Atualizado: Abril 2026 · v1.0 · Lei nº 58/2019 · RGPD
StoryPath. Para questões de privacidade: geral@storypath.pt. Autoridade de controlo em Portugal: CNPD — www.cnpd.pt
• Geolocalização (latitude/longitude) — apenas com consentimento explícito • Timestamps de interações com Pontos de Interesse • Idioma selecionado pelo dispositivo • POIs visitados (através de geofence triggers) • Referência do hotel (se aplicável, via parâmetro QR code) • Endereço IP (para registo de consentimento — anonimizado após 24h) • User Agent do browser (para compatibilidade)
Consentimento explícito e granular (Art. 6.º, n.º 1, al. a) RGPD e Art. 7.º RGPD). Podes retirar o consentimento a qualquer momento sem consequências.
• Geolocalização: detectar Pontos de Interesse próximos e apresentar conteúdo relevante • Analytics: melhorar a experiência da app (dados anónimos e agregados) • Ofertas: apresentar promoções de negócios locais (apenas com consentimento)
• Trigger logs (POIs visitados): 30 dias • Sessões: 90 dias após última utilização • Registos de consentimento: conservados indefinidamente para fins de auditoria RGPD • Após eliminação por pedido do utilizador: remoção permanente em 72 horas
Os teus dados não são vendidos nem partilhados com terceiros para fins comerciais. Utilizamos: • Vercel (EEA) — alojamento e Vercel Web Analytics (anónima, sem cookies) • Neon Database (EEA) — base de dados • Google Analytics 4 e Google Tag Manager — apenas dentro da aplicação de visita e apenas após consentimento explícito Todas as transferências cumprem o RGPD.
• Acesso: consultar todos os dados que guardamos sobre ti • Portabilidade: exportar os teus dados em formato JSON • Retificação: corrigir dados incorretos • Apagamento: eliminar todos os teus dados ("direito ao esquecimento") • Oposição: opor-te ao tratamento a qualquer momento • Limitação: restringir o tratamento em determinadas circunstâncias • Revogação do consentimento: sem efeito retroativo Exerce os teus direitos em: /gdpr-rights
Todos os dados são transmitidos via HTTPS (TLS 1.3). A base de dados está encriptada em repouso. O acesso é restrito por controlo de autenticação. Realizamos avaliações de impacto (DPIA) regulares.
Utilizamos diferentes técnicas consoante a página visitada: • Página inicial e páginas institucionais (/, /hoteis, /privacy, /gdpr-rights): usamos analytics agregada sem cookies (Vercel Web Analytics). Não escrevemos qualquer ficheiro no teu dispositivo e os dados são anonimizados via hash de IP+User Agent, sem permitir identificação individual. Por isso não solicitamos consentimento nestas páginas. • Aplicação de visita (/tour, /h/, /poi/, /business/): após consentimento explícito no banner RGPD, podemos escrever cookies do Google Analytics 4 (_ga, _ga_*) para análise de uso anónima e carregar o Google Tag Manager para gerir esses scripts. Sem consentimento, nenhum cookie Google é escrito. • localStorage (sempre, em todas as páginas): usado exclusivamente para identificador de sessão anónimo, preferências de consentimento, e cache de POIs/imagens para uso offline. Não é utilizado para rastreamento entre sites nem publicidade. Podes revogar o consentimento a qualquer momento em /gdpr-rights — os scripts Google deixam de carregar em visitas futuras.
Qualquer alteração significativa será notificada na app. A versão atual é sempre acessível em /privacy. O teu consentimento anterior é mantido até nova confirmação ser solicitada.