// privacy.md

Como tratamos os teus dados.

Levamos a privacidade tão a sério quanto a performance. Este texto é curto e directo — sem juridiquês. Dúvidas? Escreve para edge@oku.pt.

Última actualização: 24 de Abril de 2026

1. Quem controla os teus dados

O responsável pelo tratamento é a ōku edge, agência digital tech-first sediada em Portugal, a operar remotamente em todo o mundo. Para qualquer assunto relacionado com os teus dados ou pedidos RGPD:

Ainda não somos obrigados a nomear um Encarregado de Protecção de Dados (DPO), mas lidas directamente com um membro da equipa fundadora.

2. Que dados recolhemos

a) Formulário de contacto

Quando preenches o briefing, recolhemos: nome, email, telefone (opcional), tipo de projecto, timing, e a mensagem livre. Também guardamos o teu IP e user-agent do browser para prevenção de spam.

b) Cookies e identificadores de browser

Duas categorias:

  • Estritamente necessários (sempre activos): a tua escolha de consentimento é guardada em localStorage como oku-edge-consent. A Cloudflare também define cookies de curta duração para rotear tráfego através da sua edge network, proteger contra DDoS e verificar que és humano. Sem estes, o site não pode ser acedido em segurança.
  • Análise (opt-in): Google Analytics 4 com Consent Mode v2 e IP anonimizado. Só corre depois de clicares "aceitar" ou activares o toggle em "escolher". Nunca usamos publicidade ou remarketing.

3. Porque o tratamos

  • Responder ao teu briefing (base legal: medidas pré-contratuais, art. 6.º n.º 1 alínea b) do RGPD).
  • Enviar email de confirmação para o endereço fornecido (mesma base).
  • Perceber o que funciona no site via Google Analytics (base legal: consentimento, art. 6.º n.º 1 alínea a)).
  • Proteger o site e utilizadores contra abuso, DDoS e spam via Cloudflare (base legal: interesse legítimo, art. 6.º n.º 1 alínea f)).

Não fazemos profiling, scoring, decisões automatizadas, marketing não solicitado, nem usamos os teus dados para treinar modelos de IA.

4. Onde os dados correm

O site e os briefings submetidos são alojados em servidores na União Europeia (Alemanha). O tratamento acontece na UE, sem transferências para países terceiros em operações normais. O nosso alojamento é subcontratante com DPA assinado ao abrigo do art. 28.º do RGPD.

A Cloudflare (Cloudflare, Inc.) serve o site através da sua edge network global. Quando fazes um pedido, a Cloudflare pode tratar o teu IP e cabeçalhos temporariamente para rotear, colocar em cache e proteger a ligação. É subcontratante ao abrigo de DPA com Cláusulas Contratuais-Tipo da UE.

O Google Analytics (Google Ireland Limited) envia dados agregados para servidores da Google. Este é o único caso em que os dados podem ser transferidos para fora do EEE, ao abrigo das Cláusulas Contratuais-Tipo (CCTs) da Comissão Europeia e com IP anonimizado. Se não quiseres esta transferência, recusa o consentimento no banner de cookies — o site funciona bem de qualquer forma.

5. Quanto tempo guardamos os dados

  • Briefings submetidos: 24 meses após último contacto, ou imediatamente a teu pedido.
  • Emails trocados: enquanto durar a relação contratual + 5 anos para efeitos fiscais (obrigação legal).
  • Consentimento em localStorage: até mudares ou apagares, ou 12 meses automaticamente.
  • Google Analytics: 14 meses (mínimo GA4).
  • Logs de servidor (IP, user-agent): 30 dias.

6. Os teus direitos

A qualquer momento podes, gratuitamente, pedir:

  • Acesso a cópia dos teus dados (art. 15.º)
  • Rectificação de dados incorrectos (art. 16.º)
  • Apagamento (direito ao esquecimento, art. 17.º)
  • Limitação do tratamento (art. 18.º)
  • Portabilidade para outro formato (art. 20.º)
  • Oposição ao tratamento baseado em interesse legítimo (art. 21.º)
  • Retirar consentimento a qualquer momento (clica "cookies" no rodapé)

Respondemos em 30 dias. Se achares que não lidámos bem com o teu pedido, tens direito a apresentar queixa à Comissão Nacional de Protecção de Dados (CNPD) ou à autoridade de controlo do teu país de residência.

7. Segurança

HTTPS obrigatório (HSTS activo), headers de segurança A+, rate limiting no Traefik, passwords encriptadas quando aplicável, acesso aos dados limitado à equipa da ōku edge. Em caso de violação que afecte os teus dados, notificamos-te em 72h conforme exigido pelo art. 33.º do RGPD.

8. Alterações a esta política

Quando mudamos algo substantivo, actualizamos a data no topo e — se afectar consentimento — incrementamos a versão (CONSENT_VERSION) para poderes decidir de novo. Nunca mudamos bases legais retroactivamente.

Gerir preferências de cookies agora?