Política de Privacidade

Um nome de utilizador (pode ser inventado), uma palavra-passe que escolhes e um nome público para que os teus contactos te reconheçam (também pode ser inventado). Nenhum email. Nenhum telefone. Nenhum dado que te vincule a uma pessoa real.

Para um detalhe exaustivo de todos os campos que armazenamos, como os protegemos e durante quanto tempo os conservamos, consulta o nosso Manifesto de Transparência

O tratamento dos teus dados baseia-se nas seguintes bases legais do Regulamento Geral sobre a Proteção de Dados (RGPD)

• Execução do contrato ( Art. 6.1.b RGPD ): Os dados da sua conta são necessários para lhe fornecer o serviço.
• Interesse legítimo ( Art. 6.1.f RGPD ): Medição anônima de visitas à página de apresentação (sem cookies, sem IP, sem identificação).
• Obrigação legal ( Art. 6.1.c RGPD ): Preservação de registros de pagamentos de obrigações tributárias.

Cada tipo de dado tem um período de conservação diferente, detalhado no nosso Manifesto de Transparência

• Dados de conta: até eliminares a tua conta.
• Sessões: máximo 24 horas.
• Sinais de ligação: máximo 60 segundos, apenas em memória.
• Pedidos de vinculação: máximo 3 dias.
• Registos de pagamentos: permanentes (obrigação fiscal). Estes registos são completamente anónimos: contêm apenas o montante e a data da cobrança, para poder emitir o talão de venda correspondente. Não incluem nenhum dado que vincule o pagamento a um utilizador concreto.

Todos os nossos servidores estão localizados na Alemanha

Os pagamentos são processados através de gateways de pagamento externos. Estes gateways podem tratar dados da transação de acordo com as suas próprias políticas de privacidade. Nós não recebemos nem armazenamos dados pessoais do pagador — recebemos apenas uma confirmação e um montante.

Na página de apresentação (não na aplicação) realizamos uma medição anónima de visitas em servidores próprios alojados na Alemanha. Sem cookies, sem endereço IP, sem identificar ninguém e sem partilhar dados com terceiros.

Base legal:

Direito de oposição:

Podes eliminar a tua conta e todos os teus dados técnicos associados com um único clique. Sem perguntas.

De acordo com o RGPD e a LOPDGDD, tens direito a:

• Acesso: Saiba quais dados temos sobre você. Tudo está detalhado no Manifesto da Transparência; Para sua conta específica, entre em contato conosco.
• Correção: Você pode alterar seu nome público e senha diretamente no aplicativo.
• Exclusão: Exclua sua conta e todos os dados associados com um clique, nas configurações.
• Portabilidade: Solo2 oferece exportação de backups criptografados contendo todos os seus dados locais.
• Limitação de processamento: Na prática, os dados que temos sobre você são tão mínimos que quase não há nada para limitar. Mas se você solicitar, restringiremos qualquer processamento que não seja estritamente necessário para manter o serviço.
• Objeção: Você pode se opor ao tratamento a qualquer momento. Para análises anônimas, basta desabilitar o JavaScript.

Para exercer qualquer um destes direitos, escreve-nos para hola@menzuri.com

Se considerares que não atendemos adequadamente os teus direitos, podes apresentar uma reclamação junto da CNPD (Comissão Nacional de Proteção de Dados)

O Solo2 utiliza criptografia testada pela comunidade académica, não esquemas proprietários. As primitivas são as mesmas que validam publicações revistas por pares e que estão implementadas há anos à escala global noutros sistemas.

• X3DH (Extended Triple Diffie-Hellman) para o estabelecimento inicial da sessão entre dois contactos: ambos derivam uma chave partilhada sem nunca terem trocado qualquer segredo anteriormente.
• Double Ratchet para a encriptação em curso de cada conversa. Cada mensagem é encriptada com uma chave diferente, que é derivada e apagada imediatamente após a encriptação da próxima.
• ChaCha20-Poly1305 para a criptografia autenticada de cada mensagem individual, dentro do Double Ratchet. Dados em repouso — seu cofre local e backups — são criptografados com AES-256-GCM. Ambos são cifras autenticadas (AEAD) amplamente implantadas e validadas.
• Argon2id para derivar, da sua senha, a chave que envolve (criptografa) a sua chave mestra. Resistente a ataques com hardware especializado (GPUs, ASICs).
• Curve25519 e Ed25519 para os pares de chaves de encriptação e assinatura. Curvas elípticas modernas, sem «constantes mágicas» suspeitas.

Uma propriedade chave oferecida por estas primitivas é a forward secrecy: se uma chave de sessão for comprometida, as mensagens anteriores permanecem ilegíveis. E a propriedade complementar, a post-compromise security: a conversa «cura-se sozinha» assim que novas mensagens são trocadas.

Não existe nenhuma chave mestra, porta traseira ou mecanismo de recuperação que nos permita ler as suas mensagens. Isso inclui o caso de uma ordem judicial: tecnicamente não podemos desencriptar o que não temos.

Uma política de privacidade séria não é apenas uma lista do que fazemos: é também uma lista clara do que nunca faremos.

• Não treinamos modelos de IA com as suas mensagens. Não é uma promessa voluntária: é uma consequência de tudo o que foi dito acima. Não os temos em momento algum — a cláusula que noutras políticas parece tranquilizadora, aqui é intrinsecamente verdadeira por construção.
• Não vendemos publicidade. O Solo2 é um serviço pago, não monetizado através de anúncios. Os seus dados não são o nosso modelo de negócio.
• Não construímos perfis de utilização, comportamento, localização, contactos ou interesses. Também não temos um gráfico social que ligue alguns utilizadores a outros.
• Não partilhamos dados com terceiros para fins comerciais. A única exceção são as passarelas de pagamento, que recebem apenas o valor da transação.
• Não usamos cookies de rastreio, nem píxeis, nem fingerprinting do navegador, nem serviços externos como o Google Analytics ou o Facebook Pixel.
• Não registamos o seu endereço IP de forma persistente. A ligação necessita de um IP transitório, mas este não é guardado associado à sua conta.

Em aplicação do artigo 28.º do RGPD, os subprocessadores que atualmente intervêm na prestação do serviço são os seguintes. Se em algum momento for incorporado um novo subprocessador, esta lista será atualizada e comunicaremos a alteração aos utilizadores antes de entrar em vigor.

• Hetzner Online GmbH (Alemanha) — Infraestrutura de servidores com centros de dados na União Europeia. Cumpre o RGPD e as certificações ISO 27001.
• Infomaniak (Suíça) — Correio eletrónico corporativo. Dados alojados na Suíça, país com declaração de adequação da Comissão Europeia.
• Passarelas de pagamento — Processamento de cobranças. Não recebem dados pessoais do utilizador, apenas o valor e a moeda da transação.

Quando recebemos uma ordem judicial válida emitida por uma autoridade competente espanhola ou europeia, cumprimos. A questão interessante não é se cumpriríamos, mas sim o que poderíamos efetivamente entregar.

O design técnico do Solo2 limita drasticamente o que poderíamos fornecer a uma requisição. Não temos acesso ao conteúdo das mensagens (encriptação de ponta a ponta), não guardamos metadados de quem fala com quem, não armazenamos históricos de ligação e não guardamos endereços IP associados a contas.

O que poderíamos entregar, chegado o caso, são os dados mínimos associados a uma conta tal como descritos no Manifesto de Transparência: nome de utilizador e nome público (ambos podem ser inventados), um hash da palavra-passe, e uma chave mestra encriptada com essa palavra-passe que para nós é um blob opaco.

Esta política aplica-se unicamente a autoridades competentes em Espanha e na União Europeia. Não respondemos a pedidos de forças da lei de países terceiros sem um canal legal europeu intermediário.