Política de Privacidade
Índice
- Quem somos
- Âmbito
- Dados que recolhemos
- Como utilizamos os seus dados
- Bases legais (RGPD)
- Como partilhamos dados
- Serviços de terceiros
- Publicidade
- Funcionalidades sociais e públicas
- Retenção de dados
- Segurança
- Transferências internacionais
- Os seus direitos
- Conta e eliminação de dados
- Crianças
- Alterações a esta política
- Contacto
1. Quem somos
Esta Política de Privacidade descreve como a Mindoria (a “App”, “nós” ou “nosso”) recolhe, utiliza e protege as suas informações pessoais quando utiliza a aplicação móvel Mindoria e os serviços relacionados disponíveis em mindoria.app.
Mindoria é uma aplicação educativa que oferece lições curtas, repetição espaçada, conquistas, classificações e batalhas de perguntas jogador-contra-jogador (PvP) em tempo real em disciplinas como História, Biologia, Psicologia, Economia e outras.
Para efeitos do Regulamento Geral sobre a Proteção de Dados (RGPD), o responsável pelo tratamento é o operador de Mindoria, contactável em [email protected].
2. Âmbito
Esta política aplica-se a:
- A aplicação móvel Mindoria para Android (distribuída através do Google Play).
- O website Mindoria em mindoria.app.
- Comunicações por e-mail que lhe enviamos sobre a sua conta ou o serviço.
Não se aplica a serviços de terceiros referenciados na App ou no website, os quais são regidos pelas respetivas políticas de privacidade.
3. Dados que recolhemos
3.1 Informações da conta
Quando cria uma conta, recolhemos e armazenamos:
- Endereço de e-mail: utilizado para iniciar sessão, verificar a sua identidade e enviar mensagens transacionais.
- Nome de exibição: como aparece para outros jogadores e nas classificações.
- Palavra-passe (para contas com e-mail/palavra-passe): armazenada apenas como hash bcrypt com sal. Nós nunca vemos nem armazenamos a sua palavra-passe em texto simples.
- Avatar: um emoji ou imagem que escolhe para se representar.
- Código de amigo: um identificador gerado automaticamente que permite a outros utilizadores adicioná-lo como amigo.
- Identificador de conta Google (se iniciar sessão com o Google): o seu ID de utilizador Google, e-mail e nome de perfil público. Não recebemos a sua palavra-passe do Google.
3.2 Dados de aprendizagem e progresso
- Lições, tópicos e disciplinas que iniciou ou concluiu.
- Perguntas respondidas, pontuações, tentativas e tempo gasto.
- XP, nível, sequência atual, maior sequência e corações (vidas).
- Definições de objetivo diário e idioma de estudo preferido.
- Conquistas obtidas e quando foram obtidas.
- Calendários de revisão de repetição espaçada gerados a partir da sua atividade.
- Histórico de partidas PvP, incluindo adversários, resultados e classificações.
3.3 Dados sociais
- Pedidos de amizade que envia ou recebe, e amizades aceites.
- A sua posição nas classificações globais, de amigos e por disciplina.
3.4 Preferências e definições
- Idioma da interface e tema (claro/escuro).
- Preferência de voz de narração (para reprodução de texto-para-voz dos cartões de ensino).
- Preferências de notificação.
3.5 Dados do dispositivo e técnicos
- Modelo do dispositivo, versão do sistema operativo, versão da app e registos de falhas.
- Tokens de notificação push (Firebase Cloud Messaging ou Expo Push Token) para podermos enviar notificações para o seu dispositivo.
- Localidade e fuso horário aproximados (derivados das definições do dispositivo).
- Endereço IP (utilizado temporariamente pelos nossos servidores para limitação de taxa, prevenção de fraude e deteção de abuso; não associado ao seu perfil de conta).
3.6 Estado da subscrição
- Se subscrever o Mindoria Plus ou o Mindoria Premium, recebemos um identificador de subscritor pseudonimizado e o seu estado de direito atual (ativo ou inativo) do Google Play Billing através do RevenueCat (o nosso fornecedor de gestão de subscrições). Trata-se de estado de conta, não de histórico de transações. Mindoria não armazena uma lista das suas compras anteriores, preços ou faturas.
- Nós não recebemos nem armazenamos o número do seu cartão de crédito, CVC, morada de faturação ou qualquer outra informação de pagamento. O pagamento é processado inteiramente pelo Google Play, que tem a sua própria política de privacidade.
3.7 Suporte e feedback
Se nos contactar para suporte, guardamos o conteúdo da sua mensagem juntamente com o seu endereço de e-mail para podermos responder.
O que NÃO recolhemos: Não acedemos à sua câmara, microfone, localização, contactos, SMS, registos de chamadas, fotos ou ficheiros. A app não grava áudio do seu dispositivo.
4. Como utilizamos os seus dados
Utilizamos os dados descritos acima para:
- Criar e gerir a sua conta, autenticá-lo e verificar o seu e-mail.
- Fornecer as funcionalidades principais de aprendizagem: lições, questionários, repetição espaçada, sequências, corações e conquistas.
- Executar partidas PvP, classificações e funcionalidades de amigos.
- Enviar-lhe e-mails transacionais (verificação de e-mail, redefinição de palavra-passe, recibos de subscrição, avisos críticos do serviço).
- Enviar notificações push nas quais optou por participar (lembretes de sequência, conquistas, resultados PvP).
- Processar subscrições in-app e aplicar os benefícios do seu plano.
- Mostrar anúncios recompensados a utilizadores gratuitos que voluntariamente os assistem para recarregar corações.
- Detetar, prevenir e responder a abusos, batota e incidentes de segurança.
- Compreender como a App é utilizada de forma agregada para podermos corrigir erros e melhorar funcionalidades.
- Cumprir obrigações legais e fazer cumprir os nossos termos.
5. Bases legais para o tratamento (RGPD)
Se se encontrar no Espaço Económico Europeu, no Reino Unido ou na Suíça, baseamo-nos nas seguintes bases legais ao abrigo do Artigo 6.o do RGPD:
| Finalidade | Base legal |
|---|---|
| Fornecimento da App e da sua conta | Execução de um contrato (Art. 6(1)(b)) |
| Processamento de pagamentos de subscrição | Execução de um contrato (Art. 6(1)(b)) |
| Segurança, prevenção de fraude, limitação de taxa | Interesses legítimos (Art. 6(1)(f)) |
| Análise de produto e relatórios de falhas | Interesses legítimos (Art. 6(1)(f)) |
| Publicidade não personalizada | Interesses legítimos (Art. 6(1)(f)) |
| Envio de notificações push ativadas por si | Consentimento (Art. 6(1)(a)) |
| Cumprimento de obrigações legais | Obrigação legal (Art. 6(1)(c)) |
Pode retirar o consentimento a qualquer momento no ecrã de definições sem afetar a licitude do tratamento anterior.
6. Como partilhamos dados
Nós não vendemos as suas informações pessoais. Partilhamos dados apenas nas circunstâncias limitadas abaixo:
- Prestadores de serviços que processam dados em nosso nome sob instruções escritas (listados na Secção 7).
- Outros utilizadores, quando opta por tornar informações públicas (ver Secção 9 sobre funcionalidades sociais).
- Autoridades legais, quando exigido por lei, ordem judicial ou para proteger a segurança e os direitos dos utilizadores e do público.
- Numa transferência comercial, se a Mindoria for adquirida ou fundida com outra empresa, caso em que o notificaremos antes de as suas informações ficarem sujeitas a uma política de privacidade diferente.
7. Serviços de terceiros (subprocessadores)
Recorremos aos seguintes prestadores de serviços. Cada um processa apenas os dados necessários para a sua função específica.
| Fornecedor | Finalidade | Dados processados |
|---|---|---|
| Google Play Billing | Processamento de subscrições | Token de compra, plano, estado do pagamento |
| RevenueCat | Gestão de direitos de subscrição | ID de utilizador pseudonimizado, estado do direito, IDs de produto |
| Google AdMob | Exibição de anúncios recompensados | ID de publicidade, identificadores do dispositivo, endereço IP (recebido automaticamente pelos servidores de anúncios do Google como parte da ligação de rede) |
| Firebase Cloud Messaging | Notificações push | Token push do dispositivo, conteúdo da notificação |
| Expo Push Service | Notificações push (canal alternativo) | Token push do dispositivo, conteúdo da notificação |
| Google Sign-In | Login social opcional | ID de utilizador Google, e-mail, nome de perfil |
| PostHog | Análise de produto e relatórios de falhas | ID de utilizador pseudonimizado, eventos, metadados do dispositivo, stack traces de erros |
| Resend | Entrega de e-mail transacional | Endereço de e-mail, conteúdo da mensagem |
| Fly.io | Alojamento de aplicação e base de dados | Todos os dados pessoais listados acima (em repouso, encriptados) |
8. Publicidade
Mindoria mostra apenas anúncios recompensados através do Google AdMob, e apenas a utilizadores do plano gratuito que voluntariamente escolhem assistir a um anúncio para recarregar corações. Não mostramos anúncios em banner ou intersticiais.
Configuramos o AdMob para solicitar anúncios não personalizados, o que significa que os anúncios não são direcionados com base no seu perfil pessoal, histórico de navegação ou interesses. O Google pode ainda utilizar sinais contextuais aproximados como a categoria da app, o idioma do dispositivo e o país derivado do seu endereço IP para exibir anúncios legalmente apropriados e prevenir fraude. Mindoria não solicita permissões de localização e não deriva a sua localização física a partir do seu endereço IP.
Note que, como é verdade para qualquer serviço acedido pela internet, o backend da Mindoria vê automaticamente o seu endereço IP sempre que a app faz um pedido (utilizado brevemente para limitação de taxa, segurança e deteção de abuso, conforme descrito na Secção 3.5), e os servidores de anúncios do Google veem separadamente o seu endereço IP quando a app obtém um anúncio (utilizado pelo Google para os fins acima). Estas são duas exposições independentes ao nível da rede. Mindoria e o Google não trocam endereços IP entre si. Subscritores pagos não veem anúncios e, portanto, não fazem pedidos aos servidores de anúncios do Google.
Para utilizadores em jurisdições que exigem consentimento ao abrigo da ePrivacy ou do RGPD, a gestão de consentimento própria do AdMob apresentará um diálogo de consentimento no primeiro pedido de anúncio. O aviso de privacidade de publicidade do Google está disponível em policies.google.com/technologies/ads.
9. Funcionalidades sociais e públicas
Mindoria inclui funcionalidades sociais. As seguintes informações são visíveis a outros utilizadores por definição:
- O seu nome de exibição, avatar, nível e XP aparecem nas classificações globais e de amigos.
- O seu código de amigo pode ser partilhado por si e utilizado por outros para lhe enviar pedidos de amizade.
- As suas conquistas públicas podem ser vistas por amigos e adversários.
- Resultados de partidas PvP mostram o seu nome de exibição e avatar ao seu adversário.
Pode controlar o que partilha escolhendo um nome de exibição genérico, recusando pedidos de amizade ou eliminando a sua conta. Não existe chat livre entre utilizadores, mensagens diretas ou campo de descrição de perfil em Mindoria.
10. Retenção de dados
Mantemos os seus dados pessoais apenas enquanto a sua conta estiver ativa, mais o período necessário para:
- Cumprir obrigações legais, fiscais e contábilísticas (tipicamente até 7 anos para registos de subscrição).
- Resolver disputas e fazer cumprir os nossos acordos.
- Manter registos de segurança (tipicamente 90 dias).
Quando elimina a sua conta (ver Secção 14), apagamos ou anonimizamos as suas informações pessoais dos nossos sistemas ativos no prazo de 30 dias. As cópias de segurança são sobrescritas no nosso ciclo de rotação padrão (tipicamente dentro de 60 dias).
11. Segurança
Protegemos os seus dados com salvaguardas padrão da indústria, incluindo:
- Encriptação HTTPS/TLS para todos os dados em trânsito.
- Encriptação em repouso no nosso alojamento de base de dados.
- Hashing de palavra-passe bcrypt com sal; nunca armazenamos palavras-passe em texto simples.
- Tokens de autenticação de curta duração com atualização automática e armazenamento seguro no dispositivo.
- Limitação de taxa, monitorização de abuso e controlos de acesso na nossa infraestrutura.
Nenhum sistema é perfeitamente seguro. Se tomarmos conhecimento de uma violação de dados que o afete, notificaremos o utilizador e a autoridade supervisora competente dentro dos prazos exigidos por lei.
12. Transferências internacionais de dados
Os nossos servidores estão alojados no Fly.io, que opera centros de dados em múltiplas regiões. Alguns dos nossos subprocessadores (Google, RevenueCat, PostHog, Resend) estão sediados nos Estados Unidos ou noutros países fora do EEE. Quando os dados pessoais são transferidos para fora do EEE, do Reino Unido ou da Suíça, baseamo-nos nas Cláusulas Contratuais Tipo da Comissão Europeia e, quando aplicável, em salvaguardas adicionais exigidas pela decisão Schrems II.
13. Os seus direitos
Dependendo do local onde reside, pode ter os seguintes direitos relativamente aos seus dados pessoais:
- Acesso: solicitar uma cópia dos dados pessoais que detemos sobre si.
- Retificação: corrigir informações imprecisas ou incompletas.
- Apagamento: solicitar a eliminação da sua conta e dados (“direito ao esquecimento”).
- Portabilidade: receber uma exportação em formato legível por máquina dos dados que nos forneceu.
- Limitação: pedir-nos para limitar a forma como utilizamos os seus dados em determinadas circunstâncias.
- Oposição: opor-se ao tratamento baseado em interesses legítimos, incluindo análises.
- Retirar consentimento: retirar qualquer consentimento que tenha dado anteriormente.
- Reclamar: apresentar uma reclamação junto da sua autoridade local de proteção de dados. Na UE, pode encontrar a sua em edpb.europa.eu.
Para exercer qualquer um destes direitos, envie um e-mail para [email protected]. Responderemos no prazo de 30 dias.
Residentes na Califórnia (CCPA/CPRA)
Se é residente na Califórnia, tem também o direito de saber que categorias de informações pessoais recolhemos, a finalidade da recolha e as categorias de terceiros com quem as partilhamos (tudo divulgado acima). Tem o direito de eliminar as suas informações pessoais e de não ser discriminado por exercer os seus direitos. Nós não vendemos nem partilhamos informações pessoais para publicidade comportamental entre contextos.
14. Conta e eliminação de dados
Pode eliminar a sua conta Mindoria a qualquer momento, diretamente na App:
- Abra Mindoria e vá a Perfil → Definições.
- Desloque-se até Eliminar conta.
- Confirme a sua identidade introduzindo a sua palavra-passe (ou e-mail para contas Google).
- Confirme a eliminação.
A eliminação é imediata e irreversível. Remove o seu perfil, progresso, XP, sequência, corações, amizades, histórico PvP, posições nas classificações e conquistas dos nossos sistemas ativos. Os dados residuais são eliminados das cópias de segurança dentro de 60 dias.
Se não conseguir aceder à App, pode também solicitar a eliminação enviando um e-mail para [email protected] a partir do endereço de e-mail associado à sua conta.
15. Crianças
Mindoria destina-se a utilizadores com 13 anos ou mais. Não recolhemos intencionalmente informações pessoais de crianças menores de 13 anos. Se é pai, mãe ou tutor e acredita que o seu filho nos forneceu informações pessoais, contacte [email protected] e eliminaremos a conta prontamente.
Nas jurisdições em que a idade mínima para consentimento digital é superior a 13 anos (por exemplo, 16 em partes do Espaço Económico Europeu), aplica-se a idade mínima correspondente mais elevada.
16. Alterações a esta política
Podemos atualizar esta Política de Privacidade periodicamente. Quando fizermos alterações substanciais, notificá-lo-emos na App e/ou por e-mail antes de entrarem em vigor, e atualizaremos a data de “Última atualização” no topo desta página. Versões anteriores estão disponíveis mediante pedido.
17. Contacto
Para questões de privacidade, pedidos de acesso a dados ou reclamações:
- Privacidade: [email protected]
- Suporte geral: [email protected]
- Website: mindoria.app