Acordo de Tratamento de Dados

Este Acordo de Tratamento de Dados («DPA») descreve como o promptShield trata dados pessoais por conta dos clientes, em apoio ao RGPD e a leis de proteção de dados semelhantes.

Última atualização: June 22, 2026

A versão resumida

Relativamente aos documentos que anonimiza, o promptShield não é um subcontratante de dados — esse conteúdo nunca sai do seu dispositivo e nunca chega aos nossos sistemas, pelo que não há nada para tratarmos por sua conta. Atuamos como subcontratante apenas quanto aos dados limitados de conta e de licenciamento necessários para gerir a sua subscrição.

1. Definições

«Responsável pelo tratamento», «Subcontratante», «Titular dos dados», «Dados pessoais» e «Tratamento» têm os significados que lhes são atribuídos no Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 («RGPD»). «Cliente» significa a entidade ou o indivíduo que celebrou os Termos de serviço com o promptShield. «Dados pessoais do Cliente» significam os dados pessoais que o promptShield trata por conta do Cliente ao abrigo destes termos.

2. Papéis das partes

Relativamente aos dados de conta e de licenciamento, o Cliente é o Responsável pelo tratamento e o promptShield é o Subcontratante. Relativamente ao conteúdo dos documentos processado dentro da aplicação, não há qualquer tratamento por parte do promptShield: toda a deteção e ocultação corre localmente no dispositivo do Cliente, e o Cliente mantém-se como único Responsável pelo tratamento e único tratante desse conteúdo. O promptShield não recebe, não armazena nem dispõe de qualquer meio técnico para aceder ao conteúdo dos documentos.

3. Âmbito e objeto do tratamento

Os únicos dados pessoais que o promptShield trata por conta do Cliente são:

  • Dados de identidade e de contacto — endereço de e-mail utilizado na conta.
  • Dados de faturação — detalhes de faturação processados através do Stripe; os números de cartão nunca são armazenados pelo promptShield.
  • Dados de licenciamento — uma impressão digital da máquina SHA-256 e o estado da subscrição, usados para aplicar os limites de dispositivos e as permissões.

O conteúdo dos documentos, as entidades detetadas e o resultado ocultado estão expressamente fora do âmbito: são processados apenas no dispositivo do Cliente e nunca são transmitidos ao promptShield.

4. Duração

O tratamento mantém-se durante a vigência da subscrição. Após a cessação, os dados da conta são eliminados a pedido, e as impressões digitais de máquina associadas a licenças expiradas são eliminadas automaticamente ao fim de 90 dias, conforme descrito na Política de privacidade.

5. Subcontratantes

O Cliente autoriza o promptShield a recorrer aos subcontratantes indicados na nossa Política de privacidade (atualmente Firebase Authentication, Stripe, Google Cloud, Sentry e Resend), recebendo cada um apenas os dados necessários à sua função. Refletiremos quaisquer adições ou substituições na data de última atualização da Política de privacidade e daremos uma oportunidade razoável de oposição.

6. Medidas de segurança

O promptShield implementa medidas técnicas e organizativas adequadas, incluindo encriptação TLS em trânsito, credenciais com hash bcrypt, verificação de licenças assinadas com Ed25519, binários assinados e depuração de dados pessoais nos relatórios de falhas. Como o conteúdo dos documentos nunca é transmitido, a categoria de dados mais sensível não comporta, por concepção, qualquer risco de transmissão ou de armazenamento em servidor. Consulte a nossa página de Segurança para mais detalhes.

7. Transferências internacionais

Os dados de conta e de licenciamento são processados em infraestrutura de nuvem localizada nos Estados Unidos. Quando exigido, as transferências são regidas por salvaguardas adequadas, como as Cláusulas Contratuais-Tipo da UE (Standard Contractual Clauses), disponíveis mediante pedido.

8. Pedidos dos titulares dos dados

O promptShield assistirá o Cliente, tendo em conta a natureza do tratamento, na resposta a pedidos dos Titulares dos dados para exercerem os seus direitos de acesso, retificação, apagamento, limitação, portabilidade e oposição. Como o conteúdo dos documentos nunca é recebido, tais pedidos dizem respeito apenas aos dados de conta e de licenciamento.

9. Violação de dados pessoais

O promptShield notificará o Cliente sem demora injustificada após tomar conhecimento de uma violação de dados pessoais que afete os Dados pessoais do Cliente, e prestará as informações razoavelmente necessárias para que o Cliente cumpra as suas próprias obrigações de notificação.

10. Auditorias

O promptShield disponibilizará, mediante pedido razoável e sob reserva de confidencialidade, as informações necessárias para demonstrar a conformidade com este DPA. Dado o modelo de processamento exclusivamente local, os documentos sujeitos a anonimização não se encontram nos sistemas do promptShield e, por conseguinte, não estão abrangidos por qualquer auditoria deste tipo.

11. Devolução e eliminação

Após a cessação, e a pedido do Cliente, o promptShield eliminará os dados de conta e de licenciamento do Cliente, exceto quando a conservação for exigida por lei. O conteúdo dos documentos não requer devolução nem eliminação, porque nunca esteve na posse do promptShield.

12. Contacto

Para solicitar uma cópia contra-assinada deste DPA, as Cláusulas Contratuais-Tipo (Standard Contractual Clauses), ou para colocar uma questão de proteção de dados, contacte-nos através de legal@promptshield.ca.