + lista de IPs permitidos; as ações administrativas são registadas.
- Moderação manual: avatares e personagens públicos são revistos manualmente (nenhum classificador automático de conteúdo NSFW envia o seu conteúdo a terceiros).
- Cópias de segurança: o Postgres + o conteúdo multimédia carregado têm cópia de segurança diária, conservada durante 30 dias no mesmo fornecedor de VPS (rotação fora do local adiada — ver docs/product/18_risks.md).
- Higiene de dependências: alertas automáticos de versões de dependências; atualizações relevantes para a segurança aplicadas no prazo de 7 dias após a divulgação.
Nenhum sistema é perfeitamente seguro. Se descobrirmos uma violação de dados pessoais, notificaremos os utilizadores afetados sem demora injustificada e, quando a violação for suscetível de originar um risco para os seus direitos e liberdades, notificaremos a autoridade de controlo competente no prazo de 72 horas após termos tomado conhecimento da mesma, em conformidade com o GDPR Art. 33–34.
11. Marketing e comunicações
- Emails transacionais (verificação, reposição de palavra-passe, recibo de compra, confirmação de eliminação de conta, alertas de segurança) são essenciais e não podem ser desativados enquanto tiver uma conta ativa — são enviados com base no contrato (Art. 6(1)(b)).
- Emails opcionais do produto (aviso de saldo baixo, notificação de recarga gratuita mensal) são opt-in, em Definições → Notificações, e podem ser desativados a qualquer momento.
- Emails promocionais / de marketing: atualmente não enviamos nenhum. Se começarmos a fazê-lo, pediremos um opt-in explícito separado e forneceremos uma ligação de cancelamento de subscrição num único clique em cada mensagem.
12. Direito de apresentar reclamação junto de uma autoridade de controlo
Se se encontrar na EU, no EEA ou no UK, tem o direito de apresentar reclamação junto da sua autoridade local de proteção de dados, caso considere que o nosso tratamento viola a legislação de proteção de dados. Agradecemos a oportunidade de resolver primeiro as suas preocupações — contacte night@darkmes.com — mas não é obrigado a fazê-lo antes de apresentar a reclamação.
A lista das autoridades de controlo da EU/EEA é mantida pelo European Data Protection Board: edpb.europa.eu/about-edpb/about-edpb/members_en.
Para o UK, a autoridade competente é o Information Commissioner's Office (ICO): ico.org.uk.
13. Alterações a esta Política
Podemos atualizar esta Política de tempos a tempos. Quando o fizermos, iremos:
- Atualizar os campos Version e Last updated no topo desta página.
- Em caso de alterações materiais (nova atividade de tratamento, novas categorias de dados, novas vias de transferência, novos subcontratantes que alterem materialmente o risco), notificaremos os utilizadores registados através de:
- Um banner dentro da aplicação, no próximo início de sessão, e
- Email para o seu endereço verificado, desde que tenha optado por receber emails de marketing / atualizações do produto (caso contrário, o banner por si só serve como aviso para alterações que não sejam de marketing).
A continuação da utilização do Serviço após uma alteração entrar em vigor constitui aceitação da Política atualizada. Se não concordar, pode eliminar a sua conta a qualquer momento, nos termos da Secção 8.
As versões anteriores desta Política são conservadas em arquivo e podem ser solicitadas por email.
14. Contacto
Para qualquer questão sobre esta Política de Privacidade, sobre os seus dados, ou para exercer qualquer um dos direitos previstos na Secção 8:
Email: night@darkmes.com
Utilize o email associado à sua conta ao contactar-nos sobre pedidos relativos a dados, para que possamos verificar a sua identidade mais rapidamente.
darkmes — talk to anyone. write your story.