Processamento de Dados
Esta página descreve os dados pessoais que o ConsentForge processa quando opera em seu nome.
Dados recolhidos dos visitantes do seu website
Quando um visitante interage com o banner do ConsentForge, são recolhidos os seguintes dados:
| Dados | Como são armazenados | Retenção |
|---|---|---|
| Escolhas de consentimento (aceite/rejeitado por categoria) | Com hash, no recibo de consentimento | 7 anos |
| Timestamp da decisão | UTC, no recibo de consentimento | 7 anos |
| Endereço IP | Apenas hash SHA-256 — o IP bruto nunca é armazenado | 7 anos |
| Agente de utilizador | Apenas hash SHA-256 — o UA bruto nunca é armazenado | 7 anos |
| Versão da política no momento da decisão | No recibo de consentimento | 7 anos |
| Versão do banner no momento da decisão | No recibo de consentimento | 7 anos |
Nenhuma PII em bruto é armazenada. Os endereços IP e agentes de utilizador são sujeitos a hash unidireccional antes do armazenamento.
Base jurídica para a recolha de dados pelo ConsentForge
O ConsentForge processa dados de visitantes com base em interesses legítimos (Art. 6.º, n.º 1, alínea f) do GDPR): registar as decisões de consentimento é necessário para lhe permitir demonstrar a conformidade. Este tratamento é inerente ao serviço.
Localização dos dados
Toda a infraestrutura do ConsentForge está alojada na União Europeia (Frankfurt, Alemanha). Os dados não saem da UE.
Acordo de Processamento de Dados
O ConsentForge actua como subcontratante ao abrigo do Art. 28.º do GDPR. O utilizador (proprietário do website) é o responsável pelo tratamento.
Um DPA pré-assinado está disponível em Painel → Conta → Jurídico → Acordo de Processamento de Dados.
Retenção de recibos de consentimento
Os recibos de consentimento são conservados durante 7 anos para apoiar as obrigações de auditoria ao abrigo do GDPR. Pode exportar os recibos a qualquer momento através de:
- Painel → Evidências → Exportar
- API:
GET /api/v1/receipts
Direito de apagamento (Art. 17.º do GDPR)
Uma vez que os recibos de consentimento são armazenados apenas como identificadores com hash (sem PII em bruto), não é possível identificar ou eliminar registos pertencentes a um indivíduo específico — o hash é irreversível. Este design é intencional e reduz as suas obrigações de apagamento ao abrigo do GDPR para registos de consentimento.
Notificação de violação de dados
Em caso de violação de dados que afecte os dados do seu tenant, o ConsentForge irá notificá-lo no prazo de 72 horas, em conformidade com o Art. 33.º do GDPR. A notificação será enviada para o endereço de e-mail principal da sua conta.