1. Identidade do responsável pelo tratamento
O responsável pelo tratamento dos dados pessoais recolhidos através deste sítio web e da plataforma NivelixPro (a "Plataforma") é:
NivelixPro LLC, sociedade constituída ao abrigo da legislação do Estado da Florida (Estados Unidos), com sede em 407 Lincoln Road, Suite 708, Miami Beach, FL 33139, USA.
Para qualquer questão relativa à presente política ou ao tratamento dos seus dados, pode contactar-nos através de info@nivelixpro.com.
2. Âmbito de aplicação
A presente política aplica-se a todos os dados pessoais que recolhemos quando visita o nosso sítio web, se regista na Plataforma, subscreve um plano ou interage com qualquer um dos nossos canais de apoio.
Se reside no Espaço Económico Europeu ou no Reino Unido, aplicam-se igualmente os direitos previstos no Regulamento (UE) 2016/679 (RGPD) e, em Portugal, na Lei n.º 58/2019 (Lei de Execução do RGPD). Se reside na Califórnia (EUA), aplicam-se os direitos previstos no California Consumer Privacy Act (CCPA), conforme alterado pelo CPRA.
3. Dados pessoais que tratamos
Recolhemos exclusivamente os dados estritamente necessários à prestação do serviço. Em particular:
- Dados de conta: endereço de correio eletrónico, palavra-passe (armazenada unicamente como hash bcrypt, nunca em claro), idioma preferido, data de criação da conta e plano subscrito.
- Dados de identificação técnica: endereço IP, tipo de navegador, sistema operativo, identificador de sessão e fuso horário. Utilizados para fins de autenticação, prevenção de fraude e diagnóstico.
- Dados de pagamento: os pagamentos são processados integralmente pela Stripe Payments Europe Ltd. e por gateways cripto de terceiros. A NivelixPro não armazena nem tem acesso ao número do cartão, ao CVV ou ao IBAN do utilizador. Conservamos apenas o identificador interno da transação, o montante, a moeda, a data e os últimos quatro dígitos do cartão quando a Stripe nos os fornece para fins de conciliação.
- Configuração de trading: pares operados, parâmetros dos bots, planos DCA, chaves API das exchanges (armazenadas cifradas em repouso com AES-256-CBC, e nunca solicitadas com permissões de levantamento), histórico de ordens e operações encerradas.
- Dados de utilização do produto: eventos analíticos agregados (cliques, navegação, erros), gravações de sessão mascaradas através do Microsoft Clarity (modo de mascaramento "Equilibrado": os campos de palavra-passe e o conteúdo sensível são ocultados automaticamente) e métricas de desempenho.
- Comunicações: tickets de apoio abertos a partir do painel, conversações por correio eletrónico e, caso o utilizador o ative expressamente, notificações associadas à sua conta Telegram (chat ID).
- Dados do programa de referidos: no âmbito do programa de referidos armazenamos o montante creditado ao utilizador referente sob a forma de saldo virtual (SVR), sem expor dados do referido para além do identificador interno necessário para a rastreabilidade.
4. Finalidades do tratamento
Tratamos os seus dados pessoais para as seguintes finalidades:
- Criar e gerir a sua conta de utilizador, autenticá-lo e manter a sua sessão de forma segura.
- Prestar o serviço contratado: executar as ordens desencadeadas pelos seus bots nas exchanges ligadas através das suas próprias chaves API, mostrar o desempenho histórico e permitir-lhe alterar a configuração.
- Processar os pagamentos das suas subscrições e emitir os respetivos comprovativos.
- Atender às suas questões, incidentes e pedidos de apoio técnico.
- Detetar e prevenir fraudes, abuso do serviço, partilha indevida de contas e violações de segurança.
- Cumprir as nossas obrigações legais, contabilísticas e fiscais (em particular as decorrentes da legislação da Florida e do direito federal dos Estados Unidos).
- Enviar-lhe comunicações operativas relacionadas com a sua conta (alterações de estado dos bots, alertas de segurança, renovações de subscrição, atualizações do serviço).
- Melhorar o produto através de analítica agregada e, se aplicável, gravações de sessão mascaradas que nos permitam identificar problemas de usabilidade sem expor informação pessoal sensível.
5. Fundamentos de licitude
O tratamento dos seus dados baseia-se num dos seguintes fundamentos jurídicos previstos no artigo 6.º do RGPD:
- Execução de um contrato (art. 6.º, n.º 1, alínea b)): o tratamento é necessário para lhe prestar o serviço contratado mediante o seu registo e a sua aceitação dos Termos.
- Obrigação legal (art. 6.º, n.º 1, alínea c)): conservação de informação contabilística, fiscal e de prevenção da fraude em conformidade com a regulamentação aplicável.
- Interesse legítimo (art. 6.º, n.º 1, alínea f)): manutenção da segurança da Plataforma, prevenção de abusos, melhoria contínua do produto e comunicações operativas estritamente relacionadas com o serviço. Em todos os casos efetuámos uma ponderação que faz prevalecer os direitos do utilizador.
- Consentimento (art. 6.º, n.º 1, alínea a)): para finalidades facultativas, como receber notificações por Telegram, ativar cookies analíticos não essenciais ou, sendo o caso, receber comunicações promocionais. Pode retirar o seu consentimento a qualquer momento, sem que tal afete a licitude do tratamento anterior.
6. Prazos de conservação
Conservamos os seus dados pessoais apenas durante o tempo necessário ao cumprimento das finalidades para que foram recolhidos:
- Os dados da conta e a configuração dos bots são conservados enquanto a sua conta estiver ativa. Se cancelar a conta, eliminamos os dados operativos no prazo máximo de 30 dias, salvo no que respeita aos registos cuja conservação a lei impõe.
- Os dados de faturação são conservados durante o prazo legal aplicável (até seis anos ao abrigo da regulamentação fiscal norte-americana e, quando aplicável, até dez anos ao abrigo da regulamentação europeia em matéria de prevenção do branqueamento de capitais).
- Os logs técnicos e os registos de segurança são conservados durante um máximo de 12 meses.
- As gravações de sessão mascaradas através do Microsoft Clarity são conservadas automaticamente durante 30 dias e posteriormente eliminadas.
- As cópias de segurança cifradas armazenadas no Backblaze B2 seguem uma política de rotação: diárias durante 24 horas, semanais durante 7 dias e mensais durante 4 semanas.
7. Destinatários e subcontratantes
Para prestar o serviço recorremos aos seguintes prestadores tecnológicos, todos vinculados por contratos de subcontratação e, quando aplicável, por cláusulas contratuais-tipo:
- Stripe Payments Europe Ltd. (Irlanda) — gateway de pagamento por cartão. Tratamento conforme a respetiva política de privacidade disponível em stripe.com/privacy.
- Microsoft Clarity (Microsoft Corporation, EUA) — analítica comportamental agregada e gravações de sessão mascaradas. Carregamento diferido que preserva o desempenho web.
- Hetzner Online GmbH (Alemanha) — alojamento dos servidores e da infraestrutura principal. Dados armazenados no interior da União Europeia.
- Backblaze, Inc. (EUA) — armazenamento de cópias de segurança cifradas (cifragem AES-256 aplicada antes do envio).
- Resend, Inc. (EUA) — envio de mensagens de correio eletrónico transacionais (verificação, recuperação de palavra-passe, alertas).
- Zoho Corporation (conta alojada na região europeia da Zoho) — alojamento da caixa de correio info@nivelixpro.com.
- Telegram FZ-LLC (Emirados Árabes Unidos) — apenas se ativar as notificações por Telegram; nesse caso, o chat ID e o conteúdo da mensagem são enviados para a respetiva API.
- Exchanges ligadas pelo utilizador (Binance, KuCoin, Bybit, OKX, MEXC e outras) — recebem as ordens e as consultas de saldo geradas pela Plataforma através das chaves API que o próprio utilizador inseriu. A NivelixPro atua exclusivamente como intermediária técnica; o contrato e o tratamento dos seus dados pela exchange regem-se pelas condições que aceitou com a mesma.
8. Transferências internacionais
Sendo a NivelixPro LLC uma entidade norte-americana, parte do tratamento é efetuada fora do Espaço Económico Europeu. Em concreto, os dados de conta e de faturação podem ser tratados em servidores localizados nos Estados Unidos.
Para garantir um nível de proteção equivalente ao exigido pelo RGPD, celebrámos com todos os nossos subcontratantes norte-americanos as Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia em 2021 e aplicamos medidas técnicas complementares (cifragem em repouso, cifragem em trânsito e minimização dos dados transferidos). Além disso, vários dos nossos prestadores aderiram ao Data Privacy Framework UE-EUA.
9. Os seus direitos
Na sua qualidade de titular dos dados, dispõe dos seguintes direitos:
- Acesso: saber que dados pessoais seus tratamos.
- Retificação: solicitar a correção de dados inexatos ou incompletos.
- Apagamento ("direito a ser esquecido"): solicitar a eliminação dos seus dados quando já não sejam necessários para a finalidade para que foram recolhidos, salvo obrigação legal de conservação.
- Oposição: opor-se ao tratamento baseado em interesse legítimo, quando concorram motivos relacionados com a sua situação particular.
- Limitação: solicitar a limitação temporária do tratamento enquanto se verifica a exatidão dos dados ou se resolve uma oposição.
- Portabilidade: receber os seus dados num formato estruturado e legível por máquina (JSON) e transmiti-los a outro responsável.
- Revogação do consentimiento: retirar a qualquer momento o consentimento prestado para finalidades concretas (Telegram, comunicações promocionais, cookies não essenciais).
- Reclamação junto da autoridade de controlo: se considerar que o tratamento viola a regulamentação, pode apresentar reclamação à Comissão Nacional de Proteção de Dados (cnpd.pt) ou à autoridade de controlo do seu país de residência.
10. Como exercer os seus direitos
Para exercer qualquer um dos direitos descritos no número anterior, envie-nos um correio eletrónico para info@nivelixpro.com indicando claramente o direito que pretende exercer e juntando cópia de um documento comprovativo da sua identidade.
Responderemos no prazo máximo de um mês a contar da receção do seu pedido, prorrogável por mais dois meses em caso de pedidos especialmente complexos, informando-o por correio eletrónico. O exercício dos direitos é gratuito, salvo em casos de pedidos manifestamente infundados ou excessivos.
11. Segurança da informação
Aplicamos medidas técnicas e organizativas razoáveis para assegurar um nível de segurança adequado ao risco, alinhadas com referenciais como a norma ISO 27001 e os controlos do NIST Cybersecurity Framework. Entre as quais:
- Cifragem em trânsito através de TLS 1.3 com HSTS preload.
- Cifragem em repouso das chaves API de exchange através de AES-256-CBC com chave mestra rotativa.
- Armazenamento de palavras-passe unicamente como hash bcrypt com fator de custo configurável.
- Tokens JWT de sessão com expiração e cookies httpOnly para mitigar XSS.
- Sistema interno de bloqueio de IP contra tentativas de força bruta (banManager).
- Auditoria contínua das ações administrativas e rastreabilidade através de registos imutáveis.
- Cópias de segurança cifradas off-site com rotação diária, semanal e mensal.
- Política do menor privilégio para os acessos internos e revogação imediata quando uma pessoa deixe de necessitar de aceder a um sistema.
12. Cookies e tecnologias similares
Utilizamos cookies técnicos estritamente necessários ao funcionamento da sessão (autenticação e preferências de idioma), bem como cookies analíticos de carregamento diferido operados pelo Microsoft Clarity.
Encontrará o detalhe completo na nossa Política de Cookies. Pode gerir as suas preferências a qualquer momento a partir das definições do seu navegador.
13. Menores
A Plataforma destina-se exclusivamente a utilizadores com 18 ou mais anos de idade. Não recolhemos conscientemente dados pessoais de menores. Se tiver conhecimento de que um menor forneceu dados pessoais à NivelixPro, contacte-nos e procederemos à sua eliminação imediata.
14. Residentes na Califórnia (CCPA / CPRA)
Se reside na Califórnia, dispõe de direitos adicionais ao abrigo do CCPA e do CPRA, em particular:
- Conhecer as categorias de informação pessoal que recolhemos, as fontes e as finalidades.
- Solicitar a eliminação da sua informação pessoal, sem prejuízo das exceções legais.
- Solicitar a correção de informação pessoal inexata.
- Limitar a utilização e a divulgação de informação pessoal sensível.
- Não ser objeto de discriminação pelo exercício dos seus direitos.
15. Não vendemos a sua informação pessoal
A NivelixPro não vende informação pessoal dos utilizadores na aceção do CCPA nem a cede a terceiros para fins de publicidade comportamental cruzada. As únicas comunicações de dados a terceiros são as descritas no número 7, todas necessárias à prestação do serviço.
16. Alterações à presente política
Poderemos atualizar a presente Política de Privacidade para refletir alterações legais ou melhorias do serviço. Publicaremos sempre a versão em vigor em https://nivelixpro.com/legal/privacy, indicando a data da última revisão. Caso as alterações sejam substanciais, notificaremos o utilizador por correio eletrónico com pelo menos 30 dias de antecedência à sua entrada em vigor.
17. Contacto
Para qualquer questão relacionada com a presente política ou com o tratamento dos seus dados pessoais pode contactar-nos em:
NivelixPro LLC
407 Lincoln Road, Suite 708, Miami Beach, FL 33139, USA
Correio eletrónico: info@nivelixpro.com