Informações sobre o RGPD
1. Estabelecimento e aplicação do RGPD
O DickPic Pro é operado pela [YOUR CYPRUS LTD LEGAL NAME], uma private company limited by shares constituída sob as leis de the Republic of Cyprus. A Sociedade está estabelecida na União Europeia e o RGPD se aplica a todo o seu tratamento de dados pessoais no contexto das atividades desse estabelecimento, independentemente de onde o tratamento ocorra ou de onde o titular dos dados resida (art. 3.1 do RGPD).
2. Funções — divisão entre operação do Serviço e tratamento de conteúdo
Nossa função sob o RGPD divide-se em dois âmbitos distintos (ver também a Política de Privacidade, § 3, e o Acordo de Tratamento de Dados):
- Operação do Serviço — somos o responsável pelo tratamento dos dados de conta, registros de faturamento, logs de auditoria e dados de segurança.
- Tratamento de conteúdo — somos o subcontratante das imagens enviadas, dos relatórios PDF gerados e dos metadados de análise. O usuário (ou, no contexto Agency / API, o Cliente empresarial) é o responsável pelo tratamento. Os termos do nosso tratamento estão definidos no DPA.
Essa divisão se aplica de maneira uniforme a todos os produtos. Ela reflete o fato de que o usuário determina o que enviar, qual prompt aplicar, qual modelo usar e em nome de quem — e nós seguimos essas instruções sem usar o conteúdo para nossos próprios fins.
3. Bases legais
Para o nosso tratamento como responsável pelo tratamento, recorremos às seguintes bases legais:
- Execução de um contrato (art. 6.1.b) — para o tratamento necessário para fornecer o Serviço que o usuário solicitou ou para cumprir nossas obrigações perante um Cliente empresarial.
- Interesses legítimos (art. 6.1.f) — para segurança, prevenção de fraudes, integridade do serviço e melhoria do produto, ponderados em relação aos direitos e liberdades dos titulares dos dados.
- Obrigação legal (art. 6.1.c) — para a conservação de registros exigida por leis tributárias, contábeis ou outras leis aplicáveis, e para comunicações obrigatórias quando aplicável.
- Consentimento (art. 6.1.a e, quando pertinente, art. 9.2.a) — quando solicitamos consentimento para determinado tratamento opcional.
Para o tratamento de conteúdo em que atuamos como subcontratante, a base legal é determinada pelo Cliente (responsável pelo tratamento). O DPA exige que os Clientes garantam que dispõem de uma base legal válida para o tratamento que instruem.
4. Dados de categorias especiais
Parte do conteúdo enviado ao Serviço pode, dependendo das circunstâncias, constituir «dados de categorias especiais» na acepção do art. 9 do RGPD. O envio desse conteúdo é regido pelas nossas Condições Gerais do Serviço: o usuário (ou Cliente) declara que todos os consentimentos necessários foram obtidos das pessoas retratadas e que o envio é lícito em sua jurisdição. Quando atuamos como subcontratante, garantir a existência de uma base legal adequada nos termos do art. 9 é responsabilidade do Cliente na qualidade de responsável pelo tratamento.
5. Direitos dos titulares dos dados
Sujeito à verificação de identidade e às exceções aplicáveis, os titulares dos dados podem exercer os seguintes direitos:
- Direito de acesso (art. 15)
- Direito de retificação (art. 16)
- Direito ao apagamento (art. 17)
- Direito à limitação do tratamento (art. 18)
- Direito à portabilidade dos dados (art. 20)
- Direito de oposição (art. 21)
- Direito de retirar o consentimento a qualquer momento, quando o consentimento for a base (art. 7.3)
- Direito de não ficar sujeito a uma decisão tomada exclusivamente com base em tratamento automatizado que produza efeitos jurídicos ou similarmente significativos (art. 22) — atualmente não realizamos esse tipo de tomada de decisão
Para solicitações relativas a dados que mantemos como responsável pelo tratamento (dados de conta, faturamento, segurança), envie sua solicitação diretamente a nós pelo canal de contato indicado na Política de Privacidade.
Para solicitações relativas ao tratamento de conteúdo em que atuamos como subcontratante (imagens enviadas, PDFs gerados), a solicitação é mais eficazmente dirigida ao Cliente que instruiu o tratamento em seu nome (para usuários de Agency, sua agência; para usuários de um integrador de API, esse integrador). Nós os auxiliaremos na resposta.
Responderemos às solicitações diretas no prazo de um mês a contar de uma solicitação verificável, prorrogável por mais dois meses para solicitações complexas, com aviso dentro do primeiro mês (art. 12.3 do RGPD).
6. Transferências internacionais
O Serviço opera a partir de the Republic of Cyprus, um Estado-Membro da UE. Portanto, o envio de dados pessoais ao Serviço constitui tratamento dentro da União Europeia e não é, em si, uma transferência internacional para os efeitos do Capítulo V do RGPD.
Quando dados pessoais são transferidos para subcontratantes ulteriores fora do Espaço Econômico Europeu, as transferências são regidas pelas Cláusulas Contratuais-Tipo da Comissão Europeia (Decisão (UE) 2021/914) ou por outro mecanismo de transferência lícito nos termos do Capítulo V do RGPD, atuando nós como exportadores de dados. A lista atual de subcontratantes ulteriores e seus locais de tratamento é publicada em /legal/subprocessors.
O DPA entre nós e os Clientes que atuam como responsáveis pelo tratamento está estruturado para dar suporte a essas transferências ulteriores sem ação adicional do Cliente quando atuamos como subcontratante.
7. Representante na UE e Encarregado de Proteção de Dados
Como a Sociedade está estabelecida na União Europeia (the Republic of Cyprus), o requisito previsto no art. 27 do RGPD de nomear um Representante na UE não se aplica.
A nomeação de um Encarregado de Proteção de Dados (DPO) nos termos do art. 37 do RGPD é obrigatória apenas quando as atividades principais do responsável pelo tratamento exigem um acompanhamento regular e sistemático dos titulares dos dados em grande escala, ou consistem no tratamento em grande escala de dados de categorias especiais. Avaliamos nossas obrigações relativas ao DPO de forma contínua e nomearemos um DPO se e quando nossas atividades de tratamento atingirem os limiares do art. 37. Até então, as questões de privacidade e proteção de dados são tratadas internamente e podem ser encaminhadas pelo canal de contato indicado na Política de Privacidade.
8. Direito de apresentar reclamação
Os titulares dos dados têm o direito de apresentar reclamação a uma autoridade de controle, em particular no Estado-Membro de sua residência habitual, local de trabalho ou local da alegada infração, se considerarem que o tratamento de seus dados pessoais infringe o RGPD (art. 77 do RGPD).
A autoridade de controle da Sociedade, na sua qualidade de estabelecida em the Republic of Cyprus, é:
Office of the Commissioner for Personal Data Protection of the Republic of Cyprus
Endereço: Iasonos 1, 1082 Nicosia, Cyprus
Site: https://www.dataprotection.gov.cy
E-mail: commissioner@dataprotection.gov.cy
Incentivamos os titulares dos dados a nos contatar primeiro pelo canal indicado na Política de Privacidade, para que possamos tratar as preocupações diretamente.