Política de Privacidade
Visão geral (resumo)
A Mythoria solicita apenas os dados mínimos necessários para abrir uma conta (nome, e-mail e telemóvel) e para criar histórias personalizadas a partir dos prompts fornecidos.
Todo o conteúdo é armazenado em centros de dados do Google Cloud na UE; os prompts das histórias são enviados para a API Enterprise da OpenAI, que os conserva por até 30 dias exclusivamente para detetar abuso e nunca os utiliza para treinar modelos públicos, salvo se optar por isso. Pode eliminar a sua conta em qualquer altura e, exceto para arquivos legais (por ex., faturas), os seus dados pessoais desaparecem dos sistemas ativos dentro de 30 dias.
Abaixo pode consultar todas as divulgações obrigatórias do RGPD, as regras de privacidade das crianças (idade digital de consentimento portuguesa: 13 anos), detalhes de cookies e os seus direitos.
1. Quem somos
Responsável pelo tratamento
Aventuras Contemporâneas, Lda.
Rua Cais do Lugan, nº 224, 2.º Direito, 4400-492 Vila Nova de Gaia, Portugal
E-mail (geral): geral@mythoria.pt
Questões de privacidade / exercício de direitos: privacy@mythoria.pt
Encarregado da Proteção de Dados: dpo@mythoria.pt (Art.º 37 RGPD)
Autoridade de controlo
Comissão Nacional de Proteção de Dados (CNPD) – Av. D. Carlos I, 134, 1º, 1200-651 Lisboa, geral@cnpd.pt
2. Âmbito desta Política
Este aviso aplica-se a mythoria.pt e a quaisquer aplicações móveis ou de secretária com a marca "Mythoria". Não abrange ligações externas que possuam termos de privacidade próprios.
3. Que dados recolhemos
| Categoria | Exemplos | Origem |
|---|---|---|
| Dados de conta | Nome, e-mail, telemóvel | Fornecidos pelo utilizador |
| Entradas de história | Prompts de texto, nomes de personagens, imagens carregadas | Fornecidos pelo utilizador |
| Conteúdo gerado | As histórias/livros que a nossa IA lhe devolve | Criado pelo serviço |
| Registos de utilização e telemetria | Endereço IP, tipo de navegador, ID do dispositivo, carimbos de data/hora | Recolhidos automaticamente |
| Cookies / armazenamento local | ver § 7 | Navegador |
Pedimos que não inclua dados de categorias especiais (saúde, biometria, opiniões políticas, etc.). Se inserir dados pessoais de terceiros, confirma que tem uma base legal para tal (Art.º 14 RGPD).
4. Porque tratamos os seus dados e bases legais
| Finalidade | Dados | Base legal (Art.º 6 RGPD) |
|---|---|---|
| Criar e entregar histórias personalizadas | Dados de conta, entradas de história, conteúdo gerado | Contrato – para prestar o serviço solicitado |
| Administração de conta e segurança | Dados de conta, registos | Interesse legítimo na operação segura do serviço (considerando 47) |
| Prevenção de abuso e filtragem de spam | Entradas de história analisadas brevemente pela OpenAI | Interesse legítimo |
| Análises e melhoria do produto | Registos de utilização, dados de cookies agregados | Consentimento via banner de cookies (§ 7) |
| Conformidade legal e faturação | Dados de conta, pagamentos (se aplicável) | Obrigação legal (fiscal) |
A OpenAI e a Google atuam como subcontratantes ao abrigo do Art.º 28 RGPD; detalhes no § 5.
5. Divulgação de IA e Cloud
API Enterprise da OpenAI
Os prompts e as saídas das histórias transitam para o ponto de presença UE da OpenAI. São armazenados por no máximo 30 dias para detetar abuso e, por defeito, não são usados para treinar modelos da OpenAI.
Google Cloud
Todas as bases de dados e armazenamento de ficheiros residem na região multi-europeia. A Google recorre às Cláusulas Contratuais-Tipo da Comissão para quaisquer transferências fora do EEE.
Nenhum outro terceiro recebe dados identificáveis, salvo se ativar serviços opcionais (ex.: pagamento, mailing list); nesses casos esses subcontratantes serão listados aqui antes da ativação.
6. Privacidade das crianças
Portugal fixou a idade digital de consentimento nos 13 anos: se o utilizador for mais novo, o tratamento só é lícito com autorização do pai, mãe ou tutor (Lei 58/2019, art.º 16). As histórias da Mythoria podem ter como público-alvo crianças, mas as contas devem ser criadas por alguém com 13+ anos e, quando exigido, com consentimento parental.
7. Cookies e tecnologias semelhantes
| Cookie / chave de armazenamento | Finalidade | Expiração | Necessita de consentimento? |
|---|---|---|---|
| myth_session | Manter sessão iniciada | Sessão | Não (estritamente necessário) |
| __Secure-next-auth.session-token | Autenticar chamadas API | 1 dia | Não |
| _ga, _gid (Google Analytics) | Estatísticas de uso agregadas | 13 meses / 24 h | Sim |
| cookie_consent | Guardar preferências | 6 meses | Não |
O banner apresentado na primeira visita segue as Orientações de Consentimento do EDPB 05/2020 e o relatório da Task-force sobre banners de cookies (caixas pré-assinaladas desativadas, botão ‘rejeitar’ na primeira camada).
8. Durante quanto tempo conservamos os seus dados
| Conjunto de dados | Regra de retenção |
|---|---|
| Dados de conta ativos | Enquanto a conta estiver ativa + 30 dias; depois eliminados ou anonimizados |
| Prompts e saídas na OpenAI | Até 30 dias (subcontratante) |
| Registos do servidor | 90 dias para auditorias de segurança |
| Cópias de segurança | Ciclo contínuo encriptado de 30 dias |
| Registos financeiros/faturas | 10 anos (Decreto-Lei 28/2019) |
9. Medidas de segurança
Implementamos controlos alinhados com a ISO 27001: encriptação em trânsito (TLS 1.3) e em repouso (AES-256), acesso por mínimo privilégio, MFA para colaboradores, correções automáticas e testes de intrusão anuais. A resposta a incidentes segue as regras de notificação de violação do Art.º 33 RGPD.
10. Os seus direitos
Pode aceder, retificar, apagar, restringir, opor-se ou portar os seus dados pessoais e retirar consentimento a qualquer momento. Pedidos enviados para dpo@mythoria.pt são respondidos no prazo de um mês (Art.º 12 RGPD). Se considerar que os seus direitos foram violados, pode apresentar reclamação à CNPD (contactos no § 1).
Se pretender exercer o seu direito ao apagamento (Art.º 17 RGPD) e eliminar permanentemente a sua conta, pode fazê-lo através da nossa página dedicada de eliminação de conta.
Eliminar Conta11. Transferências internacionais
Quando os dados saem do EEE (por exemplo, para servidores de recuperação de desastres da OpenAI localizados nos EUA), as transferências estão cobertas por:
- Cláusulas Contratuais-Tipo (Google Cloud, OpenAI)
- Encriptação e controlos de acesso rigorosos (§ 9).
12. Alterações a esta Política
Podemos atualizar este aviso para refletir alterações legais ou técnicas. Se as alterações forem materiais, enviaremos um e-mail aos titulares de conta e exibiremos um banner in-app pelo menos 15 dias antes de entrarem em vigor. O histórico de versões é mantido no topo desta página.
13. Contacto
Dúvidas sobre privacidade? Envie-nos um e-mail para dpo@mythoria.pt ou escreva para o endereço indicado no § 1. Estamos aqui para ajudar!
Última atualização: 2 de junho de 2025