Política de Privacidade e Proteção de Dados

1. Responsável pelo tratamento

O responsável pelo tratamento dos dados pessoais recolhidos através do website https://www.studioconnectionpro.com é Jorge Dell Uomo, profissional independente em nome individual, com número de identificação fiscal 288 011 236, com domicílio profissional em Jardins do Buzano 150 C, 2785-717 São Domingos de Rana, concelho de Cascais, Portugal, que opera comercialmente sob a designação «Studio Connection Pro».

Para qualquer questão relativa ao tratamento dos seus dados pessoais, ao exercício de direitos ou a esclarecimentos sobre esta Política, pode contactar-nos por correio eletrónico para jfhd58@gmail.com ou por correio postal para a morada profissional indicada.

Não foi designado um Encarregado de Proteção de Dados (DPO), por o tratamento realizado não preencher qualquer dos critérios de designação obrigatória previstos no artigo 37.º, n.º 1, do RGPD (atividades não envolvem o controlo regular e sistemático de titulares em larga escala, nem o tratamento em larga escala de categorias especiais de dados ou de dados relativos a condenações e infrações penais). O contacto referido no parágrafo anterior é, ainda assim, o canal único e dedicado para todas as questões de privacidade.

2. Categorias de dados pessoais tratados

Recolhemos e tratamos diferentes categorias de dados consoante a forma como o titular interage com o website e os nossos serviços:

2.1 · Visita ao website

Endereço IP (de forma efémera, ao nível dos registos de servidor da infraestrutura), tipo e versão do navegador, sistema operativo, referenciador (URL de origem), data, hora e páginas acedidas. Estes dados resultam do funcionamento técnico normal do protocolo HTTP e dos registos da infraestrutura de hospedagem.

2.2 · Formulário de contacto

Nome, endereço de correio eletrónico, número de telefone (opcional) e o teor da mensagem que o utilizador escreve. Este formulário funciona por encaminhamento direto através da aplicação WhatsApp: os dados são compostos no navegador do utilizador e enviados, por iniciativa do próprio, através da aplicação WhatsApp escolhida pelo utilizador. Não há gravação intermédia em servidor próprio.

2.3 · Comunicação direta

Quando o utilizador opta por contactar-nos por telefone, WhatsApp, correio eletrónico ou através das redes sociais ligadas ao website, tratamos os dados constantes da própria comunicação (nome, números de telefone, endereços de email, conteúdo das mensagens, eventuais anexos com dados pessoais).

2.4 · Execução de serviços

Quando se torna cliente, tratamos os dados necessários à prestação do serviço e à emissão de fatura: nome ou denominação, NIF, morada de faturação, endereço de email, número de telefone, dados bancários para faturação ou recebimento, gravações em estúdio (áudio e vídeo do próprio cliente, dos seus convidados ou participantes) e correspondência relacionada com o projeto.

2.5 · Reviews e testemunhos públicos

Republicamos no website excertos e nomes de avaliações públicas deixadas por clientes em plataformas de terceiros, em particular o Google Business Profile. Os dados em causa (nome do autor e teor da avaliação) foram tornados públicos pelos próprios autores na plataforma de origem com a finalidade declarada de serem consultados publicamente; assistem-lhes os direitos descritos na secção 7.

Não tratamos categorias especiais de dados pessoais previstas no artigo 9.º do RGPD (origem racial ou étnica, opiniões políticas, convicções religiosas, dados de saúde, dados biométricos, etc.) nem dados relativos a condenações ou infrações penais (artigo 10.º do RGPD), salvo se o titular os incluir voluntariamente numa comunicação dirigida a nós, caso em que apenas os tratamos na medida estritamente necessária à resposta a essa comunicação.

3. Finalidades e bases de licitude

Cada operação de tratamento corresponde a uma finalidade específica e a uma base jurídica concreta, à luz do artigo 6.º, n.º 1, do RGPD:

Quando invocamos o interesse legítimo (alínea f)), realizamos um teste de balanceamento entre esse interesse, os direitos e liberdades fundamentais do titular e a expectativa razoável do mesmo, nos termos do considerando 47 do RGPD e das orientações do EDPB 1/2024. O resultado deste teste fica documentado e está disponível mediante pedido fundamentado dirigido ao contacto indicado na secção 13.

4. Prazos de conservação

Conservamos os dados apenas durante o período estritamente necessário para as finalidades para as quais foram recolhidos, sem prejuízo dos prazos legais de retenção que sejam aplicáveis:

Findos estes prazos, os dados são apagados ou anonimizados de forma irreversível.

5. Subcontratantes e outros recetores

Não vendemos nem cedemos os seus dados pessoais a terceiros para fins de marketing. A intervenção de terceiros limita-se ao estritamente necessário ao funcionamento do website e à prestação dos serviços, distinguindo-se entre subcontratantes (que tratam dados em nosso nome ao abrigo do artigo 28.º do RGPD) e outros recetores ou responsáveis pelo tratamento autónomos.

5.1 · Subcontratantes (Art. 28.º RGPD)

Esta relação está formalizada por contrato de subcontratação que cumpre os requisitos do artigo 28.º, n.º 3, do RGPD, incluindo garantias de confidencialidade, segurança, instruções documentadas, restrições à subcontratação ulterior e cooperação no exercício dos direitos dos titulares.

5.2 · Outros recetores

Quando o utilizador escolhe contactar-nos por canais externos disponibilizados, os respetivos operadores recebem e tratam os dados como responsáveis pelo tratamento autónomos, ao abrigo das suas próprias políticas de privacidade:

• Google LLC — quando o utilizador envia mensagem para o nosso endereço de correio eletrónico (alojado em Gmail), a Google é o operador de receção da caixa de correio. Política em policies.google.com/privacy.
• Meta Platforms Ireland Limited / Meta Platforms, Inc. — quando o utilizador escolhe o canal WhatsApp para nos contactar, ou interage com publicações no Instagram. Política em whatsapp.com/legal/privacy-policy-eea.
• Operadores de embeds opt-in — YouTube (modo «nocookie»), Instagram e Google Maps só estabelecem ligação após ato voluntário do utilizador (clique em «carregar»), conforme detalhado na Política de Cookies.

Podemos ainda partilhar dados com autoridades públicas quando tal seja exigido por lei (autoridade tributária, judicial, CNPD, forças de segurança), nos limites estritos do pedido.

6. Transferências internacionais

Algumas das operações de tratamento descritas implicam a transferência de dados pessoais para países fora do Espaço Económico Europeu (EEE), em particular para os Estados Unidos da América (EUA). Tais transferências apenas ocorrem quando se verifica um dos mecanismos previstos no Capítulo V do RGPD:

• Decisão de adequação UE-EUA Data Privacy Framework (Decisão de Execução (UE) 2023/1795 da Comissão, de 10 de julho de 2023). Vercel Inc. encontra-se certificada no DPF, assegurando um nível de proteção essencialmente equivalente ao do RGPD para as transferências abrangidas. Informamos que a validade desta decisão de adequação está sujeita a recurso pendente perante o Tribunal Geral da União Europeia (processo Latombe, T-553/23, decisão de 3 de setembro de 2025), pelo que monitorizamos ativamente a situação.
• Cláusulas contratuais-tipo aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão, complementadas por medidas técnicas e organizativas suplementares quando necessário, nos termos do acórdão Schrems II do TJUE (processo C-311/18, de 16 de julho de 2020).

Não realizamos transferências para países que não disponham de decisão de adequação ou de garantias adequadas válidas. Não transferimos dados para o Brasil nem para qualquer outra jurisdição fora do EEE para além das identificadas.

7. Direitos do titular

Enquanto titular dos dados pessoais, são-lhe reconhecidos os seguintes direitos pelo RGPD e pela Lei n.º 58/2019:

1. Direito de acesso (Art. 15.º) — obter confirmação de que tratamos os seus dados e aceder aos mesmos.
2. Direito de retificação (Art. 16.º) — corrigir dados inexatos ou completar dados incompletos.
3. Direito ao apagamento ou «direito a ser esquecido» (Art. 17.º), quando aplicável.
4. Direito à limitação do tratamento (Art. 18.º).
5. Direito à portabilidade (Art. 20.º) — receber os dados num formato estruturado, de uso corrente e leitura automática.
6. Direito de oposição (Art. 21.º), em particular ao tratamento baseado em interesse legítimo, incluindo a republicação de avaliações.
7. Direito de não ficar sujeito a decisões automatizadas (Art. 22.º). Não realizamos decisões automatizadas com efeitos jurídicos significativos sobre os titulares.
8. Direito de retirar o consentimento (Art. 7.º, n.º 3), sempre que a base de licitude seja o consentimento, sem prejuízo da licitude do tratamento efetuado antes da retirada.
9. Direito de apresentar reclamação à autoridade de controlo — Comissão Nacional de Proteção de Dados (CNPD), conforme secção 13.

Para exercer qualquer destes direitos basta enviar uma comunicação para jfhd58@gmail.com, identificando-se de forma adequada para evitar a divulgação a terceiros. Responderemos no prazo máximo de um mês a contar da receção do pedido, prorrogável por mais dois meses em caso de complexidade ou volume, com comunicação fundamentada da prorrogação (Art. 12.º, n.º 3, do RGPD). O exercício destes direitos é gratuito, salvo nos casos de pedidos manifestamente infundados ou excessivos (Art. 12.º, n.º 5).

8. Medidas de segurança

Adotamos medidas técnicas e organizativas adequadas a assegurar um nível de segurança proporcional ao risco, à luz do artigo 32.º do RGPD e das orientações do Relatório de Atividades 2024 da CNPD (publicado em março de 2025), incluindo, designadamente:

• cifragem em trânsito por TLS 1.3 com HSTS pré-carregado e cabeçalho Strict-Transport-Security configurado com o tempo máximo de dois anos;
• cifragem em repouso ao nível da infraestrutura de hospedagem e das caixas de correio eletrónico;
• cabeçalhos de segurança HTTP (X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy) configurados ao nível da plataforma;
• autenticação multifator (MFA) ativada nas contas administrativas da infraestrutura, do correio eletrónico e do gestor de domínio;
• princípio do mínimo privilégio no acesso a dados de clientes, com revisão periódica de acessos;
• rotinas de cópia de segurança verificadas, com testes de restauro periódicos;
• registo interno de incidentes e procedimento de resposta documentado;
• avaliação de fornecedores e revisão dos compromissos de segurança contratualmente assumidos;
• formação e sensibilização contínuas em matéria de proteção de dados.

9. Violação de dados pessoais

Em caso de violação de dados pessoais com risco para os direitos e liberdades dos titulares, notificaremos a Comissão Nacional de Proteção de Dados no prazo máximo de 72 horas após o conhecimento da ocorrência, nos termos do artigo 33.º do RGPD. Quando a violação for suscetível de implicar um risco elevado, comunicaremos também aos titulares afetados, em linguagem clara e simples, descrevendo a natureza da violação, as suas consequências prováveis e as medidas adotadas ou propostas para mitigar os seus efeitos (Art. 34.º). Toda e qualquer violação, ainda que não notificável, é registada internamente nos termos do artigo 33.º, n.º 5, do RGPD.

10. Cookies e tecnologias similares

O website foi concebido segundo um princípio de minimização e não instala cookies não necessários ao seu funcionamento. Os componentes que envolvem terceiros (vídeos do YouTube, publicações do Instagram e mapa do Google Maps) só são carregados após ato voluntário do utilizador, constituindo essa ação consentimento granular e informado para a operação concreta, nos termos do artigo 5.º, n.º 3, da Diretiva 2002/58/CE e do artigo 4.º, n.º 3, da Lei n.º 41/2004. Os pormenores constam da Política de Cookies.

11. Tratamento de dados de menores

O website e os serviços não se dirigem a menores de 18 anos. Não recolhemos nem tratamos, conscientemente, dados pessoais de crianças. Caso um menor pretenda figurar em conteúdos produzidos (por exemplo, em gravações contratadas por uma instituição ou pelos seus representantes legais), o tratamento depende do consentimento prévio e por escrito dos titulares das responsabilidades parentais, nos termos do artigo 8.º do RGPD, sendo a idade mínima para consentimento próprio fixada em 13 anos pelo artigo 16.º da Lei n.º 58/2019. Caso tomemos conhecimento de que recolhemos inadvertidamente dados de um menor sem o devido enquadramento, procederemos ao seu apagamento sem demora.

12. Alterações a esta política

Esta Política pode ser revista a qualquer momento, em particular para refletir alterações legislativas, regulamentares, jurisprudenciais ou tecnológicas. A versão em vigor é sempre a que se encontra publicada nesta página, com a data de última atualização indicada no topo. Recomendamos a consulta periódica do documento. Alterações materiais (por exemplo, novas finalidades ou novos subcontratantes em país terceiro) serão comunicadas pelos canais habituais de relacionamento com clientes ativos antes da sua entrada em vigor.

13. Contactos e reclamações

Para qualquer questão relativa à presente Política, ao exercício dos seus direitos ou a queixas sobre o tratamento dos seus dados pessoais:

• Responsável: Jorge Dell Uomo · Studio Connection Pro
• Email: jfhd58@gmail.com
• Morada postal: Jardins do Buzano 150 C, 2785-717 São Domingos de Rana, Cascais, Portugal
• Telefone: +351 939 649 466

Sem prejuízo do recurso a outras vias, designadamente judiciais, assiste-lhe o direito de apresentar reclamação à autoridade de controlo competente:

• Comissão Nacional de Proteção de Dados (CNPD)
• Av. D. Carlos I, 134, 1.º — 1200-651 Lisboa
• Telefone: 213 928 400 · Email: geral@cnpd.pt
• Web: www.cnpd.pt