Política de privacidade

Última atualização: 07/07/2026

A versão em alemão deste documento é a referência juridicamente vinculativa em caso de divergência.

1. Responsável pelo tratamento

Ahmad Sakka — Saseler Chaussee 30c, 22391 Hamburg, Alemanha — [email protected]

2. Bases jurídicas (art. 6.º RGPD)

Art. 6(1)(b) execução do contrato: conta (incluindo a verificação de idade), carregamento/análise/criação do CV, relatórios. Art. 6(1)(a) consentimento: cookies de estatística/marketing e dados especiais (art. 9.º) do CV. Art. 6(1)(c) obrigações legais: conservação de faturas. Art. 6(1)(f) interesse legítimo: segurança, prevenção de fraude, operação estável.

3. Alojamento e local de armazenamento

O site e a sua base de dados são alojados inteiramente num VPS da netcup GmbH (Karlsruhe, Alemanha). Todos os CV e relatórios são armazenados exclusivamente neste servidor na Alemanha/UE. Existe um contrato de subcontratação (AV-Vertrag) ao abrigo do art. 28.º RGPD com a netcup.

4. Conservação do ficheiro carregado

O ficheiro original do CV nunca é armazenado. O seu texto é extraído em memória e eliminado após a geração do relatório. Apenas permanece o relatório derivado, que pode eliminar a qualquer momento.

5. Processamento por IA (Anthropic) e transferência para país terceiro

Para gerar a análise, o texto do CV é enviado por uma API cifrada para a Anthropic PBC (EUA) — uma transferência para país terceiro ao abrigo das garantias dos art. 44.º–49.º RGPD (Quadro EU-US Data Privacy Framework e/ou cláusulas contratuais-tipo). A Anthropic atua como subcontratante ao abrigo do aditamento padrão de tratamento de dados (DPA) incorporado nos seus Commercial Terms. Ativámos a opção de retenção zero de dados (Zero Data Retention) disponível nas definições da nossa conta Anthropic; nos termos dos Commercial Terms da Anthropic, as entradas e saídas não são usadas para treinar modelos. A transferência baseia-se nas Cláusulas Contratuais-Tipo (SCC). Condições de tratamento e lista de subcontratantes da Anthropic: https://www.anthropic.com/legal/commercial-terms · https://trust.anthropic.com

6. Dados que recolhemos

Dados de conta (nome, data de nascimento [verificação de idade], e-mail com confirmação double opt-in, palavra-passe com hash, idioma); dados de conteúdo (texto do CV temporariamente, relatórios, descrições de vaga); dados de pagamento (inteiramente na Paddle – sem dados de cartão nos nossos servidores); registos do servidor (IP, hora, navegador/sistema).

7. Registos do servidor

Os registos de acesso são recolhidos com base no interesse legítimo (art. 6(1)(f)) para deteção de ataques e eliminados automaticamente em 7 dias (conservados apenas como prova num incidente de segurança em curso).

8. Cookies e ferramentas de proteção

Cookies estritamente necessários (sessão/segurança): sem consentimento (art. 6(1)(f) + § 25(2) TDDDG). Cloudflare Turnstile (verificação humano/bot, Cloudflare Inc., EUA — transferência com garantias DPF/SCC). O Cloudflare Web Analytics funciona sem cookies. Atualmente não são usados cookies de estatística/marketing; qualquer uso exigiria o seu consentimento expresso.

9. Prestador de pagamento (Paddle)

Os pagamentos são geridos pela Paddle.com Market Ltd como Merchant of Record. Os seus dados de pagamento (cartão, nome, e-mail, morada de faturação) são tratados diretamente na Paddle e não armazenados nos nossos servidores. A Paddle trata da faturação e da conformidade fiscal internacional. Privacidade da Paddle: https://www.paddle.com/legal/privacy

10. Subcontratação para empresas (B2B)

Para clientes B2B que carregam dados de candidatos, fornecemos um AV-Vertrag (art. 28.º RGPD), disponível para aceitação no painel e que faz parte do contrato.

11. Conservação e eliminação

Pode eliminar os seus CV e relatórios a qualquer momento; são removidos do servidor imediatamente. Excetuam-se as faturas, que conservamos: 8 anos segundo § 147 AO.

12. Os seus direitos (art. 15.º–21.º RGPD)

Tem direito de acesso, retificação, apagamento, limitação, portabilidade e oposição (art. 21.º) ao tratamento baseado no interesse legítimo. Para retirar o consentimento ou exercer os seus direitos: [email protected].

13. Autoridade de controlo

Tem o direito de apresentar reclamação: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.

14. Medidas técnicas (art. 32.º RGPD)

Cifragem em trânsito (TLS) e em repouso, controlo de acesso estrito, separação de rede, cópias de segurança cifradas e minimização de dados.

15. Tratamento automatizado e transparência (art. 13(2)(f), 22.º RGPD)

Não existe qualquer decisão exclusivamente automatizada. A análise é uma ferramenta de apoio com lógica avaliativa (correspondência de competências/experiência/ATS); a decisão cabe a uma pessoa. Nota: sistemas que pontuam/classificam candidatos podem ser de alto risco nos termos do Regulamento de IA da UE (anexo III); as obrigações respetivas serão consideradas antes do lançamento comercial. Nota sobre o Regulamento de IA: as obrigações dos sistemas de alto risco (anexo III) aplicam-se — após o adiamento do pacote Digital Omnibus — a partir de 2 de dezembro de 2027. Independentemente disso, nos termos do art. 50.º (desde 2 de agosto de 2026), informamos claramente que está a interagir com um sistema de IA e que os resultados são gerados por IA.